SlideShare une entreprise Scribd logo
Tester la sécurité de vos annuaires Active Directory / Azure
Active Directory
Alan DEGROISE – Guillaume
MATHIEU
2
Merci à nos sponsors
PLATINUM
LOCAUX
PARTENAIRES MEDIA
3
Sponsors internationaux
4
Pourquoi cette session ?
 Active Directory : annuaire le plus déployé dans les entreprises.
 Azure Active Directory : 500 millions de comptes / 4500 applications SaaS
 Kit d’attaques de la NSA qui a fuité sur Internet.
 GDPR
 Multiplication du nombre d’attaques en 2016 / 2017
 280 jours en moyenne pour détecter une attaque.
Maîtriser et sécuriser Active Directory et Azure Active Directory devient un
enjeux stratégique.
5
Les solutions pour sécuriser
Active Directory et Azure Active Directory existent
mais elles ne sont pas appliquées ou connues !
6
1. NTLM Pass the Hash
a. Réduire la surface d’attaque avec LAPS
b. Détecter et alerter avec Microsoft Advanced Threat Analytics
2. Kerberos Pass the ticket et Golden Ticket
a. Réduire les privilèges des comptes d’administration / services
3. Sécuriser et contrôler Azure Active Directory
a. Délégation d’administration avec Azure Microsoft Azure Active Directory Privileged
Identity Management
b. Détecter l’utilisation des comptes Azure à fort privilèges avec Microsoft Azure Active
Directory Identity Protection
Agenda
7
1. NTLM Pass The Hash
8
Mot de passe d’un compte utilisateur Active Directory :
 Stockés sous forme de Hash / empreintes :
 LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0
 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B
 Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory
(historique) protégés par le système
 Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT.
 Rainbow Table : retrouver un mot de passe à partir d’un HASH
 Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH
Stockage des mots de passe
9Les mots de passe en texte clair / Hash en mémoire
10
Authentification NTLM :
Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie.
Charlie
CL1
FILE1 DC1
Version NTLM
(négociation…)
1 - Charlie ouvre sa session2- Charlie accède à File1
Challenge
4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie3- FILE1 génère le challenge et l’envoie à CL1
Réponse
5- FILE1 envoie le logon + challenge + réponse à DC1
Challenge
Logon de Charlie
6- DC1 génère la réponse avec le challenge et le logon de Charlie
Réponse DC1 :
OK
7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1
« Je suis
Charlie »
Le protocole NTLM
11
 Comportement standard du protocole NTLM (SSO)
 Sur une machine distante (ouverture de session réseau)
 Mot de passe complexe -> vulnérable à cette attaque !
L’attaque NTLM Pass The Hash
12
Mimikatz - NTLM Pass The Hash
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata
/ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"
13
Détecter NTLM Pass The Hash avec ATA
14
LAPS
Les attributs LAPS (compte ordinateur) :
MS-MCS-ADMPWD et MS-MCS-ADMPWDEXPIRATIONTIME
15
 Activer NTLM V2
 Déployer LAPS
 Déployer Advanced Threat Analytics
 Configurer votre antivirus (détection Mimikatz)
 KB2871997
 Désactiver WDIGEST (UseLogonCredential).
 Désactiver NTLM
NTLM Pass The Hash
16
2. Kerberos Pass The Ticket
Golden Ticket
17
Le protocole Kerberos
18
Mimikatz Pass The Ticket
19
Mimikatz Golden Ticket
mimikatz.exe "privilege::debug" "kerberos::golden /admin:darkalan
/domain:msexp76.intra /id:4000 /sid:S-1-5-21-595127354-1458299726-
2062179204 /krbtgt:49918692dbb7808c45b8fefe499bc7f6 /startoffset:0
/endin:600 /renewmax:10080 /ptt“
Nom du domaine : msexp76.intra
Krbtgt : 49918692dbb7808c45b8fefe499bc7f6
SID du domaine : S-1-5-21-595127354-1458299726-2062179204
20
3. Sécuriser et contrôler Azure Active
Directory
21
Azure AD Privileged Identity Management
22
Azure Identity Protection
www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
23
Annexe
Tester la sécurité de son annuaire Active Directory V1 :
https://www.youtube.com/watch?v=hD9NQppdVNQ
Microsoft LAPS et les Golden Tickets : https://experiences.microsoft.fr/Video/avec-laps-metsys-
premunit-un-si-dattaques-par-elevation-de-privileges/fd1a804d-c21d-4bbe-97d7-
1697364fe5b5#tJC0exc3qQLceeix.97
Microsoft Advanced Threat Analytics : https://www.microsoft.com/fr-fr/cloud-platform/advanced-
threat-analytics
Microsoft LAPS : https://www.microsoft.com/en-us/download/details.aspx?id=46899
Microsoft Azure Active Directory Privileged Identity Management : https://docs.microsoft.com/fr-
fr/azure/active-directory/active-directory-privileged-identity-management-configure
Microsoft Azure Active Directory Identity Protection : https://docs.microsoft.com/fr-fr/azure/active-
directory/active-directory-identityprotection
Recommandation ANSII : http://www.ssi.gouv.fr/
Recommandation Microsoft : http://aka.ms/bpsad
www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
24
Nous suivre
Facebook
facebook.com/groups/azugfr/
Twitter
twitter.com/AZUGFR
Meetup
meetup.com/AZUG-FR/
LinkedIn
Linkedin.com/inspirasign
Web
www.azug.fr
Merci
d’être venus
A bientôt !

