Windows Hardening Flashcards
Vad är det som kännetecknar en Workgroup?
I en Workgroup är alla datorer peers, d.v.s ingen dator har kontroll över en annan dator.
Varje dator har en egen uppsättning användarkonton och det finns oftast inte så många datorer i varje workgroup.
Vad är det som kännetecknar en Microsoft domain?
En eller flera datorer är servrar som bl.a. kontrollerar säkerhet och behörigheter för alla datorer på domänen.
Du kan logga in på valfri dator i domänen med ditt användarkonto.
Oftast ett stort antal enheter inom en domän, jämfört med en Workgroup.
Hur fungerar en seriell databuss?
Data packas och skickas sekventiellt över en enda kanal.
Hur fungerar en parallell databuss?
Datapaket kan skickas samtidigt via flera kanaler.
Windows Server Software Arkitekturen har två olika “modes”.
Vilka är dessa?
User mode & Kernel mode.
Du behöver 7 stycken Hyper-V containers.
Vilken version av Windows Server 2019 ska du välja, Standard eller Datacenter?
Datacenter, denna har stöd av ett obegränsat antal medan standard endast har stöd för 2.
Server Core är ett minimalt GUI-installationsalternativ.
Vilka är fördelarna med att välja detta?
Minskad servicekostnad
Minskad administrativ kostnad
Minskad resurskostnad
Minskad attackyta på systemet
Specifikt endast för Server Core-installationer är detta ett kommandoradstyrt administrativt verktyg som låter dig utföra de grundläggande serveradministrativa uppgifterna.
Vilket verktyg åsyftas?
Sconfig.cmd.
Vad är en serverroll?
En roll är serverns primära funktion/funktioner som är en gruppering av funktioner och tjänster som serveradministratören anger.
Exempel på en serverroll inkluderar bl.a. DNS & webbserver.
Vad är en serverfeature?
Features är oberoende komponenter som ofta stöder rolltjänster eller stöder servern direkt.
Exempelvis Windows Server Backup är en feature.
Vad är en service?
Ett bakgrundsprogram som utför en tjänst.
Exempelvis Print Spooler, som läser in filer i minnet för utskrift.
Förklara en Device driver:
En Device Driver (enhetsdrivrutin) är ett litet program som gör att datorn kan kommunicera med en specifik hårdvaruenhet (device).
Är det möjligt att installera en osignerad drivrutin i 64-bitars Windows?
Nej, en drivrutin som inte har en giltig digital signatur eller som ändrades efter att den signerades kan inte installeras på 64-bitarsversioner av Windows.
Vad är Windows Deployment Services?
Windows Deployment Services är till för automatisk distribution av Windows-operativsystemet. Är ett exempel på en serverroll.
Vad har MSConfig.exe för funktion?
Ändra i Windows Server-inställningar och felsöka problem vid uppstarten av systemet. Är ett systemkonfigurations- och hanteringsverktyg.
Vad står AD DS för?
Active Directory Domain Services
Förklara kort vad AD DS är:
AD DS-databasen är det centrala navet för alla domänobjekt, till exempel användarkonton, datorkonton och grupper.
Om du har en samling domäner under samma AD DS, vad kallas då detta?
En forest.
Vad finner du i en Domain controller?
En uppsättning av AD DS-databasen.
För de flesta operationer kan varje domänkontrollant bearbeta ändringar och replikera ändringarna till alla andra domänkontrollanter i domänen.
Vad är ett schema?
Ett schema är en uppsättning definitioner av objekttyper och attribut som du använder för att skapa objekt i AD DS.
Vad är en domän?
En domän definieras som en logisk grupp av nätverksobjekt (ex. datorer, användare, nätverksenheter) som delar samma Active Directory-databas.
Vad är en Organisationsenhet OU?
Organisationsenheter (OU) i en AD DS-hanterad domän gör det möjligt att logiskt gruppera objekt, till exempel användarkonton, servicekonton eller dator konton.
Du kan sedan tilldela administratörer till specifika OUs och tillämpa gruppolicies för att implementera aktuella konfigurationsinställningar.
Hur fungerar en Read-only domain controller (RODC)?
