Hurtigfikser er løsninger som kan implementeres på under 1 time, og som i stor grad ikke kan skape noe problemer
Generelle hurtifikser
NetBios
Disable NetBios protokollen
Bakgrunn
NetBios gjør hovedsakelig navneoppslag, slik som DNS gjør idag.
NetBios kom i 1983 og ble vanlig fra 1987 med NBT (Netbios over TCP/IP). Den er dessverre usikker By Design, og ble legacy fra Windows 2000, da DNS tok over alt av navneoppslag.
Risiko ved bruk: Høy
Angripere kan utnytte NetBios med grunnleggende gratis-verktøy.
Konsekvens for brukere: Usannsynlig
Dersom dere har noe som benytter kun NetBios vil det slutte å virke når NetBios Disables. Siden NetBios er så gammelt vurderer vi det som usannsynlig. Det er dessverre ingen enkel måte å proaktivt finne ut om noe vil slutte å virke. Dersom dere ønsker å lytte på nettet for å forsøke å finne ut av dette så har vi inkludert en link til Wireshark.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny. Settes for alle Computer objects.
Naviger til : Computer Configuration > Policies > Windows Settings > Scripts > Startup >
Opprett et Skript med navn: DisableNETBIOS.ps1
Skriptet skal inneholde følgende kommando:
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\netbt\Parameters\interfaces\tcpip_*' -name NetBiosOptions -value 2 -Verbose
Artikler
LLMNR
Disable LLMNR protokollen
Bakgrunn
LLMNR erstattet i 2007 NetBios og er en failovermetode for navneoppslag når DNS ikke virker. I dagens IT miljøer må alltid DNS virke, så det er ikke noe behov for failover for DNS. LLMNR er Legacy fra 2022.
Risiko ved bruk: Høy
Angripere kan utnytte LLMNR med grunnleggende gratis-verktøy
Konsekvens for brukere: Usannsynlig
Dersom dere har noe som benytter kun LLMNR vil det slutte å virke når LLMNR Disables. Siden LLMNR er så gammelt vurderer vi det som usannsynlig. Det er dessverre ingen enkel måte å proaktivt finne ut om noe vil slutte å virke. Dersom dere ønsker å lytte på nettet for å forsøke å finne ut av om LLMNR er I bruk så har vi inkludert en link til informasjon om hvordan benytte Wireshark for dette.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny. Settes for alle Computer objects.
Naviger til : Computer Configuration > Admin Templates > Network > DNS Client >
Sett "Turn Off Multicast name Resolution" = Enabled
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-llmnrp/6806998e-034d-4c39-8398-5af8bfd52d7e
Internet artikkel: https://woshub.com/how-to-disable-netbios-over-tcpip-and-llmnr-using-gpo/
NTLMv1
Disable LM og NLTMv1
Bakgrunn
LM, NTLM og NTLMv2 er autentiseringsprotokoller som brukes når Kerbertos-autentisering ikke er tilgjengelig.
LM kom i 1987, NTLM kom i 1993, NTLMv2 kom i 1998. LM og NTLM har altså vært legacy i over 25 år.
Risiko ved bruk: Høy
Angripere kan utnytte LM og NTLMv1 med grunnleggende gratis-verktøy
Konsekvens for brukere: Muligens
Dersom dere har utstyr eller tjenester som er avhengig av NTLMv1 vil dette slutte å virke når man skrur av NTLMv1. Typiske eksempler er printere/scannere og veldig gamle Windows-servere som må omkonfigureres til å være kompatible med bedre autentisering. Vi anbefaler at man jobber seg gjennom en og en server av gangen og konfigurerer de til å kreve NTLMv2, slik at man raskt kan skru på NTLMv1 igjen dersom noe slutter å virke.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny. Settes for DCer.
Naviger til : Computer Configuration > Policies > Windows Settings > Local Policies/Security Options > Network security >
Sett "LAN Manager authentication level" = Send NTLMv2 response only. Refuse LM & NTLM
Artikler
Artikkel med mer grundigere informasjon om NTLM: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-1-%E2%80%93-disabling-ntlmv1/3934787
LDAP Signing
Enforce LDAP Signing
Bakgrunn
LDAP Signing gjør at pakker er signerte og derfor ikke kan endres på veien.
LDAP signing kom i 2003, og i 2019 ble hacking av usignerte pakker inkludert i hackerverktøyene.
Risisko ved mangel:
Konsekvens for brukere: Usannsynlig
Siden LDAP signing er støttet siden 2003, så er det er usannsynlig at noe skal få problemer med at pakkene blir signert. Microsoft har en artikkel for hvordan man kan verifisere om noe vil bli påvirket av endringen.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny.
Det er forskjellig GPO setting for DCer og for andre servere.
