Kunnia Ukrainalle

 

Muuttuneen kyberturvallisuustilanteen johdosta, maanpuolustushengessä, päätin julkaista mahdollisimman yksinkertaiset ohjeet Windows-ympäristön puolustamiseen, ulkoista hyökkääjää vastaan. LUE KOKO KETJU, ja jos koet, että tästä on hyötyä à Retweet!

 

For all my English followers, normally I would tweet in English but this is a matter of protecting my own country. I’ll translate ASAP, until à Google.

 

Voisin ohjeistaa, että teidän pitää ottaa pois admin-oikat, asentaa AppLocker jne. mutta tosiasia on, että näitä ei tehdä päivässä, eikä kahdessa. Joten seuraavassa nopeat ohjeet, joilla on oikeasti merkitystä ja välitön teho, kyberhyökkäyksiä vastaan.

 

Tietoturva on lopulta yksinkertaista. Kyse on enemmän oikeista toimintatavoista, konsepteista, kuin kalliista tuotteista. Seuraavassa käyn läpi, mitä tekisin, jos olisin sotatilanteessa ja suojaus pitäisi saada äkkiä nostettua potenssiin kaksi, irroittamatta verkkoa Internetistä.

 

Ohjeet on tehty estämään kokonaisen ympäristön menetys. Pari sotilasta voidaan tässä menettää, mutta estetään vierasta tahoa valtaamasta koko firmaa. Yritykset eivät joudu uutisiin, koska heidän käyttäjä saa ransomwaren, vaan siksi, että koko yrityksen toiminta voidaan lamauttaa.

 

Ohjeet ovat yksinkertaisia, jotka auttavat kaikkia yrityksiä, joilla on hakemistopalvelu(AD/AAD). Näistä saadaan paremmat, jos yhdessä tehdään, juuri teille – Nyt kuitenkin on tarkoitus tehdä ohjeita, jotka sopivat kaikille.

 

Aina voi parantaa, mutta muistakaa, että tietoturvassa ei saa antaa täydellisen olla hyvän vihollinen. Nyt pitää TEHDÄ näitä asioita, jotta maan yritykset pysyvät turvassa! Ei ole aikaa siihen, että “Tämä ei ole 100% turvallinen” tai “Tämä vuotaa kuitenkin”.

Nyt parannetaan olemassa olevaa. Tehdään täydellisempää sitten kun perussuojaukset on kytketty!

 

1.       Tier0-suojaus. Jokaisen hyökkäyksen graalin malja on Domain Admin -tunnus. Jotta sitä ei voi varastaa, sen käyttö estetään siellä missä sitä ei tarvita. Osoita seuraava policy kaikille koneille, paitsi DC-koneille.

2.       Koska nyt et voi Domain Admin -tunnuksilla hallita kuin DC-koneita, lisätään seuraavalla policyllä asetus, jotta jatkossa käyttäjä, joka kuuluu ryhmään ComputerAdmins, saa hallita muita koneita.

3.       Sama Azuressa. Voit hoitaa saman, hieman eri tavoin. Tässä kuvissa vinkkiä miten teen sen Azuressa, ja toisessa miten estät käyttäjiä kirjautumasta portaaliin. https://techcommunity.microsoft.com/t5/intune-customer-success/new-settings-available-to-configure-local-user-group-membership/ba-p/3093207

Kun nämä on tehty, voit sitten myöhemmin hoitaa tämän tyylikkäämmin ja hajauttaa hallintaa vielä enemmän, ottaa käyttöön PAW:it yms. Nyt kuitenkin tuo DC:n suojaus on se tärkeä asia!

5.       PowerShell:in kommunikoinnin esto. PS:ää käytetään käytännössä kaikissa hyökkäyksissä. Se hyökkää, hakee käskyjä ja lähettää elintärkeää dataa hyökkääjälle. Estetään se, lisäämällä edellisellä policyllä Palomuurille Outbound-sääntöjä, kuvan mukaisesti:

6.       UAC-asetukset kuntoon. Jos sinulla on koneita, joihin joku kirjautuu Admin-tunnuksella, lisää tämä UAC-asetus tuohon policyyn. Jos ei, hienoa, 80% hyökkäyksistä ei toimi sinuun!

7.       Admin-tunnukset. Jos itse kirjaudut koneellesi admin-tunnuksella, kotona tai töissä, LOPETA SE! Koneesi toimii paremmin, joudut asentamaan sen harvemmin uudelleen ja SSD:si elää pidempään.

8.       Tee itsellesi toinen tunnus, joka on Admin, ja pudota nykyinen tavalliseksi käyttäjäksi. Jos sinulla on sormenjälkilukija, rekisteröi etusormi normikäyttäjälle ja keskisormi admin-käyttäjälle. Tästä lähtien käytät Admin-sormea vain UAC-kehotteen kysyessä, tai Putinille heiluttaessa.

9.       Siirtykää PAW-ajatteluun (Privileged Access Workstation), eli älkää surffatko niiltä koneilta, joilta teidän firman voi pudottaa polvilleen. Esim. Avata RDP-yhteyden DC-koneelle. Sitten joskus teette sen hienosti virtuaalikoneella, mutta nyt alkuun, toimikaa oikein.

10.   Ota MFA käyttöön kaikkialla. Jos sinulla on palvelimia, joissa RDP on auki, suojaa ne vaikka Cisco DUO:lla. Samoin ne koneet, joita käytät hallintaan. Jos et käytä RDP:tä, sulje se.

11.   Muista vielä “In security, don’t let perfect be the enemy of good”. Tee nyt nämä, hienostellaan ja viisastellaan sitten myöhemmin.

12.   Näiden lisäksi, lukekaa Hyppösen Mikon kirja “Internet” https://www.wsoy.fi/kirja/mikko-hypponen/internet/9789510464410

13.   Käännätän nämä seuraavaksi Ukrainaksi, sitten julkaisen myös Englanniksi. Kiitos.