EN RODC är en skrivskyddad domänkontrollant som innehåller en skrivskyddad AD DS-databaskopia.
En RODC använder sig av enkelriktad replikering. Vad innebär detta?
Detta innebär att replikering bara sker från en skrivbar domänkontrollant till RODC. RODC kan inte sprida felinformation till resten av domänen, även om en ändring görs på RODC.
Vad står AAA för?
Authentication, Authorization, and Accounting
När är det lämpligt att skapa en OU?
När du vill konfigurera objekt genom att tilldela GPOs (Group Policy Objects) eller delegera administrativa rättigheter.
Vad är en forest ?
En Forest är en samling Trees som delar en gemensam global katalog, schema, logisk struktur och katalogkonfiguration.
En Forest representerar säkerhetsgränsen inom vilken användare, datorer, grupper och andra objekt är tillgängliga. Inga användare utanför en Forest kan komma åt resurserna på insidan.
Vad är Privileged Access Management (PAM)?
PAM lägger till skydd till privilegierade grupper som kontrollerar åtkomsten på många olika domänanslutna datorer och program på dessa datorer.
Detta gör det möjligt för organisationer att se vem deras privilegierade administratörer är och vad de gör.
Vad är en Global catalog?
En global katalogserver är en domänkontrollant som lagrar kopior av alla Active Directory-objekt i din forest .
På varje domänkontrollant finns det en data store som innehåller AD DS-databasen. AD-informationen finns i en speciell fil med tillhörande loggfiler.
Vad heter denna fil?
Ntds.dit
När du ändrar valfritt objekt i en domän så skickar domänkontrollanten ut information om detta till de andra domänkontrollanterna i domänen.
Vad heter den model som tillåter alla domänkontrollanter att göra ändringar i objekt?
Multi-master replication model.
Windows Auditing är ett system för att logga händelser i systemet. Vilka typer av händelser kan du logga?
Exempelvis:
Försök att komma åt och logga in på en viss enhet, oavsett om dessa försök är framgångsrika eller inte.
Ändringar i Active Directory-konfigurationer eller användarprofiler.
Klient-serveråtkomst från en fjärrmaskin till en Windows-server.
Vad är en viktig begränsning för Containers?
Det är inte möjligt att tillämpa en GPO direkt på en container.
Här hamnar nya datorkonton som du skapar i domänen per default:
Computers containern
Vad är Microsoft Passport?
Ett nyckelbaserat autentiseringssystem.
Användare loggar in med en PIN-kod eller biometrisk information som är länkad till ett digitalt certifikat eller ett asymmetriskt nyckelpar.
Vad heter den funktionen som gör att du kan integrera AD DS lokalt med Azure AD?
Azure AD Connect
Är det lämpligt att endast ha en domänkontrollant för AD DS?
Nej, för redundansskäl är det bäst att alltid ha minst två domänkontrollanter.
Varje domänkontrollant innehåller en kopia av AD DS-databasen och SYSVOL-mappen.
Vad innehåller SYSVOL-mappen?
SYSVOL-mappen innehåller alla template-inställningar och filer för GPO.
Vad heter den open source-autentiseringstjänst som användarkonton och datorkonton använder för inloggningsautentisering?
Kerberos
I en AD DS-domän finns det flera roller som är distribuerade över domänkontrollanterna.
Vilka är de 5 FSMO rollerna? (Flexible Single Master Operation)
Schema Master - en per forest
Domain Naming Master - en per forest
Relative ID (RID) Master - en per domän
Primary Domain Controller (PDC) Emulator - en per domän
Infrastructure Master - en per domän
Vilket nummer slutar alltid Domänadministratörskontots SID med?
500
Vad heter den .exe fil som används för att lägga till eller ta bort en domänkontrollant i din forest?
dcpromo.exe
Vilket verktyg använder du för att överta en DC-roll för en maskin som ligger nere?
Kommandoradsverktyget ntdsutil.exe
Vad är en Stub Zone?
Stubzoner är som en sekundär zon, men lagrar endast partiell zondata.
Dessa zoner är användbara för att minska zonöverföringar genom att skicka förfrågningarna till auktoritativa servrar. Dessa zoner innehåller endast SOA-, NS- och A-records.
