Formation
Active Directory 2019
Optimisation et Sécurisation
avec l'Architecture N-Tier
Une formation
Mehdi DAKHAMA
L'évolution vers le Cloud, le Télétravail et les menaces informatiques qui ne cessent
d'accroitre, constituent un réel défi au quotidien pour tous les professionnels de l'IT
D'une part pour respecter les exigences et normes du marché, et d'une autre part pour
renforcer et garder le control sur le système informatique
Introduction
Une formation
Pour comprendre le concept, et élaborer une infrastructure
avec l'architecture N-tier de Microsoft
On va voir trois chapitres majeurs
Théorie (introduction)
Configuration et Mise en place pour les PME
Sécurité et optimisation avancée pour les grandes infra
Comprendre le concept
Une formation
Comprendre et mettre en place toutes les
techniques de sécurité, et d'optimisation d'une
infrastructure système et réseau sous Microsoft
Windows Server
Accroitre la sécurité de 95%
Objectifs
Une formation
La formation respecte la continuité entre chapitres
La formation se rapproche d'une infrastructure de
production
La formation respecte des contraintes réel (pas de réseau
générique ou pare-feu/AV désactiver etc….)
C’est une formation Professionnel et non académique,
100% applicable et conforme avec toutes infra
Avantages
Une formation
Définition de l'Architecture N-tier
L‘intérêt de l'Architecture N-tier
Comprendre Le T0-T1-T2
Découvrir Le PAW et SAW
Mettre en place l'architecture N-tier
Thèmes
Exemple du lab
Tirer Profit de l'architecture N-tier, pour optimiser et sécuriser une
infrastructure à 95% grâce aux différents modules de la formation
Une formation
Configurer des Stratégies d'authentification
Découvrir le Blindage AD, et mettre en place des Silos
Restreindre les flux de connexion
Mettre en place des Ldaps
Configurer des PAW
Déployer les machines rebonds
Appliquer le module Microsoft Baseline
Mettre en place JEA
Protéger et Auditer les comptes à privilèges
Empêcher l'énumération AD (SMB et SAM-R)
Configurer l’IPS
Mettre en place proxy avec AD
Modules
Une formation
Administrateurs, Ingénieur système et réseaux
Consultant / Architecte système et réseaux
Technicien système et réseaux
Responsable sécurité informatique
Pen testeur, Ingénieur Cybersécurité
Curieux désirant découvrir le modèle N-tier de
Microsoft
Public concerné
Une formation
Connaissances requises
Présentation du Lab
Une formation
Mehdi DAKHAMA
Prérequis ateliers
VM Conf Minimal
Partie-1 4 VMS
8 GO de RAM (minimum)
I3 ou plus
60 GO SSD
Partie-2 7 VMS en totale
16 GO de RAM
I5 ou équivalent
80 GO SSD
ISO (Windows 2019-2022)
ISO (Windows 10)
Comprendre les notions de
risque et l’intérêt de sécurité
Une formation
Mehdi DAKHAMA
Plan de déroulement
Une formation
Notion de risque
Différence entre Cybersecurité et sécurité
Rôle des acteurs
Notion de sécurité
L'utilisation des solutions Cloud offre des avantages et
une adaptabilité aux besoins des entreprises au niveau
économique et de commodité d'emploi pour ses
utilisateurs
Une mauvaise gestion des intégrations des solutions
cloud dans une infrastructure hybride peut rapidement
présenter des grands risques
Sécurité (Cyberattaques)
Fuites de données
Une formation
Notions des risques
Source : Bitdefender
Source : sectigostore
Cyber-sécurité ou Sécurité ?
La cybersécurité
Analyser les menaces sur les systèmes d'informations (Solution ou Produit)
Tester et démontrer les limites, ainsi que les risques
Une formation
Comment y accéder ?
