SlideShare una empresa de Scribd logo
1 de 31
Descargar para leer sin conexión
AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
Sécurité Active Directory:
Détecter l’indétectable!
Daniel Pasquier – PFE Security Lead France
Jugoslav Stevic – PFE Identity & Security
Microsoft France
Donnez votre avis depuis votre smartphone sur :
http://notes.mstechdays.fr
• Pourquoi est-il si difficile de détecter les attaques?
- Etablir un référentiel du comportement dit "normal"
Contexte Actuel – "Data Breach Report"
Pourquoi est-ce si difficile à détecter ?
par l'intermédiaire d' outils
standards existants (OWA, etc..)
Par la suite, les attaquants
Tentent d’utiliser des identifiants légitimes
pour se propager (vols de "credentials"…)
Compromission initiale
Débute toujours par une station de travail
peu ou non surveillée…
Les Attaquants ne laissent pas de trace
évidente…
 Utilisent les mêmes méthodes d’accès
distant (RDP, etc...) que tous les
Administrateurs légitimes
 Utilisent parfois les outils standards
("Sysinternals", "built-in tools", etc...)
 Aucune alerte détectée par "AV/AM"
Pourquoi est-ce si difficile à détecter ? Compromission Initiale
Détécter des Comportements Anormaux – Plan d’Actions
Ordinateurs: Serveurs sensibles, Contrôleurs
de domaine, Stations d’admin; Equipements…
Personnes: Administrateurs, Helpdesk, VIP,
comptes de services, tâches, & génériques…
sur vos contrôleurs de domaine
Activer l’audit "Audit Special Logon"
Event 4964 créé lorsqu'un utilisateur
appartient à un groupe spécial
Top 10 des risques les plus élevés
Top 10 des machines les plus critiques de
votre organisation
Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des
risques et les appliquer sur le top 10 des équipements à surveiller
Décider de ce qu’il faut surveiller
En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques
8
Sur les contrôleurs de domaine:
Cet évènement est généré à
chaque demande d'accès à une
ressource (Ordinateur ou Service)
utilisant un ticket Kerberos (TGS)
Le groupe "Protected Users"
impose le protocle "Kerberos"!
Qui a
demandé
l’accès?
"Service Name" indique la
ressource pour laquelle
l’accès a été demandé
"Client Address" indique
l’adresse IP source où
l’utilisateur s’est authentifié
"Date and Time" de la demande de ticket
"Kerberos Service request (TGS)"; Nom du
contrôleur de domaine en charge de cette
demande
Event ID 4769
« Audit Kerberos Service
Ticket Operations »
Indicate what groups are
“special” by listing them in a
custom registry key as a string
value, using group SID, Separate
groups by semi-colon (;)
Identifie toute nouvelle
authentification venant d'un
utilisateur appartenant à un
groupe de type "Special Groups"
Event ID 4964
« Special Logon »
Surveiller si la liste des
"Special Groups" a été
modifiée dans le registre
Un script peut être
exécuté afin de générer
un rapport ou une alerte
Détecter des Comptements Anormaux – Plan d’Actions
Activer "Global Object Access Auditing" sur les
serveurs sensibles pour l'accès aux fichiers et
registres (SACLS)
Definir les évènements qui indiquent sans
aucun doute possible une attaque et
centraliser l’information!
(suite) Identifier les "Event ID" les plus pertinents sur la base du
Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller
Appartenance aux groupes privilégiés,
Activer l'audit sur les Stockages Amovibles
(USB,Disk..), Positionner un audit modéré afin
de ne pas créer trop d'activité et de bruit!
Un compte utilisateur est temporairement
ajouté dans le groupe "Domain Admins" pour
résoudre un dysfonctionnement "AD" puis
retiré dès résolution :
 Compte administrateur Orphelin &
Éphémère avec la classe d’objet :
"Dynamic User Object Class"!
 Inspection d’une image "NTDS" ou d'une
sauvegarde Active Directory afin d'obtenir
les valeurs initiales des attributs
“Global Object Access Auditing”
Useful for verifying that all
critical files, folders, and
registry settings on a
computer are protected.
Event ID 5145
« Audit Detailed File Share »
L'utilisateur
identifié a accédé
au partage spécifié
depuis l'adresse
réseau source
indiquée
En utilisant les
permissions d’accès
"ReadData"
Date & heure où le fichier a été accédé; nom du
serveur hébergeant le fichier & type d’accès
"success or failure"
La valeur du "Reason for Access" est
"ReadData" obtenu par l’appartenance au
groupe "Built-in Administrators" group
Combiner l’audit "Global Object Access
Auditing" avec "Audit Detailed File Share"
Event ID 4728
"Audit Security Group Management"
Un membre a été ajouté…
Action réalisée par
"NWTRADERSAdministrator"
Les propriétés "SamAccountName" et "DN" de
l’utilisateur ajouté dans le groupe de sécurité…
Nom du groupe privilégié cible
Date, heure à laquelle
l’opération a été réalisée
Un compte utilisateur est temporairement ajouté dans
le groupe "Domain Admins" pour résoudre un
dysfonctionnement AD puis retiré dès résolution :
 Compte administrateur Orphelin & Éphémère avec
la classe d’objet : "Dynamic User Object Class"!
 Inspection d’une image "NTDS" ou d'une
sauvegarde Active Directory afin d'obtenir les
valeurs initiales des attributs
Sécurité Active Directory : détecter l’indétectable !
