1 – Dator segmentering

dator segmentering

Mål: Begränsa lateral spridning av virus mellan systemen via Windows inbyggda standardprotokoll.

dator segmentering
En dator som inte kan missbrukas kan inte smittas och då inte sprida hoten vidare

Windows Brandvägg

Som standard i alla Windows nätverk är fil och skrivardelning en möjlighet, det är en grundläggande funktionalitet som vi alla nyttjar på ett eller annat vis. Men detta är förstås också något som datorvirus och trojaner kan nyttja för att sprina sig från en dator till en annan. Nu ska vi gå igenom hur vi kan begränsa denna möjlighet utan att för den skull hindra oss själva från att vara produktiva.

Under ett pågående angrepp använder kriminella betrodda och privilegierade konton i syfte att sprida sig inom systemen, såsom ”Administrator” och ”System”. Ofta används protokollet SMB (Server Message Block) vilket är ett standardprotokoll för kommunikation mellan datorer. Eftersom SMB är nödvändigt för att Windows nätverk skall fungera i kommunikation mellan arbetsstationer och servrar, så är det däremot ovanligt att det behövs för direkt kommunikation mellan arbetsstationer. Såvida det inte är ett mindre nätverk där någon riktig filserver saknas.

I händelse av en Ransomware incident kan en Windows Brandvägg vara konfigurerad så att direkt kontakt mellan arbetsstationer förhindras. Dessa brandväggsregler kan konfigureras lokalt per dator eller centralt via GPO (Group Policy Object) och därmed gälla alla befintliga arbetsplatser samt även nya som ansluts senare. GPO styrning är en standardfunktion som kan nyttjas i nätverk där datorerna ingår i ett Active Directory Domain.

Ett minimum av portar och protokoll som bör begränsas mellan arbetsstationer och servrar som inte är domänkontrollanter eller fil-servrar är följande.

  • SMB (TCP/445, TCP/135, TCP/139)
  • Remote Desktop Protocol (TCP/3389)
  • Windows Remote Management / Remote PowerShell (TCP/80, TCP/5985, TCP/5986)
  • WMI (dynamic port range assigned by DCOM)

Vid användning av Group Policy, kan inställningarna i tabell 1 konfigureras för Windows Brandväggen för att begränsa inkommande trafik i en kontrollerad Windows Domän.

Group Policy Setting Path:
  • Computer Configuration > Policies >Windows Settings > Security Settings > Windows Firewall with Advanced Security
Profile SettingFirewall StateInbound ConnectionLog Dropped PacketsLog Sucessful ConnectionsLog File PathLog File Maximum Size )KB)
DomainOnBlock all connections that do not
match a preconfigured rule		YesYes%systemroot\system32\
LogFiles\Firewall\pfirewall.log		4,096
PrivateOnBlock All ConnectionsYesYes%systemroot\system32\
LogFiles\Firewall\pfirewall.log		4,096
PublicOnBlock All ConnectionsYesYes%systemroot\system32\
LogFiles\Firewall\pfirewall.log		4,096
Tabell 1 Rekommenderade inställningar i Windows Brandvägg

Windows Firewall recommended configuration

Windows Firewall domain profiles customized settings

För att snabbt isolera system bör man blockera all inkommande trafik. Denna inställning kan aktiveras för arbetsstationer och bärbara datorer men kommer förmodligen skapa störningar om de aktiveras för servrar. Men kan vara ett nödvändigt steg för att stoppa en virussmitta.

Windows Firewall – ”Block all connections” setting.

Protokoll och portar listade i Tabell 2 innehåller de vanligaste kanalerna för lateral spridning. Om blockering av alla anslutningar inte är praktiskt möjligt, överväg att åtminstone blockera listade i tabellen nedan.