Rôle et responsabilité dans l'intégration
Rôle et responsabilité dans l'intégration
La sécurité informatique est sujet de deux problématiques majeurs
La Fuite des données et La perte des données
Protéger les données
Durcir l'accès
Surveillez
Intervenir, Agir
Gérer l'évolution
PRA, HA, SLA
Respecter les normes ISO, RGPD
Notion de sécurité
Découvrir
l'architecture N-tier
Une formation
Mehdi DAKHAMA
C’est une présentation logique d'un système ou
application en la divisant en trois niveaux avec des rôles
bien définis
Couche de présentation
Correspondant l'affichage et le dialogue avec l'utilisateur
Couche de traitement
Correspondant à la mise en œuvre de l'ensemble des règles de
gestion
Couche d'accès aux données
Correspondant aux données qui sont destinées à être conservées
Une formation
L'architecture N-tier
Connaître le concept du modèle
N-tier Active Directory
Une formation
Mehdi DAKHAMA
Une formation
C’est une référence de sécurité recommandée pour aider les
organisations à atténuer le vol d’informations d’identification
Organiser l’ensemble de l’infrastructure informatique en différentes
couches (niveaux)
Séparer les composants de l’infrastructure en fonction de leur niveau
d’importance
Rendre ces différentes couches hermétiques les unes des autres
Ces trois niveaux augmentent le coût pour un attaquant
essayant de compromettre des systèmes sensibles
Ce modèle rend plus difficile pour un pirate informatique le
passage d'un actif de niveau 2 à un actif de niveau 0, mais ne le
rend pas impossible
Le modèle N-tier AD
Une formation
Mauvaises démarches
Compte standard = compte admin du domaine
Compte standard et compte admin
Délégation d’administration
Utilisation des outils d’administration RSAT / RDP DC
Exécution des tâches de délégation sur le poste
standard avec le compte délégué (ou compte
d’administration)
Comprendre les différents
niveaux T0-T1-T2
Une formation
Mehdi DAKHAMA
Une formation
Contenu de chaque couche
Niveau 0 (T0)
Composants qui contrôle les identités ( Serveurs ADDS,
Azure AD connect, PKI,…)
Niveau 1 (T1)
Serveurs et comptes de gestion de l’infrastructure et
applications(SCCM, Monitoring, ERP, …)
Niveau 2 (T2)
Périphériques et comptes utilisateurs et administrateurs
Tier
2
Tier
0
Tier
1
Tier
2
Tier
0
Tier
1
Même niveau :autorisé Niveau different: Interdit
Gestion de l'authentification
Gestion de l'authentification
Comprendre le PAW et SAW
Une formation
Mehdi DAKHAMA
Administration de l’infrastructure
Administration de l’infrastructure
Administrer ces couches avec ces différents cloisonnements
PAW
Privilege Access Workstation
Silo
Sécurisation
Hardening
Tier
2
Tier
0
Tier
1
PAW
PAW
PAW
Même niveau :autorisé Niveau inférieur: Interdit
Niveau supérieur: avec prudence
Tier
2
Tier
0
Tier
1
PAW
PAW
PAW
Une formation
PAM et SAW
Privilege Access Management permet la sécurisation
de l’accès privilégié et la priorité de sécurité
supérieure en affectant à des utilisateurs des rôles
privilégiés qu’ils peuvent activer si nécessaire pour
un accès juste-à-temps
Ces rôles sont définis manuellement et établis dans
l’environnement bastion
Découvrir l’optimisation
de la sécurité et du rendement
Une formation
Mehdi DAKHAMA
Une formation
Mise en place
Le modèle N-tier n'étant qu'un concept, ça mise en
production doit respecter certaines critères dont on trouve
Segmentation du réseau entre les Tiers
Pare-feu entre les Tiers
Analyse du traffic vers le Tier0
Réduction au maximum des ports ouverts vers le Tier 0
Organisation des OUs en respectant les couches
Isoler le plus possible DC portant les FSMO PDC, Schéma et Domain name
Réduire les exécutions Powershell distants vers les serveurs du Tier0
Faire le choix
de l'architecture d'entreprise
Une formation
Mehdi DAKHAMA
Une formation
L'architecture
Le nombre de couche et comptes dépend des exigences
de l'entreprise, du budget, et des compétences de l'IT
L'objectif final étant d'optimiser le rendement et de
sécuriser son système informatique, et non de compliquer
la gestion
De ce fait certaines entreprises respectent le niveau à 3
couches minimum, d'autres utilisent 4 min, et quelques
unes se contentent de deux couches
Nous allons traiter les scénarios pour répondre à tous les
cas de figures
Lan-Serveur
192.168.10.0
Lan-Client
192.168.20.0
Mettre en place des prérequis
Une formation
Mehdi DAKHAMA
Une formation
Mise en place
Installer et configurer un deuxième serveur en DHCP
Installer un deuxième Client Win-10 (PAW)
Intégrer PAW la machine au domaine
Créer un deuxième réseau
Connecter les clients au réseau
Préparer la structure OU
Tester la configuration
Une formation
Mehdi DAKHAMA
Séparer des couches
Une formation
Mehdi DAKHAMA
Une formation
Mise en place des règles
Création des règles pare feu
DHCP Relais