När du ska planera din OU-struktur så finns det 4 huvudsakliga “strategier” du kan använda. Vilka är dessa?
Location-based strategy
Resource-based strategy
Multitenancy-based strategy
Organization-based strategy
(Det går även att skapa en egen hybridmodell utefter dessa)
För vilka lämpar sig en Multitenancy-baserad OU-strategi?
Exempelvis för organisationer som tillhandahåller Active Directory-infrastrukturen som en tjänst (IaaS) till andra organisationer.
Det kan vara en grupp anslutna organisationer som delar samma domän, outsourcad miljö eller en privat/offentlig molnleverantör.
Vad är viktigt att tänka på när du designar din OU-struktur?
OU-strukturen ska främst anpassas till administrativa ändamål. Undvik att efterlikna din organisationstruktur, såvida det inte gynnar dig administrativt.
Tänk även på att ge rum för framtida expansion.
Vilken är den första versionen av Windows Server som har funktionen “Protect OUs from Accidental Deletion”?
Windows Server 2008
Vad händer när du flyttar ett objekt från en OU till en annan?
Filrättigheter i en disk som tilldelats till objektet förblir intakta.
Objektet kommer att ärva nya behörigheter från sin nya OU och kommer att förlora alla ärvda behörigheter från föregående OU.
När användare loggar in på en Active Directory-domän får de ett “Token”.
Vad innehåller ett token?
En lista över SID, användarens individuella konto, historiska konton, om användaren har migrerats och varje grupp användaren tillhör.
Vilken standardgrupp har fullständiga behörigheter till alla objekt i en domän?
Domain Administrators.
Vad är ett User Principal Name (UPN)?
Ett User Principal Name (UPN) är namnet på en AD systemanvändare i ett e-postadressformat. En UPN (till exempel mario.parada@domain.com) består av användarnamnet, separator (@-symbolen) och domännamnet (UPN-suffix).
Tänk på att detta INTE är en email-adress, det följer bara samma struktur.
Om Mario ska ta tjänstledigt från sin tjänst i 6 månader och inte kommer ha behov av ett användarkonto, vad är då best practice att göra med kontot?
Det bästa är att markera Marios konto som “disabled” snarare än att radera det.
Har användaren ett Exchange-mailkonto så raderas även detta om du raderar kontot.
De flesta användare i en viss avdelning eller OU kommer att dela många vanliga attribut som gruppmedlemskap och hemkatalogplats.
Vad är fördelen med att använda User Templates och vad är viktigt att tänka på?
User Templates kan minska tiden som krävs för att skapa nya användarkonton. De ökar också säkerheten och minskar risken för fel när du ställer in egenskaper för användare.
Det är viktigt att du inaktiverar mallkontot så att det inte kan användas för att logga in!
I Windows Server 2019 enterprise-nätverk finns det två olika typer av grupper, Distribution och Security.
Vad skiljer dessa två åt?
Distributionsgrupper är inte säkerhetsaktiverade (Ej SID). Dessa används endast för email-applikationer.
Säkerhetsgrupper är säkerhetsaktiverade (SID) och du använder dem för att tilldela behörigheter till olika resurser. Security är även defaultinställningen för nya grupper.
Du kan närsomhelst konvertera grupper till och från de två olika grupptyperna.
Vad händer om du konverterar en grupp från Security till Distribution?
Distrubutiongruppen tappar ALLA behörigheter den tilldelats, även om ACL:erna fortfarande innehåller SID.
Gruppens “Scope” avgör vem som kan vara medlem i gruppen och var gruppen kan användas. Utöver lokala grupper som endast finns på den lokala datorn så finns det tre olika typer av Group Scopes; gruppomfång.
Vilka är dessa tre ?
Domain Local Groups
Global Groups
Universal Groups
Beskriv en Domain Local Group:
Endast synliga i den egna domänen. Av den anledningen kan lokala securitygrupper användas för att bevilja rättigheter och behörigheter endast för resurser som finns i samma domän där den lokala domängruppen finns. Lokala domängrupper kan innehålla Domain Local Groups endast från samma domän, men användare, datorer och alla andra grupptyper från samma domän och betrodda domäner (alla domäner i din forest).