Contenu connexe

Tendances

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
felixaime
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
Manassé Achim kpaya
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
Fabian Vandendyck
 
Gestion des logs sur une plateforme web
Gestion des logs sur une plateforme webGestion des logs sur une plateforme web
Gestion des logs sur une plateforme web
fredcons
 
Sécuriser un serveur web
Sécuriser un serveur webSécuriser un serveur web
Sécuriser un serveur web
Taoufik JABBARI
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
Akram Rekik
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
Lakhdar Meftah
 
ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
Tryphon
 
Postgresql et psqlrc
Postgresql et psqlrcPostgresql et psqlrc
Postgresql et psqlrc
Anthony Nowocien
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
dihiaselma
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
Chris Dogny
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
Noël
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
Fathi Ben Nasr
 
L'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobSchedulerL'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobScheduler
Look a box
 
L'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobSchedulerL'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobScheduler
Look a box
 
SQLSaturday Paris 2014 - Monitoring et configuration SSAS
SQLSaturday Paris 2014 - Monitoring et configuration SSASSQLSaturday Paris 2014 - Monitoring et configuration SSAS
SQLSaturday Paris 2014 - Monitoring et configuration SSAS
GUSS
 
Squid
SquidSquid
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Microsoft Décideurs IT
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Hackfest Communication
 

Tendances (20)

Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)Domain Name System Security Extensions (aka. DNSSEC  pour les intimes)
Domain Name System Security Extensions (aka. DNSSEC pour les intimes)
 
Mise en place d’un système de détection
Mise en place d’un système de détectionMise en place d’un système de détection
Mise en place d’un système de détection
 
Weos tunnel ssl hôte à site
Weos   tunnel ssl hôte à siteWeos   tunnel ssl hôte à site
Weos tunnel ssl hôte à site
 
Gestion des logs sur une plateforme web
Gestion des logs sur une plateforme webGestion des logs sur une plateforme web
Gestion des logs sur une plateforme web
 
Sécuriser un serveur web
Sécuriser un serveur webSécuriser un serveur web
Sécuriser un serveur web
 
Snort implementation
Snort implementationSnort implementation
Snort implementation
 
Atelier ssh
Atelier sshAtelier ssh
Atelier ssh
 
Initiation a la ligne de commande
Initiation a la ligne de commandeInitiation a la ligne de commande
Initiation a la ligne de commande
 
ssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécuriséssh, bien plus qu'un telnet sécurisé
ssh, bien plus qu'un telnet sécurisé
 
Postgresql et psqlrc
Postgresql et psqlrcPostgresql et psqlrc
Postgresql et psqlrc
 
Présentation sécurité open_ssl
Présentation sécurité open_sslPrésentation sécurité open_ssl
Présentation sécurité open_ssl
 
Tp snmp-packet-tracer
Tp snmp-packet-tracerTp snmp-packet-tracer
Tp snmp-packet-tracer
 
08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)08 04 mise en place d'un serveur mandataire (proxy)
08 04 mise en place d'un serveur mandataire (proxy)
 
Premiers pas avec snort
Premiers pas avec snortPremiers pas avec snort
Premiers pas avec snort
 
L'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobSchedulerL'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobScheduler
 