Bloquer les protocoles sensibles (LLNMR, SMBv1)
Bloquer le ping
Autoriser seulement HTTPS
Lan-Serveur
192.168.10.0
Lan-Client
192.168.20.0
Configurer un PAW
Une formation
Mehdi DAKHAMA
Une formation
Mise en place
Désactiver l'utilisation des lecteurs amovibles
Désactiver le cache
Interdire l'ouverture de session en tant que tache
Administrateur restreint
Microsoft Baseline
Microsoft Policy Viewer
Découvrir
Microsoft Baseline Security
Une formation
Mehdi DAKHAMA
Une formation
Plan
Présentation
Historique
Différents modules
Microsoft Baseline Viewer
Mise en place par GPO
Mise en place Local
Une formation
Introduction
Même si Windows et Windows Server sont conçus pour
être immédiatement sécurisés, il existe plus de 3000
paramètres de stratégie de groupe pour Windows10, sans
compter les 1800 paramètres d’InternetExplorer11
Parmi ces 4800paramètres, seuls certains sont liés à la
sécurité
Même si Microsoft fournit de nombreux conseils sur les
différentes fonctionnalités de sécurité, la découverte de
chacun d’eux peut prendre beaucoup de temps
Une formation
Microsoft Security Baseline
C’est un ensemble de paramètres de référence
recommandés par Microsoft pour les postes de travail et
les serveurs Windows afin de fournir une configuration
sécurisée et de protéger les contrôleurs de domaine, les
serveurs, les ordinateurs et les utilisateurs
Ces paramètres sont inclus dans la suite Microsoft Security
Compliance Manager (SCM) contient plusieurs outils pour
analyser, tester et appliquer les meilleures pratiques et les
recommandations de sécurité
Microsoft Security Baseline remplace Microsoft baseline analyser
Historique
Historique
Il est publié après chaque nouvelle version OS
Différents modules
LGPO : est utilisé pour gérer les paramètres GPO locaux
La documentation : contient les fichiers XLSX et PDF avec la description détaillée des paramètres appliqués
GP Reports : contient des rapports HTML avec les paramètres GPO à appliquer
GPO : contient des objets GPO pour différents scénarios
Scripts : contient des scripts PowerShell pour importer facilement les paramètres GPO
Templates : Contient les modèles ADML/ADMX supplémentaire (exemple paramétrés LAPS)
Une formation
Microsoft Baseline Viewer
PolicyAnalyzer : est un outil inclus avec Security
Compliance Toolkit 1.0
Il permet d'analyser les stratégies de groupe
existantes et de les comparer avec les stratégies de
référence de la ligne de base de sécurité
Policy Analyzer ne peut pas appliquer les paramètres
de stratégie
Une formation
Démos
Mise en place par GPO
Mise en place Local
Mettre en place
Microsoft Baseline Security
Une formation
Mehdi DAKHAMA
Une formation
Plan
Télécharger SCT
Extraire les fichiers
Tester et comparer les stratégies
Appliquer avec LGPO
Importer les GPOs
Découvrir Blindage Kerberos
Une formation
Mehdi DAKHAMA
Une formation
Plan
Présentation du Blindage
Mauvaise pratique
Mise en place de Revendication KDC
PAW
Restreindre la connexion aux serveurs
Une formation
Mehdi DAKHAMA
Restreindre l'accès aux
utilisateurs
Une formation
Mehdi DAKHAMA
Protéger l'ouverture de session
Une formation
Mehdi DAKHAMA
Auditer et protéger le RDP
Une formation
Mehdi DAKHAMA
Une formation
Plan
Activer l'audit sur la machine
Lier l'événement à une tache
Utiliser un script
Mettre en place l’architecture
Une formation
Mehdi DAKHAMA
Une formation
Mise en place des règles
Ajout de deuxième DC
Configuration des règles
Création d'un nouveau réseau
Configuration du DHCP
Mettre en place l’architecture
Les configurations
Une formation
Mehdi DAKHAMA
Configurer des silos
Une formation
Mehdi DAKHAMA
Une formation
Rappel et définition
Les stratégies d'authentification contrôlent les
éléments suivants
La durée de vie TGT du compte, qui est définie pour être non
renouvelable
Les critères que les comptes d'appareils doivent remplir pour se
connecter avec un mot de passe ou un certificat
Les critères que les utilisateurs et les appareils doivent remplir
pour s'authentifier auprès des services exécutés dans le cadre du
compte
Une formation
Les Silos quant à eux sont des conteneurs auxquels les
administrateurs peuvent attribuer des comptes
d'utilisateur, des comptes d'ordinateur et des comptes de
service
L'ensemble des comptes peuvent être gérés par les
politiques d'authentification qui ont été appliquées à ce
conteneur
On peut alors déduire que les Silos sont des relations et
non des conditions
Les stratégies d'authentification
Découvrir
le Paw-T1-Avancé
Une formation
Mehdi DAKHAMA
Une formation
Protection de PAW T1
Auditer et tester le PAW T1
Durcir le PAW T1
Configurer le Paw-T1-Avancé
Une formation
Mehdi DAKHAMA
Découvrir le durcissement AD
Restreindre le Flux
Une formation
Mehdi DAKHAMA
Découvrir le durcissement AD
Transfert serveur NTP
Une formation
Mehdi DAKHAMA
