# M1024 — Restrict Registry Permissions ## Visão Geral --- *Fonte: [MITRE ATT&CK — M1024](https://attack.mitre.org/mitigations/M1024)* ## Descrição A restrição de permissões do Registry envolve a configuração de controles de acesso para chaves e hives sensíveis do registro, garantindo que apenas usuários ou processos autorizados possam realizar modificações. ```mermaid graph TB A["🔍 Inventariar chaves<br/>críticas do Registry<br/>Run, Services, SAM"] --> B["📋 Revisar ACLs<br/>com icacls / PowerShell<br/>remover permissões excessivas"] B --> C["🔒 Aplicar GPO<br/>via GPMC<br/>bloquear regedit.exe"] C --> D["📡 Habilitar auditoria<br/>auditpol — Registry<br/>success + failure"] D --> E["📊 Monitorar alertas<br/>Sysmon + SIEM<br/>detectar modificações"] E --> F["🔄 Revisar baseline<br/>CIS Benchmarks<br/>trimestralmente"] ``` Ao limitar o acesso, as organizações podem prevenir alterações não autorizadas que adversários poderiam usar para persistência, escalada de privilégios ou evasão de defesas. Esta mitigação pode ser implementada por meio das seguintes medidas: Revisar e Ajustar Permissões em Chaves Críticas - Revisar regularmente as permissões em chaves como `Run`, `RunOnce` e `Services` para garantir que apenas usuários autorizados tenham acesso de escrita. - Usar ferramentas como `icacls` ou `PowerShell` para automatizar ajustes de permissões. Habilitar Auditoria do Registry - Habilitar auditoria em chaves sensíveis para registrar tentativas de acesso. - Usar Event Viewer ou soluções SIEM para analisar logs e detectar atividades suspeitas. - Exemplo de Política de Auditoria: `auditpol /set /subcategory:"Registry" /success:enable /failure:enable` Proteger Hives Relacionados a Credenciais - Limitar acesso a hives como `SAM`, `SECURITY` e `SYSTEM` para prevenir credential dumping ou outros acessos não autorizados. - Usar LSA Protection para adicionar uma camada adicional de segurança para armazenamento de credenciais. Restringir Uso do Registry Editor - Usar Group Policy para restringir acesso ao regedit.exe para usuários não administrativos. - Bloquear execução de ferramentas de edição de registro em endpoints onde não são necessárias. Implantar Ferramentas de Configuração de Baseline - Usar ferramentas como Microsoft Security Compliance Toolkit ou CIS Benchmarks para aplicar e manter configurações seguras do registro. *Ferramentas para Implementação* Ferramentas de Permissão do Registry: - Registry Editor (regedit): Ferramenta nativa para gerenciar permissões do registro. - PowerShell: Automatizar permissões e gerenciar chaves. `Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" -Name "KeyName" -Value "Value"` - icacls: Ferramenta de linha de comando para modificar ACLs. Ferramentas de Monitoramento: - Sysmon: Monitorar e registrar eventos do registry. - Event Viewer: Visualizar logs de acesso ao registro. Ferramentas de Gerenciamento de Políticas: - Group Policy Management Console (GPMC): Aplicar permissões do registry via GPOs. - Microsoft Endpoint Manager: Implantar baselines de configuração para permissões do registry. ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1547.003 | [[t1547-003-time-providers\|T1547.003 — Time Providers]] | | T1574.012 | [[t1574-012-corprofiler\|T1574.012 — COR_PROFILER]] | | T1037.001 | [[t1037-001-logon-script-windows\|T1037.001 — Logon Script (Windows)]] | | T1556.008 | [[t1556-008-network-provider-dll\|T1556.008 — Network Provider DLL]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1505 | [[t1505-server-software-component\|T1505 — Server Software Component]] | | T1505.005 | [[t1505-005-terminal-services-dll\|T1505.005 — Terminal Services DLL]] | | T1574.011 | [[t1574-011-services-registry-permissions-weakness\|T1574.011 — Services Registry Permissions Weakness]] | | T1562.002 | [[t1562-002-disable-windows-event-logging\|T1562.002 — Disable Windows Event Logging]] | | T1070.007 | [[t1070-007-clear-network-connection-history-and-configurations\|T1070.007 — Clear Network Connection History and Configurations]] | | T1112 | [[t1112-modify-registry\|T1112 — Modify Registry]] | | T1574 | [[t1574-hijack-execution-flow\|T1574 — Hijack Execution Flow]] | | T1553.003 | [[t1553-003-sip-and-trust-provider-hijacking\|T1553.003 — SIP and Trust Provider Hijacking]] | | T1037 | [[t1037-boot-or-logon-initialization-scripts\|T1037 — Boot or Logon Initialization Scripts]] | | T1553 | [[t1553-subvert-trust-controls\|T1553 — Subvert Trust Controls]] | | T1562.001 | [[t1562-001-disable-or-modify-tools\|T1562.001 — Disable or Modify Tools]] | | T1489 | [[t1489-service-stop\|T1489 — Service Stop]] | | T1562 | [[t1562-impair-defenses\|T1562 — Impair Defenses]] | | T1562.004 | [[t1562-004-disable-or-modify-system-firewall\|T1562.004 — Disable or Modify System Firewall]] | | T1553.006 | [[t1553-006-code-signing-policy-modification\|T1553.006 — Code Signing Policy Modification]] | ## Contexto LATAM > [!globe] Relevância Regional > A restrição de permissões no Registry é crítica no Brasil dado o alto volume de ataques de ransomware e espionagem corporativa que abusam de chaves como `Run`, `RunOnce` e `Services` para persistência. Grupos como [[g1004-lapsus]] e operadores de ransomware [[lockbit]] utilizam modificações de Registry como vetor comum em organizações brasileiras. > - Adoção em SOCs brasileiros: médio — implementada principalmente em grandes bancos e órgãos federais, mas com gaps em PMEs e governo estadual > - Regulamentações relevantes: LGPD (proteção de dados pessoais exige controle de acesso), BACEN 4893/2021 (cibersegurança em instituições financeiras), Decreto 9637/2018 (PNSI) > - Desafios regionais: alto volume de endpoints Windows legados sem suporte a WDAC, budget limitado para ferramentas EDR/Sysmon em organizações menores, falta de expertise em Group Policy em ambientes híbridos