Beskriv en Global Group:
Synliga genom hela foresten, men kan bara innehålla konton och globala grupper från SAMMA domän.
Gruppen själv kan vara medlem i Universal- och Local Domain Groups inom vilken domän som helst och Global Groups inom sin egen domän. Global Groups används för att organisera användare som delar samma arbetsuppgifter eller avdelning etc.
Du bör inte tilldela behörigheter direkt till Global Groups, Local Domain Groups är mer lämpliga för det.
Beskriv en Universal Group:
Synliga genom hela Foresten och kan innehålla konton, Global Groups och andra Universal Groups från vilken domän som helst i foresten (men de kan inte innehålla lokala domängrupper).
Universal Groups bör användas för att samla ihop Global Groups. Genom att göra det kan gruppen tilldela behörigheter till resurser på flera domäner.
Vad står gruppnestingmodellen IGDLA för?
Identities (I); Global Groups (G); Domain Local Groups (DL); Access (A)
Hur fungerar standardgruppen Server Operators?
Medlemmar i denna grupp kan utföra maintenance på domänkontrollanter. De har rätt till att logga in lokalt, starta och stoppa tjänster, utföra säkerhetskopiering och återställning, formatera diskar, skapa eller ta bort shares och stänga av domänkontrollanter.
Special identity groups kan ge ett effektivt sätt att tilldela åtkomst till resurser i ditt nätverk. Vad kan du huvudsakligen åstadkomma med dessa?
Tilldela användarrättigheter till securitygrupper i Active Directory.
Tilldela behörigheter till securitygrupper i syfte att komma åt resurser.
Offline-domänanslutning fungerar med klientdatorer som kör Windows 7 eller senare.
Vad heter kommandoradsverktyget du använder för att ansluta en klientdator till en domän?
djoin.exe
Hur fungerar Local Security Authority (LSA)?
LSA ansvarar för att hantera inloggningar till systemet.
När en användare försöker logga in lokalt på systemet genom att ange användarnamn och lösenord anropar LSA Security Accounts Manager (SAM), som hanterar den lagrade kontoinformationen i den lokala SAM-databasen.
SAM jämför användarens uppgifter med kontoinformationen i SAM-databasen för att avgöra om användaren har behörighet att komma åt systemet. Godkänns detta så autentiserar SAM användaren genom att skapa en inloggningssession och returnera SID för användaren och SID:n för globala grupper som användaren är medlem i till LSA.
LSA ger sedan användaren ett token som innehåller användarens individuella- och grupp-SID och deras rättigheter, vilket ger användaren access att komma åt resurser som denne har behörighet för.
Om du raderar en dator från domänen och sedan försöker återansluta den så får den ett nytt SID. Det bästa är att istället återbygga en Secure channel.
Hur återställer du en Secure channel?
Reseta datorns konto antingen med Active Directory Users and Computers eller Active Directory Administrative Center.
Du kan även återställa Secure channel på den lokala datorn med PowerShell kommandot: “Test-ComputerSecureChannel -Repair”.
PowerShell-cmdletar kan exempelvis användas för att skapa användarkonton.
Vilket kommando kan du använda för att skapa en ny användare som är aktiverad?
New‐ADUser “Mario Parada” ‐AccountPassword (Read‐Host ‐AsSecureString “Enter password”)
Om du inte använder parametern -AccountPassword ställs inget lösenord in och användarkontot är inaktiverat.
Du kan använda cmdleten “New-ADGroup” för att skapa grupper. När du skapar grupper med hjälp av denna cmdleten måste du använda parametern GroupScope utöver gruppnamnet.
Hur skriver du för att skapa den globala gruppen SIH20M i OUn IT på domänen sih.com?
New ‑ ADGroup ‑Name “SIH20M” - Path “ou = IT, dc = sih, dc = com” ‑GroupScope Global
Vilka delar innehåller ett Fully Qualified Domain Name (FQDN)?
Hostname, Domain och Top level domain.
Exempelvis: mario.sih.com
När använder du split-DNS?
Exempelvis när en server har både en privat IP-adress i ett lokalt nätverk och en publik adress, dvs en adress som kan nås över Internet. Genom att använda split-DNS kan samma namn leda till antingen den privata IP-adressen eller den publika, beroende på vilken klient som skickar förfrågan.