Retenir l’Architecture N-tier
Une formation
Mehdi DAKHAMA
Une formation
Activation du Blindage
Configuration des silos
le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis
Découvrir le durcissement AD
Bloquer l'énumeration
Une formation
Mehdi DAKHAMA
Une formation
Bloquer l’énumération
Restreindre l’énumération SAM-R
Bloquer l’énumération SMB
Bloquer l’énumération Anonyme
Découvrir
la configuration Ldaps
Une formation
Mehdi DAKHAMA
Une formation
Définition
Tester la connexion Ldap
Mise en place de CA
Signature des demandes
Tester Ldaps
Exiger Ldaps par GPO
Forcer le flux SSL
Plan
Une formation
Définition
LDAP (Lightweight Directory Access Protocol) est un
protocole utilisé pour lire et écrire dans Active Directory
Par défaut, le trafic LDAP est transmis en claire
La technologie SSL/TLS (Transport Layer Security) permet
de rendre le trafic LDAP confidentiel et sécurisé en
installant un certificat correctement mis en forme à partir
d’une autorité de certification Microsoft ou autres
User-1
PC-1
PC-2
LDAP
TLS Request
Bind Reponse
Bind Request Bind Search
PC
?>£¨S%µ**sXCeq%:;£¨S
Comprendre et configurer Ldaps
Serveur tiers
Une formation
Mehdi DAKHAMA
Mettre en place JEA
Une formation
Mehdi DAKHAMA
Une formation
C’est une technologie de sécurité qui permet une
administration déléguée de tout ce qui est géré avec
PowerShell
Réduire le nombre d’administrateurs sur nos machines en utilisant
des comptes virtuels ou des comptes de service gérés de groupe
pour effectuer des actions privilégiées au nom d’utilisateurs
normaux
Limiter les opérations réalisables par les utilisateurs en spécifiant
les applets de commande, fonctions et commandes externes
qu’ils peuvent exécuter
Mieux comprendre ce que font vos utilisateurs avec des
transcriptions et des journaux
Just Enough Administration (JEA)
Activer Winrm
Création d'un fichier de configuration de session PS
Création d'un dossier pour JEA
Création d'un fichier de capacité
Enregistrement de la configuration
Etapes
Retenir l’Architecture N-tier
Une formation
Mehdi DAKHAMA
Une formation
Activation du Blindage
Configuration des silos
Le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis
Mettre en place IDS/IPS
Une formation
Mehdi DAKHAMA
Une formation
Définition IDS / IPS
IDS
La détection d'intrusion est le processus qui consiste à surveiller
les événements qui se produisent sur le réseau et les analyser
pour détecter les signes d'éventuels incidents, violations ou
menaces imminentes aux stratégies de sécurité
IPS
La prévention d'intrusion consiste à détecter les intrusions puis à
résoudre les incidents détectés
Snort est un moyen de prévention des intrusions (IPS)
open source
Snort IPS utilise une série de règles qui aident à définir
l'activité réseau malveillante et utilise ces règles pour
trouver les paquets qui leur correspondent et génère des
alertes pour les utilisateurs
les règles Snort sont réparties en deux ensembles : le
"Community Ruleset" et le "Snort Subscriber Ruleset"
Présentation de Snort
Tester IPS avec AD
Une formation
Mehdi DAKHAMA
Découvrir l’authentification
Squid avec Active Directory
Une formation
Mehdi DAKHAMA
Une formation
Définition du Proxy
Un Proxy est une solution (matériel ou logiciel) permettant
de masquer un réseau interne sur internet
Il agit comme un intermédiaire entre les clients et leur
destinations (rendant ainsi la traçabilité difficile, et
réduisant la surface d'attaque)
Il nous permet aussi de récupérer les logs et d'appliquer
des règles d'accès
Squid est un serveur mandataire (proxy) et Proxy-inverse conçu
pour relayer les protocoles FTP, HTTP, Gopher, et HTTPS
Serveur Mandataire ( Centralise les demandes d’accès web et
fait la demande à notre place)
Serveur Cache et Serveur Filtrant
C'est un logiciel libre distribué sous licence GNU GPL
SquidGuard est un logiciel complémentaire à Squid qui permet de
gérer le filtrage avec des bases de données qu’il a créé à partir
d’une blacklist
A propos de Squid
Mettre en place
la liste de SquidGard
Une formation
Mehdi DAKHAMA
Configurer le proxy
et bloquer les extensions
Une formation
Mehdi DAKHAMA
Conclusion
Une formation
Mehdi DAKHAMA
Dans cette formation nous avons appris comment
réduire les surfaces d'attaques, élaborer et mettre en
place une infrastructure sécurisé Microsoft Windows
server avec l'architecture N-tier, en respectant les
bonnes pratiques et les meilleurs recommandations
Bilan
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation avec l'Architecture N-Tier
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation avec l'Architecture N-Tier
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation avec l'Architecture N-Tier

Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation avec l'Architecture N-Tier

  • 1.
