🔐 Защита учетных данных в среде Windows.
Различные уязвимые конфигурации ПК/Сервера позволяют злоумышленнику украсть учетные данные и развить атаку.
Какие варианты харденинга возможны для снижения рисков:
1️⃣Отключить WDigest. Этот старый механизм аутентификации Windows 🌅может хранить пароль пользователя в памяти почти в открытом виде.
2️⃣Защитить LSASS (Local Security Authority Subsystem Service) — службу подсистемы локальной безопасности в операционной системе Windows. Необходимо включать RunAsPPL для защиты процесса LSASS 🤖. Это не абсолютная защита, но резко повышает сложность атаки.
3️⃣Использовать Credential Guard. Данная функция защищает от атаки типа Pass-the-Hash (PtH) и Pass-the-Ticket (PtT), при которых злоумышленники пытаются получить хэши паролей 🔐 или билеты Kerberos для дальнейшего проникновения в сеть.
4️⃣Убрать лишние привилегии у пользователей и разделить полномочия администраторов. Не должно быть администраторов с полным набором полномочий и доступов 👹.
5️⃣Настроить лимиты для RDP‑сессий. RDP используется администраторами, и настройка принудительного завершения неактивных сеансов предотвращает их сохранение на сервере. Это сокращает время доступности учетных данных администратора после завершения работы.
6️⃣Защитить механизмы аутентификации: отказ от NTLM, отключить старое RC4 шифрование в Kerberos, включение администраторов в группу Protected Users (настройка может усложнить их работу) 🤩.
7️⃣Осуществлять управление локальными и сервисными учетными записями. Необходимо применять LAPS (обеспечивает уникальный пароль локального администратора на каждом устройстве) и gMSA (пароль автоматически генерируется и регулярно ротируется средствами AD).
8️⃣Мониторинг и внедрение наложенных средств защиты 🛰.
💬 Главное в защите — не надеяться только на антивирус, а выстраивать многоуровневую и многослойную защиту. Тогда даже если злоумышленник попал внутрь, украсть что-то ценное уже намного сложнее.