Detta gör det möjligt för lokala klienter att komma åt en server direkt via det lokala nätverket utan att behöva passera via en router.
Vad är Link-local Multicast Name Resolution? (LLMNR)
Ett protokoll för namnresolving som inte använder DNS och är anpassat för IPv6. Network discovery måste vara aktiverat för att det ska fungera.
Fungerar endast på Windows Vista/Windows Server
2008 och uppåt.
Vid en namnuppslagning, kontaktar klienten en WINS-server eller kontrollerar den NetBIOS name cachen först?
Först NetBIOS name cachen sedan WINS-servern.
Vad innehåller en Root hint?
En Root hint innehåller IP-adresserna för DNS-rootservrar.
Hur skiljer sig Active Directory-integrerade DNS-zoner från ordinarie zoner och vilka är fördelarna med AD-zoner?
Zondata lagras i AD DS istället för vanliga zonfiler.
Fördelar:
- Replikering är snabbare, säkrare och effektivare.
- Bättre redundans på grund av att zondata kopieras till alla domänkontrollanter.
- Förbättrad säkerhet om säker dynamisk uppdatering är aktiverad.
- Inget behov av att schemalägga eller hantera zonöverföringar.
Inget hjälpinnehåll distribueras med PowerShell.
Vilket kommando använder du för att ladda ner det?
Update-Help
Vilka är de fem Execution Policy-lägena i PowerShell och vilket läge är standard?
- Restricted (default)
- AllSigned
- RemoteSigned
- Unrestricted
- Bypass
(ändras enkelt med Set-ExecutionPolicy)
Vad innebär det att ett GPO är inaktiverat?
GPO förhindrar inte åtgärden som det har som uppgift att förhindra. Åtgärden tillåts med andra ord.
En GPO består av två komponenter: Group Policy template och Group Policy container.
Vad är skillnaden mellan dessa?
Group Policy container (GPC) är en AD-container som innehåller GPO-egenskaper, till exempel versioninformation och GPO-status.
Group Policy template (GPT) är en filsystemmapp som innehåller policydata, säkerhetsinställningar, skriptfiler bl.a. GPT finns i systemvolymmappen (SysVol) i undermappen: domännamn\Policy.
Vilka grupper ger dig som användare per default rätt att skapa nya GPOs?
Domain Admins, Enterprise Admins och Group Policy Creator Owners
När en GPO länkas till en behållare tillämpas policyn på alla behållarens objekt och nedåt i hierarkin.
Ett GPO kan länkas till vissa behållare men inte till andra. Vilka behållare går det att skapa en GPO-länk till?
- Sites
- Domains
- OUs
Defaulttiden innan en refresh av inställningar sker är 5 minuter på en domänkontrollant. Hur lång är tiden på en klient?
90 minuter per default.
Vilket kommando tvingar fram en uppdatering av alla Group Policy settings på ett system?
Gpupdate /force
GPO tillämpas inte samtidigt, utan tillämpas i en logisk ordning på olika nivåer och skriver över alla motstridiga policyinställningar som tillämpades tidigare.
I vilken logisk ordning tillämpas nya GPOs?
- Local GPOs
- Site GPOs
- Domain GPOs
- OU GPOs
- Child OU policies
Det är möjligt att tillämpa flera GPOs på samma nivå.
Hur styr användaren över prioritetsordningen?
Administratören kan tilldela varje GPO ett “preferense value” som styr prioritetsordningen mellan GPOs.
Under installationen av AD DS-rollen så skapas två standard GPO, Default Domain Policy och Default Domain Controllers Policy.
Vad innehåller respektive policy?
Default Domain Policy:
Innehåller standardinställningarna för lösenordspolicy, kontoutelåsning och Kerberosprotokoll.
Default Domain Controllers Policy:
Är länkad till domänkontrollantens OU och bör endast påverka domänkontrollanter. Denna policy innehåller granskningsinställningar och användarrättigheter.
Du bör INTE använda dessa för andra ändamål, skapa då ett nytt GPO.
Vad är ADMX-filer?
