2. L'évolution vers le Cloud, le Télétravail et les menaces informatiques qui ne cessent
d'accroitre, constituent un réel défi au quotidien pour tous les professionnels de l'IT
D'une part pour respecter les exigences et normes du marché, et d'une autre part pour
renforcer et garder le control sur le système informatique
Introduction
3. Une formation
Pour comprendre le concept, et élaborer une infrastructure
avec l'architecture N-tier de Microsoft
On va voir trois chapitres majeurs
Théorie (introduction)
Configuration et Mise en place pour les PME
Sécurité et optimisation avancée pour les grandes infra
Comprendre le concept
4. Une formation
Comprendre et mettre en place toutes les
techniques de sécurité, et d'optimisation d'une
infrastructure système et réseau sous Microsoft
Windows Server
Accroitre la sécurité de 95%
Objectifs
5. Une formation
La formation respecte la continuité entre chapitres
La formation se rapproche d'une infrastructure de
production
La formation respecte des contraintes réel (pas de réseau
générique ou pare-feu/AV désactiver etc….)
C’est une formation Professionnel et non académique,
100% applicable et conforme avec toutes infra
Avantages
6. Une formation
Définition de l'Architecture N-tier
L‘intérêt de l'Architecture N-tier
Comprendre Le T0-T1-T2
Découvrir Le PAW et SAW
Mettre en place l'architecture N-tier
Thèmes
8. Tirer Profit de l'architecture N-tier, pour optimiser et sécuriser une
infrastructure à 95% grâce aux différents modules de la formation
9.
10. Une formation
Configurer des Stratégies d'authentification
Découvrir le Blindage AD, et mettre en place des Silos
Restreindre les flux de connexion
Mettre en place des Ldaps
Configurer des PAW
Déployer les machines rebonds
Appliquer le module Microsoft Baseline
Mettre en place JEA
Protéger et Auditer les comptes à privilèges
Empêcher l'énumération AD (SMB et SAM-R)
Configurer l’IPS
Mettre en place proxy avec AD
Modules
11. Une formation
Administrateurs, Ingénieur système et réseaux
Consultant / Architecte système et réseaux
Technicien système et réseaux
Responsable sécurité informatique
Pen testeur, Ingénieur Cybersécurité
Curieux désirant découvrir le modèle N-tier de
Microsoft
Public concerné
16. VM Conf Minimal
Partie-1 4 VMS
8 GO de RAM (minimum)
I3 ou plus
60 GO SSD
Partie-2 7 VMS en totale
16 GO de RAM
I5 ou équivalent
80 GO SSD
ISO (Windows 2019-2022)
ISO (Windows 10)
18. Plan de déroulement
Une formation
Notion de risque
Différence entre Cybersecurité et sécurité
Rôle des acteurs
Notion de sécurité
19. L'utilisation des solutions Cloud offre des avantages et
une adaptabilité aux besoins des entreprises au niveau
économique et de commodité d'emploi pour ses
utilisateurs
Une mauvaise gestion des intégrations des solutions
cloud dans une infrastructure hybride peut rapidement
présenter des grands risques
Sécurité (Cyberattaques)
Fuites de données
Une formation
Notions des risques
23. Cyber-sécurité ou Sécurité ?
La cybersécurité
Analyser les menaces sur les systèmes d'informations (Solution ou Produit)
Tester et démontrer les limites, ainsi que les risques
26. La sécurité informatique est sujet de deux problématiques majeurs
La Fuite des données et La perte des données
Protéger les données
Durcir l'accès
Surveillez
Intervenir, Agir
Gérer l'évolution
PRA, HA, SLA
Respecter les normes ISO, RGPD
Notion de sécurité
28. C’est une présentation logique d'un système ou
application en la divisant en trois niveaux avec des rôles
bien définis
Couche de présentation
Correspondant l'affichage et le dialogue avec l'utilisateur
Couche de traitement
Correspondant à la mise en œuvre de l'ensemble des règles de
gestion
Couche d'accès aux données
Correspondant aux données qui sont destinées à être conservées
Une formation
L'architecture N-tier
29.
