Hvordan foregår et faktisk angrep og hvordan kan det stoppes. Det finnes ingen “silver-bullet” som fikser alt av sikkerhet på en klient og det er derfor viktig å tenke på flere lag av sikkerhet. Oddvar og Olav vil ta på seg rollene som angriper og forsvarer i dette engasjerende foredraget om sikkerhet praksis.
2. DR. SEUSS
“I have heard there are troubles of more than one kind.
Some come from ahead and some come from behind.
But I've bought a big bat. I'm all ready you see. Now my
troubles are going to have troubles with me!”
10. LOKAL ADMINISTRATOR –VIKTIG Å HUSKE
Lokal administrator KAN ALT
Blokkere GPO/endre
Installere programmer
Slå av sikkerhetsprodukter
Dumpe passord fra minne
Alle lokal admin?
Lekeplass for angriperen
13. LOKAL ADMINISTRATOR – HVOR ER
ANGRIPEREN?
Kjipt scenario:
500 pc’er
Alle lokal administrator
Hvor er angriperen?
14. LOKAL ADMINISTRATOR - BARE ADMIN PÅ
EGEN MASKIN
Hva med administrator brukeren?
Samme passord på alle pcer?
Pass-The-Hash angrep!
15. LOKAL ADMINISTRATOR - UTFORDRINGER
Sluttbrukere som behøver admin tilgang
LocalAdministrator Password Solution
https://channel9.msdn.com/Blogs/MVP-Cloud-DataCenter/Gjennomgang-av-Local-
Administrator-Password-Solution-LAPS
Hva med APP A og B?
Printere / Drivere
16. LOKAL ADMINISTRATOR – ANDRE GODE
TILTAK
Kan fremdeles ikke ta det bort på alle maskiner?
Fra og med 2012 R2 og 8.1 – NyeWell known SIDS
Local Account SID
LocalAccount and member of the administrator group SID
17. LOKAL ADMINISTRATOR – POP QUIZ
Kan sluttbruker uten administrator
tilgang installere programmer?
20. LOKAL ADMINISTRATOR – UAC!
https://technet.microsoft.com/en-us/library/dd835564(v=ws.10).aspx
21. APPLOCKER / DEVICE GUARD
Hvitelisting av
programmer
Administrator
bestemmer hva
som kjører
Kan stoppe mye!
Må herdes
22. APPLOCKER / DEVICE GUARD
SAMMENLIGNING
PROS AND CONS
Bedre verktøy for hvitelisting
Mer komplisert å implementere
Finnes bypass, men liste er laget:
https://github.com/mattifestation/DeviceGuardBypassMitigationRules
31. Oddvar Moe
Chief Technical Architect - Advania
Cloud and Datacenter management
@oddvarmoehttp://mvpdagen.no@MVPdagen
#MVPdagen
Olav Tvedt
Principal Solutions Architect – Lumagate
Cloud and Datacenter management
Windows And Devices For IT
@olavtwitt
Tusen Takk for oss!
Editor's Notes
OT
OT
http://www.darwinawards.com/darwin/darwin2017-06.html
503 Server Overload
At 1:30AM in Rouen a 47-year-old man attempted to leave his room by climbing down the ethernet cable. He chose this router because his concerned mother had locked him in his room to prevent him from intoxicating himself. Being heavier than a few gigabytes, his weight was too much for the cable and he crashed to the street from the 9th story apartment. The doctors could not resuscitate him, yet wouldn't he have found another way to remove himself from the gene pool?
Iphone Shocker
(11 December 2016, England) Drop an iPhone into your bath water, no biggie, all you get is a nasty repair bill. But drop a charging iPhone into your bathwater...and suddenly coroners are demanding warning labels.It is with chagrin that this writer, known to bathe while poking at her laptop keyboard, shares news of the explicable demise of Richard Bull and his iPhone. Mr. Bull, 32, plugged his charger into an extension cord and rested the charger on his chest while using the phone in the tub. He received severe burns on his chest, arm, and hand when the charger touched the water in his West London home, which mattered little as he was already dead from heart failure.
Those of us who plug into plugged-in electronics must heed the coroner's warning and take a breather in the loo. The sparky mix of electricity and water is a fact known to all, yet the doctor who conducted the iNquest plans to send a stern note to Apple. Perhaps one more warning label will solve our problem?
OT – Husk September Webcast med realistisk angrep (utgangspunktet I en pentest) attack a til Å - September Webcast
OM
OM
OT – Mer i seinere webcast – Gi beskjed i evaluering eller kontakt oss
Shadowcopy
OM
OM
OM
OM
OM –Tidlig sept full demo
OM
OT
Annet scenario. Alle er admin på egen maskin.
OT
Snakke om utfordringer med å ta bort lokal administrator tilgang.
OT
Dersom brukere må være lokal admin på egen maskin
OM
OM
OM
OM - OT
https://docs.microsoft.com/en-us/windows/device-security/security-policy-settings/user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation
OT – husk signeringsregel
OT
OT - Tradisjonelt har man måtte velge en balanse mellom sikkerhet, kost og brukervennlighet. Med skybaserteløsninger er kostnadsbilde endret, mange som deler på kostnadene for et avansert system som før var umulig for et lite til mellom stort firma er nå fult oppnålig
OM
OT – OM Få publikum til å komme med tilbakemeldinger om hva de ønsker
OM
Få publikum til å komme med tilbakemeldinger om hva de ønsker
OM
Få publikum til å komme med tilbakemeldinger om hva de ønsker
OM
Få publikum til å komme med tilbakemeldinger om hva de ønsker
OM
Få publikum til å komme med tilbakemeldinger om hva de ønsker
3-4 demoer
BGINFO
20 minutter slides
20-25 minutter demo
VISE APPLOCKER STEP-BY-STEP
Ha ferdig policy og klient.
Deretter bypass og deretter
https://atademoui.azurewebsites.net/#
SPAM MAILS
https://onedrive.live.com/?authkey=%21ADev0bfQMNxv504&cid=C96A3EEDCE316E4C&id=C96A3EEDCE316E4C%21114&parId=C96A3EEDCE316E4C%21109&o=OneUp
DEMO TRANSCRIPT:
ATA PLAYBOOK
APPLOCKER BYPASS
--Vise herding
UAC BYPASS
--Fjerne Lokal admin tilgang / LAPS
ATA