Comandos de proteção do Windows
Nota: Estes podem interromper inadvertidamente a comunicação dos dispositivos e devem ser testados. Também pode exigir uma reinicialização.
reg add "HKLM\SYSTEM\CurrentControlSet\Control" /v DisableRemoteScmEndpoints /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /v DisableRpcOverTcp /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d N /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "AutoShareWks" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "AutoShareServer" /t REG_DWORD /d 0 /f
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v Start /t REG_DWORD /d 4 /f
$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t REG_DWORD /d 2 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v NoWarningNoElevationOnInstall /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v NoWarningNoElevationOnUpdate /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v FullSecureChannelProtection /t REG_DWORD /d 1 /f
Deve-se observar que os seguintes eventos do sistema estão relacionados a isso e devem ser revisados:
- IDs de evento 5827 e 5828 no log de eventos do sistema, se as conexões ZeroLogon forem negadas.
- IDs de evento 5830 e 5831 no log de eventos do sistema, se as conexões ZeroLogon forem permitidas pela política de grupo “Controlador de domínio: permitir conexões de canal seguro Netlogon vulneráveis”.
- ID de evento 5829 no log de eventos do sistema, se a conexão de canal seguro Netlogon vulnerável ZeroLogon for permitida.
Nota: Isso tornará qualquer aplicativo que utilize mshtml.dll para renderizar conteúdo HTML incapaz de fazê-lo (incluindo mshta.exe - yay). Neste estágio, o mecanismo MSHTML (Trident) não deve ser aproveitado por muitos aplicativos e a Microsoft recomenda que o desenvolvimento futuro de aplicativos não use o mecanismo MSHTML (Trident) . Alguns exemplos de como usá-lo incluem arquivos .chm e software mencionados aqui
- Execute cmd.exe como administrador.takeown /F mshtml.dll icacls mshtml.dll /grant administradores:F move mshtml.dll mshtml2.dll cd ../SysWOW64 takeown /F mshtml.dll icacls mshtml.dll /grant administradores:F move mshtml.dll mshtml2.dll
net stop server
Observação: isso pode interromper algumas comunicações do aplicativo e funcionalidades administrativas. Também pode ser temporário, pois sabe-se que o Windows os recria. Sempre teste.
- C$ = Compartilhamento padrão na unidade 'C' do sistema.
- IPC$ = Compartilhamento de comunicação entre processos padrão (usado por pipes nomeados)
- ADMIN$ = Compartilhamento padrão para administração remota (usado pelo PsExec)participação líquida C$ /excluir participação líquida IPC$ /excluir participação líquida ADMIN$ /excluir
Desabilitar o acesso anônimo a pipes nomeados
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v "RestrictNullSessAccess" /t "REG_DWORD" /d 1 /f
Notas sobre pipes nomeados:
- Pipes nomeados são usados para comunicação entre processos, incluindo um processo de um sistema remoto.
- Um pipe nomeado pode ser criado por qualquer pessoa.
- Ao ativar 'RestrictNullSessAccess' você impede que logons de rede anônimos acessem pipes nomeados em seu sistema.
- Se um processo tiver o privilégio 'SeImpersonatePrivilege' (ou equivalente) atribuído e criar um pipe nomeado, ele poderá representar o contexto do usuário de qualquer pessoa que se conecte ao seu pipe nomeado se ele atuar como o servidor de pipe nomeado.
- Qualquer serviço executado por meio do Service Control Manager (SCM) ou Component Object Model (COM) especificado para execução em uma determinada conta terá automaticamente privilégios de representação.
- Ao criar um processo filho usando 'CreateProcessWithToken', o serviço de logon secundário 'seclogon' precisa estar em execução, caso contrário, falhará.
Desabilitar objetos OLE em
Set-ItemProperty HKCU:\Software\Microsoft\Office\*\*\Security -Name PackagerPrompt -Type DWORD -Value 2
Set-ItemProperty REGISTRY::HKU\*\Software\Microsoft\Office\*\*\Security -Name PackagerPrompt -Type DWORD -Value 2
- janelas
- BTFM: Proteção do Windows - pág. 22
- Manual do Operador: Windows_Defend - pág. 334
- Aplicar modo de pesquisa segura de DLL - PTFM - pág. 28
- Desativar Executar Uma Vez - PTFM - pág. 28
- Habilitar o WIndows Credential Guard - PTFM - pág.44
- Manual do Operador: Mimikatz_Defend - pág. 206
- Operações cibernéticas: defendendo o domínio do Windows - pág. 567
- Linux
- BTFM: Proteção do Linux - pág. 34
- Manual do Operador: Linux_Defend - pág. 123
Comentários
Postar um comentário