For DC
Naviger til : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options >
Sett "Domain Controller: LDAP server signing requirements" = Require Signing
For non-DC
Naviger til : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options >
Sett: "Domain Controller: Network security: LDAP client signing requirements" = Require Signing
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/enable-ldap-signing-in-windows-server
LDAP Channel Binding
Enforce Channel Binding
Bakgrunn
LDAP Channel Binding sikrer LDAP kommunikasjon mot endring.
LDAP Channel Binding kom i RFC5056 i 2007, men ble ikke støttet av Microsoft før i 2019. Støtte ble da inkludert i Windows Update slik at alt som ikke er End Of Life fikk støtte for det.
Risiko om man ikke bruker det:
Konsekvens for brukere: Usannsynlig
LDAP Channel Binding er støttet på Windows7, Windows Server 2008 R2 og alt nyere. Eldre systemer enn disse vil ikke klare å kommunisere med AD lengre etter at LDAP Channel Binding er aktivert. Internet artikkelen nedenfor forklarer hvordan man kan sjekke proaktivt om noe utstyr vil få problemer med Channel Binding.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny. Settes for DCer.
Naviger til : Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options >
Sett "Domain controller: LDAP server channel binding token requirements" = Always
Artikler
Internet artikkel: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-5-%E2%80%93-enforcing-ldap-channel-binding/4235497
SMB Signing
Enforce SMB Signing
Bakgrunn
SMB Signing gjør at pakker er signerte og derfor ikke kan endres på veien.
SMB Signing kom i 1996, og har vært anbefalt å benytte siden da.
Konsekvens for brukere: Usannsynlig
Siden SMB Signing er støttet siden 1996, så er det er usannsynlig at noe skal få problemer med at pakkene blir signert. For å sjekke om man har noe som ikke støtter SMB Signing må man først oppgradere alle DCer til 2025. Se beskrivelse i Internet artikkelen nedenfor.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny.
Det er forskjellig GPO setting for DCer og for andre servere.
For DC
Naviger til : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies >
Sett "Security Options" = Microsoft network server: Digitally sign communications (always)
For non-DC
Naviger til : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies >
Sett "Security Options" = Microsoft client server: Digitally sign communications (always)
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/overview-server-message-block-signing
Internet artikkel: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-6-%E2%80%93-enforcing-smb-signing/4272168
Kerberos Armoring
Enforce Kerberos armoring
Bakgrunn
Kerberos Armoring krypterer Kerberos trafikken.
Kerberos Armoring kom i 2012, og har vært anbefalt å benytte siden da.
Konsekvens for brukere: Usannsynlig
Dersom det er noe som ikke støtter Kerberos Armoring, så vil det slutte å virke når det slås på. Siden Kerberos Armoring kom med Windows Server 2012, så er det usannsynlig at det blir noen problemer. Det er anbefalt å starte med klientene, for å sikre at de har Kerberos Armoring, før man så krever det på DCene. Det vil logges hvis noe feiler fordi det ikke støtter Kerberos Armoring, se internet artikkel nedenfor.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny.
Settes først for non-DC og deretter for DCer.
For non-DC
Naviger til : Computer Configuration -> Policies -> Administrative Templates -> System -> Kerberos
Sett "Kerberos client support for claims, compound authentication and Kerberos armoring" = Enabled
For DC
Naviger til : Computer Configuration -> Policies -> Administrative Templates -> System -> KDC
Sett "KDC support for claims, compound authentication, and Kerberos armoring" = Fail unarmored authentication requests
Artikler
Kerberos AES
Enforce Kerberos AES
Bakgrunn
Hva den gjør
Kerberos kom i 1989 og har vært brukt av Microsoft siden 2000. Kerberos ble da kryptert med DES og RC4, men begge disse kan nå dekrypteres. Kerberos kom derfor med AES kryptering i 2008, og de tidligere protokollene skal ikke lengre brukes.
Konsekvens for brukere: Usannsynlig
Dersom dere har noe som kun kan kommunisere på DES eller RC4, så vil det slutte å virke når kun AES blir tillatt. Siden AES kom allerede i 2008, så er det usannsynlig at noe krever DES eller RC4 kryptering. Internet artikkelen nedenfor har mye info om hvordan man kan sjekke om noe benytter RC4.
Kompleksitet på endringen: Lav (GPO)
Teknisk beskrivelse av GPO
Benytt eksisterene GPO for Herding, eller opprett ny. Settes for alle
Naviger til : Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Other >
Sett "Network security: Configure encryption types allowed for Kerberos" til:
DES_CBC_CRC = Disabled
DES_CBC_MD5 = Disabled
RC4_HMAC_MD5 = Disabled
AES128_HMAC_SHA1 = Enabled
AES256_HMAC_SHA1 = Enabled
Future encryption types = Enabled
Artikler
Internet artikkel: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/active-directory-hardening-series---part-4-%E2%80%93-enforcing-aes-for-kerberos/4114965
Kerberos Encryption Types explained: https://techcommunity.microsoft.com/blog/coreinfrastructureandsecurityblog/decrypting-the-selection-of-supported-kerberos-encryption-types/1628797
ADCS-fikser
ESC1
Mitigate ESC1
Bakgrunn
Normale brukerkontoer kan be om et sertifikat for en Domain Admin, og dermed enkelt bli Domain Admin.