Détecter des Comptements Anormaux – Plan d’Actions
Applications habituellement utilisées,
Performance réseau habituelle, Flux réseaux,
Analyseur réseau, établir un référentiel
Ces comptes sensibles peuvent collaborer
qu'avec ces personnes sur ce projet top
secret!
3 – Etablir un référentiel du comportement dit "normal"
Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr!
Les comptes à haut privilèges ne peuvent
s'authentifier que sur une liste de machines
spécifiques : Station d'admin, DCs, serveurs :
Localisation & Nb d'occurences
Ces comptes privilégiés se connectent dans
cette plage horaire uniquement et pour une
durée définie
Ces comptes privilégiés doivent uniquement
accéder à une liste spécifiques de ressources
(serveurs sensibles, contrôleur de domaine..)
Les ressources très sensibles ne peuvent être
accédées que par une liste d'utilisateurs et
ordinateurs définis
Détecter des Comptements Anormaux – Plan d’Actions
Est-ce que ce serveur ou ce compte
d'administration est autorisé à être
connecté à cette heure de la nuit ?
4 – Définir les seuils d’alertes d’une activité anormale
Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
Membres du groupe "Domain Admins"
s'authentifiant sur des stations de travail
Est-ce normal?
Compte privilégié AD utilisé pour
contacter un serveur applicatif (accès
aux données sensibles, exfiltration, vols
d'identifiants..)
Compte à pouvoirs utilisé au même
moment à des endroits différents
Est-ce que ce gros volume de données
est autorisé à transiter sur le réseau, de
nuit et vers ce pays étranger?
Détecter des Comportements Anormaux – Plan d’Actions
Quoi, un Event ID 1102 ???
Le journal d'évènements a été purgé!
La stratégie de Sécurité a été modifiée!
Ajout d’un compte utilisateur étrange dans le
groupe "Domain Admins" ou tout autre
groupe à haut privilèges ?
Compte privilégié désactivé, compte fictif
mais en cours d’utilisation? "Dynamic User
Object" utilisé en tant qu’admin ?
Connexions vers l’extérieur anormales, ports
en écoute non souhaités ???
4 – Définir les seuils d’alertes d’une activité anormale (suite)
Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
Soyons créatifs: Mise en place d’un “Honeynet”?
Restreindre l’accès aux paramètres de
configuration d’audit
Rediriger les évènements vers un point
central à l'aide de "Event Subscription"
Leurs seules activités consistera à alerter si
quelqu'un essaye de s'y connecter (ping,
logon..). Réaliser un paramétrage adéquate
afin de vous affranchir de "Faux-positifs"
Identifier une ou plusieurs machines que
vous souhaitez utiliser en "Honeynet"
Mettez les à jour selon vos processus
normaux
Autoriser les connexions entrantes (Logs
Firewall), restreindre les connexions sortantes :
 Limiter l’impact si le "Honeynet" est
compromis
 Masquer son rôle de serveur "Honeynet"
A – Activer l’auditing sur le Honeynet – Applocker en mode Audit
Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements
Vérifier que le service "Application
Identity" est démarré et en cours
d'exécution
Soyons créatifs: configurons un “Honeynet”… ex.
Créer 2 jeux de règles :
 "Règles concernant les exécutables" :
Utilisées pour surveiller tous les
exécutables sur le "Honeynet "
 "Règles concernant les scripts" :
Utilisées pour surveiller tous les
scripts exécutés sur le "Honeynet"
L'activité "AppLocker" est surveillée en
consultant le journal des évènements et
redirigée vers un point central
20
Configurer un serveur de
collecte d'évènements
vers qui les évènements
"AppLocker" & "Autres
Alertes" seront redirigés
et qui sera à même de
les traiter...
B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute
augmentation de surface d'attaque due à l'installation d'applications…
Un "scan" de la machine réalisé
périodiquement permet d'identifier les
différents outils & scripts installés par
l'attaquant sur le "Honeynet"
Soyons créatifs: configurons un “Honeynet”… ex.
C – Activation de l’Audit Windows & Autres outils …
Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -)
Centralisation des évènements anormaux
Déclenchement auto de scripts et analyse
Soyons créatifs: configurons un “Honeynet”… e.x.
Start
User or Machine
compromised
Honeynet
server Collector Server
Attacks Events ID
Forwarded
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !
N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en
hausse, par exemple:
 Diminution des remontées d’alertes virales...
 Arrêt soudain des attaques de type "Brute force" sur les mots de passe
 Diminution drastique des alertes "Firewall"
"They got in …"
Merci à Pierre Audonnet pour ses excellents scripts Powershell !
https://gallery.technet.microsoft.com
ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation
http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-
des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html
Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring”
http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf
Conclusion & Questions
http://notes.mstechdays.fr
Faites le depuis
votre Windows
Phone!
Ou depuis votre
Hi Phone, APhone
(Andro Phone)…
Sécurité Active Directory : détecter l’indétectable !
Prêt pour le QCM habituel ?
http://notes.mstechdays.fr

