SEC505: Protegendo o Windows e a automação do PowerShell (36 CPEs)

Deseja bloquear ataques ao Windows, impedir o movimento lateral de hackers dentro de sua LAN e impedir o roubo de credenciais administrativas? E você quer se divertir aprendendo scripts do PowerShell ao mesmo tempo? Então o SEC505 é o curso para você!

No SEC505, você aprenderá como usar o PowerShell para automatizar a segurança do Windows e proteger o próprio PowerShell. Nenhuma experiência anterior em script do PowerShell é necessária para fazer o curso, pois você aprenderá o PowerShell ao longo do caminho. Até mesmo escreveremos um script de ransomware do PowerShell em um laboratório para implementar melhores defesas de ransomware. O autor do curso, Jason Fossen, é um membro do corpo docente que ensinou PowerShell defensável no SANS por mais de uma década. Jason distribui seus scripts de segurança do PowerShell gratuitamente em https://BlueTeamPowerShell.com.

Quem deve participar do SEC505?

• Qualquer pessoa que queira aprender a automação do PowerShell
• Defensores da equipe azul (blue team)
• Administradores de endpoint e servidor do Windows
• Qualquer pessoa que implemente os controles de segurança críticos do CIS
• Qualquer pessoa que esteja implementando as mitigações MITRE ATT&CK

Você sairá deste curso pronto para começar a escrever seus próprios scripts do PowerShell para ajudar a proteger seu ambiente Windows. É fácil encontrar listas de verificação de segurança do Windows, mas como automatizar essas alterações em milhares de máquinas? Como você executa scripts com segurança em muitas caixas remotas? Neste curso, você aprenderá não apenas a segurança do Windows e do Active Directory, mas também como gerenciar a segurança usando o PowerShell.

NÃO APRENDA APENAS A SINTAXE DO POWERSHELL, APRENDA COMO APROVEITAR O POWERSHELL COMO UM MULTIPLICADOR DE FORÇA PARA A SEGURANÇA DO WINDOWS

Há outra razão pela qual o PowerShell se tornou popular: o PowerShell é simplesmente divertido! Você ficará surpreso com o quanto pode realizar com o PowerShell em um curto período de tempo – é muito mais do que apenas uma linguagem de script e você não precisa ser um guru de codificação para começar.

Aprender o PowerShell também é útil para outro tipo de segurança: segurança do trabalho. Os empregadores estão procurando pessoas de TI com habilidades em PowerShell. Você não precisa conhecer nenhum PowerShell para participar deste curso, aprenderemos juntos durante os laboratórios.

Você pode aprender a sintaxe básica do PowerShell no YouTube gratuitamente, mas esta semana vai muito além da sintaxe. Neste curso, aprenderemos a usar o PowerShell como plataforma de gerenciamento de segurança, como um “multiplicador de força” para o Blue Team e como um impulsionador de foguetes para sua carreira de TI do Windows.

VAMOS ESCREVER UM SCRIPT DE RANSOMWARE POWERSHELL E DEFENDER CONTRA ELE

Infelizmente, o PowerShell está sendo abusado por hackers e autores de malware. No último dia do curso, escreveremos nosso próprio script de ransomware para ver como se defender contra scripts como esse.

Este é um curso divertido e realmente esclarecedor, mesmo para administradores do Windows com anos de experiência. Venha se divertir aprendendo a segurança do PowerShell e do Windows ao mesmo tempo.

O autor do curso, Jason Fossen, é um bolsista do SANS Institute e escreve e ensina para SANS desde 1998. Na verdade, este curso (SEC505) teve pelo menos um dia de PowerShell por mais de dez anos, e agora o PowerShell é o peça central do curso.

