Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Le téléchargement de votre SlideShare est en cours.
×
Consultez-les par la suite
Plus De Contenu Connexe
Diaporamas pour vous (20)
Similaire à GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU (20)
Plus par AZUG FR (20)
Plus récents (20)
GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU
- 1. Tester la sécurité de vos annuaires Active Directory / Azure Active Directory Alan DEGROISE – Guillaume MATHIEU
- 2. 2 Merci à nos sponsors PLATINUM LOCAUX PARTENAIRES MEDIA
- 3. 3 Sponsors internationaux
- 4. 4 Pourquoi cette session ? Active Directory : annuaire le plus déployé dans les entreprises. Azure Active Directory : 500 millions de comptes / 4500 applications SaaS Kit d’attaques de la NSA qui a fuité sur Internet. GDPR Multiplication du nombre d’attaques en 2016 / 2017 280 jours en moyenne pour détecter une attaque. Maîtriser et sécuriser Active Directory et Azure Active Directory devient un enjeux stratégique.
- 5. 5 Les solutions pour sécuriser Active Directory et Azure Active Directory existent mais elles ne sont pas appliquées ou connues !
- 6. 6 1. NTLM Pass the Hash a. Réduire la surface d’attaque avec LAPS b. Détecter et alerter avec Microsoft Advanced Threat Analytics 2. Kerberos Pass the ticket et Golden Ticket a. Réduire les privilèges des comptes d’administration / services 3. Sécuriser et contrôler Azure Active Directory a. Délégation d’administration avec Azure Microsoft Azure Active Directory Privileged Identity Management b. Détecter l’utilisation des comptes Azure à fort privilèges avec Microsoft Azure Active Directory Identity Protection Agenda
- 7. 7 1. NTLM Pass The Hash
- 8. 8 Mot de passe d’un compte utilisateur Active Directory : Stockés sous forme de Hash / empreintes : LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory (historique) protégés par le système Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT. Rainbow Table : retrouver un mot de passe à partir d’un HASH Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH Stockage des mots de passe
- 9. 9Les mots de passe en texte clair / Hash en mémoire
- 10. 10 Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. Charlie CL1 FILE1 DC1 Version NTLM (négociation…) 1 - Charlie ouvre sa session2- Charlie accède à File1 Challenge 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie3- FILE1 génère le challenge et l’envoie à CL1 Réponse 5- FILE1 envoie le logon + challenge + réponse à DC1 Challenge Logon de Charlie 6- DC1 génère la réponse avec le challenge et le logon de Charlie Réponse DC1 : OK 7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1 « Je suis Charlie » Le protocole NTLM
- 11. 11 Comportement standard du protocole NTLM (SSO) Sur une machine distante (ouverture de session réseau) Mot de passe complexe -> vulnérable à cette attaque ! L’attaque NTLM Pass The Hash
- 12. 12 Mimikatz - NTLM Pass The Hash mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"
- 13. 13 Détecter NTLM Pass The Hash avec ATA
- 14. 14 LAPS Les attributs LAPS (compte ordinateur) : MS-MCS-ADMPWD et MS-MCS-ADMPWDEXPIRATIONTIME
- 15. 15 Activer NTLM V2 Déployer LAPS Déployer Advanced Threat Analytics Configurer votre antivirus (détection Mimikatz) KB2871997 Désactiver WDIGEST (UseLogonCredential). Désactiver NTLM NTLM Pass The Hash
- 16. 16 2. Kerberos Pass The Ticket Golden Ticket
- 17. 17 Le protocole Kerberos
- 18. 18 Mimikatz Pass The Ticket
- 19. 19 Mimikatz Golden Ticket mimikatz.exe "privilege::debug" "kerberos::golden /admin:darkalan /domain:msexp76.intra /id:4000 /sid:S-1-5-21-595127354-1458299726- 2062179204 /krbtgt:49918692dbb7808c45b8fefe499bc7f6 /startoffset:0 /endin:600 /renewmax:10080 /ptt“ Nom du domaine : msexp76.intra Krbtgt : 49918692dbb7808c45b8fefe499bc7f6 SID du domaine : S-1-5-21-595127354-1458299726-2062179204
- 20. 20 3. Sécuriser et contrôler Azure Active Directory
- 21. 21 Azure AD Privileged Identity Management
- 22. 22 Azure Identity Protection
- 23. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 23 Annexe Tester la sécurité de son annuaire Active Directory V1 : https://www.youtube.com/watch?v=hD9NQppdVNQ Microsoft LAPS et les Golden Tickets : https://experiences.microsoft.fr/Video/avec-laps-metsys- premunit-un-si-dattaques-par-elevation-de-privileges/fd1a804d-c21d-4bbe-97d7- 1697364fe5b5#tJC0exc3qQLceeix.97 Microsoft Advanced Threat Analytics : https://www.microsoft.com/fr-fr/cloud-platform/advanced- threat-analytics Microsoft LAPS : https://www.microsoft.com/en-us/download/details.aspx?id=46899 Microsoft Azure Active Directory Privileged Identity Management : https://docs.microsoft.com/fr- fr/azure/active-directory/active-directory-privileged-identity-management-configure Microsoft Azure Active Directory Identity Protection : https://docs.microsoft.com/fr-fr/azure/active- directory/active-directory-identityprotection Recommandation ANSII : http://www.ssi.gouv.fr/ Recommandation Microsoft : http://aka.ms/bpsad
- 24. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 24 Nous suivre Facebook facebook.com/groups/azugfr/ Twitter twitter.com/AZUGFR Meetup meetup.com/AZUG-FR/ LinkedIn Linkedin.com/inspirasign Web www.azug.fr
- 25. Merci d’être venus A bientôt !