Más contenido relacionado

La actualidad más candente

Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKISylvain Maret
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008fabricemeillon
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefsfabricemeillon
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Georgeot Cédric
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Microsoft Technet France
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesKyos
 
Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012NRC
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryMicrosoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
Approbation de Domaine D'active Directory AD sur 2008 serveurr
Approbation de Domaine D'active Directory AD sur  2008 serveurr Approbation de Domaine D'active Directory AD sur  2008 serveurr
Approbation de Domaine D'active Directory AD sur 2008 serveurr medfaye
 
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...Alphorm
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...Worteks
 

La actualidad más candente (17)

Strong Authentication with PKI
Strong Authentication with PKIStrong Authentication with PKI
Strong Authentication with PKI
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Projet Pki Etapes Clefs
Projet Pki   Etapes ClefsProjet Pki   Etapes Clefs
Projet Pki Etapes Clefs
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365Migration des PME vers Windows 2012 R2 Essentials et Office 365
Migration des PME vers Windows 2012 R2 Essentials et Office 365
 
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec AdaxesSimplifiez et automatisez la gestion de votre Active Directory avec Adaxes
Simplifiez et automatisez la gestion de votre Active Directory avec Adaxes
 
Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012Les avantages du Cloud avec Windows Server 2012
Les avantages du Cloud avec Windows Server 2012
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
PKI par la Pratique
PKI par la PratiquePKI par la Pratique
PKI par la Pratique
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Approbation de Domaine D'active Directory AD sur 2008 serveurr
Approbation de Domaine D'active Directory AD sur  2008 serveurr Approbation de Domaine D'active Directory AD sur  2008 serveurr
Approbation de Domaine D'active Directory AD sur 2008 serveurr
 
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
Alphorm.com Formation Active Directory 2019 : Optimisation et Sécurisation av...
 
