网络研讨会:阻断攻击链的组策略
在本网络研讨会中,我们将指导您通过迭代过程构建和部署有效且实用的组策略对象(GPO),以提升安全态势。
研讨会幻灯片可在此处获取:https://www.blackhillsinfosec.com/wp-content/uploads/2020/09/SLIDES_GroupPoliciesThatKillKillChains.pdf
时间戳内容概览:
- 0:45 介绍攻击链概念及本研讨会所需背景知识
- 15:53 深入组策略、最佳实践,以及今日未覆盖但您应已实施的策略
- 20:56 本地管理员控制、蜜罐账户、LAPS(本地管理员密码解决方案)、管理员组策略制定
- 27:02 解决LLMNR问题、SMB签名配置、主机防火墙设置
- 33:43 限制登录、配置Web代理/WPAD、网络日志记录与警报
- 42:46 Kerberos票据操作、捕获PowerShell和CMD活动、利用Sysmon
- 47:44 问答环节
Jordan和Kent再次回归!
本次研讨会将带您逐步构建和部署GPO,重点聚焦于增加攻击者难度并协助切断攻击链的技术措施。
覆盖内容:
- Windows审计、日志记录、事件转发?是的。
- Sysmon?是的。
- 销毁LanMan?禁用LLMNR?扩展AD架构以设置更长最小密码长度?
是的,是的,是的。 - 限制管理员网络登录?是的。
- LAPS?当然,为什么不呢?
- ADExplorer?是的。
还有更多更多。
此外,还包括关于在用户便利性和实际安全性之间取得平衡的额外评论。
这些组策略在每次渗透测试中以某种方式困扰我们。结合这些配置可创建基线安全,阻止攻击者并迫使他们转向更易攻击的目标。
加入我们,畅游Windows配置选项的盛宴,让我们帮助您缩小系统管理员关注点,以最小努力获得最大效果。
问答:
研讨会期间我们收到了大量精彩问题,许多人要求我们公开分享。因此,这里提供所有问答的可下载PDF。
想要从本博客作者那里学习更多疯狂技能?
查看Jordan和Kent的以下课程:
- 防御企业
- 假设已失陷——带有检测和Microsoft Sentinel的方法论
提供实时/虚拟和点播形式!