Форсируем native-опции безопасности для десктопных и серверных систем Windows

Intro

Дано на нашем w2hack канале не было статей посвященных настройке безопасности ОС, в частности Windows, и использования заложенных в ней штатных механизмов защиты. Поэтому сегодня в материале пойдет речь о форсировании (т.е. включении) native или как еще можно сказать "родных" фич безопасности поставляемых Microsoft "из коробки". Они обеспечивают базовый уровень безопасности, как отдельного десктопа так и при помощи групповых политик - компьютеров домена и серверной фермы.

Это самый минимум, что можно (и должен) сделать каждый порядочный админ в своем ИТ-хозяйстве. Предполагаемые настройки довольно просты, отнимают минимум времени, не требуют каких-либо доустановок ПО или компонентов ОС, а так же не прибегают к использованию сторонних технологий. Ну, а в в связке с другими корпоративными СЗИ это значительно повысит уровень защищенности и как минимум защитит от шаловливых script kiddie

1. Защита от извлечения паролей из памяти

Ниже мы рассмотрим основные методики защиты десктопных и срверных версий Windows систем в домене Active Directory от атак посредством Mimikatz–like инструментов.

Для тех, кто не помнит, утилита Mimikatz с помощью модуля sekurlsa позволяет извлечь пароли и хэши авторизованных пользователей, хранящиеся в памяти системного процесса LSASS.EXE (Local Security Subsystem Service ).

1.1 Предотвращение использования режима debug

По умолчанию, права на использование режима debug предоставляются локальной группе администраторов (BUILTIN\Administrators). Хотя в 99% случаях эта привилегия абсолютно не используется администраторами, соответственно, в целях безопасности возможность использования привелегии SeDebugPrivilege лучше отключить. Делается это через групповую политику (локальную или доменную). Перейдите в раздел Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment и включите политику Debug Program. В нее нужно добавить доменную группу пользователей, которым могут понадобится права debug (как правило, разработчики), либо оставить эту группу пустой, чтобы данного права не было не у кого.

Теперь, если попробовать получить debug через всем известную утилиту mimikatz появится вот такая  ̶н̶е̶ ̶е̶б̶и̶ч̶е̶с̶к̶а̶я̶ ошибка:

1.2 Отключение дайджест-аутентификации WDigest

Протокол WDigest появился еще в старушке Windows XP и использовался для выполнения HTTP дайджест-аутентификации (HTTP Digest Authentication), особенностью которой являлось использование пароля пользователя в открытом виде. В современных ОС Windows 8.1 and Server 2012 R2 добавилась возможность полного запрета хранения паролей в открытом виде в LSASS.

Для запрета хранения WDigest в памяти, в этих ОС в ветке реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest уже имеется DWORD32 параметр с именем UseLogonCredential и значением 0.

Если же нужно полностью отключить метод аутентификации WDigest, в этой же ветке (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest) установите значение ключа Negotiate в 0.

Для поддержки этой возможности в Windows 7, 8 и Windows Server 2008 R2 / 2012 необходимо установить специальное обновление — KB2871997, а потом выставить эти же ключи реестра.

1.3 Защита LSA от подгрузки сторонних модулей

В Windows 8.1 и Windows Server 2012 R2 появилась возможность включения защиты LSA, обеспечивающей защиту памяти LSA и предотвращаю возможность подключения к ней из незащищённых процессов. Для включения этой защиты, необходимо в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA создать параметр RunAsPPL со значением 1.

После применения этого параметра атакующий не сможет получить доступ к памяти LSA, а mimikatz на команду securlsa::logonpassword, выдаст ошибку

ERROR kuhl_m_securlsa_acquireLSA : Handle on memory (0x00000005).

1.4 Отключение устаревших протоколов LM и NTLM

Устаревший протокол LM аутентификации и, соответственно, хранение LM хэшей нужно обязательно отключить с помощью групповой политики Network Security: Do Not Store LAN Manager Hash Value On Next Password Change (на уровне Default Domain Policy).

Далее нужно отказаться от использования как минимум протокола NTLMv1 (политика в разделе Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Local Policies -> Security Options —  Network Security: Restrict NTLM: NTLM authentication in this domain), а как максимум и NTLMv2

И если отказ от NTLMv1 как правило проходит безболезненно, то при отказе от NTLMv2 придется потрудиться. В больших инфраструктурах, как правило, приходят к сценарию максимального ограничения использования NTLMv2. Т.е. везде, где возможно должна использоваться Kerberos аутентификация, а на оставшихся системах — NTLMv2.

