Tips til hardning af Active Directory
Dit Active Directory er både din akilleshæl og din kronjuvel på samme tid. Derfor er det vigtigt at værne og sikre det mod forsøg på angreb.
Stort set alle vellykkede ransomware angreb, som har været gennemført over de seneste 3 år, er sket via lateral bevægelse fra enten et kompromitteret endpoint eller en appliance og med efterfølgende angreb mod AD (Active Directory).
Med adgang til AD er der fuld kontrol med et windows miljø og det gør det nemt for TA (trusselsaktører) at udrulle ransomware efter at de har overskrevet og ødelagt klassiske former for restore af data fra backup. Det er også med afsæt i det at it-kriminelle eksfiltrerer data som så kan misbruges til afpresning.
Jerry Devore fra Microsoft har over 4 episoder frigivet anvisninger på hvordan man kan hardne/sikre sit AD mod de mest almindelige angreb som kan give en TA adgang til kronjuvelerne.
Det omfatter bl.a. deaktivering af NTLMv1, SMBv1 samt håndhævelse af LADP signering samt at tiltvinge AES til Kerberos.
De fire artikler er samlet herunder og kan være et glimrende afsæt for at sikre sit AD og samtidig give en grundlæggende forståelse for populære angrebvektorer:
Active Directory Hardening Series - Part 1 – Disabling NTLMv1
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-1-disabling-ntlmv1/ba-p/3934787
Active Directory Hardening Series - Part 2 – Removing SMBv1
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-2-removing-smbv1/ba-p/3988317
Active Directory Hardening Series - Part 3 – Enforcing LDAP Signing
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-3-enforcing-ldap-signing/ba-p/4066233
Active Directory Hardening Series - Part 4 – Enforcing AES for Kerberos
https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/active-directory-hardening-series-part-4-enforcing-aes-for/ba-p/4114965
Generelt nyttige værktøjer
Der findes derudover en række gode værktøjer som kan anvendes til både red teaming og hardning. Det omfatter bl.a. følgende:
PingCastle
https://github.com/Pingcastle/PingCastle
Purple Knight
https://www.semperis.com/ad-security-vulnerability-assessment/
Bloodhound
https://github.com/BloodHoundAD/BloodHound
Adalanche
https://github.com/lkarlslund/adalanche
ADACLScanner
https://github.com/canix1/ADACLScanner
HardeningKitty
https://github.com/davidprowe/HardeningKitty
Raccine
https://github.com/BC-SECURITY/Raccine
Yderligere links:
Active Directory Methodology
https://book.hacktricks.xyz/windows-hardening/active-directory-methodology
Top 25 Active Directory Security Best Practices
https://activedirectorypro.com/active-directory-security-best-practices/
Jeg håber dette kan tjene som inspiration. God arbejdslyst!