SlideShare une entreprise Scribd logo
Tester la sécurité de votre annuaire
Active Directory
Guillaume MATHIEU- Architecte - Responsable Avant-Vente Metsys
Retrouvez nous sur http://www.metsys.fr/blog
Création en 2011
CA 2012 : 0,5 M€
CA 2013 : 2,1M€
CA 2014 : 5 M€
3eme société IT
en terme d’évolution, 1er SSII
[Channel News – 15/10/14]
METSYS : Fiche d’identité
46 experts Microsoft seniors
Spécialisés sur l’ensemble
des technologies
Spécialiste Azure et Office 365
©Copyright2014METSYS.Tousdroitsréservés
La communauté Metsys
1. Comment les hackers récupèrent les mots de passe Active Directory ?
2. Comment les hackers peuvent élever les privilèges ?
3. Comment les hackers peuvent récupérer un accès SYSTEM ?
4. Comment effectuer un déni de service avec Metasploit ?
Agenda
a. Avec le fichier NTDS.DIT (démo)
b. Avec le mot de passe d’un service Windows (démo)
c. Avec une capture réseau
a. Via NTLM Pass The Hash (démo)
b. Via l’outil INCOGNITO (démo)
c. Via le SID History (démo)
Recommandation ANSII : http://www.ssi.gouv.fr/
Recommandation Microsoft : http://aka.ms/bpsad
Contexte
Les procédures pour sécuriser
un annuaire Active Directory existent
mais ne sont pas appliquées ou connues !
Mot de passe d’un compte utilisateur Active Directory :
 Stocké sous forme d’une empreinte (Hash)
 2 types d’empreinte :
 LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0
 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B
 Rainbow Table : retrouver un mot de passe à partir d’un HASH
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
Le LMHASH :
 Attributs dBCSPwd (mot de passe) et lmPwdHistory (historique) protégés par
le système
 Mot de passe < 14 caractères, pas de majuscules / minuscules
 LMHASH = DES(Password[0..6], KGS!@#$%) | DES(Password[7..13],
KGS!@#$%)
 Mot de passe < 8 caractères -> résultat seconde clé : 0xAAD3B435B51404EE
 Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
Le NTHASH :
 Attribut UnicodePwd (mot passe actuel) et ntPwdHistory (historique)
 NTHASH = MD4 (Password Unicode)
 Rainbow Table 5 Go : retrouver un mot de passe < 8 caractères si utilisation
mot du dictionnaire ou suite de chiffres
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
Démonstration 1
Préconisation Metsys :
 nombre logins / utilisateur
 LMHASH
 Mot de passe > 7 caractères pour les utilisateurs standards
 Mot de passe > 16 caractères pour les comptes avec privilèges
 Contourner les blocages humains
Démo1 : récupérer le mot de passe d’un utilisateur
à partir du fichier NTDS.DIT
LSA SECRETS : exemple avec le mot de
passe d’un compte de service
Démo2 : récupérer le mot de passe d’un service Windows
Démonstration 2
Préconisation Metsys : protéger les LSA SECRETS
 Ouverture de session sur des machines non sécurisées
 Compte de service = minimum de privilèges
 Mots de passe sensibles ≠ coffre fort Windows
 Cache des sessions sur les serveurs / machines d’administration
 Utilisateur ≠ administrateur de sa station
 Bloquer l’outil PSEXEC (AppLocker)
 Utiliser des MSA ou des gMSA pour les services / tâches planifiées
Démo2 : récupérer le mot de passe d’un service Windows
Comment s’authentifier avec un annuaire Active Directory ?
 LDAP BIND SIMPLE : transmission de mot de passe (texte clair) via le
réseau
 LDAP BIND SASL (Simple Authentication and Security Layer) :
authentification avec Lan Manager, NTLM ou Kerberos
Démo3 : récupérer le mot de passe d’un compte de service
via une capture réseau
Démonstration 3
Préconisation Metsys :
 Signer les données LDAP : bloque les authentifications LDAP BIND SIMPLE
sans SSL.
 Générer des certificats pour les contrôleurs de domaine.
Démo3 : récupérer le mot de passe d’un compte de service
via une capture réseau
Authentification NTLM :
Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie.
Démo4 : élévation de privilège avec NTLM Pass The Hash
Charlie
CL1
FILE1 DC1
Version NTLM
(négociation…)
1 - Charlie ouvre sa session2- Charlie accède à File1
Challenge
4- CL1 chiffre ce challenge avec NTHASH Charlie et le
renvoie
3- FILE1 génère le challenge et l’envoie à CL1
Réponse
5- FILE1 envoie le logon + challenge + réponse à DC1
Challenge
Logon de
Charlie
6- DC1 génère la réponse avec le challenge et le logon de Charlie
Réponse
DC1 : OK
7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1
« Je suis
Charlie »
Démonstration 4 : élévation de privilège avec NTLM Pass The Hash
Comprendre l’attaque NTLM Pass the Hash :
 Comportement standard du protocole NTLM (SSO)
 Sur une machine distante (ouverture de session réseau)
 Mot de passe complexe -> vulnérable à cette attaque !
Démonstration 4
Préconisations Metsys :
 Activer NTLM V2
 Désactiver NTLM ?
 Protéger les NTHASH / LSA SECRETS
Démonstration 4 : élévation de privilège avec NTLM Pass The Hash
Qu’est ce qu’un SID ?
 Attribut objectSid -> protégé en écriture par LSASS.EXE
 Identifiant de sécurité unique généré Active Directory (maître RID)
 Les permissions sont associées à un SID
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
Qu’est ce qu’un jeton d’accès (Access Token) ?
 Contient les SID du compte utilisateur / groupes
 Liste des privilèges (Debug Programs) de l’utilisateur
 Jeton d’accès primaire : généré par Lsass.exe à l’ouverture de session
 Démarrage de Notepad.exe : jeton d’accès primaire est copié / attaché au
processus Notepad
 Processus nécessite permissions (NTFS) ou un privilège (Debug Programs)
-> Windows analyse jeton d’accès
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
Présentation d’INCOGNITO :
 Duplique les jetons d’accès existants et les utilise pour exécuter des tâches
 Nécessite les privilèges Debug Programs, Replace a process-level token,
Impersonate a client after authentication
 Exécuter INCOGNITO en tant que System (PSEXEC)
 Utiliser la version 2.0 d’INCOGNITO : https://labs.mwrinfosecurity.com/tools/
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
Démonstration 5
Préconisation Metsys :
 Détecter INCOGNITO avec antivirus
 Utilisateur ≠ administrateur station de travail
 Replace a process-level token, Impersonate a client after authentication et
Debug Programs
Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
Présentation du SID History :
 Pour les migrations (ADMT)
 L’attribut SIDHistory (tableau) est protégé contre les accès en écriture
 Ajout SID History avec SIDCloner, suppression avec ADMOD.EXE
Démonstration 6 : Elévation de privilège avec le SID History
Démonstration 6
Préconisation Metsys :
 SID History en fin de migration
 Activer la quarantaine SID (netdom trust) en fin de migration
Démonstration 6 : Elévation de privilège avec le SID History
Démonstration 7 : accès SYSTEM au démarrage d’une machine
“If a bad guy has unrestricted
physical access to your computer,
it's not your computer anymore”
Loi n°3 de Jesper M.Johansson
Démonstration 7
Démonstration 8 : effectuer un déni de service avec Metasploit
Présentation de Metasploit :
 Un exploit = permet l’élévation de privilège ou le déni de service.
 Metasploit = base de donnée d’exploits.
 MS012-020 crash machine via vulnérabilité service TSE / RDS
Démonstration 8
 Mots de passe complexe et LMHASH
 Minimum de droits (services, comptes administratifs)
 Activer la signature LDAP
 SID History
 Utilisateur ≠ administrateur
 Debug Programs, Impersonate a client after authentication, Replace a process-
level token
 Chiffrer les disques
 OS supporté et à jour
Synthèse des préconisations
Venez chercher votre livre sur le stand Metsys !
Stand G11