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
[Open Source Experience 2021] Une infrastructure Cloud et une solution IDaaS ...
 

Destacado

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la SécuritéMicrosoft
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Microsoft Décideurs IT
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseauMicrosoft Décideurs IT
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2SIMOES AUGUSTO
 
JavaScript aussi sur le serveur et jusque dans le cloud?
JavaScript aussi sur le serveur et jusque dans le cloud?JavaScript aussi sur le serveur et jusque dans le cloud?
JavaScript aussi sur le serveur et jusque dans le cloud?benjguin
 
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)Microsoft Technet France
 
Cours windows-2003-server
Cours windows-2003-serverCours windows-2003-server
Cours windows-2003-servermbarek_slide
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageMicrosoft Décideurs IT
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003Souhaib El
 
Microsoft Active Directory
Microsoft Active DirectoryMicrosoft Active Directory
Microsoft Active Directorythebigredhemi
 
Active directory
Active directory Active directory
Active directory deshvikas
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Ayoub Rouzi
 
Dossier presse kann
Dossier presse kannDossier presse kann
Dossier presse kannJoseph Nodin
 

Destacado (16)

Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?Fin de support et migration des infrastructures, quels choix pour les PME ?
Fin de support et migration des infrastructures, quels choix pour les PME ?
 
Windows Server vNext- administration et réseau
Windows Server vNext- administration et réseauWindows Server vNext- administration et réseau
Windows Server vNext- administration et réseau
 
Active Directory Sur Windows 2008 R2
Active  Directory Sur  Windows 2008  R2Active  Directory Sur  Windows 2008  R2
Active Directory Sur Windows 2008 R2
 
JavaScript aussi sur le serveur et jusque dans le cloud?
JavaScript aussi sur le serveur et jusque dans le cloud?JavaScript aussi sur le serveur et jusque dans le cloud?
JavaScript aussi sur le serveur et jusque dans le cloud?
 
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
Active Directory + BYOD = tranquillité d’esprit, chiche ! (1ère Partie)
 
Cours windows-2003-server
Cours windows-2003-serverCours windows-2003-server
Cours windows-2003-server
 
Windows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockageWindows Server vNext- virtualisation et stockage
Windows Server vNext- virtualisation et stockage
 
2194 A 02
2194 A 022194 A 02
2194 A 02
 
2194 A 04
2194 A 042194 A 04
2194 A 04
 
installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003installation et configuration du DNS sous Windows serveur 2003
installation et configuration du DNS sous Windows serveur 2003
 
Microsoft Active Directory
Microsoft Active DirectoryMicrosoft Active Directory
Microsoft Active Directory
 
Active directory
Active directory Active directory
Active directory
 
Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
Dossier presse kann
Dossier presse kannDossier presse kann
Dossier presse kann
 

Similar a Sécurité Active Directory : détecter l’indétectable !

Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesMicrosoft
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatifLeClubQualiteLogicielle
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...Cyber Security Alliance
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseAntonio Fontes
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerNetExplorer
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Asma Messaoudi
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...Cyber Security Alliance
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPITakfarinas KENOUCHE
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTCyber Security Alliance
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebCyrille Grandval
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratiquePatrick Guimonet
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le CloudSebastien Gioria
 

Similar a Sécurité Active Directory : détecter l’indétectable ! (20)

Securite web is_ima
Securite web is_imaSecurite web is_ima
Securite web is_ima
 
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficacesLutter contre les attaques ciblées avec quelques mesures simples et efficaces
Lutter contre les attaques ciblées avec quelques mesures simples et efficaces
 
20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif20090929 04 - Securité applicative, hacking et risque applicatif
20090929 04 - Securité applicative, hacking et risque applicatif
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
seim.pptx
seim.pptxseim.pptx
seim.pptx
 
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
ASFWS 2012 - Sécurité des applications web, analyse technique vs. analyse con...
 