1.5 Запрет использования обратимого шифрования

Следует явно запретить хранить пароли пользователей в AD в текстовом виде. Для этого следует включить доменную политику Store password using reversible encryption for all users in the domain в разделе Computer Configuration -> Windows Settings ->Security Settings -> Account Policies -> Password Policy, выставив ее значание на Disabled.

1.6 Форсирование Protected Users

При использовании функционального уровня домена Windows Server 2012 R2, для защиты привилегированных пользователей возможно использовать специальную защищенную группу Protected Users. В частности, защита этих учеток от компрометации выполняется за счет того, что члены этой группы могут авторизоваться только через Kerberos (никаких NTLM, WDigest и CredSSP) и т.д. (подробности по ссылке выше). Желательно добавить в эту группу учетные записи администраторов домена, серверов и пр. Этот функционал работает на серверах будет работать на Windows Server 2012 R2 (для Windows Server 2008 R2 нужно ставить упомянутое выше дополнительное обновление KB2871997)

1.7 Запрет использования сохранённых паролей

Можно запретить пользователям домена сохранять свои пароли для доступа к сетевым ресурсам в Credential Manager.

Для этого включите политику Network access: Do not allow storage of passwords and credentials for network authentication  в разделе Computer Configuration -> Windows Settings ->Security Settings ->Local Policies ->Security Options.

2. Защита административных учеток

Использование ниже приведенных рекомендаций значительно повысит защиту компьютеров домена Active Directory от атак, аналогичных летнему инциденту с шифровальщиком Petya, одной из техник распространения которого между компьютерами домена (помимо уязвимости в SMBv1) был удаленный доступ с помощью полученных из памяти учетных данных администраторов (с помощью утилиты аналогичной Mimikatz).

Основное правило, которым следует пользоваться – максимальное ограничение административных привилегий, как для пользователей, так и администраторов. Нужно стремится к тому, что предоставлять пользователям и группам поддержки только те права, которые необходимы для выполнения повседневных задач.

Базовый список правил:

• Учетные записи администраторов домена/организации должны использоваться только для управления доменом и контроллерами домена. Нельзя использовать эти учетные записи для доступа и управления рабочими станциями.
• Для учетных записей администраторов домена желательно использовать двухфакторную аутентификацию
• На своих рабочих станциях администраторы должны работать под учетными записями с правами обычного пользователя
• Для защиты привилегированных учетных записей (администраторы домена, Exchange, серверов) нужно рассмотреть возможность использования группы защищенных пользователей (Protected Users)
• Нельзя запускать сервисы под учетными записями администраторов (а тем более администратора домена), желательно использовать выделенные учетные записи или Managed Service Accounts .
• Запрет работы пользователей под правами локального администратора

Естественно, нужно политиками обеспечить достаточную длину и сложность пароля как для пользователей, так и для администраторов и условия блокировки. Я говорю о политиках раздела Computer Configuration -> Windows Settings -> Security Settings -> Account Policies 

• Password Policy
• Account Lockout Policy

Касательно встроенной учетной записи на компьютерах пользователей. Нельзя использовать одинаковые пароли локального администратора на всех ПК. Желательно вообще отключить (или хотя бы переименовать) локальную учетку administrator. Для регулярной смены пароля этой учетной записи на уникальный на каждом компьютере в сети можно использовать LAPS.

Доступ по сети с помощью локальных учетных записей и удаленных вход по RDP нужно запретить групповыми политиками . Данные политики находятся в разделе Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> User Rights Assignment.

• Deny access to this computer from the network – Отказать в доступе к этому компьютеру из сети
• Deny log on through Remote Desktop Services – Запретить вход в систему через службы удаленных рабочих столов
• Deny log on as a batch job – Отказать во входе в качестве пакетного задания
• Deny log on as a service — Отказать во входе в качестве службы

3. Защита RDP-сеансов

Настраиваем защиту удаленного рабочего стола

3.1 Смена стандартного порта Remote Desktop Protocol

Начнем со стандартной меры — смены стандартного порта Windows 2016 RDP, что позволит предотвратить атаку всем известных портов (well-known ports).