    Formation Active Directory 2019 Optimisationet Sécurisation avec l'Architecture N-Tier Une formation Mehdi DAKHAMA
  • 2.
    L'évolution vers leCloud, le Télétravail et les menaces informatiques qui ne cessent d'accroitre, constituent un réel défi au quotidien pour tous les professionnels de l'IT D'une part pour respecter les exigences et normes du marché, et d'une autre part pour renforcer et garder le control sur le système informatique Introduction
  • 3.
    Une formation Pour comprendrele concept, et élaborer une infrastructure avec l'architecture N-tier de Microsoft On va voir trois chapitres majeurs Théorie (introduction) Configuration et Mise en place pour les PME Sécurité et optimisation avancée pour les grandes infra Comprendre le concept
  • 4.
    Une formation Comprendre etmettre en place toutes les techniques de sécurité, et d'optimisation d'une infrastructure système et réseau sous Microsoft Windows Server Accroitre la sécurité de 95% Objectifs
  • 5.
    Une formation La formationrespecte la continuité entre chapitres La formation se rapproche d'une infrastructure de production La formation respecte des contraintes réel (pas de réseau générique ou pare-feu/AV désactiver etc….) C’est une formation Professionnel et non académique, 100% applicable et conforme avec toutes infra Avantages
  • 6.
    Une formation Définition del'Architecture N-tier L‘intérêt de l'Architecture N-tier Comprendre Le T0-T1-T2 Découvrir Le PAW et SAW Mettre en place l'architecture N-tier Thèmes
  • 7.
  • 8.
    Tirer Profit del'architecture N-tier, pour optimiser et sécuriser une infrastructure à 95% grâce aux différents modules de la formation
  • 10.
    Une formation Configurer desStratégies d'authentification Découvrir le Blindage AD, et mettre en place des Silos Restreindre les flux de connexion Mettre en place des Ldaps Configurer des PAW Déployer les machines rebonds Appliquer le module Microsoft Baseline Mettre en place JEA Protéger et Auditer les comptes à privilèges Empêcher l'énumération AD (SMB et SAM-R) Configurer l’IPS Mettre en place proxy avec AD Modules
  • 11.
    Une formation Administrateurs, Ingénieursystème et réseaux Consultant / Architecte système et réseaux Technicien système et réseaux Responsable sécurité informatique Pen testeur, Ingénieur Cybersécurité Curieux désirant découvrir le modèle N-tier de Microsoft Public concerné
  • 12.
  • 13.
    Présentation du Lab Uneformation Mehdi DAKHAMA
  • 14.
  • 16.
    VM Conf Minimal Partie-14 VMS 8 GO de RAM (minimum) I3 ou plus 60 GO SSD Partie-2 7 VMS en totale 16 GO de RAM I5 ou équivalent 80 GO SSD ISO (Windows 2019-2022) ISO (Windows 10)
  • 17.
    Comprendre les notionsde risque et l’intérêt de sécurité Une formation Mehdi DAKHAMA
  • 18.
    Plan de déroulement Uneformation Notion de risque Différence entre Cybersecurité et sécurité Rôle des acteurs Notion de sécurité
  • 19.
    L'utilisation des solutionsCloud offre des avantages et une adaptabilité aux besoins des entreprises au niveau économique et de commodité d'emploi pour ses utilisateurs Une mauvaise gestion des intégrations des solutions cloud dans une infrastructure hybride peut rapidement présenter des grands risques Sécurité (Cyberattaques) Fuites de données Une formation Notions des risques
  • 20.
  • 21.
  • 23.
    Cyber-sécurité ou Sécurité? La cybersécurité Analyser les menaces sur les systèmes d'informations (Solution ou Produit) Tester et démontrer les limites, ainsi que les risques
  • 24.
  • 25.
    Rôle et responsabilitédans l'intégration Rôle et responsabilité dans l'intégration
  • 26.
    La sécurité informatiqueest sujet de deux problématiques majeurs La Fuite des données et La perte des données Protéger les données Durcir l'accès Surveillez Intervenir, Agir Gérer l'évolution PRA, HA, SLA Respecter les normes ISO, RGPD Notion de sécurité
  • 27.
  • 28.
    C’est une présentationlogique d'un système ou application en la divisant en trois niveaux avec des rôles bien définis Couche de présentation Correspondant l'affichage et le dialogue avec l'utilisateur Couche de traitement Correspondant à la mise en œuvre de l'ensemble des règles de gestion Couche d'accès aux données Correspondant aux données qui sont destinées à être conservées Une formation L'architecture N-tier
  • 30.
    Connaître le conceptdu modèle N-tier Active Directory Une formation Mehdi DAKHAMA
  • 31.