On a volé les clefs de mon SI !
On a volé les clefs de mon SI !On a volé les clefs de mon SI !
On a volé les clefs de mon SI !
 
IKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FRIKare Vulnerability Scanner - Datasheet FR
IKare Vulnerability Scanner - Datasheet FR
 
Sécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défenseSécurité des applications web: attaque et défense
Sécurité des applications web: attaque et défense
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
OWASP TOP 10 Proactive
OWASP TOP 10 ProactiveOWASP TOP 10 Proactive
OWASP TOP 10 Proactive
 
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
Alphorm.com Formation Techniques de Blue Teaming : L'Essentiel pour l'Analyst...
 
Plaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorerPlaquette de présentation de la sécurité de la solution NetExplorer
Plaquette de présentation de la sécurité de la solution NetExplorer
 
Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02Securitedesapplications 091011120426-phpapp02
Securitedesapplications 091011120426-phpapp02
 
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
ASFWS 2013 - Prévention et analyse de cyber attaques : Import-Module Incident...
 
La sécurité des applications avec ESAPI
La sécurité des applications avec ESAPILa sécurité des applications avec ESAPI
La sécurité des applications avec ESAPI
 
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APTASFWS 2011 - L’importance du protocole HTTP dans la menace APT
ASFWS 2011 - L’importance du protocole HTTP dans la menace APT
 
Durcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative WebDurcissement de code - Sécurité Applicative Web
Durcissement de code - Sécurité Applicative Web
 
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
2020-06-06 Power Saturday 2020 - Cyber sécurité Microsoft 365 par la pratique
 
Securite des Applications dans le Cloud
Securite des Applications dans le CloudSecurite des Applications dans le Cloud
Securite des Applications dans le Cloud
 

Más de Microsoft Décideurs IT

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Microsoft Décideurs IT
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaMicrosoft Décideurs IT
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIMicrosoft Décideurs IT
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureMicrosoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Microsoft Décideurs IT
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Microsoft Décideurs IT
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Microsoft Décideurs IT
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineMicrosoft Décideurs IT
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideMicrosoft Décideurs IT
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Microsoft Décideurs IT
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Microsoft Décideurs IT
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Microsoft Décideurs IT
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Microsoft Décideurs IT
 
L'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entrepriseL'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entrepriseMicrosoft Décideurs IT
 
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...Microsoft Décideurs IT
 
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?Microsoft Décideurs IT
 

Más de Microsoft Décideurs IT (20)

Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
Lync : intégration et interopérabilité à votre existant, quoi de neuf ?
 
Azure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo ExtravaganzaAzure IaaS pour les IT - Demo Extravaganza
Azure IaaS pour les IT - Demo Extravaganza
 
La gouvernance des données
La gouvernance des donnéesLa gouvernance des données
La gouvernance des données
 
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BIRetour d’expérience de Sarenza sur la façon de piloter un projet Power BI
Retour d’expérience de Sarenza sur la façon de piloter un projet Power BI
 
Malware Unchained
Malware UnchainedMalware Unchained
Malware Unchained
 
Big Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… AzureBig Data et Business Intelligence de A… Azure
Big Data et Business Intelligence de A… Azure
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
Architectures hybrides: Intégrer vos données métiers dans vos applications cl...
 
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
Reprenez la main sur vos applications SharePoint en mesurant et en optimisant...
 
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
Windows Server 2003 EOS : l'opportunité de repenser votre IT et mettre en pla...
 
La collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et onlineLa collaboration dans Exchange : comparaison on premises et online
La collaboration dans Exchange : comparaison on premises et online
 
Exchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybrideExchange / Office 365 comment faire un déploiement hybride
Exchange / Office 365 comment faire un déploiement hybride
 
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
Cas d’étude : Comment simplifier vos backups dans le cloud grâce à VEEAM et M...
 
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
Industrialisez le déploiement de vos infrastructures Cloud depuis votre systè...
 
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
Comment bâtir un cloud hybride en mode IaaS ou SaaS et apporter le meilleur d...
 
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
Migrer de 2003 à 2012 R2, adopter HyperV ou Microsoft Azure : comment réalise...
 
L'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entrepriseL'innovation HP au service de la mobilité en entreprise
L'innovation HP au service de la mobilité en entreprise
 
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
Automatisez et fluidifiez votre publication internet avec Sharepoint 2013 - R...
 
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?
Cloud Hybride : Mythe ou réalité ? Quelle stratégie et solution ?
 

Sécurité Active Directory : détecter l’indétectable !

  • 2. Sécurité Active Directory: Détecter l’indétectable! Daniel Pasquier – PFE Security Lead France Jugoslav Stevic – PFE Identity & Security Microsoft France Donnez votre avis depuis votre smartphone sur : http://notes.mstechdays.fr
  • 3. • Pourquoi est-il si difficile de détecter les attaques? - Etablir un référentiel du comportement dit "normal"
  • 4. Contexte Actuel – "Data Breach Report"
  • 5. Pourquoi est-ce si difficile à détecter ? par l'intermédiaire d' outils standards existants (OWA, etc..) Par la suite, les attaquants Tentent d’utiliser des identifiants légitimes pour se propager (vols de "credentials"…) Compromission initiale Débute toujours par une station de travail peu ou non surveillée… Les Attaquants ne laissent pas de trace évidente…  Utilisent les mêmes méthodes d’accès distant (RDP, etc...) que tous les Administrateurs légitimes  Utilisent parfois les outils standards ("Sysinternals", "built-in tools", etc...)  Aucune alerte détectée par "AV/AM"
  • 6. Pourquoi est-ce si difficile à détecter ? Compromission Initiale
  • 7. Détécter des Comportements Anormaux – Plan d’Actions Ordinateurs: Serveurs sensibles, Contrôleurs de domaine, Stations d’admin; Equipements… Personnes: Administrateurs, Helpdesk, VIP, comptes de services, tâches, & génériques… sur vos contrôleurs de domaine Activer l’audit "Audit Special Logon" Event 4964 créé lorsqu'un utilisateur appartient à un groupe spécial Top 10 des risques les plus élevés Top 10 des machines les plus critiques de votre organisation Activer la surveillance Identifier les Event ID les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Décider de ce qu’il faut surveiller En premier lieu, inventorier et protéger les équipements les plus critiques et jugés à haut risques
  • 8. 8 Sur les contrôleurs de domaine: Cet évènement est généré à chaque demande d'accès à une ressource (Ordinateur ou Service) utilisant un ticket Kerberos (TGS) Le groupe "Protected Users" impose le protocle "Kerberos"! Qui a demandé l’accès? "Service Name" indique la ressource pour laquelle l’accès a été demandé "Client Address" indique l’adresse IP source où l’utilisateur s’est authentifié "Date and Time" de la demande de ticket "Kerberos Service request (TGS)"; Nom du contrôleur de domaine en charge de cette demande Event ID 4769 « Audit Kerberos Service Ticket Operations »
