Talk à Microsoft Experiences 2017 : Comment se prémunir d'attaques avancées à l'aide de Microsoft ATA.
Session présentée par Guillaume MATHIEU (http://msreport.free.fr/) & Mickael LOPES (@lopesmick)
3. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
280 jours : délais pour détecter une attaque
63 jours : délais pour s’en remettre
20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS
81 % : les entreprises françaises ciblées par une attaque informatique en 2015.
35 % : source de l’incident de sécurité, l’équipe IT
800 000 euros : prix (moyenne) pour s’en remettre
4. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
Définition de l’architecture cible - gouvernance de l’annuaire Active Directory
Durcissement du système
d’exploitation
Délégation de
l’administration
Réduction des privilèges des
comptes de services
Mise en place de politique de
mots de passe / MFA
PRA/PCA
Active Directory
Sécurisation des postes
d’administration
Automatisation du cycle
de vie des objets
Gestion des comptes
administrateurs locaux
Durcissement protocoles authentification
(Kerberos, NTLM)
Audit des changements liés aux infrastructures
et objets Active Directory
Tests d’intrusions
Mise en place d’outils de
détection d’attaques
(Microsoft Advanced Threat
Analytics)
6. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
Comportement standard du protocole NTLM (SSO)
Sur une machine distante (ouverture de session réseau)
Mot de passe complexe ->
vulnérable à cette attaque
mimikatz.exe "privilege::debug"
"sekurlsa::pth /user:service-ata
/ntlm:13b29964cc2480b4ef454
c59562e675c
/domain:msexp76.intra"
Saint Gobain : 60 millions
TV5 Monde : 4,5 millions
Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy
Activer la GPO Network security: Do not store LAN Manager Hash value on next password change.
Faire la même action au niveau de la GPO Default Domain Policy.
Changer le mot de passe de tous les comptes utilisateurs et ordinateurs.
Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours.
Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd.
Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe.
Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon.
Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations :
http://support.microsoft.com/kb/299656/en-us
http://support.microsoft.com/kb/946405/en-us