    Une formation C’est uneréférence de sécurité recommandée pour aider les organisations à atténuer le vol d’informations d’identification Organiser l’ensemble de l’infrastructure informatique en différentes couches (niveaux) Séparer les composants de l’infrastructure en fonction de leur niveau d’importance Rendre ces différentes couches hermétiques les unes des autres Ces trois niveaux augmentent le coût pour un attaquant essayant de compromettre des systèmes sensibles Ce modèle rend plus difficile pour un pirate informatique le passage d'un actif de niveau 2 à un actif de niveau 0, mais ne le rend pas impossible Le modèle N-tier AD
  • 32.
    Une formation Mauvaises démarches Comptestandard = compte admin du domaine Compte standard et compte admin Délégation d’administration Utilisation des outils d’administration RSAT / RDP DC Exécution des tâches de délégation sur le poste standard avec le compte délégué (ou compte d’administration)
  • 34.
    Comprendre les différents niveauxT0-T1-T2 Une formation Mehdi DAKHAMA
  • 35.
    Une formation Contenu dechaque couche Niveau 0 (T0) Composants qui contrôle les identités ( Serveurs ADDS, Azure AD connect, PKI,…) Niveau 1 (T1) Serveurs et comptes de gestion de l’infrastructure et applications(SCCM, Monitoring, ERP, …) Niveau 2 (T2) Périphériques et comptes utilisateurs et administrateurs
  • 36.
  • 37.
    Tier 2 Tier 0 Tier 1 Même niveau :autoriséNiveau different: Interdit Gestion de l'authentification Gestion de l'authentification
  • 38.
    Comprendre le PAWet SAW Une formation Mehdi DAKHAMA
  • 39.
    Administration de l’infrastructure Administrationde l’infrastructure Administrer ces couches avec ces différents cloisonnements PAW Privilege Access Workstation Silo Sécurisation Hardening
  • 40.
    Tier 2 Tier 0 Tier 1 PAW PAW PAW Même niveau :autoriséNiveau inférieur: Interdit Niveau supérieur: avec prudence
  • 41.
  • 42.
    Une formation PAM etSAW Privilege Access Management permet la sécurisation de l’accès privilégié et la priorité de sécurité supérieure en affectant à des utilisateurs des rôles privilégiés qu’ils peuvent activer si nécessaire pour un accès juste-à-temps Ces rôles sont définis manuellement et établis dans l’environnement bastion
  • 45.
    Découvrir l’optimisation de lasécurité et du rendement Une formation Mehdi DAKHAMA
  • 46.
    Une formation Mise enplace Le modèle N-tier n'étant qu'un concept, ça mise en production doit respecter certaines critères dont on trouve Segmentation du réseau entre les Tiers Pare-feu entre les Tiers Analyse du traffic vers le Tier0 Réduction au maximum des ports ouverts vers le Tier 0 Organisation des OUs en respectant les couches Isoler le plus possible DC portant les FSMO PDC, Schéma et Domain name Réduire les exécutions Powershell distants vers les serveurs du Tier0
  • 48.
    Faire le choix del'architecture d'entreprise Une formation Mehdi DAKHAMA
  • 49.
    Une formation L'architecture Le nombrede couche et comptes dépend des exigences de l'entreprise, du budget, et des compétences de l'IT L'objectif final étant d'optimiser le rendement et de sécuriser son système informatique, et non de compliquer la gestion De ce fait certaines entreprises respectent le niveau à 3 couches minimum, d'autres utilisent 4 min, et quelques unes se contentent de deux couches Nous allons traiter les scénarios pour répondre à tous les cas de figures
  • 50.
  • 54.
    Mettre en placedes prérequis Une formation Mehdi DAKHAMA
  • 55.
    Une formation Mise enplace Installer et configurer un deuxième serveur en DHCP Installer un deuxième Client Win-10 (PAW) Intégrer PAW la machine au domaine Créer un deuxième réseau Connecter les clients au réseau Préparer la structure OU
  • 57.
    Tester la configuration Uneformation Mehdi DAKHAMA
  • 58.
    Séparer des couches Uneformation Mehdi DAKHAMA
  • 59.
    Une formation Mise enplace des règles Création des règles pare feu DHCP Relais Bloquer les protocoles sensibles (LLNMR, SMBv1) Bloquer le ping Autoriser seulement HTTPS
  • 60.
  • 61.
    Configurer un PAW Uneformation Mehdi DAKHAMA
  • 62.
    Une formation Mise enplace Désactiver l'utilisation des lecteurs amovibles Désactiver le cache Interdire l'ouverture de session en tant que tache Administrateur restreint Microsoft Baseline Microsoft Policy Viewer
  • 63.
  • 64.
    Une formation Plan Présentation Historique Différents modules MicrosoftBaseline Viewer Mise en place par GPO Mise en place Local
  • 65.