  • 9. Indicate what groups are “special” by listing them in a custom registry key as a string value, using group SID, Separate groups by semi-colon (;) Identifie toute nouvelle authentification venant d'un utilisateur appartenant à un groupe de type "Special Groups" Event ID 4964 « Special Logon » Surveiller si la liste des "Special Groups" a été modifiée dans le registre Un script peut être exécuté afin de générer un rapport ou une alerte
  • 10. Détecter des Comptements Anormaux – Plan d’Actions Activer "Global Object Access Auditing" sur les serveurs sensibles pour l'accès aux fichiers et registres (SACLS) Definir les évènements qui indiquent sans aucun doute possible une attaque et centraliser l’information! (suite) Identifier les "Event ID" les plus pertinents sur la base du Top 10 des risques et les appliquer sur le top 10 des équipements à surveiller Appartenance aux groupes privilégiés, Activer l'audit sur les Stockages Amovibles (USB,Disk..), Positionner un audit modéré afin de ne pas créer trop d'activité et de bruit! Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement "AD" puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  • 11. “Global Object Access Auditing” Useful for verifying that all critical files, folders, and registry settings on a computer are protected. Event ID 5145 « Audit Detailed File Share » L'utilisateur identifié a accédé au partage spécifié depuis l'adresse réseau source indiquée En utilisant les permissions d’accès "ReadData" Date & heure où le fichier a été accédé; nom du serveur hébergeant le fichier & type d’accès "success or failure" La valeur du "Reason for Access" est "ReadData" obtenu par l’appartenance au groupe "Built-in Administrators" group Combiner l’audit "Global Object Access Auditing" avec "Audit Detailed File Share"
  • 12. Event ID 4728 "Audit Security Group Management" Un membre a été ajouté… Action réalisée par "NWTRADERSAdministrator" Les propriétés "SamAccountName" et "DN" de l’utilisateur ajouté dans le groupe de sécurité… Nom du groupe privilégié cible Date, heure à laquelle l’opération a été réalisée
  • 13. Un compte utilisateur est temporairement ajouté dans le groupe "Domain Admins" pour résoudre un dysfonctionnement AD puis retiré dès résolution :  Compte administrateur Orphelin & Éphémère avec la classe d’objet : "Dynamic User Object Class"!  Inspection d’une image "NTDS" ou d'une sauvegarde Active Directory afin d'obtenir les valeurs initiales des attributs
  • 15. Détecter des Comptements Anormaux – Plan d’Actions Applications habituellement utilisées, Performance réseau habituelle, Flux réseaux, Analyseur réseau, établir un référentiel Ces comptes sensibles peuvent collaborer qu'avec ces personnes sur ce projet top secret! 3 – Etablir un référentiel du comportement dit "normal" Identifier au moins les scénarios pour lesquels il n’y a pas d’ambiguité, dont on est sûr! Les comptes à haut privilèges ne peuvent s'authentifier que sur une liste de machines spécifiques : Station d'admin, DCs, serveurs : Localisation & Nb d'occurences Ces comptes privilégiés se connectent dans cette plage horaire uniquement et pour une durée définie Ces comptes privilégiés doivent uniquement accéder à une liste spécifiques de ressources (serveurs sensibles, contrôleur de domaine..) Les ressources très sensibles ne peuvent être accédées que par une liste d'utilisateurs et ordinateurs définis
  • 16. Détecter des Comptements Anormaux – Plan d’Actions Est-ce que ce serveur ou ce compte d'administration est autorisé à être connecté à cette heure de la nuit ? 4 – Définir les seuils d’alertes d’une activité anormale Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel Membres du groupe "Domain Admins" s'authentifiant sur des stations de travail Est-ce normal? Compte privilégié AD utilisé pour contacter un serveur applicatif (accès aux données sensibles, exfiltration, vols d'identifiants..) Compte à pouvoirs utilisé au même moment à des endroits différents Est-ce que ce gros volume de données est autorisé à transiter sur le réseau, de nuit et vers ce pays étranger?