Настройку порта можно осуществить с помощью реестра —

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber.

После этого запустите Брандмауэр Windows и на боковой панели слева выберите Дополнительные параметры. Далее — Правила для входящих соединений и нажмите кнопку Создать правило (на панели справа)

В появившемся окне выберите Для порта и нажмите кнопку Далее. Затем выберите Определенные локальные порты и введите порт, указанный при редактировании реестра. В следующем окне мастера нужно выбрать Разрешить подключение.

Собственно, на этом настройка безопасности RDP завершена. Отключитесь от сервера и установите новое соединение. Не забудьте в настройках RDP-клиента Windows Server 2016 указать новый порт: IP-адрес_сервера: порт.

3.2 Блокируем учетные записи с пустым паролем

Усилить RDP безопасность можно, запретив windows server подключаться учетным записям с пустым паролем. Для этого нужно включить политику безопасности «Учетные записи: разрешить использование пустых паролей только при консольном входе»:

1. Откройте локальную политику безопасности (нажмите Win + R и введите команду secpol.msc)
2. Перейдите в раздел Локальные политики, Параметры безопасности
3. Дважды щелкните на нужной нам политике и убедитесь, что для нее задано значение Включен.

3.3 Настраиваем политику блокировки

Основная проблема в том, что по умолчанию Windows-server (даже 2016!) не защищен от брутфорса, поэтому безопасность RDP в Windows 2016 пребывает не на очень высоком уровне. При наличии какого-либо сервиса, в частности, FTP, вас могут брутфорсить, пока не получат доступ к системе, перебирая огромное множество логинов и паролей. Именно поэтому необходима настройка временной блокировки пользователя после нескольких неудачных попыток.

Необходимый набор правил и настроек называется Политика блокировки учетной записи (Account Lockout Policy). Пока вы еще не закрыли окно Локальная политика безопасности, перейдите в раздел Политики учетных записей, Политика блокировки учетной записи. Установите Пороговое значение блокировки — 5 (максимум 5 неудачных попыток входа), Продолжительность блокировки учетной записи — 30 (на 30 минут учетная запись будет заблокирована после 5 неудачных попыток входа).

3.4 Используем протокол SSL/TLS для защиты RDP

Если соединение с RDP-сервером реализовывается не через VPN, для обеспечения защиты подключений рекомендуется активировать SSL/TLS-туннелирование соединения.

Опцию RDP через TLS можно активировать через набор правил и настроек защиты сервера удаленных рабочих столов. Введите команду gpedit.msc и перейдите в раздел Конфигурация компьютера, Административные шаблоны, Компоненты Windows, Службы удаленных рабочих столов, Узел сеансов удаленных рабочих столов, Безопасность. Откройте политику Требовать использования специального уровня безопасности для удаленных подключений по протоколу RDP. Выберите значение Включено и выберите уровень безопасности SSL.

Этой настройкой мы включили шифрование как таковое. Теперь нам нужно сделать так, чтобы применялись только стойкие алгоритмы шифрования, а не какой-нибудь DES 56-bit или RC2.

Поэтому в этой же ветке открываем параметр «Установить уровень шифрования для клиентских подключений». Включаем и выбираем «Высокий» уровень. Это нам даст 128-битное шифрование.

Но и это еще не предел. Самый максимальный уровень шифрования обеспечивается стандартом FIPS 140-1. При этом все RC2/RC4 автоматически идут лесом.

Чтобы включить использование FIPS 140-1, нужно в этой же оснастке пойти в Конфигурация компьютера — Конфигурация Windows — Параметры безопасности — Локальные политики — Параметры безопасности.

Ищем параметр «Системная криптография: использовать FIPS-совместимые алгоритмы для шифрования, хэширования и подписывания» и включаем его.

И в завершении в обязательном порядке включаем параметр «Требовать безопасное RPC-подключение» по пути Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Безопасность.

Этот параметр требует от подключающихся клиентов обязательное шифрование согласно тем установкам, которые мы настроили выше.

Теперь с шифрованием полный порядок, можно двигаться дальше.

4. Дополнительные твики реестра для усиления безопасности

Под катом будут перечислены ключи реестра, установка указанных параметров которых рекомендуется установить в защищаемых системах. Эти ключи также можно установить через групповые политики. Параметры ключей описаны в формате "x,y", где x - тип параметра (например, x=4 - параметр DWORD), а y - рекомендуемое значение параметра.