SpecterOps rapporterte ESC1-8 i 2021 og beskriver også løsninger.
ESC1 består av en rekke feilkonfigureringer som til sammen gjør at en normal User kan bli Domain Admin.
Konsekvens for brukere: Usannsynlig
Man må vurdere hva hver enkelt Certificate mal benyttes til før man endrer, så man er sikker på at fiksene ikke bryter med funksjonen.
Vanligvis skal det ikke være noe problem å fikse feilene. Internet artikkelen nedenfor beskriver også hvordan man kan sjekke om noen forsøker å utnytte ESC1 svakheten.
Liste over konfigureringer som må endres:
Bytte Subject Name fra "Supply in the request" til "Build from this Active Directory information"
Fjerne Enrollment Rights fra Domain Users, og gi dem Read Only
Microsoft anbefaler også å aktivere "Issuance Requirements > CA certificate manager approval". Dette gir veldig stor trygghet, men det gjør at alle sertifikat forespørsler må godkjennes manuelt i Certificate Authority verktøyet under "Pending Requests". Dersom man har kapasitet til dette så er det sikkerhetsmessig anbefalt, men hvis man fikser de to andre svakhetene vil man ha utbedret ESC1 trusselen.
Kompleksitet på endringen: Lav (ADSC innstilling)
Teknisk beskrivelses
Åpne Certificate Authority > Certificate Templates
For alle Templates, verifiser at Properties > Subject Name er satt til "Build from this Active Directory information"
For alle Templates, verifiser at Properties > Security > Domain Users kun har Read og ikke har Enroll. Legg til evt grupper som trenger Enroll.
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-prevent-users-request-certificate
Internet artikkel: https://www.beyondtrust.com/blog/entry/esc1-attacks
ESC originale beskrivelser: https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-Owned.pdf
ESC8
Mitigate ESC8
Bakgrunn
Sertifikat trafikk over HTTP kan benyttes i NTLM relay attack.
SpecterOps rapporterte ESC1-8 i 2021 og beskriver også løsninger.
ESC8 består av to konfigureringer som til sammen utgjør en trussel.
Konsekvens for brukere: Usannsynlig
Man må vurdere hva hver enkelt Certificate mal benyttes til før man endrer, så man er sikker på at fiksene ikke bryter med funksjonen.
Vanligvis skal det ikke være noe problem å fikse feilene.
Internet artikkelen nedenfor beskriver også hvordan man kan sjekke om noen forsøker å utnytte ESC1 svakheten.
Liste over konfigureringer som må endres:
Verifisere at alle AD CS Web interfacer har kun HTTPS.
Fjerne Enrollment Rights fra Domain Users, og gi dem Read Only (Forhåpentligvis allerede fikset under ESC1)
Kompleksitet på endringen: Middels (IIS Manager)
Teknisk beskrivelses
Åpne Internet Information Services (IIS) Manager > Servername > Sites > Default Web Site
Velg Bindings i Actions menyen på høyre side. Sikre at https finnes.
Åpne Internet Information Services (IIS) Manager > Servername > Sites > Default Web Site > CertSrv > SSL Settings
Kryss av for "Require SSL"
Dersom man ikke har https Binding fra før må det opprettes, se link nedenfor.
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/security-assessment-insecure-adcs-certificate-enrollment
Internet artikkel: https://www.beyondtrust.com/blog/entry/esc1-attacks
ESC originale beskrivelser: https://specterops.io/wp-content/uploads/sites/3/2022/06/Certified_Pre-Owned.pdf
ESC15
Mitigate ESC15 (Under arbeid!)
Bakgrunn
Sertifikat trafikk over HTTP kan benyttes i NTLM relay attack.
Oppdaget i 8 oktober 2024 og patchet gjennom Windows Update av Microsoft med CVE-2024-49019 i 12 november 2024.
ESC15 består av to konfigureringer som til sammen utgjør en trussel.
Konsekvens for brukere: Usannsynlig
Kompleksitet på endringen: Lav (ADSC innstilling)
Teknisk beskrivelses
Utfør ESC1 utbedringene, disse vil også fikse ESC15
Patch server med Windows Update
Artikler
Microsoft Doc: https://learn.microsoft.com/en-us/defender-for-identity/prevent-certificate-enrollment-esc15
Microsoft general tips for securing PKI: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/dn786426%28v=ws.11%29#securing-certificate-templates
Internet artikkel: https://trustedsec.com/blog/ekuwu-not-just-another-ad-cs-esc