Disse tiltakene innebærer implementering av større sikkerhetsmekanismer eller rutiner som vil kreve mere arbeid enn basistiltakene.
Passord Policy
Det er helt normalt at det ved en Pentest blir avdekket passord. Vi anbefaler følgende for å løse denne problemstillingen.
Endre passordpolicy
Passord policyen må sikre at alle nye passord oppfyller anbefalte krav:
Minimum14 tegn, fjerne kompleksitetskrav, ikke utløpsdato
NHN Passordanbefalinger: https://www.nhn.no/tjenester/helsecert/anbefalte-sikkerhetstiltak/autentisering
Aktiver "Password Protection for Windows Server Active Directory" i Entra ID.
Alle passord vil da sjekkes av Entra ID om de er gode. Entra ID sjekker veldig mange ting som f.eks om brukernavnet er del av passord, om passordet er et typisk passord som mange bruker, om passordet allerede er kjent i Brute Force angrep, osv
Viktig å starte med Audit-modus slik at man får verifisert at sjekken fungerer som forventet.
Beskrivelse av Entra ID Password Protection: https://learn.microsoft.com/en-us/entra/identity/authentication/concept-password-ban-bad
OnPrem Password Protection Microsoft doc: https://learn.microsoft.com/en-us/entra/identity/authentication/howto-password-ban-bad-on-premises-deploy
Bytt ALLE passord på absolutt alle kontoer
Når Passordpolicy og Protection er på plass, så må man skifte alle passordene på alle brukerne. Det er først når passordene byttes at den nye policyen og Entra ID sjekken aktiveres.
Det er som regel veldig greit å bytte passord på alle normale brukere, mens det vanligvis er mye arbeid å bytte passord på alle servicekontoer og systembrukere. Man bør benytte muligheten til å dokumentere alle spesielle kontoer mens man bytter passord på dem, slik at man har bedre kontroll til senere.
Deaktiver kontoer som ikke er i bruk
Kontoer som ikke har logget inn på lenge må deaktiveres. Dette gjelder spesielt kontoer som aldri har vært logget inn før, da disse ikke har fått aktivert MFA og kun beskyttes av passord.
SPN
SPN (Service Principal Name) er en unik identifikasjon på en service som benyttes av autentiseringstjenesten Kerberos.
SPN skal kun benyttes på kontoer med reelt behov for SPN og slike kontoer skal ikke ha noen administrative rettigheter. Hackerverktøy vil alltid hente ut alle kontoer med SPN og forsøke å knekke passordet på disse, siden kontoer med SPN ofte har administrative rettigheter i tillegg.
Start med å liste ut alle SPN kontoer med PowerShell:Get-ADUser -Filter 'ServicePrincipalName -like "*"' -Properties ServicePrincipalName | Select-Object name, samaccountname, ServicePrincipalName
Gå igjennom alle kontoene og sjekk om SPN er i bruk. Normalt slettes ikke SPN når en tjeneste avvikles, så det er helt normalt at det finnes kontoer med SPN hvor applikasjonen som krevde SPN ikke lengre er i bruk. Kontoer som ikke er i bruk bør enten slettes helt, eller at SPN slettes fra kontoen i tillegg til at kontoen deaktiveres.
Gå så igjennom resterende kontoer etter ryddingen over, og sjekk om noen kontoer med SPN har noen administrative rettigheter. Slike rettigheter bør absolutt fjernes, men det må selvfølgelig avveies om dette kan gi problemer med tjenesten kontoen tilhører. Dersom hverken SPN eller administrative rettigheter kan fjernes bør man starte et arbeid med å få endret hvordan denne tjenesten er satt opp.
Internet artikkel: https://www.semperis.com/blog/how-to-defend-against-spn-scanning/
LAPS
Windows LAPS
Windows LAPS (Local Administrator Password Solution) er en tjeneste som automatisk skifter passord på Builtin Local Administrator kontoen på alle servere og klienter. Windows LAPS kom i 11 april 2023 og erstatter den tidligere løsningen som nå heter "Legacy Microsoft LAPS".
Windows LAPS er innebygd i operativsystemet og konfigureres normalt i Intune, mens Microsoft LAPS måtte installeres på alle klienter og ble konfigurert med GPO.
Windows LAPS krever at alle DCer er på minst Windows Server 2019, og klientene må minst være Windows 10 oppdatert til 11 April 2023 .
Teknisk beskrivelse av LAPS konfigurering
Utvid skjema med:
Update-LapsADSchema
Gi Computers rettighet til å oppdatere passordet sitt i AD:
Set-LapsADComputerSelfPermission -Identity "OU=YourComputerContainer,DC=yourdomain,DC=no"
Nedenfor beskrives to måter å konfigurere LAPS på, avhengig av om dere benytter kun AD, eller om dere benytter Intune.