L'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobSchedulerL'art d'ordonner avec JobScheduler
L'art d'ordonner avec JobScheduler
 
SQLSaturday Paris 2014 - Monitoring et configuration SSAS
SQLSaturday Paris 2014 - Monitoring et configuration SSASSQLSaturday Paris 2014 - Monitoring et configuration SSAS
SQLSaturday Paris 2014 - Monitoring et configuration SSAS
 
Squid
SquidSquid
Squid
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
Le GPU à la rescousse du CPU (Charles Demers-Tremblay)
 

Similaire à GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU

Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Microsoft Technet France
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm
 
Spark Streaming
Spark StreamingSpark Streaming
Spark Streaming
PALO IT
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
☁️Seyfallah Tagrerout☁ [MVP]
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
LionelTopotam
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
Noël
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
dihiaselma
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
Frederic Leger
 
sem2012-nagios.pdf
sem2012-nagios.pdfsem2012-nagios.pdf
sem2012-nagios.pdf
ssuser47958f
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
NinaSAMMUT
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
OVHcloud
 
0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf
Bellaj Badr
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
Hackfest Communication
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
Thomas Moegli
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure Shell
Souhaib El
 
ch2-hadoop-L3-2023-4p (1).pdf
ch2-hadoop-L3-2023-4p (1).pdfch2-hadoop-L3-2023-4p (1).pdf
ch2-hadoop-L3-2023-4p (1).pdf
salmanakbi
 
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cashSthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
StHack
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
aOS Community
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Cheikh Tidiane DIABANG
 

Similaire à GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU (20)

Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
 
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet SquirrelAlphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
Alphorm.com Formation hak5 - LAN Turtle et Packet Squirrel
 
Spark Streaming
Spark StreamingSpark Streaming
Spark Streaming
 
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...Présentation Microsoft Advanced Threat Analytics  | Deep-Dive - MSCloud Summi...
Présentation Microsoft Advanced Threat Analytics | Deep-Dive - MSCloud Summi...
 
Petit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossirPetit potam slides-rtfm-ossir
Petit potam slides-rtfm-ossir
 
07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns07 03 sécurisation d'un serveur dns
07 03 sécurisation d'un serveur dns
 
Rapport sécurité
Rapport sécuritéRapport sécurité
Rapport sécurité
 
Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023Slides du meetup devops aix-marseille d'ocotbre 2023
Slides du meetup devops aix-marseille d'ocotbre 2023
 
sem2012-nagios.pdf
sem2012-nagios.pdfsem2012-nagios.pdf
sem2012-nagios.pdf
 
Reverse Engineering d'un ransomware
Reverse Engineering d'un ransomwareReverse Engineering d'un ransomware
Reverse Engineering d'un ransomware
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf0240-formation-ssh-secure-shell.pdf
0240-formation-ssh-secure-shell.pdf
 
Hackerspace jan-2013
Hackerspace jan-2013Hackerspace jan-2013
Hackerspace jan-2013
 
Protocoles SSL/TLS
Protocoles SSL/TLSProtocoles SSL/TLS
Protocoles SSL/TLS
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure Shell
 
ch2-hadoop-L3-2023-4p (1).pdf
ch2-hadoop-L3-2023-4p (1).pdfch2-hadoop-L3-2023-4p (1).pdf
ch2-hadoop-L3-2023-4p (1).pdf
 
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cashSthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
Sthack 2015 - David Berard & Vincent Fargues - Attack the cache to get some cash
 
3 Microsoft Advanced Threat Analytics - Genève
3   Microsoft Advanced Threat Analytics - Genève3   Microsoft Advanced Threat Analytics - Genève
3 Microsoft Advanced Threat Analytics - Genève
 
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trRapport administration systèmes et supervision réseaux tp4 diabang master1 tr
Rapport administration systèmes et supervision réseaux tp4 diabang master1 tr
 

Plus de AZUG FR

I want my model to be deployed ! (another story of MLOps)
I want my model to be deployed ! (another story of MLOps)I want my model to be deployed ! (another story of MLOps)
I want my model to be deployed ! (another story of MLOps)
AZUG FR
 
Packer, Terraform, Ansible avec Azure
Packer, Terraform, Ansible avec AzurePacker, Terraform, Ansible avec Azure
Packer, Terraform, Ansible avec Azure
AZUG FR
 