ADMX-filer är administrativa mallar, XML-textfiler som beskriver vad du ser under “Computer Configuration \ Policies \ Administrative Templates” och “User Configuration \ Policies \ Administrative Templates” i Group Policy Editor.
När är det lämpligt att använda en Group Policy Central Store?
När du är en större organisation och det blir omständigt att manuellt kopiera över ADMX -och ADML-filerna.
Då är det smidigare att ha en central lagringsplats där AD-administratörerna kan hämta filerna ifrån. Olika operativsystem kan även hantera filerna olika, vilket en central lagring ordnar åt klienterna.
Vad är ett annat ord för Perimeter network?
DMZ
Vilka åtgärder är viktiga att ha med i Host computer Security hardening?
- Håll datorer säkra med de senaste säkerhetsuppdateringarna.
- Konfigurera säkerhetspolicyer, exempelvis lösenordskomplexitet.
- Konfigurera brandväggen.
- Installera antivirusprogram.
Vilka är Microsofts rekommenderade “best practices” när det kommer till att öka säkerheten?
- Tillämpa alla tillgängliga säkerhetsuppdateringar så snabbt som möjligt efter att de släppts.
- Följ principen om minst privilegium.
- Begränsa inloggningen för administratörskonsolen.
- Begränsa fysisk åtkomst.
Som default kör både standardanvändare och administratörer applikationer och åtkomstresurser med samma säkerhetsinställningar som för en standardanvändare.
Vilken funktion fyller UAC?
UAC-prompten möjliggör för en användare att höja sin säkerhetsstatus till ett administratörskonto utan att logga ut eller byta användare.
Security auditing lägger till event i Security Event-loggen som du sedan kan granska i Event Viewer.
Vad är fördelarna med detta?
Du kan exempelvis se vilken administratör som ändrade inställningar/data på servrar som innehåller mycket konfidentiell data, eller om en specifik användare har varit inne och kollat i kataloger den inte borde kollat i.
Om snabb överföringshastighet är prioriterat, är det då bäst att välja SCSI eller SATA?
SCSI standarden har bäst överföringshastighet.
SAS och SSD har ännu högre hastigheter, men är dyrare.
Använder SCSI parallell eller seriel databuss?
Parallell
Vad står SAS för?
Serial attached SCSI
Vilken är generellt sett den snabbaste och mest pålitliga formen av traditionella hårddiskar?
SAS, dessa finns i utföranden med 15,000rpm och är designade för att vara igång alltid.
Vad är fördelarna och nackdelarna med att använda DAS? (Direct attached storage)
Fördelar: Lagringen är ansluten direkt till servern som använder den, vilket gör DAS till det enklaste och billigaste lagringssystemet att distribuera och underhålla.
Nackdelar: Att lagra data lokalt på DAS försvårar datacentralisering eftersom data ligger på flera servrar. Samtidigt slukar det processorkraft och RAM.
iSCSI (internet Small Computer Systems Interface) är ett protokoll för att länka ihop lagring över nätverk. Hur fungerar det kortfattat?
Det bär SCSI-kommandon (CDBs) över ett TCP / IP-nätverk.
Är ett SAN-protokoll (Storage Area Network) som möjliggör det att presentera utspridd lagring som en lokalt enhetlig SCSI-skiva/skivor för klienten. Använder handskakning vid etableringen.
Vad är en skillnad mellan iSCSI och Fibre Channel?
Fibre Channel kräver dedikerade kablar medan iSCSI använder befintliga kablar.
Hur fungerar NAS och vad är fördelen med detta?
Innehåller en eller flera lagringsenheter, ofta ordnade i logiska, redundanta lagringsbehållare eller RAID.
Nätverksansluten lagring flyttar bort ansvaret för fileserving från andra servrar i nätverket och ger snabbare datatillgång, enklare administration och enkel konfiguration.
Vad är ett Storage Area Network (SAN) ?
Ett lagringsnätverk som ger åtkomst till konsoliderad datalagring på blocknivå.
Hur fungerar RAID (Redundant Array of Independent Disks), enkelt beskrivet?
Kombinerar flera fysiska lagringsenheter till en logisk enhet för redundansskäl och/eller prestandaskäl.