DOE AGORA Qualquer valor

Comandos de proteção do Windows

Comandos do Windows

Sistema Harden de Movimento Lateral/privesc

Nota: Estes podem interromper inadvertidamente a comunicação dos dispositivos e devem ser testados. Também pode exigir uma reinicialização.

Desative a interação remota com serviços

reg add "HKLM\SYSTEM\CurrentControlSet\Control" /v DisableRemoteScmEndpoints /t REG_DWORD /d 1 /f

Desative a interação remota com tarefas agendadas

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /v DisableRpcOverTcp /t REG_DWORD /d 1 /f

Desabilitar acesso RDP

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 1 /f

Desativar DCOM

reg add "HKLM\SOFTWARE\Microsoft\Ole" /v EnableDCOM /t REG_SZ /d N /f

Desativar compartilhamentos administrativos

reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "AutoShareWks" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" /v "AutoShareServer" /t REG_DWORD /d 0 /f

Desativar serviço de spooler de impressora (PrintNightmare RCE e mitigação LPE)

Nota: Fluxograma gentilmente cedido por Benjamin Delpy
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Spooler" /v Start /t REG_DWORD /d 4 /f

Impedir que o SYSTEM grave uma nova DLL de impressão (PrintNightmare RCE & LPE Mitigation)

Agradecimentos especiais a truesec
$Path = "C:\Windows\System32\spool\drivers"
$Acl = (Get-Item $Path).GetAccessControl('Access')
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("System", "Modify", "ContainerInherit, ObjectInherit", "None", "Deny")
$Acl.AddAccessRule($Ar)
Set-Acl $Path $Acl

Desativar impressão remota (mitigação PrintNightmare RCE)

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers" /v RegisterSpoolerRemoteRpcEndPoint /t REG_DWORD /d 2 /f

Habilitar aviso em PointAndPrint e UAC (mitigação PrintNightmare LPE)

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v NoWarningNoElevationOnInstall /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint" /v NoWarningNoElevationOnUpdate /t REG_DWORD /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /v EnableLUA /t REG_DWORD /d 1 /f

Negar conexões Netlogon vulneráveis ​​(Prevent ZeroLogon CVE-2020-1472)

Observação: isso deve ser executado em um DC ou em uma política relevante aplicada. Requer a atualização de 11 de agosto de 2020. Conselhos completos sobre mitigação podem ser encontrados aqui
reg add "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v FullSecureChannelProtection /t REG_DWORD /d 1 /f
Deve-se observar que os seguintes eventos do sistema estão relacionados a isso e devem ser revisados:
  • IDs de evento 5827 e 5828 no log de eventos do sistema, se as conexões ZeroLogon forem negadas.
  • IDs de evento 5830 e 5831 no log de eventos do sistema, se as conexões ZeroLogon forem permitidas pela política de grupo “Controlador de domínio: permitir conexões de canal seguro Netlogon vulneráveis”.
  • ID de evento 5829 no log de eventos do sistema, se a conexão de canal seguro Netlogon vulnerável ZeroLogon for permitida.

Renomear mshtml.dll (Mitigação CVE-2021-40444)

Nota: Isso tornará qualquer aplicativo que utilize mshtml.dll para renderizar conteúdo HTML incapaz de fazê-lo (incluindo mshta.exe - yay). Neste estágio, o mecanismo MSHTML (Trident) não deve ser aproveitado por muitos aplicativos e a Microsoft recomenda que o desenvolvimento futuro de aplicativos não use o mecanismo MSHTML (Trident) . Alguns exemplos de como usá-lo incluem arquivos .chm e software mencionados aqui
  • Execute cmd.exe como administrador.
    takeown /F mshtml.dll icacls mshtml.dll /grant administradores:F move mshtml.dll mshtml2.dll cd ../SysWOW64 takeown /F mshtml.dll icacls mshtml.dll /grant administradores:F move mshtml.dll mshtml2.dll

Pare o servidor responsável pelas chamadas de comunicação entre processos

net stop server

Excluir compartilhamentos administrativos

Observação: isso pode interromper algumas comunicações do aplicativo e funcionalidades administrativas. Também pode ser temporário, pois sabe-se que o Windows os recria. Sempre teste.
  • C$ = Compartilhamento padrão na unidade 'C' do sistema.
  • IPC$ = Compartilhamento de comunicação entre processos padrão (usado por pipes nomeados)
  • ADMIN$ = Compartilhamento padrão para administração remota (usado pelo PsExec)
    participação líquida C$ /excluir participação líquida IPC$ /excluir participação líquida ADMIN$ /excluir
Desabilitar o acesso anônimo a pipes nomeados
reg add "HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" /v "RestrictNullSessAccess" /t "REG_DWORD" /d 1 /f
Notas sobre pipes nomeados:
  • Pipes nomeados são usados ​​para comunicação entre processos, incluindo um processo de um sistema remoto.
  • Um pipe nomeado pode ser criado por qualquer pessoa.
  • Ao ativar 'RestrictNullSessAccess' você impede que logons de rede anônimos acessem pipes nomeados em seu sistema.
  • Se um processo tiver o privilégio 'SeImpersonatePrivilege' (ou equivalente) atribuído e criar um pipe nomeado, ele poderá representar o contexto do usuário de qualquer pessoa que se conecte ao seu pipe nomeado se ele atuar como o servidor de pipe nomeado.
    • O cliente de uma conexão de pipe nomeado, RPC ou DDE pode controlar o nível de representação que o servidor do pipe nomeado pode representar, ref: Microsoft
      • Isso não se aplica se a conexão for remota; nesse caso, as permissões são definidas pelo servidor.
  • Qualquer serviço executado por meio do Service Control Manager (SCM) ou Component Object Model (COM) especificado para execução em uma determinada conta terá automaticamente privilégios de representação.
  • Ao criar um processo filho usando 'CreateProcessWithToken', o serviço de logon secundário 'seclogon' precisa estar em execução, caso contrário, falhará.
Desabilitar objetos OLE em
Set-ItemProperty HKCU:\Software\Microsoft\Office\*\*\Security -Name PackagerPrompt -Type DWORD -Value 2
Set-ItemProperty REGISTRY::HKU\*\Software\Microsoft\Office\*\*\Security -Name PackagerPrompt -Type DWORD -Value 2
  • janelas
    • BTFM: Proteção do Windows - pág. 22
    • Manual do Operador: Windows_Defend - pág. 334
    • Aplicar modo de pesquisa segura de DLL - PTFM - pág. 28
    • Desativar Executar Uma Vez - PTFM - pág. 28
    • Habilitar o WIndows Credential Guard - PTFM - pág.44
    • Manual do Operador: Mimikatz_Defend - pág. 206
    • Operações cibernéticas: defendendo o domínio do Windows - pág. 567
  • Linux
    • BTFM: Proteção do Linux - pág. 34
    • Manual do Operador: Linux_Defend - pág. 123
  • Guias diversos
    • Repositório de guias de Hardening - https://github.com/ernw/hardening
    • Manual do Operador: MacOS_Defend - pág. 162

Comentários

Ebook

Postagens mais visitadas