SlideShare une entreprise Scribd logo

Récupération d’un Active Directory: comment repartir en confiance après une compromission

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Matthieu Trivier lors des Identity Days 2022.

1  sur  32
Télécharger pour lire hors ligne
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Rappel de la session 2021 et contexte SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
• First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
Demo
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
• “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
SEMPERIS.COM L’approche “Inside-Out”
Demo
Forest Druid WebSite: https://www.purple-knight.com/forest-druid
SEMPERIS.COM Mission accomplie !
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommandé

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Fortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéeseFortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéese
Alphorm
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
AGILLY
 
Installing Aix
Installing AixInstalling Aix
Installing Aix
Frederick James Rathweg
 

Recommandé

Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Identity Days
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Fortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéeseFortinet UTM - les Fonctionnalités avancéese
Fortinet UTM - les Fonctionnalités avancéese
Alphorm
 
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
RAPPORT Magic Quadrant 2022 de Gartner pour la gestion des accès à privilè...
AGILLY
 
Installing Aix
Installing AixInstalling Aix
Installing Aix
Frederick James Rathweg
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Identity Days
 
I2c drivers
I2c driversI2c drivers
I2c drivers
pradeep_tewani
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
Marc Rousselet
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
Microsoft Technet France
 
Active Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The FieldActive Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The Field
Digital Bond
 
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et AdministrationAlphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm
 
Горизонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре WindowsГоризонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре Windows
Positive Hack Days
 
Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1
Florin D. Tanasache
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm
 
Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS
Brent Muir
 
Identity and Access Management 101
Identity and Access Management 101Identity and Access Management 101
Identity and Access Management 101
Jerod Brennen
 
Privileged Access Management (PAM)
Privileged Access Management (PAM)Privileged Access Management (PAM)
Privileged Access Management (PAM)
danb02
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
MindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat SheetMindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat Sheet
Juan F. Padilla
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Identity Days
 
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentestersAlexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentestersPositive Hack Days
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 

Contenu connexe

Tendances

Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Identity Days
 
I2c drivers
I2c driversI2c drivers
I2c drivers
pradeep_tewani
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
Marc Rousselet
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
Microsoft Technet France
 
Active Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The FieldActive Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The Field
Digital Bond
 
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et AdministrationAlphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm
 
Горизонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре WindowsГоризонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре Windows
Positive Hack Days
 
Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1
Florin D. Tanasache
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm
 
Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS
Brent Muir
 
Identity and Access Management 101
Identity and Access Management 101Identity and Access Management 101
Identity and Access Management 101
Jerod Brennen
 
Privileged Access Management (PAM)
Privileged Access Management (PAM)Privileged Access Management (PAM)
Privileged Access Management (PAM)
danb02
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
MindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat SheetMindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat Sheet
Juan F. Padilla
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Identity Days
 
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentestersAlexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentestersPositive Hack Days
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm
 

Tendances (20)

Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
I2c drivers
I2c driversI2c drivers
I2c drivers
 
Les processus IAM
Les processus IAMLes processus IAM
Les processus IAM
 
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...
 
Active Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The FieldActive Directory in ICS: Lessons Learned From The Field
Active Directory in ICS: Lessons Learned From The Field
 
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et AdministrationAlphorm.com Formation MECM/SCCM : Mise en Place et Administration
Alphorm.com Formation MECM/SCCM : Mise en Place et Administration
 
Горизонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре WindowsГоризонтальные перемещения в инфраструктуре Windows
Горизонтальные перемещения в инфраструктуре Windows
 
Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1Penetration Testing Project Game of Thrones CTF: 1
Penetration Testing Project Game of Thrones CTF: 1
 
Alphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de baseAlphorm.com Formation Palo Alto : Installation et configuration de base
Alphorm.com Formation Palo Alto : Installation et configuration de base
 
Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS Defending Against the Dark Arts of LOLBINS
Defending Against the Dark Arts of LOLBINS
 
Identity and Access Management 101
Identity and Access Management 101Identity and Access Management 101
Identity and Access Management 101
 
Privileged Access Management (PAM)
Privileged Access Management (PAM)Privileged Access Management (PAM)
Privileged Access Management (PAM)
 
Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)Alphorm.com : Formation Active directory 2008 R2 (70-640)
Alphorm.com : Formation Active directory 2008 R2 (70-640)
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
MindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat SheetMindMap - Forensics Windows Registry Cheat Sheet
MindMap - Forensics Windows Registry Cheat Sheet
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentestersAlexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
Alexander Timorin, Dmitry Efanov. Industrial protocols for pentesters
 
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du DébutantAlphorm.com Formation Wallix Bastion : Le Guide du Débutant
Alphorm.com Formation Wallix Bastion : Le Guide du Débutant
 
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
Alphorm.com Formation Hacking et Sécurité 2020 (1/3) : Méthodologies de Pente...
 

Similaire à Récupération d’un Active Directory: comment repartir en confiance après une compromission

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
Identity Days
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
Microsoft
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
BelgeKilem
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Amazon Web Services
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
jumeletArnaud
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
Microsoft
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
Georgeot Cédric
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Identity Days
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
Mohamed Diallo
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
OVHcloud
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Microsoft Décideurs IT
 
Cours 70 410-1
Cours 70 410-1Cours 70 410-1
Cours 70 410-1
Mohamed Diallo
 

Similaire à Récupération d’un Active Directory: comment repartir en confiance après une compromission (20)

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?
 
Cours 70 410-1
Cours 70 410-1Cours 70 410-1
Cours 70 410-1
 

Plus de Identity Days

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
Identity Days
 

Plus de Identity Days (20)

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
Mise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement HybrideMise en oeuvre du passwordless AD dans un environnement Hybride
Mise en oeuvre du passwordless AD dans un environnement Hybride
 

Récupération d’un Active Directory: comment repartir en confiance après une compromission

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
  • 3. Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 4. Rappel de la session 2021 et contexte SEMPERIS.COM
  • 8. Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
  • 10. SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
  • 11. SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
  • 12. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 13. Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
  • 14. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
  • 15. • First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
  • 16. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
  • 17. 116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
  • 18. Demo
  • 19. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 20. Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
  • 21. SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
  • 22. • “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
  • 23. Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
  • 24. Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
  • 25. Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
  • 27. Demo
  • 30. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 31. IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 32. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022