Protocol / PortWindows Firewall RuleCommand Line Enforcement
SMB
TCP/445, TCP/139, TCP/135		Predefined Rule:
File and Print Sharing		netsh advfirewall set rule group=”File and Printer Sharing” new enable=no
Remote Desktop Protocol TCP/3389Predefined Rule: Remote Desktopnetsh advfirewall set rule group=”Remote Desktop” new enable=no
WMIPredefined Rule: Windows Management Instrumentation (WMI)netsh advfirewall set rule group=”windows management instrumentation (wmi)” new enable=no
Windows Remote Management / PowerShell Remoting
TCP/80, TCP/5985, TCP/5986		Predefined Rule: Windows Remote Management
Windows Remote management (Compatibility)

Ports Rule:
5986		netsh advfirewall set rule group=”Windows Remote Management” new enable=no
Rekommenderade blockregler i Windows Brandvägg

Windows Firewall suggested rule blocks via Group Policy

Windows Firewall rules example

Nedlåsning av RDP

Remote Desktop Protokoll (RDP) är en vanlig metod som nyttjas av kriminella aktörer för att koppla upp sig på distans. Därefter förflyttar de sig mot de inre systemen för att sjösätta sin skadliga kod. Externt exponerade system med RDP aktiverat innebär en förhöjd risk. Kriminella aktörer kan initialt ansluta mot dessa för att därifrån förflytta sig inåt för att kryptera eller stjäla data.

Organisationer bör proaktivt scanna sina publika IP adresser i syfte att kartlägga om någon svarar på RDP (port TCP/3389) samt andra protokoll som SMB (TCP/445). Som ett minimum ska inte protokoll vara direkt åtkomliga från Internet. Om det krävs för operativa syften bör explicita regler implementeras för att begränsa var anslutningar kan ske ifrån, eller än hellre kräv att en VPN upprättas innan åtkomst via RDP tillåts.

Multi-Faktor Autentisering

Om externt exponerade RDP är ett måste för operativa behov bör MFA krävas för att ansluta. Detta kan uppnås genom tredje parts produkter eller genom att ansluta via en Remote Desktop gateway och Azure Multi-Factor Authentication Server via RADIUS.

Network Level Authentication

För externt exponerade RDP servers kan NLA (Network Level Authentication) erbjuda ett extra autentisering innan en anslutning får upprättas. NLA är även effektivt mot hot såsom ”brut force” attacker vilka ofta riktas emot externt exponerade RDP servrar.

Aktivera NLA via grafiskt gränssnitt

Aktivera NLA via GPO

Sökvägen för att aktivera NLA via Group Policy: Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security > Require user authentication for remote connections by using Network Level Authentication

Några förbehåll med att aktivera NLA för RDP:

  • Remote Desktop Client v7.0 (eller senare) måste aktiveras, eftersom version 7.0 släpptes 2009 är detta inget problem utan snarare tvärt om, har du äldre versioner bör dessa datorer bytas ut.
  • NLA nyttjar CredSSP för att vidarebefordra autentiserings-begäran från initierande system. CredSSP sparar dessa inloggningsuppgifter i LSA minnet på det initierande systemet och dessa uppgifter kan finnas kvar i minnet efter att användaren har loggat ut. Detta riskerar orsaka exponering av inloggningsuppgifter på klientsidan.
  • På RDP servern måste berörda användare tillåtas åtkomst via nätverket när NLA är ett krav. Denna behörighet är ofta explicit nekad för användarkonton för att just skydda mot lateral spridningsteknik.

Begränsa administrativa konton från att ansluta via RDP mot publikt exponerade system

För externt exponerade RDP servrar bör inte administrativa användarkonton tillåtas åtkomst. Detta kan tvingas via grupp policy via följande sökväg:

  • Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Deny log on through Terminal Services

(Här lägger ni till alla användargrupper som innehar förhöjda rättigheter.)

Detta avslutar nedstängning av standardprotokoll i Windows. I nästa inlägg beskriver vi hur ni begränsar nyttjandet av administrativa och dolda delade ytor.

Del 2: Inaktivera administrativa och dolda ”shares”