Vad står CIS för?
Center for Internet Security
Vad är CIS?
CIS är en samling säkerhetsrekomendationer för att skydda system. Publicerar ramverk och konfigurationsriktlinjer som hjälper organisationer att etablera en säker och standardiserad IT-miljö.
Hur används CIS för att stärka säkerheten i en organisation?
CIS Controls används för att fastställa en minimumnivå av cybersäkerhet, styra riskreducerande åtgärder, mäta och följa säkerhetsnivåer.
CIS Benchmark omfattar detaljerade konfigurationsrekommendationer för specifika system som t.ex. Windows Desktop/Server, AD och molnplattformar. Används för att härda OS, fastställa GPO-mallar för säker konfiguration och säkerställer att minimikrav uppfylls i hela miljön.
Vad är AD?
Activer Directory är Microsofts katalogtjänst för identitets-, åtkomst- och resursadministration i Windows-baserade nätverk.
Beskriv översiktligt centrala komponenter i AD.
Domain Controllers = Auktoritativa servrar för autentisering och katalogdata
AD Directory Service = Logiska strukturer som domäner, träd och skog
Group Policy = Centrala policies för konfiguration av klienter och servrar
Delegation och RBAC = Styr vem som får göra vad i AD
Beskriv översiktligt vanliga säkerhetsproblem relaterat till AD.
Vanliga säkerhetsproblem omfattar överprivilegierade konton, svaga eller läckta autentiseringsmetoder, risk för Lateral Movement, felaktig GPO-hantering, otillräcklig övervakning och administrativa verktyg på klienter.
Beskriv autentiseringsprocessen i Windows
Bygger på att användarens identitet verifieras lokalt eller mot AD. Involverar komponenter som LSA (Local Security Authority), LSASS (Local Security Authority Subsystem Service) och credential providers.
Beskriv autentiseringsprocessen i NTLM.
NTLM = NT LAN Manager = Äldre challenge-response-protokoll som baseras på hastade lösenord. Kräver ingen tidssynkronisering mellan klient och DC. Större risk för relay-attacker, svagare skydd mot credential theft och använder inte ömsesidig autentisering.
Beskriv autentiseringsprocessen i Kerberos.
Huvudautentiseringsprotokollet i moderna AD-miljöer. Baseras på TGT och service tickets och symmetriska nycklar. Använder ömsesidig autentisering mellan klient och server och kräver tidssynkronisering. Risk för Constrained/Unconstrained Delegation, Kerberoasting (svagt skyddade service accounts), ticket-förfalskning vid kompromettering.
Hur kan man förbättra säkerheten för identiteter. (Windows, NTLM, Kerberos)
För att förbättra säkerheten bör man minimera NTLM och i största möjliga utsträckning använda Kerberos. Man kan stärka Kerberos-konfigurationer, implementera MFA för alla admin konton, sätta Credential Guard på Windows-klienter, använda Privileged Access Workstations och använda starka lösenord eller lösenordsfria alternativ.
Beskriv LAPS (Local Administrator Password Solution) och varför det är viktigt att använda.
LAPS hanterar lösenordet för det lokala administratörskontot på Windows-klienter genom att generera slumpmässiga, unika och komplexa lösenord som roteras automatiskt enligt policy. Dessa lagras säkert i AD-attribut med åtkomstkontroll. Endast auktoriserad personal har möjlighet att vid behov tillgå dem.
Viktigt att använda för att eliminera problemet med delat lokalt administratörslåsenord och förhindrar återanvändning av lösenord mellan maskiner.
Beskriv hur man kan öka tillgängligheten för lokal lagring.
I en Windows-kontext handlar ökad tillgänglighet för lokal lagring främst om residens, redundans och feltolerans. Använd RAID, lagringspooler eller Storage spaces för redundans. RAID är en teknik för att kombinera flera fysiska diskar till en logisk enhet för prestanda och/eller redundans.
Beskriv lämpliga rutiner för att hantera backup-rutiner.
Etablering av välstrukturerade backup-rutiner är centralt för både tillgänglighet och återställningsförmåga. Grundprinciperna inkluderar strategi och planering, backup-arkitektur som följer 3-2-1 principen (3 kopior av data, lagrade på 2 typer av media, 1 offside eller isolerad), säkerhetskontroller och operativ drift.
Beskriv syftet med ett failover sluser samt ge en enkel förklaring av hur ett kluster fungerar.
