1. Использовать LAPS, я писал об этом большой пост здесь - https://t.me/MicrosoftRus/135 Там есть все, что надо для его внедрения, т.к. "кролик" собирает данные об учетке "administrator", LAPS защитит от этого;
2. Перестаньте использовать протокол SMBv1;
3. Закройте в клиентских вланах доступ к сетевым шарам между клиентами, они им ни к чему. Ну сами подумайте, зачем сферическому Вася доступ к Ирине на шару admin$ или любую другую?
4. Обновления. Тут, я думаю объяснять не надо. ;)
Теперь о самом "кролике". Подробный пост ESET на хабре - https://habrahabr.ru/company/eset/blog/340890/
Самое просто, если у вас нет антивируса, то создать два файла infpub.dat и cscc.dat в %systemroot%.
Например через powershell:
New-Item -Path $env:systemroot -Name "infpub.dat" -ItemType File
New-Item -Path $env:systemroot -Name "cscc.dat" -ItemType File
icacls "$env:systemroot\infpub.dat" /inheritance:r
icacls "$env:systemroot\cscc.dat" /inheritance:r
Архив для GPO есть у нас в чате @ConfigMgr, а через SCCM можно, наверное, как минимум четырьмя разными способами задеплоить: package, app, CI, TS. Через пакет будет что-то подобное:
powershell.exe -ExecutionPolicy Bypass -NoLogo -NonInteractive -NoProfile -WindowStyle Hidden -File .\fuckTheRabbit.ps1
Ну и подписывайтесь на наш уютный канал в телеграме - https://t.me/MicrosoftRus