Tester avant de déployer ; comment tester ses déploiements ARM.
Tester avant de déployer ; comment tester ses déploiements ARM.Tester avant de déployer ; comment tester ses déploiements ARM.
Tester avant de déployer ; comment tester ses déploiements ARM.
AZUG FR
 
Dev & run d'un site marchant dans Azure
Dev & run d'un site marchant dans AzureDev & run d'un site marchant dans Azure
Dev & run d'un site marchant dans Azure
AZUG FR
 
Azure DNS Privé
Azure DNS PrivéAzure DNS Privé
Azure DNS Privé
AZUG FR
 
Meetup AZUG FR @ IdeaStudio - 5 Février 2019
Meetup AZUG FR @ IdeaStudio - 5 Février 2019Meetup AZUG FR @ IdeaStudio - 5 Février 2019
Meetup AZUG FR @ IdeaStudio - 5 Février 2019
AZUG FR
 
Cedric leblond migrer jenkins AWS vers Azure Devops
Cedric leblond migrer jenkins AWS vers Azure DevopsCedric leblond migrer jenkins AWS vers Azure Devops
Cedric leblond migrer jenkins AWS vers Azure Devops
AZUG FR
 
Ignite 2018 - Nouveautés governance et management (Manon Pernin)
Ignite 2018 - Nouveautés governance et management (Manon Pernin)Ignite 2018 - Nouveautés governance et management (Manon Pernin)
Ignite 2018 - Nouveautés governance et management (Manon Pernin)
AZUG FR
 
Ignite 2018 - Nouveauté stockage (Didier Esteves)
Ignite 2018 - Nouveauté stockage (Didier Esteves)Ignite 2018 - Nouveauté stockage (Didier Esteves)
Ignite 2018 - Nouveauté stockage (Didier Esteves)
AZUG FR
 
Ignite 2018 - Coups de coeur (Benoit Sautiere)
Ignite 2018 - Coups de coeur (Benoit Sautiere)Ignite 2018 - Coups de coeur (Benoit Sautiere)
Ignite 2018 - Coups de coeur (Benoit Sautiere)
AZUG FR
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
AZUG FR
 
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
AZUG FR
 
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data! par Guillaume...
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data!  par Guillaume...GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data!  par Guillaume...
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data! par Guillaume...
AZUG FR
 
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
AZUG FR
 
Meetup AZUG FR Dec 2017 @ Arolla
Meetup AZUG FR Dec 2017 @ ArollaMeetup AZUG FR Dec 2017 @ Arolla
Meetup AZUG FR Dec 2017 @ Arolla
AZUG FR
 
Meetup AZUG FR Oct 2017 @ Cellenza
Meetup AZUG FR Oct 2017 @ CellenzaMeetup AZUG FR Oct 2017 @ Cellenza
Meetup AZUG FR Oct 2017 @ Cellenza
AZUG FR
 
Analysez vos textes avec Cognitive Services
Analysez vos textes avec Cognitive ServicesAnalysez vos textes avec Cognitive Services
Analysez vos textes avec Cognitive Services
AZUG FR
 
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
AZUG FR
 
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor LeontievGab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
AZUG FR
 
GAB 2017 PARIS - IoT Azure - Aymeric Weinbach
GAB 2017 PARIS - IoT Azure - Aymeric WeinbachGAB 2017 PARIS - IoT Azure - Aymeric Weinbach
GAB 2017 PARIS - IoT Azure - Aymeric Weinbach
AZUG FR
 

Plus de AZUG FR (20)

I want my model to be deployed ! (another story of MLOps)
I want my model to be deployed ! (another story of MLOps)I want my model to be deployed ! (another story of MLOps)
I want my model to be deployed ! (another story of MLOps)
 
Packer, Terraform, Ansible avec Azure
Packer, Terraform, Ansible avec AzurePacker, Terraform, Ansible avec Azure
Packer, Terraform, Ansible avec Azure
 
Tester avant de déployer ; comment tester ses déploiements ARM.
Tester avant de déployer ; comment tester ses déploiements ARM.Tester avant de déployer ; comment tester ses déploiements ARM.
Tester avant de déployer ; comment tester ses déploiements ARM.
 
