La présentation sur la sécurité Active Directory aborde les défis liés à la détection des attaques, en mettant l'accent sur la nécessité d'établir des référentiels de comportement normal pour identifier les activités anormales. Elle fournit des recommandations d'audit et de surveillance pour les comptes privilégiés et les systèmes critiques afin de détecter les compromissions potentielles. En conclusion, l'accent est mis sur la création de systèmes de journalisation robustes pour centraliser et analyser les événements suspects.

1. AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr

2. Sécurité Active Directory:
Détecter l’indétectable!
Daniel Pasquier – PFE Security Lead France
Jugoslav Stevic – PFE Identity & Security
Microsoft France
Donnez votre avis depuis votre smartphone sur :
http://notes.mstechdays.fr

3. • Pourquoi est-il si difficile de détecter les attaques?
- Etablir un référentiel du comportement dit "normal"

4. Contexte Actuel – "Data Breach Report"

5. Pourquoi est-ce si difficile à détecter ?
par l'intermédiaire d' outils
standards existants (OWA, etc..)
Par la suite, les attaquants
Tentent d’utiliser des identifiants légitimes
pour se propager (vols de "credentials"…)
Compromission initiale
Débute toujours par une station de travail
peu ou non surveillée…
Les Attaquants ne laissent pas de trace
évidente…
 Utilisent les mêmes méthodes d’accès
distant (RDP, etc...) que tous les
Administrateurs légitimes
 Utilisent parfois les outils standards
("Sysinternals", "built-in tools", etc...)
 Aucune alerte détectée par "AV/AM"

6. Pourquoi est-ce si difficile à détecter ? Compromission Initiale

7. Détécter des Comportements Anormaux – Plan d’Actions
Ordinateurs: Serveurs sensibles, Contrôleurs
de domaine, Stations d’admin; Equipements…
Personnes: Administrateurs, Helpdesk, VIP,
comptes de services, tâches, & génériques…
sur vos contrôleurs de domaine
Activer l’audit "Audit Special Logon"
Event 4964 créé lorsqu'un utilisateur
appartient à un groupe spécial
Top 10 des risques les plus élevés
Top 10 des machines les plus critiques de
votre organisation
Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des
risques et les appliquer sur le top 10 des équipements à surveiller
Décider de ce qu’il faut surveiller
En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques

8. 8
Sur les contrôleurs de domaine:
Cet évènement est généré à
chaque demande d'accès à une
ressource (Ordinateur ou Service)
utilisant un ticket Kerberos (TGS)
Le groupe "Protected Users"
impose le protocle "Kerberos"!
Qui a
demandé
l’accès?
"Service Name" indique la
ressource pour laquelle
l’accès a été demandé
"Client Address" indique
l’adresse IP source où
l’utilisateur s’est authentifié
"Date and Time" de la demande de ticket
"Kerberos Service request (TGS)"; Nom du
contrôleur de domaine en charge de cette
demande
Event ID 4769
« Audit Kerberos Service
Ticket Operations »

9. Indicate what groups are
“special” by listing them in a
custom registry key as a string
value, using group SID, Separate
groups by semi-colon (;)
Identifie toute nouvelle
authentification venant d'un
utilisateur appartenant à un
groupe de type "Special Groups"
Event ID 4964
« Special Logon »
Surveiller si la liste des
"Special Groups" a été
modifiée dans le registre
Un script peut être
exécuté afin de générer
un rapport ou une alerte

10. Détecter des Comptements Anormaux – Plan d’Actions
Activer "Global Object Access Auditing" sur les
serveurs sensibles pour l'accès aux fichiers et
registres (SACLS)
Definir les évènements qui indiquent sans
aucun doute possible une attaque et
centraliser l’information!
(suite) Identifier les "Event ID" les plus pertinents sur la base du
Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller
Appartenance aux groupes privilégiés,
Activer l'audit sur les Stockages Amovibles
(USB,Disk..), Positionner un audit modéré afin
de ne pas créer trop d'activité et de bruit!
Un compte utilisateur est temporairement
ajouté dans le groupe "Domain Admins" pour
résoudre un dysfonctionnement "AD" puis
retiré dès résolution :
 Compte administrateur Orphelin &
Éphémère avec la classe d’objet :
"Dynamic User Object Class"!
 Inspection d’une image "NTDS" ou d'une
sauvegarde Active Directory afin d'obtenir
les valeurs initiales des attributs

11. “Global Object Access Auditing”
Useful for verifying that all
critical files, folders, and
registry settings on a
computer are protected.
Event ID 5145
« Audit Detailed File Share »
L'utilisateur
identifié a accédé
au partage spécifié
depuis l'adresse
réseau source
indiquée
En utilisant les
permissions d’accès
"ReadData"
Date & heure où le fichier a été accédé; nom du
serveur hébergeant le fichier & type d’accès
"success or failure"
La valeur du "Reason for Access" est
"ReadData" obtenu par l’appartenance au
groupe "Built-in Administrators" group
Combiner l’audit "Global Object Access
Auditing" avec "Audit Detailed File Share"

12. Event ID 4728
"Audit Security Group Management"
Un membre a été ajouté…
Action réalisée par
"NWTRADERSAdministrator"
Les propriétés "SamAccountName" et "DN" de
l’utilisateur ajouté dans le groupe de sécurité…
Nom du groupe privilégié cible
Date, heure à laquelle
l’opération a été réalisée