Destaques do tópico

• Script do PowerShell da Instrumentação de Gerenciamento do Windows (WMI)
• Execução de comando remoto do PowerShell
• Núcleo do PowerShell com OpenSSH
• Administrador do PowerShell apenas o suficiente (JEA)
• Script do PowerShell do Active Directory
• Scripts do PowerShell para substituir o Microsoft LAPS
• Autenticação de certificado do PowerShell, como com YubiKeys
• Proteção do PowerShell de TLS, RDP e SMB
• Malware PowerShell e movimento lateral dentro da LAN
• Ransomware PowerShell – muito fácil, muito fácil

Requisitos do laptop

Importante! Configure o seu sistema de acordo com estas instruções!

É necessário um sistema devidamente configurado para participar plenamente deste curso. Se você não ler atentamente e seguir estas instruções, provavelmente sairá da aula insatisfeito porque não poderá participar de exercícios práticos essenciais para este curso. Portanto, recomendamos fortemente que você chegue com um sistema que atenda a todos os requisitos especificados para o curso.

Por favor, traga os seguintes itens com você quando participar do SEC505:

• Laptop com 8 GB ou mais de memória, uma porta USB, com qualquer sistema operacional de sua preferência.
• Você pode usar qualquer software de virtualização instalado localmente de sua preferência, como Oracle VirtualBox ou VMware, e então criar sua VM do Windows Server antes do primeiro dia de aula. Não execute ou crie uma VM em um servidor de virtualização remoto ou na nuvem.
• Baixe a versão de avaliação gratuita do Windows Server 2022 da Microsoft. Este arquivo ISO é gratuito e não requer um número de licença. Basta clicar em site:microsoft.com windows server trial eval para encontrar o download da ISO no site da Microsoft.
• Instale uma máquina virtual (VM) executando a versão de avaliação gratuita do Windows Server 2022. Ao instalar a VM do Windows Server, escolha a opção “Avaliação de datacenter do Windows Server 2022 (experiência na área de trabalho)”. Nenhuma outra configuração especial do SO é necessária; apenas aceite todos os padrões durante a instalação. Se você tiver alguma dúvida de configuração, entre em contato com SANS em laptop_prep@sans.org para obter ajuda amigável.

NOTA CRÍTICA: Os sistemas Apple que utilizam a linha de processadores M1 não podem executar a funcionalidade de virtualização necessária e, portanto, não podem de forma alguma ser usados ??para este curso.

Não aplique patches ou atualizações à VM do Windows Server.

Instale sua VM do Windows Server antes de chegar, não na manhã do treinamento. Isso garantirá que não haja problemas de firmware ou outros problemas com a criação de VMs.

Para mais informações sobre os requisitos de hardware e software, clique aqui.

GIAC Certified Windows System Administrator (GCWN)

A certificação GIAC Certified Windows System Administrator (GCWN) valida a capacidade de um profissional de proteger clientes e servidores Microsoft Windows. Os detentores da certificação GCWN têm o conhecimento e as habilidades necessárias para configurar e gerenciar a segurança dos sistemas operacionais e aplicativos da Microsoft, incluindo: PKI, IPSec, Política de Grupo, AppLocker, DNSSEC, PowerShell e proteção do Windows contra malware e adversários persistentes.

• Rede defensável
• Proteção de endpoint
• Sistema operacional e proteção de aplicativos
• Gerenciamento de PKI
• Restringindo o comprometimento administrativo
• Protegendo o PowerShell

Para mais informações sobre a certificação GIAC Certified Windows System Administrator (GCWN), clique aqui

SEÇÃO 1: Aprenda a usar scripts do PowerShell para segurança

A primeira seção do curso aborda o que você precisa saber para começar a usar o PowerShell. Você não precisa ter nenhuma experiência anterior em scripts ou programação. Temos laboratórios do PowerShell durante a semana, então hoje não é o único material do PowerShell. Começamos com o essencial e depois nos aprofundamos à medida que o curso avança. Não se preocupe, você não ficará para trás, os laboratórios do PowerShell orientam você em todas as etapas. Se você já tiver experiência em PowerShell, também haverá tópicos intermediários para você.

