Inicialmente vamos analisar quais máquinas na rede estão com SMB Signing desabilitado:
└─# crackmapexec smb --gen-relay-list smb_targets.txt 172.16.0.0/255.255.255.240
Podemos ver que o host PC01 está no domínio e está com a assinatura desabilitada. Então agora vamos criar nossa GPO.
Abrir o Gerenciador de Políticas de Grupo:
- No servidor de domínio, abra o “Gerenciamento de Política de Grupo” (Group Policy Management Console, ou GPMC).
- Você pode acessar o GPMC clicando em “Iniciar” e procurando por “gpmc.msc”.
Criar uma Nova GPO:
- Na árvore de console, expanda o seu domínio.
- Clique com o botão direito na Unidade Organizacional (OU) ou no domínio onde deseja aplicar a política e selecione “Criar uma GPO neste domínio, e Linkar aqui…” (Create a GPO in this domain, and Link it here…).
- Dê um nome significativo à nova GPO, por exemplo, “Habilitar SMB Signing”.
Editar a GPO:
- Clique com o botão direito na nova GPO criada e selecione “Editar” (Edit).
- Isso abrirá o Editor de Gerenciamento de Políticas de Grupo.
Configurar o SMB Signing:
- No Editor de Gerenciamento de Políticas de Grupo, navegue até:
- Configuração do Computador (Computer Configuration)
- Políticas (Policies)
- Configurações do Windows (Windows Settings)
- Configurações de Segurança (Security Settings)
- Políticas Locais (Local Policies)
- Opções de Segurança (Security Options)
- Políticas Locais (Local Policies)
- Configurações de Segurança (Security Settings)
- Configurações do Windows (Windows Settings)
- Políticas (Policies)
- Configuração do Computador (Computer Configuration)
No painel da direita, localize as seguintes configurações e modifique-as conforme necessário:
- Microsoft network client: Digitally sign communications (always) (Microsoft network client: Assinar digitalmente as comunicações (sempre)):
- Habilite essa configuração.
- Microsoft network server: Digitally sign communications (always) (Microsoft network server: Assinar digitalmente as comunicações (sempre)):
- Habilite essa configuração.
Aplicar e Atualizar a GPO:
- Após fazer as alterações, feche o Editor de Gerenciamento de Políticas de Grupo.
- A nova GPO será aplicada automaticamente na próxima atualização de política dos computadores e usuários do AD. Para aplicar imediatamente, você pode forçar uma atualização usando o comando
gpupdate /forceem um terminal de comando nos computadores-alvo.
Verificar a Aplicação da GPO:
- Para garantir que a política foi aplicada corretamente, você pode usar o comando
gpresult /rem um terminal de comando nos computadores-alvo para verificar as políticas de grupo aplicadas. - Além disso, pode revisar os logs de eventos em “Visualizador de Eventos” (Event Viewer) sob “Logs de Aplicativos e Serviços -> Microsoft -> Windows -> GroupPolicy -> Operational” para verificar a aplicação das políticas de grupo.
Por fim, utilizando o Kali novamente podemos testar o comando inicial:
Conclusão
Com essa GPO configurada, todas as comunicações SMB entre os clientes e servidores no domínio terão a assinatura digital habilitada, aumentando a segurança da rede. Lembre-se de testar a política em um ambiente de teste antes de aplicá-la em produção para garantir que não cause interrupções nos serviços.