30. Connaître le concept du modèle
N-tier Active Directory
Une formation
Mehdi DAKHAMA
31. Une formation
C’est une référence de sécurité recommandée pour aider les
organisations à atténuer le vol d’informations d’identification
Organiser l’ensemble de l’infrastructure informatique en différentes
couches (niveaux)
Séparer les composants de l’infrastructure en fonction de leur niveau
d’importance
Rendre ces différentes couches hermétiques les unes des autres
Ces trois niveaux augmentent le coût pour un attaquant
essayant de compromettre des systèmes sensibles
Ce modèle rend plus difficile pour un pirate informatique le
passage d'un actif de niveau 2 à un actif de niveau 0, mais ne le
rend pas impossible
Le modèle N-tier AD
32. Une formation
Mauvaises démarches
Compte standard = compte admin du domaine
Compte standard et compte admin
Délégation d’administration
Utilisation des outils d’administration RSAT / RDP DC
Exécution des tâches de délégation sur le poste
standard avec le compte délégué (ou compte
d’administration)
35. Une formation
Contenu de chaque couche
Niveau 0 (T0)
Composants qui contrôle les identités ( Serveurs ADDS,
Azure AD connect, PKI,…)
Niveau 1 (T1)
Serveurs et comptes de gestion de l’infrastructure et
applications(SCCM, Monitoring, ERP, …)
Niveau 2 (T2)
Périphériques et comptes utilisateurs et administrateurs
42. Une formation
PAM et SAW
Privilege Access Management permet la sécurisation
de l’accès privilégié et la priorité de sécurité
supérieure en affectant à des utilisateurs des rôles
privilégiés qu’ils peuvent activer si nécessaire pour
un accès juste-à-temps
Ces rôles sont définis manuellement et établis dans
l’environnement bastion
46. Une formation
Mise en place
Le modèle N-tier n'étant qu'un concept, ça mise en
production doit respecter certaines critères dont on trouve
Segmentation du réseau entre les Tiers
Pare-feu entre les Tiers
Analyse du traffic vers le Tier0
Réduction au maximum des ports ouverts vers le Tier 0
Organisation des OUs en respectant les couches
Isoler le plus possible DC portant les FSMO PDC, Schéma et Domain name
Réduire les exécutions Powershell distants vers les serveurs du Tier0
47.
48. Faire le choix
de l'architecture d'entreprise
Une formation
Mehdi DAKHAMA
49. Une formation
L'architecture
Le nombre de couche et comptes dépend des exigences
de l'entreprise, du budget, et des compétences de l'IT
L'objectif final étant d'optimiser le rendement et de
sécuriser son système informatique, et non de compliquer
la gestion
De ce fait certaines entreprises respectent le niveau à 3
couches minimum, d'autres utilisent 4 min, et quelques
unes se contentent de deux couches
Nous allons traiter les scénarios pour répondre à tous les
cas de figures
55. Une formation
Mise en place
Installer et configurer un deuxième serveur en DHCP
Installer un deuxième Client Win-10 (PAW)
Intégrer PAW la machine au domaine
Créer un deuxième réseau
Connecter les clients au réseau
Préparer la structure OU
59. Une formation
Mise en place des règles
Création des règles pare feu
DHCP Relais
Bloquer les protocoles sensibles (LLNMR, SMBv1)
Bloquer le ping
Autoriser seulement HTTPS
62. Une formation
Mise en place
Désactiver l'utilisation des lecteurs amovibles
Désactiver le cache
Interdire l'ouverture de session en tant que tache
Administrateur restreint
Microsoft Baseline
Microsoft Policy Viewer
65. Une formation
Introduction
Même si Windows et Windows Server sont conçus pour
être immédiatement sécurisés, il existe plus de 3000
paramètres de stratégie de groupe pour Windows10, sans
compter les 1800 paramètres d’InternetExplorer11
Parmi ces 4800paramètres, seuls certains sont liés à la
sécurité
Même si Microsoft fournit de nombreux conseils sur les
différentes fonctionnalités de sécurité, la découverte de
chacun d’eux peut prendre beaucoup de temps
66. Une formation
Microsoft Security Baseline
C’est un ensemble de paramètres de référence
recommandés par Microsoft pour les postes de travail et
les serveurs Windows afin de fournir une configuration
sécurisée et de protéger les contrôleurs de domaine, les
serveurs, les ordinateurs et les utilisateurs
Ces paramètres sont inclus dans la suite Microsoft Security
Compliance Manager (SCM) contient plusieurs outils pour
analyser, tester et appliquer les meilleures pratiques et les
recommandations de sécurité
69. Différents modules
LGPO : est utilisé pour gérer les paramètres GPO locaux
La documentation : contient les fichiers XLSX et PDF avec la description détaillée des paramètres appliqués
GP Reports : contient des rapports HTML avec les paramètres GPO à appliquer
GPO : contient des objets GPO pour différents scénarios
Scripts : contient des scripts PowerShell pour importer facilement les paramètres GPO
