SlideShare une entreprise Scribd logo

Récupération d’un Active Directory: comment repartir en confiance après une compromission

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Matthieu Trivier lors des Identity Days 2022.

Technologie
1  sur  32
Télécharger pour lire hors ligne
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Rappel de la session 2021 et contexte SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
• First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
Demo
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
• “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
SEMPERIS.COM L’approche “Inside-Out”
Demo
Forest Druid WebSite: https://www.purple-knight.com/forest-druid
SEMPERIS.COM Mission accomplie !
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommandé

Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Identity access management
Identity access managementIdentity access management
Identity access managementProf. Jacques Folon (Ph.D)
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersMarc Rousselet
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...Yogeshwaran R
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 

Recommandé

Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Identity access management
Identity access managementIdentity access management
Identity access managementProf. Jacques Folon (Ph.D)
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersMarc Rousselet
 
La gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantLa gestion des identités et des accès... à la façon OKIOK - Claude Vigeant
La gestion des identités et des accès... à la façon OKIOK - Claude VigeantISACA Chapitre de Québec
 
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...
Mastering Active Directory_ Design, deploy, and protect Active Directory Doma...Yogeshwaran R
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIMYaya N'Tyeni Sanogo
 
CISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network TopologyCISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network TopologyKarthikeyan Dhayalan
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?NetEnrich, Inc.
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm
 
Log Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity MonitoringLog Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity MonitoringKimberly Simon MBA
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm
 
16 - VLSM-CIDR.ppt
16 - VLSM-CIDR.ppt16 - VLSM-CIDR.ppt
16 - VLSM-CIDR.pptHassanSaadaoui2
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécuritéGhazouani Mahdi
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptxSandeshUprety4
 
Centralized SOC Architectures on AWS
Centralized SOC Architectures on AWSCentralized SOC Architectures on AWS
Centralized SOC Architectures on AWSAmazon Web Services
 
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...himalya sharma
 
alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+Alphorm
 
Chapter 1 Security Framework
Chapter 1 Security FrameworkChapter 1 Security Framework
Chapter 1 Security FrameworkKarthikeyan Dhayalan
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm
 
10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management ProgramBeyondTrust
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 

Contenu connexe

Tendances

Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
CISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network TopologyCISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network TopologyKarthikeyan Dhayalan
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernancePECB
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?NetEnrich, Inc.
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm
 
Log Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity MonitoringLog Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity MonitoringKimberly Simon MBA
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUCHAOUACHI marwen
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécuritéGhazouani Mahdi
 
Centralized SOC Architectures on AWS
Centralized SOC Architectures on AWSCentralized SOC Architectures on AWS
Centralized SOC Architectures on AWSAmazon Web Services
 
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...himalya sharma
 
alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+Alphorm
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm
 
10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management ProgramBeyondTrust
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1PRONETIS
 

Tendances (20)

Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
CISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network TopologyCISSP - Chapter 4 - Network Topology
CISSP - Chapter 4 - Network Topology
 
Sécurité de l’information et gouvernance
Sécurité de l’information et gouvernanceSécurité de l’information et gouvernance
Sécurité de l’information et gouvernance
 
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
To Build Or Not To Build: Can SOC-aaS Bridge Your Security Skills Gap?
 
Alphorm.com Microsoft AZURE
Alphorm.com Microsoft AZUREAlphorm.com Microsoft AZURE
Alphorm.com Microsoft AZURE
 
Log Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity MonitoringLog Monitoring and File Integrity Monitoring
Log Monitoring and File Integrity Monitoring
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
 
16 - VLSM-CIDR.ppt
16 - VLSM-CIDR.ppt16 - VLSM-CIDR.ppt
16 - VLSM-CIDR.ppt
 
IDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAUIDS,SNORT ET SÉCURITÉ RESEAU
IDS,SNORT ET SÉCURITÉ RESEAU
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
Mécanismes de sécurité
Mécanismes de sécuritéMécanismes de sécurité
Mécanismes de sécurité
 
SOC and SIEM.pptx
SOC and SIEM.pptxSOC and SIEM.pptx
SOC and SIEM.pptx
 
Centralized SOC Architectures on AWS
Centralized SOC Architectures on AWSCentralized SOC Architectures on AWS
Centralized SOC Architectures on AWS
 
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
ISO 27001 checklist - Leadership and Commitment - clause 5.1 - 70 checklist Q...
 
alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+alphorm.com - Formation Linux LPIC-1/Comptia Linux+
alphorm.com - Formation Linux LPIC-1/Comptia Linux+
 
Chapter 1 Security Framework
Chapter 1 Security FrameworkChapter 1 Security Framework
Chapter 1 Security Framework
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
 
10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program10 Steps to Building an Effective Vulnerability Management Program
10 Steps to Building an Effective Vulnerability Management Program
 
Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1Gouvernance de la sécurite des Systèmes d'Information Volet-1
Gouvernance de la sécurite des Systèmes d'Information Volet-1
 

Similaire à Récupération d’un Active Directory: comment repartir en confiance après une compromission

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteMicrosoft
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Amazon Web Services
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaMicrosoft
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Georgeot Cédric
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Microsoft Décideurs IT
 

Similaire à Récupération d’un Active Directory: comment repartir en confiance après une compromission (20)

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?
 
Cours 70 410-1
Cours 70 410-1Cours 70 410-1
Cours 70 410-1
 

Plus de Identity Days

Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideIdentity Days
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 

Plus de Identity Days (20)

Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 

Récupération d’un Active Directory: comment repartir en confiance après une compromission

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
  • 3. Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 4. Rappel de la session 2021 et contexte SEMPERIS.COM
  • 8. Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
  • 10. SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
  • 11. SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
  • 12. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 13. Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
  • 14. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
  • 15. • First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
  • 16. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
  • 17. 116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
  • 18. Demo
  • 19. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 20. Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
  • 21. SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
  • 22. • “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
  • 23. Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
  • 24. Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
  • 25. Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
  • 27. Demo
  • 30. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 31. IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 32. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022