mdit.no

SMB Hardening – Del 2, praktisk gjennomføring.

Written by

[email protected]

in

Vi gjennomgår hvordan man praktisk herder angrepsflaten gjennom innstramminger knyttet til SMB-bruk i Active Directory.

Det har vært tett mellom slagene med jobb og kurs, så bloggen har måttet settes i baksetet en liten stund, men er nå i gang igjen.

Disable SMBv1

Vi kan slå av SMBv1 ved å dytte ut en registernøkkel via group policy:

GPO -> Computer Configuration -> Preferences -> Windows Settings -> Registry -> New -> Registry Item

Action: Create
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Value name: SMB1
Value type: REG_DWORD
Value data: 0

Registernøkkelen kan pushes ut via group policy som følger:

Her ser vi registernøkkel som deaktiverer SMBv1, og den pushes ut via group policy.

Krev signering

GPO -> Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Digitally sign communications (always): Enabled.

Denne innstillingen i en GPO vil sette krav om signering av SMB for servere, og anbefales å slås på først.
Denne innstillingen i en GPO vil sette krav om signering av SMB for klienter, og anbefales å settes på i andre rekke.

Dersom dette knekker en tjeneste kan man eventuelt lage unntak for gitte maskiner, dersom det er helt kritiske tjenester, men bør unngås dersom det er mulig.

NB! Dette bryter gjestekonto-tilgang til fileshares.

Resulterende policyinnstillinger vil se slik ut, dersom man lager en egen SMB policy, slik jeg har gjort i mitt labmiljø.

Konfigurerte innstillinger for SMB i gruppepolicy.

Verifikasjon

Man kan verifisere riktige innstillinger med f.eks powershell

Get-SMBServerConfiguration
Vi ser EnableSMB1Protocol er False, EnableSMB2Protocol er True, og RequireSecuritySignature er True.

I neste innlegg skal jeg vise hvordan man tar i bruk kryptering i forbindelse med SMB fileshares, noe mange forveksler med signering.

More posts