Templates : Contient les modèles ADML/ADMX supplémentaire (exemple paramétrés LAPS)
70. Une formation
Microsoft Baseline Viewer
PolicyAnalyzer : est un outil inclus avec Security
Compliance Toolkit 1.0
Il permet d'analyser les stratégies de groupe
existantes et de les comparer avec les stratégies de
référence de la ligne de base de sécurité
Policy Analyzer ne peut pas appliquer les paramètres
de stratégie
91. Une formation
Rappel et définition
Les stratégies d'authentification contrôlent les
éléments suivants
La durée de vie TGT du compte, qui est définie pour être non
renouvelable
Les critères que les comptes d'appareils doivent remplir pour se
connecter avec un mot de passe ou un certificat
Les critères que les utilisateurs et les appareils doivent remplir
pour s'authentifier auprès des services exécutés dans le cadre du
compte
92. Une formation
Les Silos quant à eux sont des conteneurs auxquels les
administrateurs peuvent attribuer des comptes
d'utilisateur, des comptes d'ordinateur et des comptes de
service
L'ensemble des comptes peuvent être gérés par les
politiques d'authentification qui ont été appliquées à ce
conteneur
On peut alors déduire que les Silos sont des relations et
non des conditions
Les stratégies d'authentification
100. Une formation
Activation du Blindage
Configuration des silos
le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis
105. Une formation
Définition
Tester la connexion Ldap
Mise en place de CA
Signature des demandes
Tester Ldaps
Exiger Ldaps par GPO
Forcer le flux SSL
Plan
106. Une formation
Définition
LDAP (Lightweight Directory Access Protocol) est un
protocole utilisé pour lire et écrire dans Active Directory
Par défaut, le trafic LDAP est transmis en claire
La technologie SSL/TLS (Transport Layer Security) permet
de rendre le trafic LDAP confidentiel et sécurisé en
installant un certificat correctement mis en forme à partir
d’une autorité de certification Microsoft ou autres
112. Une formation
C’est une technologie de sécurité qui permet une
administration déléguée de tout ce qui est géré avec
PowerShell
Réduire le nombre d’administrateurs sur nos machines en utilisant
des comptes virtuels ou des comptes de service gérés de groupe
pour effectuer des actions privilégiées au nom d’utilisateurs
normaux
Limiter les opérations réalisables par les utilisateurs en spécifiant
les applets de commande, fonctions et commandes externes
qu’ils peuvent exécuter
Mieux comprendre ce que font vos utilisateurs avec des
transcriptions et des journaux
Just Enough Administration (JEA)
113. Activer Winrm
Création d'un fichier de configuration de session PS
Création d'un dossier pour JEA
Création d'un fichier de capacité
Enregistrement de la configuration
Etapes
116. Une formation
Activation du Blindage
Configuration des silos
Le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis
119. Une formation
Définition IDS / IPS
IDS
La détection d'intrusion est le processus qui consiste à surveiller
les événements qui se produisent sur le réseau et les analyser
pour détecter les signes d'éventuels incidents, violations ou
menaces imminentes aux stratégies de sécurité
IPS
La prévention d'intrusion consiste à détecter les intrusions puis à
résoudre les incidents détectés
120. Snort est un moyen de prévention des intrusions (IPS)
open source
Snort IPS utilise une série de règles qui aident à définir
l'activité réseau malveillante et utilise ces règles pour
trouver les paquets qui leur correspondent et génère des
alertes pour les utilisateurs
les règles Snort sont réparties en deux ensembles : le
"Community Ruleset" et le "Snort Subscriber Ruleset"
Présentation de Snort
124. Une formation
Définition du Proxy
Un Proxy est une solution (matériel ou logiciel) permettant
de masquer un réseau interne sur internet
Il agit comme un intermédiaire entre les clients et leur
destinations (rendant ainsi la traçabilité difficile, et
réduisant la surface d'attaque)
Il nous permet aussi de récupérer les logs et d'appliquer
des règles d'accès
125.
126. Squid est un serveur mandataire (proxy) et Proxy-inverse conçu
pour relayer les protocoles FTP, HTTP, Gopher, et HTTPS
Serveur Mandataire ( Centralise les demandes d’accès web et
fait la demande à notre place)
Serveur Cache et Serveur Filtrant
C'est un logiciel libre distribué sous licence GNU GPL
SquidGuard est un logiciel complémentaire à Squid qui permet de
gérer le filtrage avec des bases de données qu’il a créé à partir
d’une blacklist
A propos de Squid
131. Dans cette formation nous avons appris comment
réduire les surfaces d'attaques, élaborer et mettre en
place une infrastructure sécurisé Microsoft Windows
server avec l'architecture N-tier, en respectant les
bonnes pratiques et les meilleurs recommandations
Bilan