MANIEK Logo Mój Asystent Nauki Informatyki i Egzaminów Klasyfikacyjnych
Logowanie
ASSO / Windows Server / Bezpieczeństwo kontrolera domeny

5 — Zabezpieczenie kontrolera domeny przed atakami

Czas: 90 min

Cele i treść

Cele:
  • Uczeń wyjaśnia przeznaczenie usługi w Windows Server.
  • Uczeń wskazuje podstawowe pojęcia i wymagania.
  • Uczeń wykonuje konfigurację w konsoli administracyjnej.
  • Uczeń testuje działanie usługi i usuwa typowe błędy.

Lekcja obejmuje temat: Zabezpieczenie kontrolera domeny przed atakami.

Główne części: Dlaczego zabezpieczenie DC jest krytyczne? Kontroler domeny to "skarbnica" sieci – przechowuje wszystkie tożsamości (..., SMB-based attacks: Wykorzystanie starszych, niebezpiecznych wersji protokołu SMB., Blokowanie starszych, niebezpiecznych protokołów: Wyłączenie NTLMv1, SMBv1, LM Authentication., Przejdź do Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń..

Notatka:

Import przygotowany z rozkładu klasy 2. Po imporcie można dopisać własne screeny, załączniki, zadania i kryteria oceniania.

#AD DS#bezpieczeństwo#GPO

Punkty lekcji

1 - Dlaczego zabezpieczenie DC jest krytyczne? Kontroler domeny to "skarbnica" sieci – przechowuje wszystkie tożsamości (...opis

Dlaczego zabezpieczenie DC jest krytyczne? Kontroler domeny to "skarbnica" sieci – przechowuje wszystkie tożsamości (nazwy użytkowników/hasła) i jest kluczem do królestwa. Jego kompromitacja równa się kompromitacji całej domeny.

Najczęstsze wektory ataku:

Pass-the-Hash / Pass-the-Ticket: Kradzież i ponowne użycie skrótów haseł lub biletów Kerberos.

Kerberoasting: Próba złamania słabych haseł kont usług poprzez przechwycenie i offline'owe ataki na bilety Kerberos.

DCShadow: Zaawansowany atak, w którym attacker rejestruje własne, fałszywe kontrolery domeny w celu replikacji złośliwych zmian.

2 - SMB-based attacks: Wykorzystanie starszych, niebezpiecznych wersji protokołu SMB.opis

Strategie zabezpieczania (Hardening):

Zasada najmniejszych uprawnień: Żaden użytkownik ani usługa nie powinna działać z uprawnieniami administratora, jeśli nie jest to absolutnie konieczne.

Bezpieczne hasła: Wymuszanie silnych zasad haseł via Zasady grupy. Szczególnie dla kont uprzywilejowanych.

Ograniczenie logowania: Konta administracyjne powinny logować się tylko do serwerów, nie do stacji roboczych.

3 - Blokowanie starszych, niebezpiecznych protokołów: Wyłączenie NTLMv1, SMBv1, LM Authentication.opis

Audytowanie i monitorowanie: Włączenie zaawansowanego audytowania logowań (sukcesy i porażki) oraz zmian w AD.

Ćwiczenia praktyczne:

Konfiguracja Zasad grupy dla zabezpieczeń domeny:

Otwórz Edytor zarządzania zasadami grupy i edytuj Domyślne zasady domeny (Default Domain Policy) lub lepiej: utwórz dedykowany GPO i podlinkuj go do OU Domain Controllers.

4 - Przejdź do Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Ustawienia zabezpieczeń.opis

Zasady konta: Skonfiguruj Zasady haseł (min. długość, złożoność, historia, maks. wiek) i Zasady blokady konta (próg blokady, czas resetowania).

Wyłączenie niebezpiecznych protokołów za pomocą GPO:

W tym samym (lub nowym) GPO przejdź do Konfiguracja komputera -> Zasady -> Szablony administracyjne -> Sieć -> Lanman Server.

Włącz ustawienie Wymagaj podpisywania komunikatu serwera.

5 - Przejdź do... -> Lanman Workstation. Włącz ustawienie Wymagaj podpisywania komunikatu klienta.opis

(Zaawansowane) Aby wyłączyć SMBv1, możesz użyć ustawienia Konfiguracja komputera -> Zasady -> Ustawienia systemu Windows -> Włącz/Wyłącz składowe systemu Windows -> Server SMB 1.0/CIFS -> Wyłącz.

Konfiguracja Restricted Groups / Group Managed Service Accounts:

Restricted Groups: W GPO, w Ustawienia zabezpieczeń -> Grupy z ograniczeniami. Możesz wymusić członkostwo w grupach uprzywilejowanych (np. "Domain Admins"), aby zapobiec cichemu dodawaniu użytkowników.

gMSA (Cel edukacyjny - pokaz): Zaprezentuj, jak tworzone są grupowane konta usług (New-ADServiceAccount w PowerShell) dla usług, które nie używają haseł, które mogą wyciec.

6 - Włączenie zaawansowanego audytowaniaopis

Włączenie zaawansowanego audytowania:

W GPO dla kontrolerów domeny przejdź do Ustawienia zabezpieczeń -> Zasady inspekcji.

Skonfiguruj inspekcję Zdarzenia związane z kontem (sukces i niepowodzenie) oraz Logowanie do konta (sukces i niepowodzenie).

Wyjaśnij, że logi będą widoczne w Podglądzie zdarzeń -> Dzienniki systemu Windows -> Zabezpieczenia.

Powiązane arkusze i pytania

Arkusze

Brak powiązanych arkuszy.

Pytania

Brak powiązanych pytań.