Microsoft меняет настройки по умолчанию по разным причинам, но некоторые недавние ключевые изменения защитят нас от атак, особенно программ-вымогателей. Это включает в себя блокировку макросов по умолчанию, ограничение собственных инструментов, используемых злоумышленниками, и активацию Credential Guard по умолчанию.
Блокировка макросов Place of job 365
Первое серьезное изменение в Place of job 365 по умолчанию блокирует интернет-макросы по умолчанию. Запуск вредоносных макросов — это распространенный способ, с помощью которого злоумышленники могут получить доступ к компьютерным системам и запустить латеральные атаки. В частности, приложение Visible Elementary, полученное из Интернета, будет заблокировано по умолчанию. Установка этого значения по умолчанию будет означать, что вы будете лучше защищены. Если вы загрузили шаблоны на основе макросов с веб-сайтов, отметьте эти файлы как надежные и удалите с них «отметку Интернета», чтобы убедиться, что они продолжают работать.
Это изменение касается только Place of job на устройствах под управлением Home windows и Get admission to, Excel, PowerPoint, Visio и Phrase. Изменение начнет развертываться в версии 2203, начиная с текущего канала (предварительная версия) в начале апреля 2022 года. Позже изменение будет доступно в других каналах обновления, таких как текущий канал, ежемесячный корпоративный канал и полугодовой корпоративный канал. . Дата, которая будет определена, Microsoft планирует внести это изменение в Place of job LTSC, Place of job 2021, Place of job 2019, Place of job 2016 и Place of job 2013.
Вам также следует решить, хотите ли вы предпринять действия для блокировки других параметров макроса с помощью Intune с Azure Lively Listing или групповой политики с Lively Listing. С помощью настроек групповой политики администраторы могли блокировать макросы по умолчанию еще в Place of job 2016. Сначала загрузите соответствующий административный шаблон групповой политики. Затем решите, как вы хотите лучше контролировать файлы Place of job. Вы можете контролировать следующее:
- Измените параметры предупреждения системы безопасности для макросов Visible Elementary для приложений (VBA). Сюда входит отключение макросов VBA, включение всех макросов VBA и изменение способа уведомления пользователей о макросах VBA.
- Блокируйте запуск макросов VBA в файлах Phrase, Excel, PowerPoint, Get admission to и Visio из Интернета.
- Отключить VBA.
- Изменение поведения макросов VBA в приложениях, которые запускаются программно с помощью автоматизации.
- Измените, как антивирусное программное обеспечение сканирует зашифрованные макросы VBA.
Вы даже можете полностью отключить Visible Elementary для приложений в своей сети с помощью параметра групповой политики «Отключить VBA для приложений Place of job».
Злоумышленникам будет сложнее жить за счет земли
Microsoft также начинает отключать некоторые из методов атаки «жить за пределами земли» (LOL). Жизнь за счет земли (LOL) или жизнь за счет двоичных файлов и сценариев (LOLBAS) — это использование файлов и инструментов, встроенных в операционную систему. Если злоумышленник не внесет в вашу систему никакого нового кода, когда он начнет свою атаку, гораздо сложнее идентифицировать и обнаружить атаку. Все больше атак переходят на методы LOL.
Microsoft движется к отключению и определению того, какой код однозначно разрешен для запуска в системе. Он устаревает или постепенно отходит от инструмента Home windows Control Instrumentation Command (WMIC). Хотя сам WMI не затронут, Microsoft рекомендует Home windows PowerShell для WMI в будущем. Хотя это никоим образом не остановит атаки, это еще один шаг к тому, чтобы злоумышленникам было немного сложнее использовать методы и инструменты, встроенные в операционную систему.
Включение Credential Guard по умолчанию
Microsoft начинает тестировать возможности таких инструментов, как Credential Guard, для соответствующих систем Home windows. В предварительной сборке Insider 22526 Credential Guard будет включен по умолчанию для Home windows Undertaking и лицензиатов E5. Credential Guard использует систему безопасности на основе виртуализации, чтобы изолировать секретные и важные данные для их защиты. Он защищает вас, когда неограниченное делегирование используется для гнусных задач, таких как кража вашей службы выдачи билетов в Kerberos. Поскольку Credential Guard по умолчанию ограничен машинами с лицензией Home windows Undertaking E5, он не будет иметь такого широкого влияния, как ограничение макросов Place of job.
Ограничения на изменение настроек Microsoft по умолчанию
Злоумышленники, которые злоупотребляют этими настройками компьютерной системы, часто существуют годами. Мы могли бы лишить злоумышленников возможности получить больше доступа, протестировав и внедрив эти настройки самостоятельно, но слишком часто устаревшее программное обеспечение требует определенных настроек для работы. Атаку Kerberoasting, например, можно полностью победить, если все ваше ПО поддерживает более современные настройки. Устаревшее программное обеспечение не поддерживает эти настройки, поскольку оно не поддерживает предварительную авторизацию или другие современные процессы проверки подлинности.
Kerberoasting известен с тех пор, как был обнаружен Тимом Медином в 2014 году. Он позволяет злоумышленнику с обычными привилегиями пользователя в среде Microsoft Home windows Lively Listing получить хэш для служебной учетной записи в той же среде Lively Listing. Если учетная запись службы настроена со слабым паролем, злоумышленник может использовать методы взлома пароля, чтобы получить пароль в открытом виде из хэша, полученного в результате атаки Kerberoast.
Мы можем внести эти изменения, если только потратим время на проверку их влияния на наши сети. Базовые показатели безопасности были представлены корпорацией Майкрософт в течение многих лет, но мы часто не уделяем время изучению и внедрению рекомендаций. Отключение настроек в Home windows часто имеет побочные эффекты, которых вы не ожидали, но это позволяет вашим системам и сети быть более безопасными и более устойчивыми к атакам.
Я предсказываю, что Microsoft сделает больше таких настроек «по умолчанию», которые повлияют на вашу сеть. Вместо того, чтобы рассматривать это как то, что Microsoft не может протестировать и сообщить о влиянии, рассмотрите это как указание на то, что вашим поставщикам также необходимо активизироваться и работать лучше. Слишком часто безопасность наших сетей устанавливается не операционной системой, а настройками и компромиссами, которые мы делаем в соответствии с указаниями наших поставщиков. Сеть в конечном счете должна удовлетворять потребности бизнеса, но не в ущерб безопасности. Потратьте время, чтобы посмотреть на свои текущие значения по умолчанию и посмотреть, сможете ли вы заставить себя — и своих поставщиков — работать лучше.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/