13. Un compte utilisateur est temporairement ajouté dans
le groupe "Domain Admins" pour résoudre un
dysfonctionnement AD puis retiré dès résolution :
 Compte administrateur Orphelin & Éphémère avec
la classe d’objet : "Dynamic User Object Class"!
 Inspection d’une image "NTDS" ou d'une
sauvegarde Active Directory afin d'obtenir les
valeurs initiales des attributs

15. Détecter des Comptements Anormaux – Plan d’Actions
Applications habituellement utilisées,
Performance réseau habituelle, Flux réseaux,
Analyseur réseau, établir un référentiel
Ces comptes sensibles peuvent collaborer
qu'avec ces personnes sur ce projet top
secret!
3 – Etablir un référentiel du comportement dit "normal"
Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr!
Les comptes à haut privilèges ne peuvent
s'authentifier que sur une liste de machines
spécifiques : Station d'admin, DCs, serveurs :
Localisation & Nb d'occurences
Ces comptes privilégiés se connectent dans
cette plage horaire uniquement et pour une
durée définie
Ces comptes privilégiés doivent uniquement
accéder à une liste spécifiques de ressources
(serveurs sensibles, contrôleur de domaine..)
Les ressources très sensibles ne peuvent être
accédées que par une liste d'utilisateurs et
ordinateurs définis

16. Détecter des Comptements Anormaux – Plan d’Actions
Est-ce que ce serveur ou ce compte
d'administration est autorisé à être
connecté à cette heure de la nuit ?
4 – Définir les seuils d’alertes d’une activité anormale
Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
Membres du groupe "Domain Admins"
s'authentifiant sur des stations de travail
Est-ce normal?
Compte privilégié AD utilisé pour
contacter un serveur applicatif (accès
aux données sensibles, exfiltration, vols
d'identifiants..)
Compte à pouvoirs utilisé au même
moment à des endroits différents
Est-ce que ce gros volume de données
est autorisé à transiter sur le réseau, de
nuit et vers ce pays étranger?

17. Détecter des Comportements Anormaux – Plan d’Actions
Quoi, un Event ID 1102 ???
Le journal d'évènements a été purgé!
La stratégie de Sécurité a été modifiée!
Ajout d’un compte utilisateur étrange dans le
groupe "Domain Admins" ou tout autre
groupe à haut privilèges ?
Compte privilégié désactivé, compte fictif
mais en cours d’utilisation? "Dynamic User
Object" utilisé en tant qu’admin ?
Connexions vers l’extérieur anormales, ports
en écoute non souhaités ???
4 – Définir les seuils d’alertes d’une activité anormale (suite)
Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel

18. Soyons créatifs: Mise en place d’un “Honeynet”?
Restreindre l’accès aux paramètres de
configuration d’audit
Rediriger les évènements vers un point
central à l'aide de "Event Subscription"
Leurs seules activités consistera à alerter si
quelqu'un essaye de s'y connecter (ping,
logon..). Réaliser un paramétrage adéquate
afin de vous affranchir de "Faux-positifs"
Identifier une ou plusieurs machines que
vous souhaitez utiliser en "Honeynet"
Mettez les à jour selon vos processus
normaux
Autoriser les connexions entrantes (Logs
Firewall), restreindre les connexions sortantes :
 Limiter l’impact si le "Honeynet" est
compromis
 Masquer son rôle de serveur "Honeynet"

19. A – Activer l’auditing sur le Honeynet – Applocker en mode Audit
Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements
Vérifier que le service "Application
Identity" est démarré et en cours
d'exécution
Soyons créatifs: configurons un “Honeynet”… ex.
Créer 2 jeux de règles :
 "Règles concernant les exécutables" :
Utilisées pour surveiller tous les
exécutables sur le "Honeynet "
 "Règles concernant les scripts" :
Utilisées pour surveiller tous les
scripts exécutés sur le "Honeynet"
L'activité "AppLocker" est surveillée en
consultant le journal des évènements et
redirigée vers un point central

20. 20
Configurer un serveur de
collecte d'évènements
vers qui les évènements
"AppLocker" & "Autres
Alertes" seront redirigés
et qui sera à même de
les traiter...

21. B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute
augmentation de surface d'attaque due à l'installation d'applications…
Un "scan" de la machine réalisé
périodiquement permet d'identifier les
différents outils & scripts installés par
l'attaquant sur le "Honeynet"
Soyons créatifs: configurons un “Honeynet”… ex.

22. C – Activation de l’Audit Windows & Autres outils …
Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -)
Centralisation des évènements anormaux
Déclenchement auto de scripts et analyse
Soyons créatifs: configurons un “Honeynet”… e.x.

23. Start
User or Machine
compromised
Honeynet
server Collector Server
Attacks Events ID
Forwarded

28. N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en
hausse, par exemple:
 Diminution des remontées d’alertes virales...
 Arrêt soudain des attaques de type "Brute force" sur les mots de passe
 Diminution drastique des alertes "Firewall"
"They got in …"
Merci à Pierre Audonnet pour ses excellents scripts Powershell !
https://gallery.technet.microsoft.com
ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation
http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-
des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html
Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring”
http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf
Conclusion & Questions

29. http://notes.mstechdays.fr
Faites le depuis
votre Windows
Phone!
Ou depuis votre
Hi Phone, APhone
(Andro Phone)…

31. Prêt pour le QCM habituel ?
http://notes.mstechdays.fr