  • 17. Détecter des Comportements Anormaux – Plan d’Actions Quoi, un Event ID 1102 ??? Le journal d'évènements a été purgé! La stratégie de Sécurité a été modifiée! Ajout d’un compte utilisateur étrange dans le groupe "Domain Admins" ou tout autre groupe à haut privilèges ? Compte privilégié désactivé, compte fictif mais en cours d’utilisation? "Dynamic User Object" utilisé en tant qu’admin ? Connexions vers l’extérieur anormales, ports en écoute non souhaités ??? 4 – Définir les seuils d’alertes d’une activité anormale (suite) Une activité anormale c’est... tout changement inexpliqué (en plus ou en moins) dans le rythme actuel
  • 18. Soyons créatifs: Mise en place d’un “Honeynet”? Restreindre l’accès aux paramètres de configuration d’audit Rediriger les évènements vers un point central à l'aide de "Event Subscription" Leurs seules activités consistera à alerter si quelqu'un essaye de s'y connecter (ping, logon..). Réaliser un paramétrage adéquate afin de vous affranchir de "Faux-positifs" Identifier une ou plusieurs machines que vous souhaitez utiliser en "Honeynet" Mettez les à jour selon vos processus normaux Autoriser les connexions entrantes (Logs Firewall), restreindre les connexions sortantes :  Limiter l’impact si le "Honeynet" est compromis  Masquer son rôle de serveur "Honeynet"
  • 19. A – Activer l’auditing sur le Honeynet – Applocker en mode Audit Toute utilisation anormale d’outils est surveillée et enregistrée dans le journal des évènements Vérifier que le service "Application Identity" est démarré et en cours d'exécution Soyons créatifs: configurons un “Honeynet”… ex. Créer 2 jeux de règles :  "Règles concernant les exécutables" : Utilisées pour surveiller tous les exécutables sur le "Honeynet "  "Règles concernant les scripts" : Utilisées pour surveiller tous les scripts exécutés sur le "Honeynet" L'activité "AppLocker" est surveillée en consultant le journal des évènements et redirigée vers un point central
  • 20. 20 Configurer un serveur de collecte d'évènements vers qui les évènements "AppLocker" & "Autres Alertes" seront redirigés et qui sera à même de les traiter...
  • 21. B – Attack Surface Analyser Outil Microsoft gratuit permettant d'identifier toute augmentation de surface d'attaque due à l'installation d'applications… Un "scan" de la machine réalisé périodiquement permet d'identifier les différents outils & scripts installés par l'attaquant sur le "Honeynet" Soyons créatifs: configurons un “Honeynet”… ex.
  • 22. C – Activation de l’Audit Windows & Autres outils … Détecter des comportemens anormaux... Des modifications inattendues (en + ou en -) Centralisation des évènements anormaux Déclenchement auto de scripts et analyse Soyons créatifs: configurons un “Honeynet”… e.x.
  • 23. Start User or Machine compromised Honeynet server Collector Server Attacks Events ID Forwarded
  • 28. N'oubliez pas, une activité en baisse… est aussi suspecte qu'une activité en hausse, par exemple:  Diminution des remontées d’alertes virales...  Arrêt soudain des attaques de type "Brute force" sur les mots de passe  Diminution drastique des alertes "Firewall" "They got in …" Merci à Pierre Audonnet pour ses excellents scripts Powershell ! https://gallery.technet.microsoft.com ANSSI: Recommandations de sécurité pour la mise en oeuvre d’un système de journalisation http://www.ssi.gouv.fr/fr/guides-et-bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et- des-serveurs/recommandations-de-securite-pour-la-mise-en-oeuvre-d-un-systeme-de.html Useful NSA's guide: “Spotting the Adversary with Windows Event log Monitoring” http://www.nsa.gov/ia/_files/app/Spotting_the_Adversary_with_Windows_Event_Log_Monitoring.pdf Conclusion & Questions
  • 29. http://notes.mstechdays.fr Faites le depuis votre Windows Phone! Ou depuis votre Hi Phone, APhone (Andro Phone)…
  • 31. Prêt pour le QCM habituel ? http://notes.mstechdays.fr