SEÇÃO 2: Você não conhece o PODER!

Como podemos executar scripts do PowerShell em milhares de sistemas com apenas algumas linhas de código? Este dia é sobre a execução remota de comandos usando o PowerShell Remoting, o serviço Secure Shell (SSH) no Windows, o serviço Agendador de Tarefas e scripts de inicialização atribuídos por meio da Diretiva de Grupo. SSH não é apenas para Linux. O Windows agora tem suporte interno para ele como cliente e servidor. Podemos usar as políticas Just Enough Admin (JEA) para bloquear todos os comandos remotos por padrão e permitir apenas os comandos e argumentos que queremos. E com o JEA, os comandos do PowerShell Remoting são magicamente (e com segurança?) elevados ao status de administrador, semelhante ao setuid root no Linux.

SEÇÃO 3: PowerShell para WMI e Active Directory

O PowerShell está profundamente integrado ao serviço Windows Management Instrumentation (WMI). Os hackers também adoram o serviço WMI, mas pelos motivos errados. O serviço WMI é habilitado por padrão e acessível pela rede. O Active Directory (AD) também é gerenciável por meio do PowerShell: podemos encontrar contas de usuários abandonadas e desativá-las, impor associações de grupos desejadas, redefinir senhas e muito mais. E as contas de administrador local? Não use o Microsoft LAPS! Existem maneiras melhores de proteger senhas de administrador, incluindo uma solução PowerShell que implementaremos em um laboratório. Com as permissões e auditoria adequadas do AD, combinadas com o PowerShell JEA em servidores de salto, podemos delegar autoridade de TI no AD com muito mais segurança.

SEÇÃO 4: Proteção dos serviços de rede com o PowerShell

No quarto dia, usaremos o PowerShell e a Diretiva de Grupo para automatizar a proteção de muitos serviços e protocolos exploráveis, como DNS, RDP e SMB. Veremos como usar o PowerShell para instalar funções, gerenciar serviços e realizar outras tarefas de segurança para DevOps. Por exemplo, regras de firewall e políticas IPsec podem ser aplicadas por meio do PowerShell. O truque é poder aplicar diferentes conjuntos de regras de firewall e IPsec a diferentes conjuntos de máquinas de maneira escalável, repetível e automatizada, daí a necessidade do PowerShell. O IPsec não é apenas para Redes Privadas Virtuais (VPNs)! Na verdade, não discutiremos VPNs nesta seção. O driver IPsec do Windows integrado pode autenticar usuários no Active Directory para implementar permissões de compartilhamento para nossas portas de escuta TCP/UDP com base nas associações de grupos globais de nossos usuários no Active Directory. Se você mudar para o Server Core ou Server Nano, conhecer o PowerShell se tornará um requisito de trabalho.

SEÇÃO 5: Autenticação multifator com cartões inteligentes e tokens inteligentes

Cartões inteligentes e tokens inteligentes, como YubiKeys, são o padrão ouro para autenticação multifator (MFA). No quinto dia, usaremos o PowerShell para instalar um servidor de certificado que pode ser usado para implantar cartões inteligentes e tokens USB inteligentes. Cartões inteligentes e tokens podem ser usados ??para PowerShell Remoting, assinatura de scripts do PowerShell, logons de Remote Desktop Protocol (RDP), Redes Privadas Virtuais e muito mais. Tudo o que você precisa para implantar uma solução completa de smart card/token para seus administradores está incluído no Windows. Se você tiver um chip Trusted Platform Module (TPM) em seu laptop ou tablet, o TPM também poderá ser usado como um cartão inteligente integrado. Os TPMs também protegem dados biométricos, criptografam chaves do BitLocker e ajudam a aprimorar o Windows 10 Credential Guard. O tráfego de rede do PowerShell Remoting pode ser criptografado com SSL/TLS. O servidor de destino é autenticado com seu certificado, assim como um servidor web usando HTTPS, mas como você instala certificados SSL/TLS em milhares de estações de trabalho e servidores? Vamos mostrar-lhe como fazer isso.