Contenu connexe

Tendances

Alphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentiel
Alphorm
 
Administration des services réseaux
Administration des services réseauxAdministration des services réseaux
Administration des services réseaux
Fethi Kiwa
 

Tendances (20)

QoS & VoIP
QoS & VoIPQoS & VoIP
QoS & VoIP
 
IPsec
IPsecIPsec
IPsec
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
Tuto Serveur Vocal Interactif (SVI ou IVR)
Tuto Serveur Vocal Interactif  (SVI ou IVR)Tuto Serveur Vocal Interactif  (SVI ou IVR)
Tuto Serveur Vocal Interactif (SVI ou IVR)
 
Alphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentielAlphorm.com Formation Wireshark : L'essentiel
Alphorm.com Formation Wireshark : L'essentiel
 
Vulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisationVulnérabilités de vo ip et sécurisation
Vulnérabilités de vo ip et sécurisation
 
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurationsMise en oeuvre de la VoIP sous Trixbox - Installation et configurations
Mise en oeuvre de la VoIP sous Trixbox - Installation et configurations
 
Administration des services réseaux
Administration des services réseauxAdministration des services réseaux
Administration des services réseaux
 
Dhcp
DhcpDhcp
Dhcp
 
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
MESSAGERIE EXCHANGE 2013 SOUS WINDOWS SERVEUR 2012
 
Installation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec servaInstallation de systemes d'exploitation via reseau avec serva
Installation de systemes d'exploitation via reseau avec serva
 
Windows server 2012 r2
Windows server 2012 r2Windows server 2012 r2
Windows server 2012 r2
 
Tuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-siteTuto VP IPSEC Site-to-site
Tuto VP IPSEC Site-to-site
 
Installation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillanceInstallation d’un système de vidéosurveillance
Installation d’un système de vidéosurveillance
 
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
Securisation de la VoIP sous Asterisk: solution avec Asterisk, OpenVPN et Ope...
 
Ccnp securite vpn
Ccnp securite vpnCcnp securite vpn
Ccnp securite vpn
 
cours NAT (traduction d'adresse réseau)
cours NAT (traduction d'adresse réseau)cours NAT (traduction d'adresse réseau)
cours NAT (traduction d'adresse réseau)
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Projet Rnis
Projet RnisProjet Rnis
Projet Rnis
 

En vedette

Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2
SIMOES AUGUSTO
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook Attack
Sylvain Maret
 
Ux092 formation-mise-en-place-d-annuaire-ldap
Ux092 formation-mise-en-place-d-annuaire-ldapUx092 formation-mise-en-place-d-annuaire-ldap
Ux092 formation-mise-en-place-d-annuaire-ldap
CERTyou Formation
 

En vedette (20)

Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentiel
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
2194 A 02
2194 A 022194 A 02
2194 A 02
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)Alphorm.com-Formation windows 2012 (70-410)
Alphorm.com-Formation windows 2012 (70-410)
 
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2 Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
Alphorm.com Formation Implémenter une PKI avec ADCS 2012 R2
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2
 
Phishing Facebook Attack
Phishing Facebook AttackPhishing Facebook Attack
Phishing Facebook Attack
 
Ux092 formation-mise-en-place-d-annuaire-ldap
Ux092 formation-mise-en-place-d-annuaire-ldapUx092 formation-mise-en-place-d-annuaire-ldap
Ux092 formation-mise-en-place-d-annuaire-ldap
 

Similaire à Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
webhostingguy
 
Lin10 formation-linux-red-hat-administration
Lin10 formation-linux-red-hat-administrationLin10 formation-linux-red-hat-administration
Lin10 formation-linux-red-hat-administration
CERTyou Formation
 
PHP_partie_.ppt,php_cours_mathematiques_informatiques
PHP_partie_.ppt,php_cours_mathematiques_informatiquesPHP_partie_.ppt,php_cours_mathematiques_informatiques
PHP_partie_.ppt,php_cours_mathematiques_informatiques
oumaimanouari
 
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installationD8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
CERTyou Formation
 

Similaire à Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité (20)

GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azur...
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)Jesuisfantastic  - 09 février 2010 - Securité (Alex Huart)
Jesuisfantastic - 09 février 2010 - Securité (Alex Huart)
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secret
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Alphorm.com Formation OpenSSL : Cryptage des données
Alphorm.com Formation OpenSSL : Cryptage des donnéesAlphorm.com Formation OpenSSL : Cryptage des données
Alphorm.com Formation OpenSSL : Cryptage des données
 
Lin10 formation-linux-red-hat-administration
Lin10 formation-linux-red-hat-administrationLin10 formation-linux-red-hat-administration
Lin10 formation-linux-red-hat-administration
 
Deployer son propre SOC !
Deployer son propre SOC ! Deployer son propre SOC !
Deployer son propre SOC !
 