    Une formation Introduction Même siWindows et Windows Server sont conçus pour être immédiatement sécurisés, il existe plus de 3000 paramètres de stratégie de groupe pour Windows10, sans compter les 1800 paramètres d’InternetExplorer11 Parmi ces 4800paramètres, seuls certains sont liés à la sécurité Même si Microsoft fournit de nombreux conseils sur les différentes fonctionnalités de sécurité, la découverte de chacun d’eux peut prendre beaucoup de temps
  • 66.
    Une formation Microsoft SecurityBaseline C’est un ensemble de paramètres de référence recommandés par Microsoft pour les postes de travail et les serveurs Windows afin de fournir une configuration sécurisée et de protéger les contrôleurs de domaine, les serveurs, les ordinateurs et les utilisateurs Ces paramètres sont inclus dans la suite Microsoft Security Compliance Manager (SCM) contient plusieurs outils pour analyser, tester et appliquer les meilleures pratiques et les recommandations de sécurité
  • 67.
    Microsoft Security Baselineremplace Microsoft baseline analyser Historique
  • 68.
    Historique Il est publiéaprès chaque nouvelle version OS
  • 69.
    Différents modules LGPO :est utilisé pour gérer les paramètres GPO locaux La documentation : contient les fichiers XLSX et PDF avec la description détaillée des paramètres appliqués GP Reports : contient des rapports HTML avec les paramètres GPO à appliquer GPO : contient des objets GPO pour différents scénarios Scripts : contient des scripts PowerShell pour importer facilement les paramètres GPO Templates : Contient les modèles ADML/ADMX supplémentaire (exemple paramétrés LAPS)
  • 70.
    Une formation Microsoft BaselineViewer PolicyAnalyzer : est un outil inclus avec Security Compliance Toolkit 1.0 Il permet d'analyser les stratégies de groupe existantes et de les comparer avec les stratégies de référence de la ligne de base de sécurité Policy Analyzer ne peut pas appliquer les paramètres de stratégie
  • 72.
    Une formation Démos Mise enplace par GPO Mise en place Local
  • 73.
    Mettre en place MicrosoftBaseline Security Une formation Mehdi DAKHAMA
  • 74.
    Une formation Plan Télécharger SCT Extraireles fichiers Tester et comparer les stratégies Appliquer avec LGPO Importer les GPOs
  • 75.
    Découvrir Blindage Kerberos Uneformation Mehdi DAKHAMA
  • 76.
    Une formation Plan Présentation duBlindage Mauvaise pratique Mise en place de Revendication KDC
  • 78.
    PAW Restreindre la connexionaux serveurs Une formation Mehdi DAKHAMA
  • 80.
  • 82.
    Protéger l'ouverture desession Une formation Mehdi DAKHAMA
  • 84.
    Auditer et protégerle RDP Une formation Mehdi DAKHAMA
  • 85.
    Une formation Plan Activer l'auditsur la machine Lier l'événement à une tache Utiliser un script
  • 86.
    Mettre en placel’architecture Une formation Mehdi DAKHAMA
  • 87.
    Une formation Mise enplace des règles Ajout de deuxième DC Configuration des règles Création d'un nouveau réseau Configuration du DHCP
  • 89.
    Mettre en placel’architecture Les configurations Une formation Mehdi DAKHAMA
  • 90.
    Configurer des silos Uneformation Mehdi DAKHAMA
  • 91.
    Une formation Rappel etdéfinition Les stratégies d'authentification contrôlent les éléments suivants La durée de vie TGT du compte, qui est définie pour être non renouvelable Les critères que les comptes d'appareils doivent remplir pour se connecter avec un mot de passe ou un certificat Les critères que les utilisateurs et les appareils doivent remplir pour s'authentifier auprès des services exécutés dans le cadre du compte
  • 92.
    Une formation Les Silosquant à eux sont des conteneurs auxquels les administrateurs peuvent attribuer des comptes d'utilisateur, des comptes d'ordinateur et des comptes de service L'ensemble des comptes peuvent être gérés par les politiques d'authentification qui ont été appliquées à ce conteneur On peut alors déduire que les Silos sont des relations et non des conditions Les stratégies d'authentification
  • 94.
  • 95.
    Une formation Protection dePAW T1 Auditer et tester le PAW T1 Durcir le PAW T1
  • 96.
    Configurer le Paw-T1-Avancé Uneformation Mehdi DAKHAMA
  • 97.
    Découvrir le durcissementAD Restreindre le Flux Une formation Mehdi DAKHAMA
  • 98.
    Découvrir le durcissementAD Transfert serveur NTP Une formation Mehdi DAKHAMA
  • 99.
    Retenir l’Architecture N-tier Uneformation Mehdi DAKHAMA
  • 100.
    Une formation Activation duBlindage Configuration des silos le passage entre PAW se fait à partir des comptes spécifiques LDAPS Audit AD Mode administrateur restreint (RDP) Empêcher l'énumération AD (SAM-R) Microsoft Baseline JEA mode Restriction Bilan des acquis
  • 102.