SEÇÃO 6: Capstone: PowerShell Security, Ransomware e DevOps

No sexto dia, escreveremos um script de ransomware do PowerShell e o liberaremos dentro de nossa máquina virtual de treinamento (não o libere, você irá para a prisão federal). O objetivo desse hacking ético é discutir defesas: como podemos proteger o próprio PowerShell? O PowerShell não é uma ferramenta única, portanto, devemos implantar várias defesas em profundidade. Mais importante ainda, devemos evitar o comprometimento das credenciais de administrador de domínio. As ferramentas de hackers do PowerShell e o ransomware com credenciais de administrador de domínio são quase imparáveis! Como base para reunir o material da semana, também criaremos um script no estilo DevOps para reconfigurar quase todos os recursos de segurança discutidos durante a semana. O objetivo é ter um script completo que possa reconfigurar tudo de forma ideal. Em breve, todos precisaremos ser “engenheiros de pilha completa” para automação (e segurança no trabalho).

• Presume-se uma familiaridade geral com os conceitos do Windows Server e do Active Directory, mas você não precisa ser um especialista.
• Você deve se sentir à vontade para abrir um shell de comando e executar scripts com argumentos.
• Não é necessária experiência anterior em scripts do PowerShell. Aprenderemos juntos os fundamentos da codificação do PowerShell.

O que você vai aprender

AUTOMAÇÃO DE SEGURANÇA DO WINDOWS SIGNIFICA POWERSHELL

Neste curso (SEC505) você aprenderá como:

• Escrever scripts do PowerShell para automação de segurança do Windows e Active Directory
• Executar scripts do PowerShell com segurança em milhares de hosts pela rede
• Defender-se contra malware do PowerShell, como ransomware
• Proteger o Windows Server e o Windows 10/11 contra invasores qualificados
• Em particular, usaremos o PowerShell para proteger o Windows contra muitos dos ataques descritos na matriz MITRE ATT&CK, especialmente credenciais administrativas roubadas, ransomware, movimentação lateral de hackers dentro da LAN e protocolos inseguros do Windows, como RDP e SMB.

Adicionalmente você poderá:

• Escrever scripts do PowerShell para automação de segurança.
• Executar scripts do PowerShell em sistemas remotos.
• Protege o próprio PowerShell contra abuso e habilite o log de transcrição para seu SIEM.
• Usar o PowerShell para acessar o serviço WMI para execução remota de comandos, pesquisa de logs de eventos, reconhecimento e muito mais.
• Usar a Diretiva de Grupo e o PowerShell para conceder privilégios administrativos de uma maneira que reduza os danos se um ataque for bem-sucedido (supor violação).
• Bloquear o movimento lateral de hackers e ransomware usando o Firewall do Windows, IPsec, proteções de credenciais de administrador e muito mais.
• Evitar a exploração usando o AppLocker e outras técnicas de proteção do sistema operacional Windows de maneira escalável com o PowerShell.
• Configurar a comunicação remota do PowerShell para usar as políticas Just Enough Admin (JEA) para criar uma versão do Windows do Linux sudo e setuid root.
• Configurar mitigações contra ataques pass-the-hash, Kerberos Golden Tickets, ataques man-in-the-middle do Remote Desktop Protocol (RDP), abuso do Security Access Token e outros ataques discutidos no SEC504 e outros cursos de hacking SANS.
• Instalar e gerencie uma infraestrutura de chave pública (PKI) completa do Windows, incluindo cartões inteligentes, registro automático de certificado, respondedores da Web do protocolo de status de certificado online (OCSP) e detecção de autenticações de certificado (CAs) raiz falsificadas.
• Proteger protocolos essenciais contra exploração, como SSL, RDP, DNS, PowerShell Remoting e SMB.