Ett failover cluster används för att säkerställa hög tillgänglighet för applikationer, tjänster och lagring. Syftet är att eliminera enskilda felpunkter genom redundans mellan flera noder. Upprätthåller tillgänglighet vid hårdvarufel, OS-krascher eller planerat underhåll. Förhindrar driftavbrott för verksamhetskritiska system.
Enkel förklaring: Ett kluster består av två eller flera servrar (noder) som samarbetar. En resurs körs normalt på en aktiv nod. Noderna övervakar varandra genom en heartbeat-mekanism så om en aktiv nod slutar svara tar en annan nod automatiskt över resursen.
Definiera Credential Guard.
En Windows-säkerhetsfunktion som skyddar autentiseringshemligheter genom att isolera dem från OS. Det innebär att Virtualization-Based Security (VBS) används för att skapa en skyddad minnesdomän dit vanliga processer inte har åtkomst. LSASS-hemligheter, som Kerberos tickets och NTLM-hashar, skyddas vilket förhindrar angrepp. OS-kärnan och de mest kritiska autentiseringsnycklarna separeras. Effekten är att även om en angripare får administratörsbehörighet i OS-containern så kan man inte komma åt skyddade inloggningsuppgifter.
Beskriv verktyget Security Compliance Toolkit (SCT)
Microsofts verktygssamling för att implementera och utvärdera säkerhetsbaselines i Windows-miljöer. Centrala funktioner är:
Baselines som tillhandahåller Microsofts rekommenderade säkerhetsinställningar för Windows-klienter, Windows Server, Microsoft 365 och Edge.
GPO-mallar som kan importeras och som implementerar Microsofts security baselines direkt i domänen.
Analys av konfigurationer: Verktyg som LGPO.exe och Policy Analyser kan jämföra och validera policies mellan system eller GPO:er.
–> Hjälper organisationer att verifiera att AD-grupper, klienter och servrar följer definierade säkerhetskrav. Används för centraliserad härdning av Windows-miljöer, reducering av attackyta, standardisering över klientpopulation och kontinuerlig compliance-granskning.
Beskriv och förklara syftet med Authentication Policy Silos
En AD-funktion som begränsar vilka konton som får autentisera mot vilka datorer. Genom Auth Silos kan administratören definiera att vissa känsliga konton endast får logga in på specifika, säkra enheter. Detta minimerar lateral movement och skyddar höga privilegier genom att förhindra inloggning på osäkra klienter.
Beskriv och förklara syftet med Password Policies
Regler som styr lösenordslängd, komplexitet, historik och giltighetstid. Hanteras via Group Policy i AD.
Beskriv och förklara syftet med Read-Only Domain Controller (RODC)
Domänkontrollant som lagrar en skrivskyddad kopia av AD. Används främst i filialkontor där fysisk säkerhet inte kan garanteras. RODC kan cacha utvalda lösenord men inte ändra AD-data. Ökar säkerheten i osäkra miljöer genom att begränsa effekten av ett fysiskt intrång.
Beskriv och förklara syftet med Protected User-gruppen
En AD-grupp med särskilt skyddade autentiseringsbeteenden. Konton i gruppen får inte använda NTLM, svaga chiffer eller spara tickets lokalt. Reducerar risken för credential theft-attacker mot känsliga användare.
Beskriv och förklara syftet med BitLocker
Full diskkryptering för Windows-enheter. Krypterar volymer och skyddar data vid fysisk åtkomst eller stöld. Integreras med TPM, PIN eller nycklar. Förhindrar att data exponeras om enheten hamnar i fel händer.
Beskriv och förklara syftet med Encrypting File System (EFS)
En fil- och mappbaserad kryptering i Windows. Krypterar enskilda filer med användarens certifikat, inte hela disken. Skyddar specifika filer även när systemet är igång och andra användare har tillgång till datorn.
Beskriv och förklara syftet med Portable Data Encryption (PDE)
En krypteringsteknik för flyttbara enheter. Erbjuds via Bitlocker To GO och liknande lösningar. Skyddar data som transporteras utanför organisationens kontrollzon.
Beskriv och förklara syftet med User Account Control (UAC)
En säkerhetsfunktion som skiljer standard privilegier från admin privilegier. Visar prompt när en applikation kräver högre behörigheter och kör program som standardanvändare som baseline. Minskar risken för oavsiktlig eller illvillig körning av systemkritiska operationer.
