Voor een laptop is dit inderdaad wat lastiger. Voor overige machines zou dit geen probleem moeten zijn. Het staat bij ons ook zo geconfigureerd. En ik wil nog eens testen door laptops op 1 te zetten. Dit zou wel eens voldoende kunnen zijn, maar icm met service accounts, zou dit ook wel eens voor problemen kunnen zorgen. Een oplossing zou eventueel zijn, DirectAccess zodat je altijd verbinding hebt met het netwerk.
Maar voor een groot gedeelte zou dit wel geïmplementeerd kunnen worden, zonder enige risico.
Als dat geen probleem is, zou dit best een redelijke maatregel kunnen zijn om diefstal van cached admin credentials op PC's te verhinderen.
Het is zelfs een advies vanuit de security guidelines die er zijn voor Windows.
Werkt goed, maar heeft 1 nadeel........ Het wachtwoord wordt weg geschreven in het Computer AD object als text met een ACL er overheen. Dat het enige nadeel.
Door Tha Cleaner: 3: Goede delegation of control in de AD inregelen, zodat een ServiceDesk/Server medewerker overal local admin is.
Wat bedoel je hier precies mee (anders dan LAPS)?
Zorgen dat je een AD groep hebt voor een service desktop medewerken, server beheerder, exchange beheerders enz enz.
Daarmee kan je er voor zorgen dat een SD medewerken geen admin rechten heeft op een server. En een Exchange beheerder heeft alle benodigde rechten voor standaard Exchange beheer, maar geen extra rechten op een desktop of Windows server.
Je zou bijvoorbeeld 4 accounts kunnen hebben (gaat erg ver), 1 normaal account, 1 domain admin account, 1 server beheer account, 1 werkstation beheers accounts.
Door Tha Cleaner: 4: Beheer accounts wachtwoorden periodiek laten veranderen.
Wellicht dat LAPS dit mooi voor je oplost, maar als je dat zonder tooling doet word je gek. En bovendien voorkomt het dit type malware niet: als deze actief wordt op een werkplek PC en admin rechten weet te verkrijgen, en op die PC is een net-gewijzigd wachtwoord (of hash daarvan) van een domain admin beschikbaar waar je ook mee kunt inloggen op een DC, ben je meteen het haasje.
LAPS lost dit helaas niet op, en het is ook geen fijne maatregel. Ik heb 4 type accounts, en moet iedere 30 dagen mijn wachtwoorden veranderen. En die moeten >10 tekens zijn.
Door Tha Cleaner: 5: Windows Firewall kan je dicht zetten, zodat er alleen verbinding mogelijk is vanaf bepaalde (management) ipranges.
Werkplek-PC's zullen netwerkshares van servers moeten kunnen benaderen. Als malware op zo'n werkplek-PC een beheercredentials aantreft waarmee met beheerprivileges op die server(s) kan inloggen, helpt geen enkele firewall hiertegen.
Correct. Maar met goede DOC (delegation of control) kan je dit nog steeds afschermen. En veel servers hoeven niet altijd op SMB te benaderd worden, of de cliënt start altijd de verbinding. Inrechten kost veel effort, maar het is wel een mogelijkheid (in een greenfield).
Door Tha Cleaner: 6: Patches natuurlijk installeren op je machines.
Maar daarvan hadden we net vastgesteld dat patches dit type aanval (credential capture via MimiKatz-achtige tools en remote exec via PsExec/WMIC) niet gaan tegenhouden.
Correct, maar het is een standaard iets. Voor dit virus had het waarschijnlijk weinig uitgemaakt, maar in toekomstige nieuwe virussen zal dit weer een standaard advies zijn wat niet opgevolgd is.
Door Tha Cleaner: 7: RDP heeft tegenwoordig
?
RDP heeft tegenwoordig ook bepaalde beveiliging waardoor tokens niet overgenomen kunnen worden. Maar nog de achtergrond informatie niet meer vinden. Dit had er uit gemoeten, omdat ik er niet voldoende vanaf weet om er iets over te roepen.
Door Tha Cleaner: Met de eerste 2 configuraties, was de impact al aanzienlijk kleiner geweest en is vrij gemakkelijk te implementeren.
Dank voor de LAPS tip (ga ik verder naar kijken), maar de meerwaarde van de andere maatregelen zie ik niet zo.
[/quote]Het zijn mogelijkheden om de security op een hoger niveau te brengen, maar je moet goed een impact analyse uitvoeren of het ook werkelijk kan. Optie 1 is bijvoorbeeld heel goed mogelijk op een vaste machine, en kan je impact aanzienlijk beperken, of het haalbaar is, dat zal je, net als voor de overige punten, moeten bekijken in jouw omgeving.....
De perfecte al om vattende oplossing bestaat helaas niet.....