Исключение нулевой сессии

 Для исключения нулевой сессии создается в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\LanManServer\Parameters параметр RestrictNullSessAccess со значением равным «4,1»

Исключение замены системных модулей DLL модулями DLL приложений

Для исключения замены системных модулей DLL одноименными модулями DLL приложений (изменения порядка поиска модулей DLL) создается в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager параметр SafeDllSearchMode со значением равным «4,1»

Выдача сообщения при заполнении журнала безопасности

Для информирования пользователя о заполнении журнала безопасности на 90% создается в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security\ Eventlog параметр WarningLevel со значением равным «4,90»

Запрет отключения системы при переполнении журнала безопасности

Для запрета отключения системы при переполнении журнала безопасности устанавливается для параметра «CrashOnAuditFile» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Принудительная очистка памяти при выключении компьютера

Для принудительной очистки памяти при выключении компьютера устанавливается для параметра «ClearPageFileAtShutdown» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Разрешение передачи только хэшированных паролей

Для передачи хэшированных паролей (запрета посылки незашифрованного пароля сторонним SMB-серверам) устанавливается для параметра «EnablePlainTextPassword» значение «4,0» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation \Parameters

Запрет образования административных сетевых ресурсов

Запрет образования административных сетевых ресурсов для сервера LanmanServer обеспечивается наличием по умолчанию параметра «AutoShareServer» (для сервера) и «AutoShareWks» (для рабочей станции) со значением «4,0» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters 

Запрет запуска файлов типа AUTORUN

Запрет запуска файлов типа AUTORUN обеспечивается установкой параметру «NoDriveTypeAutorun» значения «255» в ключе реестра HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Polices\Explorer 

Защита от сетевых атак протокола TCP/IP

Для защиты от сетевых атак протокола TCP/IP добавляются параметры, с установкой их значения и изменения значения существующих параметров в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

• «EnableICMPRedirect» - значение «4,0»
• «EnableSecurityFilters» - значение «4,1»
• «KeepAliveTime» - значение «4,30000»
• «SynAttackProtect» - значение «4,2»
• «TcpMaxConnectResponseRetransmiissions» - значение «4,2»
• «TcpMaxConnectRetransmiissions» - значение «4,3»
• «TcpMaxDataRetransmiissions» - значение «4,3»
• «TcpMaxPortsExhausted» - значение «4,3»
• «DisableIPSourceRouting» - значение «4,2»

Примечание:

1. Для защиты от атак протокола IPv6 параметру «TcpMaxConnectRetransmiissions» устанавливается значение «4,3», а параметру «DisableIPSourceRouting» значение «4,2» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters
2. Для защиты от атаки изменения маршрута отключается ICMP Router Discovery Protocol посредством установки параметру «PerformRouterDiscovery» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Выключение маршрутизации TCP/IP от источника выполняется посредством установки параметру «DisableIPSourceRouting» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Ограничение доступа к журналам событий

Ограничение доступа к журналам событий обеспечивается наличием по умолчанию параметра «RestrictGuestAccess» со значением «4,1» в ключах реестра, указанных ниже:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application 
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System 
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

Настройки контроля учетных записей User Account Control (UAC)

Контроль учетных записей пользователей обеспечивается установкой в разделе реестра HKEY_LOCAL_MACHINE \Software\Microsoft\Windows\CurrentVersion\Policies\System\ соответствующих параметров для следующих ключей реестра:

• «PromptOnSecureDesktop» - Разрешение (запрет) переключения на безопасный рабочий стол при выполнении запроса на повышение прав - «4,1» («4,0»)
• «ConsentPromptBehaviorAdmin» - Включить (выключить) реагирование на повышение прав администраторов - «4,0» («4,5»)
• «ValidateAdminCodeSignatures» - Отключение повышения прав только для подписанных и проверенных исполняемых файлов - «4,0» 
• «EnableLUA» - Выключение контроля пользователей - «4,0»
• «EnableInstallerDetection» - Выключение (включение) обнаружения установки приложений и запросов на повышение прав - «4,0» («4,1»)
• «FilterAdministratorToken» - Включение (выключение) режима подтверждения администратором использования встроенной учетной записи администратора «4,1» («4,0»)
• «ConsentPromptBehaviorUser» - Выключение (включение) контроля на запрос повышения прав для пользователей - «4,0» («4,3»)
• «EnableSecureUIAPaths» - Выключение (включение) повышения прав для UIAccess-приложений только при установке в безопасных АРМ - «4,0» («4,1») 
• «EnableVirtualization» - Разрешение (запрет) виртуализации на рабочем месте пользователя при сбоях записи в файл или реестр «4,1» («4,0») 
• «EnableUIADesktopToggle» - Запрет UIAccess-приложениям запрашивать повышение прав, не используя безопасный рабочий стол - «4,0»
• «ShutdownWithoutLogon» - Запрет завершения работы системы без выполнения входа в систему «4,0»

Запрет локальным пользователям использования нулевых сеансов

Запрет локальным пользователям использования нулевых сеансов обеспечивается установкой параметру «allownullsessionfallback» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\Lsa\MSV1_0

Запрет хранения хэш-значения LAN Manager до следующей смены пароля

Запрет хранения хэш-значения LAN Manager до следующей смены пароля обеспечивается установкой параметру «NoLMHash» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Control\Lsa

Запрет анонимного доступа к общим ресурсам

Запрет анонимного доступа к общим ресурсам обеспечивается установкой параметру «NullSessionShares» значения «7,0» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Services\LanManServer\Parameters

Запрет применения разрешений «Для всех» к анонимным пользователям 

Запрет применения разрешений «Для всех» к анонимным пользователям обеспечивается установкой параметру «EveryoneIncludesAnonymous» значения «4,0» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Control\Lsa

Запрет просмотра учетных записей SAM анонимными пользователями

Запрет просмотра учетных записей SAM анонимными пользователями обеспечивается установкой параметру «RestrictAnonymousSAM» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\ Control\Lsa

Отключение автоматического входа в систему под учетной записью администратора

Отключение автоматического входа в систему под учетной записью администратора обеспечивается установкой параметру «AutoAdminLogon» значения «1,0» в ключе реестра HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Установка режима усиления защиты на сервере SMB

Установка режима усиления защиты на сервере SMB обеспечивается назначением параметру «SMBServerNameHardeningLevel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\LanManServer\Parameters

Отключение клиентов по истечении разрешенного времени входа

Отключение клиентов по истечении разрешенного времени входа обеспечивается установкой параметру «enableforcedlogoff» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\LanManServer\Parameters

Использование цифровой подписи для клиента

 Использование цифровой подписи (с согласия клиента или всегда ) обеспечивается установкой параметру «enablesecuritysignature» значения «4,1» (с согласия клиента) или параметру «requiresecuritysignature» значения «4,1» (всегда) в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\LanManServer\Parameters

Использование цифровой подписи для сервера

Использование цифровой подписи (с согласия сервера или всегда ) обеспечивается установкой параметру «EnableSecuritySignature» значения «4,1» (с согласия сервера) или параметру «RequireSecuritySignature» значения «4,1» (всегда) в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\LanmanWorkstation\Parameters

Требование стойкого ключа сеанса

Требование стойкого ключа сеанса обеспечивается установкой параметру «requirestrongkey» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters

Цифровая подпись данных безопасного канала

Цифровая подпись данных безопасного канала (при необходимости) обеспечивается назначением параметру «signsecurechannel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Netlogon\Parameters

Шифрование данных безопасного канала

Шифрование данных безопасного канала (при необходимости) обеспечивается назначением параметру «sealsecurechannel» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Netlogon\Parameters

Требование цифровой подписи или шифрования данных безопасного канала

Цифровая подпись или шифрование данных безопасного канала обеспечивается назначением параметру «requiresignorseal» значения «4,1» в ключе реестра HKEY_LOCAL_MACHINE\ System\CurrentControlSet\Services\Netlogon\Parameters

Требование цифровой подписи для LDAP-сервера

Требование цифровой подписи для LDAP-сервера обеспечивается назначением параметру «LDAPServerIntegrity» значения «4,2» в ключе реестра HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\ NTDS\Parameters

На это наш сегодняшний гайд по настройке встроенных фич безопасности Window подошел к завершению. Всем спасибо! И хорошего настроения!:)

Следи за новостями на нашем w2hack канале!