PHP_partie_.ppt,php_cours_mathematiques_informatiques
PHP_partie_.ppt,php_cours_mathematiques_informatiquesPHP_partie_.ppt,php_cours_mathematiques_informatiques
PHP_partie_.ppt,php_cours_mathematiques_informatiques
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Sécurité MySQL
Sécurité MySQLSécurité MySQL
Sécurité MySQL
 
Mop export-dataloader-salesforce-en-ligne-commande
Mop export-dataloader-salesforce-en-ligne-commandeMop export-dataloader-salesforce-en-ligne-commande
Mop export-dataloader-salesforce-en-ligne-commande
 
Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002Authentification Forte Cours UNI 2002
Authentification Forte Cours UNI 2002
 
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installationD8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
D8 l75g formation-ibm-lotus-notes-domino-8-5-x-principes-et-installation
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Gestion des threads
Gestion des threadsGestion des threads
Gestion des threads
 
Webinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme ThéméeWebinaire : sécurité informatique sur le web - Jérôme Thémée
Webinaire : sécurité informatique sur le web - Jérôme Thémée
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 

Plus de Microsoft Décideurs IT

Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Microsoft Décideurs IT
 

Plus de Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 
L'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entrepriseL'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entreprise
 
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
 

Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et des mesures de sécurité

  • 1. Tester la sécurité de votre annuaire Active Directory Guillaume MATHIEU- Architecte - Responsable Avant-Vente Metsys Retrouvez nous sur http://www.metsys.fr/blog
  • 2. Création en 2011 CA 2012 : 0,5 M€ CA 2013 : 2,1M€ CA 2014 : 5 M€ 3eme société IT en terme d’évolution, 1er SSII [Channel News – 15/10/14] METSYS : Fiche d’identité 46 experts Microsoft seniors Spécialisés sur l’ensemble des technologies Spécialiste Azure et Office 365 ©Copyright2014METSYS.Tousdroitsréservés
  • 4. 1. Comment les hackers récupèrent les mots de passe Active Directory ? 2. Comment les hackers peuvent élever les privilèges ? 3. Comment les hackers peuvent récupérer un accès SYSTEM ? 4. Comment effectuer un déni de service avec Metasploit ? Agenda a. Avec le fichier NTDS.DIT (démo) b. Avec le mot de passe d’un service Windows (démo) c. Avec une capture réseau a. Via NTLM Pass The Hash (démo) b. Via l’outil INCOGNITO (démo) c. Via le SID History (démo)
  • 5. Recommandation ANSII : http://www.ssi.gouv.fr/ Recommandation Microsoft : http://aka.ms/bpsad Contexte Les procédures pour sécuriser un annuaire Active Directory existent mais ne sont pas appliquées ou connues !
  • 6. Mot de passe d’un compte utilisateur Active Directory :  Stocké sous forme d’une empreinte (Hash)  2 types d’empreinte :  LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0  NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B  Rainbow Table : retrouver un mot de passe à partir d’un HASH Démo1 : récupérer le mot de passe d’un utilisateur à partir du fichier NTDS.DIT
  • 7. Le LMHASH :  Attributs dBCSPwd (mot de passe) et lmPwdHistory (historique) protégés par le système  Mot de passe < 14 caractères, pas de majuscules / minuscules  LMHASH = DES(Password[0..6], KGS!@#$%) | DES(Password[7..13], KGS!@#$%)  Mot de passe < 8 caractères -> résultat seconde clé : 0xAAD3B435B51404EE  Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH Démo1 : récupérer le mot de passe d’un utilisateur à partir du fichier NTDS.DIT
  • 8. Le NTHASH :  Attribut UnicodePwd (mot passe actuel) et ntPwdHistory (historique)  NTHASH = MD4 (Password Unicode)  Rainbow Table 5 Go : retrouver un mot de passe < 8 caractères si utilisation mot du dictionnaire ou suite de chiffres Démo1 : récupérer le mot de passe d’un utilisateur à partir du fichier NTDS.DIT
  • 10. Préconisation Metsys :  nombre logins / utilisateur  LMHASH  Mot de passe > 7 caractères pour les utilisateurs standards  Mot de passe > 16 caractères pour les comptes avec privilèges  Contourner les blocages humains Démo1 : récupérer le mot de passe d’un utilisateur à partir du fichier NTDS.DIT
  • 11. LSA SECRETS : exemple avec le mot de passe d’un compte de service Démo2 : récupérer le mot de passe d’un service Windows