    Découvrir le durcissementAD Bloquer l'énumeration Une formation Mehdi DAKHAMA
  • 103.
    Une formation Bloquer l’énumération Restreindrel’énumération SAM-R Bloquer l’énumération SMB Bloquer l’énumération Anonyme
  • 104.
  • 105.
    Une formation Définition Tester laconnexion Ldap Mise en place de CA Signature des demandes Tester Ldaps Exiger Ldaps par GPO Forcer le flux SSL Plan
  • 106.
    Une formation Définition LDAP (LightweightDirectory Access Protocol) est un protocole utilisé pour lire et écrire dans Active Directory Par défaut, le trafic LDAP est transmis en claire La technologie SSL/TLS (Transport Layer Security) permet de rendre le trafic LDAP confidentiel et sécurisé en installant un certificat correctement mis en forme à partir d’une autorité de certification Microsoft ou autres
  • 109.
    User-1 PC-1 PC-2 LDAP TLS Request Bind Reponse BindRequest Bind Search PC ?>£¨S%µ**sXCeq%:;£¨S
  • 110.
    Comprendre et configurerLdaps Serveur tiers Une formation Mehdi DAKHAMA
  • 111.
    Mettre en placeJEA Une formation Mehdi DAKHAMA
  • 112.
    Une formation C’est unetechnologie de sécurité qui permet une administration déléguée de tout ce qui est géré avec PowerShell Réduire le nombre d’administrateurs sur nos machines en utilisant des comptes virtuels ou des comptes de service gérés de groupe pour effectuer des actions privilégiées au nom d’utilisateurs normaux Limiter les opérations réalisables par les utilisateurs en spécifiant les applets de commande, fonctions et commandes externes qu’ils peuvent exécuter Mieux comprendre ce que font vos utilisateurs avec des transcriptions et des journaux Just Enough Administration (JEA)
  • 113.
    Activer Winrm Création d'unfichier de configuration de session PS Création d'un dossier pour JEA Création d'un fichier de capacité Enregistrement de la configuration Etapes
  • 115.
    Retenir l’Architecture N-tier Uneformation Mehdi DAKHAMA
  • 116.
    Une formation Activation duBlindage Configuration des silos Le passage entre PAW se fait à partir des comptes spécifiques LDAPS Audit AD Mode administrateur restreint (RDP) Empêcher l'énumération AD (SAM-R) Microsoft Baseline JEA mode Restriction Bilan des acquis
  • 118.
    Mettre en placeIDS/IPS Une formation Mehdi DAKHAMA
  • 119.
    Une formation Définition IDS/ IPS IDS La détection d'intrusion est le processus qui consiste à surveiller les événements qui se produisent sur le réseau et les analyser pour détecter les signes d'éventuels incidents, violations ou menaces imminentes aux stratégies de sécurité IPS La prévention d'intrusion consiste à détecter les intrusions puis à résoudre les incidents détectés
  • 120.
    Snort est unmoyen de prévention des intrusions (IPS) open source Snort IPS utilise une série de règles qui aident à définir l'activité réseau malveillante et utilise ces règles pour trouver les paquets qui leur correspondent et génère des alertes pour les utilisateurs les règles Snort sont réparties en deux ensembles : le "Community Ruleset" et le "Snort Subscriber Ruleset" Présentation de Snort
  • 122.
    Tester IPS avecAD Une formation Mehdi DAKHAMA
  • 123.
    Découvrir l’authentification Squid avecActive Directory Une formation Mehdi DAKHAMA
  • 124.
    Une formation Définition duProxy Un Proxy est une solution (matériel ou logiciel) permettant de masquer un réseau interne sur internet Il agit comme un intermédiaire entre les clients et leur destinations (rendant ainsi la traçabilité difficile, et réduisant la surface d'attaque) Il nous permet aussi de récupérer les logs et d'appliquer des règles d'accès
  • 126.
    Squid est unserveur mandataire (proxy) et Proxy-inverse conçu pour relayer les protocoles FTP, HTTP, Gopher, et HTTPS Serveur Mandataire ( Centralise les demandes d’accès web et fait la demande à notre place) Serveur Cache et Serveur Filtrant C'est un logiciel libre distribué sous licence GNU GPL SquidGuard est un logiciel complémentaire à Squid qui permet de gérer le filtrage avec des bases de données qu’il a créé à partir d’une blacklist A propos de Squid
  • 128.
    Mettre en place laliste de SquidGard Une formation Mehdi DAKHAMA
  • 129.
    Configurer le proxy etbloquer les extensions Une formation Mehdi DAKHAMA
  • 130.
  • 131.
    Dans cette formationnous avons appris comment réduire les surfaces d'attaques, élaborer et mettre en place une infrastructure sécurisé Microsoft Windows server avec l'architecture N-tier, en respectant les bonnes pratiques et les meilleurs recommandations Bilan