Dev & run d'un site marchant dans Azure
Dev & run d'un site marchant dans AzureDev & run d'un site marchant dans Azure
Dev & run d'un site marchant dans Azure
 
Azure DNS Privé
Azure DNS PrivéAzure DNS Privé
Azure DNS Privé
 
Meetup AZUG FR @ IdeaStudio - 5 Février 2019
Meetup AZUG FR @ IdeaStudio - 5 Février 2019Meetup AZUG FR @ IdeaStudio - 5 Février 2019
Meetup AZUG FR @ IdeaStudio - 5 Février 2019
 
Cedric leblond migrer jenkins AWS vers Azure Devops
Cedric leblond migrer jenkins AWS vers Azure DevopsCedric leblond migrer jenkins AWS vers Azure Devops
Cedric leblond migrer jenkins AWS vers Azure Devops
 
Ignite 2018 - Nouveautés governance et management (Manon Pernin)
Ignite 2018 - Nouveautés governance et management (Manon Pernin)Ignite 2018 - Nouveautés governance et management (Manon Pernin)
Ignite 2018 - Nouveautés governance et management (Manon Pernin)
 
Ignite 2018 - Nouveauté stockage (Didier Esteves)
Ignite 2018 - Nouveauté stockage (Didier Esteves)Ignite 2018 - Nouveauté stockage (Didier Esteves)
Ignite 2018 - Nouveauté stockage (Didier Esteves)
 
Ignite 2018 - Coups de coeur (Benoit Sautiere)
Ignite 2018 - Coups de coeur (Benoit Sautiere)Ignite 2018 - Coups de coeur (Benoit Sautiere)
Ignite 2018 - Coups de coeur (Benoit Sautiere)
 
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
Ignite 2018 - nouveautés sécurité et réseau (Laurent Yin)
 
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
GAB 2018 PARIS - Enrichir vos applications avec Azure AI services par Houssem...
 
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data! par Guillaume...
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data!  par Guillaume...GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data!  par Guillaume...
GAB 2018 PARIS - Mettez un peu de CI/CD dans vos projets data! par Guillaume...
 
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
GAB 2018 PARIS - Gouvernance Azure, comment éviter les écueils par Benoît Sau...
 
Meetup AZUG FR Dec 2017 @ Arolla
Meetup AZUG FR Dec 2017 @ ArollaMeetup AZUG FR Dec 2017 @ Arolla
Meetup AZUG FR Dec 2017 @ Arolla
 
Meetup AZUG FR Oct 2017 @ Cellenza
Meetup AZUG FR Oct 2017 @ CellenzaMeetup AZUG FR Oct 2017 @ Cellenza
Meetup AZUG FR Oct 2017 @ Cellenza
 
Analysez vos textes avec Cognitive Services
Analysez vos textes avec Cognitive ServicesAnalysez vos textes avec Cognitive Services
Analysez vos textes avec Cognitive Services
 
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
Gab17 lyon - La BI traditionnelle est une histoire du passée. Impacts de la r...
 
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor LeontievGab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
Gab17 lyon - Blockchain as a service dans Azure by Igor Leontiev
 
GAB 2017 PARIS - IoT Azure - Aymeric Weinbach
GAB 2017 PARIS - IoT Azure - Aymeric WeinbachGAB 2017 PARIS - IoT Azure - Aymeric Weinbach
GAB 2017 PARIS - IoT Azure - Aymeric Weinbach
 

GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU

  • 1. Tester la sécurité de vos annuaires Active Directory / Azure Active Directory Alan DEGROISE – Guillaume MATHIEU
  • 2. 2 Merci à nos sponsors PLATINUM LOCAUX PARTENAIRES MEDIA
  • 4. 4 Pourquoi cette session ?  Active Directory : annuaire le plus déployé dans les entreprises.  Azure Active Directory : 500 millions de comptes / 4500 applications SaaS  Kit d’attaques de la NSA qui a fuité sur Internet.  GDPR  Multiplication du nombre d’attaques en 2016 / 2017  280 jours en moyenne pour détecter une attaque. Maîtriser et sécuriser Active Directory et Azure Active Directory devient un enjeux stratégique.
  • 5. 5 Les solutions pour sécuriser Active Directory et Azure Active Directory existent mais elles ne sont pas appliquées ou connues !
  • 6. 6 1. NTLM Pass the Hash a. Réduire la surface d’attaque avec LAPS b. Détecter et alerter avec Microsoft Advanced Threat Analytics 2. Kerberos Pass the ticket et Golden Ticket a. Réduire les privilèges des comptes d’administration / services 3. Sécuriser et contrôler Azure Active Directory a. Délégation d’administration avec Azure Microsoft Azure Active Directory Privileged Identity Management b. Détecter l’utilisation des comptes Azure à fort privilèges avec Microsoft Azure Active Directory Identity Protection Agenda
  • 7. 7 1. NTLM Pass The Hash
  • 8. 8 Mot de passe d’un compte utilisateur Active Directory :  Stockés sous forme de Hash / empreintes :  LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0  NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B  Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory (historique) protégés par le système  Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT.  Rainbow Table : retrouver un mot de passe à partir d’un HASH  Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH Stockage des mots de passe
  • 9. 9Les mots de passe en texte clair / Hash en mémoire
  • 10. 10 Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. Charlie CL1 FILE1 DC1 Version NTLM (négociation…) 1 - Charlie ouvre sa session2- Charlie accède à File1 Challenge 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie3- FILE1 génère le challenge et l’envoie à CL1 Réponse 5- FILE1 envoie le logon + challenge + réponse à DC1 Challenge Logon de Charlie 6- DC1 génère la réponse avec le challenge et le logon de Charlie Réponse DC1 : OK 7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1 « Je suis Charlie » Le protocole NTLM
  • 11. 11  Comportement standard du protocole NTLM (SSO)  Sur une machine distante (ouverture de session réseau)  Mot de passe complexe -> vulnérable à cette attaque ! L’attaque NTLM Pass The Hash
  • 12. 12 Mimikatz - NTLM Pass The Hash mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"
  • 13. 13 Détecter NTLM Pass The Hash avec ATA
  • 14. 14 LAPS Les attributs LAPS (compte ordinateur) : MS-MCS-ADMPWD et MS-MCS-ADMPWDEXPIRATIONTIME
  • 15. 15  Activer NTLM V2  Déployer LAPS  Déployer Advanced Threat Analytics  Configurer votre antivirus (détection Mimikatz)  KB2871997  Désactiver WDIGEST (UseLogonCredential).  Désactiver NTLM NTLM Pass The Hash
  • 16. 16 2. Kerberos Pass The Ticket Golden Ticket
  • 19. 19 Mimikatz Golden Ticket mimikatz.exe "privilege::debug" "kerberos::golden /admin:darkalan /domain:msexp76.intra /id:4000 /sid:S-1-5-21-595127354-1458299726- 2062179204 /krbtgt:49918692dbb7808c45b8fefe499bc7f6 /startoffset:0 /endin:600 /renewmax:10080 /ptt“ Nom du domaine : msexp76.intra Krbtgt : 49918692dbb7808c45b8fefe499bc7f6 SID du domaine : S-1-5-21-595127354-1458299726-2062179204
  • 20. 20 3. Sécuriser et contrôler Azure Active Directory
  • 21. 21 Azure AD Privileged Identity Management
  • 23. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 23 Annexe Tester la sécurité de son annuaire Active Directory V1 : https://www.youtube.com/watch?v=hD9NQppdVNQ Microsoft LAPS et les Golden Tickets : https://experiences.microsoft.fr/Video/avec-laps-metsys- premunit-un-si-dattaques-par-elevation-de-privileges/fd1a804d-c21d-4bbe-97d7- 1697364fe5b5#tJC0exc3qQLceeix.97 Microsoft Advanced Threat Analytics : https://www.microsoft.com/fr-fr/cloud-platform/advanced- threat-analytics Microsoft LAPS : https://www.microsoft.com/en-us/download/details.aspx?id=46899 Microsoft Azure Active Directory Privileged Identity Management : https://docs.microsoft.com/fr- fr/azure/active-directory/active-directory-privileged-identity-management-configure Microsoft Azure Active Directory Identity Protection : https://docs.microsoft.com/fr-fr/azure/active- directory/active-directory-identityprotection Recommandation ANSII : http://www.ssi.gouv.fr/ Recommandation Microsoft : http://aka.ms/bpsad
  • 24. www.azug.fr © 2017 AZUG FR. All Rights Reserved. 24 Nous suivre Facebook facebook.com/groups/azugfr/ Twitter twitter.com/AZUGFR Meetup meetup.com/AZUG-FR/ LinkedIn Linkedin.com/inspirasign Web www.azug.fr