  • 13. Préconisation Metsys : protéger les LSA SECRETS  Ouverture de session sur des machines non sécurisées  Compte de service = minimum de privilèges  Mots de passe sensibles ≠ coffre fort Windows  Cache des sessions sur les serveurs / machines d’administration  Utilisateur ≠ administrateur de sa station  Bloquer l’outil PSEXEC (AppLocker)  Utiliser des MSA ou des gMSA pour les services / tâches planifiées Démo2 : récupérer le mot de passe d’un service Windows
  • 14. Comment s’authentifier avec un annuaire Active Directory ?  LDAP BIND SIMPLE : transmission de mot de passe (texte clair) via le réseau  LDAP BIND SASL (Simple Authentication and Security Layer) : authentification avec Lan Manager, NTLM ou Kerberos Démo3 : récupérer le mot de passe d’un compte de service via une capture réseau
  • 16. Préconisation Metsys :  Signer les données LDAP : bloque les authentifications LDAP BIND SIMPLE sans SSL.  Générer des certificats pour les contrôleurs de domaine. Démo3 : récupérer le mot de passe d’un compte de service via une capture réseau
  • 17. Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. Démo4 : élévation de privilège avec NTLM Pass The Hash Charlie CL1 FILE1 DC1 Version NTLM (négociation…) 1 - Charlie ouvre sa session2- Charlie accède à File1 Challenge 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie 3- FILE1 génère le challenge et l’envoie à CL1 Réponse 5- FILE1 envoie le logon + challenge + réponse à DC1 Challenge Logon de Charlie 6- DC1 génère la réponse avec le challenge et le logon de Charlie Réponse DC1 : OK 7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1 « Je suis Charlie »
  • 18. Démonstration 4 : élévation de privilège avec NTLM Pass The Hash Comprendre l’attaque NTLM Pass the Hash :  Comportement standard du protocole NTLM (SSO)  Sur une machine distante (ouverture de session réseau)  Mot de passe complexe -> vulnérable à cette attaque !
  • 20. Préconisations Metsys :  Activer NTLM V2  Désactiver NTLM ?  Protéger les NTHASH / LSA SECRETS Démonstration 4 : élévation de privilège avec NTLM Pass The Hash
  • 21. Qu’est ce qu’un SID ?  Attribut objectSid -> protégé en écriture par LSASS.EXE  Identifiant de sécurité unique généré Active Directory (maître RID)  Les permissions sont associées à un SID Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
  • 22. Qu’est ce qu’un jeton d’accès (Access Token) ?  Contient les SID du compte utilisateur / groupes  Liste des privilèges (Debug Programs) de l’utilisateur  Jeton d’accès primaire : généré par Lsass.exe à l’ouverture de session  Démarrage de Notepad.exe : jeton d’accès primaire est copié / attaché au processus Notepad  Processus nécessite permissions (NTFS) ou un privilège (Debug Programs) -> Windows analyse jeton d’accès Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
  • 23. Présentation d’INCOGNITO :  Duplique les jetons d’accès existants et les utilise pour exécuter des tâches  Nécessite les privilèges Debug Programs, Replace a process-level token, Impersonate a client after authentication  Exécuter INCOGNITO en tant que System (PSEXEC)  Utiliser la version 2.0 d’INCOGNITO : https://labs.mwrinfosecurity.com/tools/ Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
  • 25. Préconisation Metsys :  Détecter INCOGNITO avec antivirus  Utilisateur ≠ administrateur station de travail  Replace a process-level token, Impersonate a client after authentication et Debug Programs Démonstration 5 : élévation de privilège avec l’outil INCOGNITO
  • 26. Présentation du SID History :  Pour les migrations (ADMT)  L’attribut SIDHistory (tableau) est protégé contre les accès en écriture  Ajout SID History avec SIDCloner, suppression avec ADMOD.EXE Démonstration 6 : Elévation de privilège avec le SID History
  • 28. Préconisation Metsys :  SID History en fin de migration  Activer la quarantaine SID (netdom trust) en fin de migration Démonstration 6 : Elévation de privilège avec le SID History
  • 29. Démonstration 7 : accès SYSTEM au démarrage d’une machine “If a bad guy has unrestricted physical access to your computer, it's not your computer anymore” Loi n°3 de Jesper M.Johansson
  • 31. Démonstration 8 : effectuer un déni de service avec Metasploit Présentation de Metasploit :  Un exploit = permet l’élévation de privilège ou le déni de service.  Metasploit = base de donnée d’exploits.  MS012-020 crash machine via vulnérabilité service TSE / RDS
  • 33.  Mots de passe complexe et LMHASH  Minimum de droits (services, comptes administratifs)  Activer la signature LDAP  SID History  Utilisateur ≠ administrateur  Debug Programs, Impersonate a client after authentication, Replace a process- level token  Chiffrer les disques  OS supporté et à jour Synthèse des préconisations
  • 34. Venez chercher votre livre sur le stand Metsys ! Stand G11