3 simpele manieren om je Windows-netwerk veiliger te maken

Als de beveiliging van jouw netwerk hoger is dan een netwerk in de buurt, zullen aanvallers de jouwe sneller met rust laten. Hier zijn drie manieren om de beveiliging van je Windows-netwerk vrij simpel te verbeteren.

Het is niet lastig om een heleboel aanvallen meteen uit te sluiten door simpelweg de lat hoger te leggen voor aanvallers. De meeste kwaadwillenden zoeken de weg van de minste weerstand en zijn niet eens gericht naar jouw netwerk op zoek. Deze stappen maken je niet immuun voor aanvallen, maar zorgen ervoor dat criminelen sneller op zoek gaan naar iemand anders.

1. Beveilig remote access

Slechteriken komen binnen op dezelfde manier als het personeel binnenkomt, los van of je nu op dit moment Citrix gebruikt. Het MITRE ATT&CK-framework somt een lijst op van poorten die doorgaans worden gebruikt voor remote access op servers en werkstations. Aanvallers kennen deze methoden ook en gaan op zoek naar deze toegangsmogelijkheden.

Als je bijvoorbeeld een van deze poorten open hebt staan en ontsluit richting het internet, is het aan te bevelen om ze ofwel te sluiten of om er tweefactor-authenticatie (2FA) op toe te passen, zodat alleen geautoriseerde personen er toegang tot hebben:

  • SSH (22/TCP)
  • Telnet (23/TCP)
  • FTP (21/TCP)
  • NetBIOS / SMB / Samba (139/TCP & 445/TCP)
  • LDAP (389/TCP)
  • Kerberos (88/TCP)
  • RDP / Terminal Services (3389/TCP)
  • HTTP/HTTP Management Services (80/TCP & 443/TCP)
  • MSSQL (1433/TCP)
  • Oracle (1521/TCP)
  • MySQL (3306/TCP)
  • VNC (5900/TCP)

Een populaire methode om binnen te komen is via een passwordspraying-aanval op het Remote Desktop Protocol (RDP). Third party-platforms als Duo.com kunnen 2FA op RDP-applicaties toepassen om dit soort aanvallen de pas af te snijden.

Kijk ook naar interne verbindingen als LDAP om zeker te maken dat je ze beveiligd configureert. Microsoft kondigde recentelijk aan dat LDAP-ondertekening wordt afgedwongen vanaf maart 2020, dus kijk nu naar jouw instellingen om te zien of het systeem klaar is voor deze wijziging.

Bekijk ook of je Kerberos-wachtwoorden moet resetten - vooral als je vermoedt dat credentials zijn hergebruikt in je organisatie en je oudere besturingssystemen hebt die je domein beheren als domeincontroller. Als je inmiddels gepensioneerde systemen hebt als Windows Server 2008 en 2008 R2 dan is het misschien een idee om de wachtwoorden te resetten van alle read/write domeincontrollers (RWDC) en read-only domeincontrollers (RODC).

2. Bescherm de credentials

Een doorsnee aanvalsscenario is dat een crimineel toegang krijgt door een phisingmail te sturen waarna een gebruiker zijn of haar inloggegevens invult. Als in het netwerk het lokale administrator-account hetzelfde wachtwoord heeft, kan de aanvaller de hash-waarde van één machine bemachtigen en deze in het gehele netwerk gebruiken. Je kunt deze 'pass the hash'-techniek op een aantal manieren moeilijker maken. Begin vast met het uitschakelen van de LAN Manager-hash en NTLMv1 in je netwerk.

Neem je wachtwoordbeleid door en vertel gebruikers dat ze sterkere wachtwoorden of wachtwoordzinnen gebruiken. Let er wel op dat als je vereist dat gebruikers vaak hun wachtwoord moeten wijzigen, ze daardoor meestal simpelere, onveiligere wachtwoorden kiezen. Om die reden raadt NIST dan ook aan niet meer af te dwingen om het wachtwoord automatisch te laten verlopen en resets af te dwingen bij verhoogde risico's door phishing of andere wachtwoordlekken.

Raad gebruikers aan om een wachtwoordmanager te nemen die zelf unieke wachtwoorden kiest en gebruik daarbij 2FA om je hoofdaccount te beschermen. Kijk naar de maximale lengte die wordt toegestaan; als een leverancier alleen kortere wachtwoorden toestaat, vraag dan bij de fabrikant na welke technische beperking voorkomt dat je een wachtwoordzin kunt gebruiken.

Gebruik de LAPS-toolkit om unieke wachtwoorden in te stellen voor lokale administratoraccounts. Dit zorgt ervoor dat een aanvaller niet lateraal kan bewegen in een netwerk als er eenmaal toegang is verkregen tot bijvoorbeeld een werkstation van een personeelslid. Zorg ervoor dat je multifactor-authenticatie (MFA) instelt op je administrator-accounts en op zoveel mogelijk gebruikersaccounts. Vaak is een wachtwoord het enige obstakel tussen jou en je aanvallers, dus maak het ze zo lastig mogelijk.

Zorg er ten slotte voor dat je geen slapende accounts hebt met zwakke beveiliging door een audit uit te voeren om te zien of er hashwaardes zijn achtergebleven, accounts zijn gedeeld of er andere onveilige instellingen zijn. Gebruik daarvoor het script Scan And Check All Accounts in AD Forest - Account And Password Hygiene en installeer de PowerShell-module voor Lithnet en DSInternals om de module te gebruiken om je Active Directory te controleren.

3. Browsers en e-mail zijn de nieuwe toegangspunten

Aanvallers weten dat gebruikers je zwakste schakel zijn. Ze weten ook dat gebruikers verleid kunnen worden tot klikken. Browsers en e-mails zijn dé toegangspunten tot het netwerk. Voor e-mail kijk dan naar (en beveilig tegen) aanvalstools als ruler die de client-side Outlook-features gebruiken en een shell kunnen openen op afstand.

Om zulke aanvallen tegen te gaan, zijn er tools als notruler voor on-premises uitrol om te kijken of je Exchange-omgeving is gecompromitteerd. Voor Office 365 kun je PowerShell gebruiken om te zien of er rules en injecties zijn opgezet.

Wat browsers betreft is het zaak om de policy's door te nemen en grenzen te stellen aan wat gebruikers kunnen downloaden en installeren in hun browser. Gebruik Group Policy of Intune om zulke beperkingen in te stellen. Nu Chromium-gebaseerd Edge binnenkort begint uit te rollen, is dit wellicht een uitstekend moment om ook naar de Edge-policy's in Group Policy te kijken.

Related:

Copyright © 2020 IDG Communications, Inc.

  
Shop Tech Products at Amazon