Konfigurerering av LAPS hvis du ikke har Intune og klientene ligger i on-prem AD:
Åpne Group Policy Management Tool og enten lag en ny policy eller bruk en eksisterende. Åpne følgende setting:
Computer Configuration > Policies > Administrative Templates > System > LAPS
Hvis du ikke finner LAPS under System, kopier ADMX filene fra
C:\Windows\PolicyDefinitions
til central store
:\\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions
Sett Scope til gruppen med enheter som skal ha Windows LAPS (test gjerne med en liten gruppe først)
Vår anbefalte LAPS konfigurasjon for AD:
Configure password backup directory = Active DirectoryPassword Settings = EnableName of administrator account to manage = [Blank verdi for Administrator, men oppdater hvis dere har endret navn på lokal administrator]
Vurder om dere ønsker å sette noen av de andre innstillingene.
For å raskt oppdatere en enhet under testing av LAPS, kjør:
Invoke-LapsPolicyProcessing
Konfigurerering av LAPS hvis du har Intune og klientene ligger i Azure AD/Entra ID:
Åpne portal.azure.com og naviger til
Microsoft Entra ID > Devices > Device Settings
Sett følgende setting:
Enable Microsoft Entra Local Administrator Password Solution (LAPS) = Yes
Åpne intune.microsoft.com og naviger til
Endpoint Security > Account Protection
Create a new policy:
Platform = WindowsProfile = Local admin password solution (Windows LAPS)Name = [ønsket navn]
Vår anbefalte LAPS konfigurasjon for Intune:
Backup Directory > Backup the password to Azure AD onlyPassword Age Days > 30Administrator Account Name > Endre kun hvis Administrator er renametPassword Complexity > Passphrase (long words)Passphrase Length > 3 (tre ord)Password Length > 8 (tre ord på åtte tegn hver gir 24 tegn)Post Authentication Actions > Reset password and log off the managed accountPost Authentication Reset Delay > 1Scope Tags > Sett som ønsket eller skipAssignments > Legg til gruppen med devices som skal ha Windows LAPS (test gjerne med en liten gruppe først)
Det er mange steder å se passordet:
portal.azure.com > Microsoft Entra ID > Devices > Local Administrator Password Recoveryportal.azure.com > Microsoft Entra ID > Devices > All Devices > [device] > Local administrator Password Recoveryintune.microsoft.com > Devices > All Devices > [device] > Local Admin Password
Det er også mulig å bruke Powershell og Microsoft Graph, men disse krever litt konfigurering som vi ikke tar med her.
Konfigurerering av LAPS hvis du har både Intune og Azure AD/Entra ID:
Vi anbefaler å kun konfigurere Intune og sende passordene til Azure AD.
Det er også mulig å ha f.eks klienter i Intune gruppen og serverene i AD gruppen. Viktig at ikke både Intune og GPO konfigurer samme enhet.
Artikler
Microsoft doc: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview
Microsoft installering: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-windows-server-active-directory
Internet artikkel: https://lazyadmin.nl/it/windows-laps/
Protected Users Group
Admins medlem av Protected Users
Bakgrunn
Protected Users gruppen er en spesiell gruppe i Active Directory som aktiverer mange sikkerhetsinnstillinger. Alle privilegerte brukere, altså alle administratorkontoer, må være medlem av Protected Users group.
Protected Users group kom med Windows 2012 R2, og sikrer følgende:
-
Passord lagres aldri i klartekst (CredSSP, Digest, etc)
-
NTLM er deaktivert
-
Kun Kerberos AES kryptering, ingen DES/RC4
-
Cached Credentials er avslått
Konsekvens for brukere: Usannsynlig
Endringen gjelder kun administratorer og påvirker ikke brukere.
Kjente konsekvenser for administratorer er:
-
RDP kan ikke gjøres mot IP nummer lengre (IP nummer støttes ikke av Kerberos)
-
RDP sesjoner varer bare 4 timer (Kerberos TGTs er maksimalt på 4t og fornyes ikke)
-
Ingen autentisering med NTLM/DES/RC4 lengre som kan føre til at man må oppdatere noen systemer.
-
Administratorkontoer som ikke har endret passord siden Active Directory ble oppgradert til Windows 2008, vil ikke få logget inn før passordet resettes.
Kompleksitet på endringen: Lav (Gruppemedlemsskap)
Teknisk beskrivelse
Legg alle administratorer inn i "Protected Users" gruppen.
Vi anbefaler å starte forsiktig med å først legge inn enkeltkontoer i Protected Users, og sjekke om det har noen påvirkning på de når de benyttes i daglig arbeid. Når man føler at man lenge nok har testet mange nok enkelt kontoer kan man legge inn hele "Domain Admins" gruppen og fjerne enkeltkontoene. Slik fortsetter man å legge inn kontoer til man til slutt har fått alle administratorerer inn som medlem av Protected Users.
Artikler