Sami Laiho Profile picture
Mar 2 22 tweets 6 min read
Через поточний стан кібербезпеки, та для захисту КОРПОРАТИВНИХ мереж в Україні я вирішив опублікувати прості та безкоштовні інструкції щодо захисту середовищ Windows від зловмисників. Прочитайте весь тред і, якщо вважаєте його корисним, зробіть ретвіт! #StandWithUkraine️
Я міг би сказати, що ви повинні видалити права адміністратора кінцевих користувачів, налаштувати AppLocker і так далі, але це не робиться за кілька днів. Тому, ці інструкції призначені для отримання швидкого та реального ефекту захисту від кібератак.
Безпека може бути простою. Це швидше про правильні шляхи роботи, концепції, ніж про дорогі продукти. У цьому треді я розповім про те, що б я зробив особисто, якби працював в умовах війни, і захист довелося б покращувати за кілька годин, не відключаючи системи від Інтернету.
Інструкції призначені для запобігання втраті вашого найбільшого скарбу - Directory Service. Втрати можливі, але DS не буде скомпрометовано. Компанії потрапляють у новини не тому що на одному комп'ютері є ransomware, а тому що хтось контролює всю інфраструктуру.
Ці інструкції прості та можуть бути застосовані до будь-якої компанії, що використовує DS (AD/AAD). Вони могли б бути кращими, якби були адаптовані до конкретного клієнта, але я хочу створити інструкції, які будуть працювати для більшості, якщо й не для всіх.
Ви завжди можете зробити краще, але пам'ятайте, що «в безпеці, досконалість - це ворог добра». Тому нам потрібно НАЛАШТУВАТИ речі ШВИДКО, щоб безневинні компанії залишалися захищеними.
Немає часу на “Це безпечно лише на 99%” або “Мабуть, є спосіб обійти це”. Нам потрібно зробити КРАЩЕ і ЗАРАЗ! Ми можемо покращити пізніше, коли у нас будуть розгорнуті основи!
1. Tier0-ізоляція. Святим Ґраалем кожного зловмисника є Domain Admin обліковий запис. Щоб DA не можна було вкрасти, ми блокуємо їх використання в будь-якому місці, крім того, де вони потрібні. Застосуйте це правило на усіх комп’ютерах, крім вашого Domain Controller.
2. Оскільки ви можете використовувати DA тільки для керування DC, необхідно додати наступний параметр до політики, для того, щоб члени ComputerAdmins могли керувати іншими комп'ютерами.
3. Те саме для Azure. Ви можете зробити аналогічно, навіть якщо налаштування трохи відрізняються На цих фотографіях показано, як я це роблю і як блокую обмежених користувачів від доступу до порталу.
techcommunity.microsoft.com/t5/intune-cust…
4. Пізніше ви можете налаштувати та розділити AD на більше рівнів, розгорнути PAWs тощо. Але наразі ізоляція Tier0 — це те, що вам НЕОБХІДНО ЗРОБИТИ ПРЯМО ЗАРАЗ!
5. Маючи PowerShell. PS використовується майже всіма шкідливими програмами. Він може атакувати, приймати накази та надсилати зловмиснику цінну інформацію. Тому, давайте заблокуємо його, додавши Outbound Firewall Rule до політики, як показано на малюнку:
6. UAC-налаштування наступні в списку. Якщо у вас є комп'ютери, на яких залогінені адміністратори, додайте цей UAC параметр до політики. Якщо у вас таких немає, ЧУДОВО, ви знижуєте ймовірність виникнення 80% атак!
7. Принцип найменших привілеїв. Якщо ви логінитесь до свого комп’ютера з обліковим записом адміністратора вдома чи на роботі, ПЕРЕСТАНЬТЕ ПРЯМО ЗАРАЗ! Ваш комп’ютер працюватиме краще, довше та з меншою кількістю переінсталяцій. Навіть ваш SSD прослужить довше!
8. Створіть собі окремий обліковий запис адміністратора та замініть ваш поточний на обмежений. Якщо у вас є пристрій для зчитування відбитків пальців, зареєструйте ваш вказівний палець для обмеженого користувача, а середній — для адміністратора.
Відтепер ви користуєтеся “пальцем адміністратора” лише тоді, коли вам потрібно скористатись правами адміна, або щоб помахати Путіну!
9. Інтегруйте концепцію Privileged Access Workstation. Не гортайте інтернет чи пошту з комп’ютера, який може зруйнувати вашу мережу, як-от під’єднання за допомогою RDP до ваших DC. Пізніше ви зробите це круто – з віртуальними машинами, але поки давайте просто працювати безпечно.
10. Використовуйте MFA всюди. Якщо у вас є сервери, які підтримують RDP, захистіть їх, наприклад використовуючи Cisco DUO. Зробіть те ж саме для комп’ютерів, які використовуєте для керування вашими сервісами. Якщо вам не потрібен RDP, заблокуйте його!
11. ПАМ’ЯТАЙТЕ “в безпеці, досконалість - це ворог добра”. Ми можемо покращити налаштування пізніше. Тому давайте зробимо базові кроки ЗАРАЗ!
12. Я б рекомендував усім прочитати книгу Мікко Гіппонена “Інтернет”, але наразі вона зашифрована ельфійською: wsoy.fi/kirja/mikko-hy…
13. Це було перекладено @svitlanaExe та @FraktalCyber з мого треду фінською мовою. Скоро я опублікую його англійською. Дякую, що читаєте, бережіть себе!
Слава Україні!

#UkrainiansWillResist
#StandWithUkraine
#StopPutin
Посилання на повний тред у вигляді блогу тут.

blog.win-fu.com/2022/03/glory-…

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Sami Laiho

Sami Laiho Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @samilaiho

Mar 2
Because of the current state of cybersecurity, and to protect the COMPANY networks in Ukraine, I have decided to publish easy to implement and free instructions for protecting Windows environments against an invader. Read the whole thread and if you find it useful  Retweet!
I could tell you that you should remove end-user admin rights, deploy AppLocker etc. but in reality those are not done in a matter of days. So these instructions are meant to give fast gains and real-life effect in defending against cyber-attacks.
At the end of the day, security is simple. It’s more about correct ways of operating, concepts, than expensive products.
Read 22 tweets
Mar 1
Muuttuneen kyberturvallisuustilanteen johdosta, maanpuolustushengessä, päätin julkaista mahdollisimman yksinkertaiset ohjeet Windows-ympäristön puolustamiseen, ulkoista hyökkääjää vastaan. LUE KOKO KETJU, ja jos koet, että tästä on hyötyä --> Retweet!
For all my English followers, normally I would tweet in English but this is a matter of protecting my own country. I’ll translate ASAP, until --> Google.
Voisin ohjeistaa, että teidän pitää ottaa pois admin-oikat, asentaa AppLocker jne. mutta tosiasia on, että näitä ei tehdä päivässä, eikä kahdessa. Joten seuraavassa nopeat ohjeet, joilla on oikeasti merkitystä ja välitön teho, kyberhyökkäyksiä vastaan.
Read 20 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us on Twitter!

:(