© Copyright 2017 METSYS. Tous droits réservés

Agenda La sécurité en 2018 : priorité de Metsys et des DSI Azure AD Premium, une solution pour sécuriser Active Directory et Azure Active Directory Microsoft ATA ou comment détecter l’indétectable La sécurité passe aussi par le poste de travail ! Merci Windows 10 ! © Copyright 2018 METSYS. Tous droits réservés

La sécurité en 2018 : priorité de Metsys et des DSI

Une relation de confiance Une Société en forte croissance Qui sommes nous ? Une équipe de talents Une relation de confiance Une Société en forte croissance Une Expertise Microsoft Pure-Player Gold & Silver Partner Partenaire VIP MCS Partenaire « Platinum » Microsoft Experiences Des experts certifiés 11 13 CA 2014 : 5 M€ CA 2015 : 8,5 M€ CA 2016 : 11 M€ CA 2017 : 16,5 M€ Champion de la croissance 2017 Champion de la croissance 2018 [Channel News – 15/10/14] +120 experts Microsoft seniors 5 agences en France Spécialiste sur l’ensemble des technologies Microsoft Des Modérateurs de forum technique Microsoft, Des Consultants MVP Nos valeurs : Satisfaction Confiance Engagement Avec chaque nouveau client, notre ambition est d’inaugurer une relation de confiance. © Copyright 2018 METSYS. Tous droits réservés

Déploiement et Gestion De Parc Infrastructure Infrastructure Services Automatisation Migration Déploiement et Gestion De Parc Sécurité Gestion d’identités Azure © Copyright 2017 METSYS. Tous droits réservés

Communication unifiée Digital Workplace Mobility And Devices Office 365 Communication unifiée Collaboratif © Copyright 2017 METSYS. Tous droits réservés

L’accompagnement projet Analyse des besoins Rédaction de cahiers des charges Etude de cadrage POC et maquette étude & conseil L’accompagnement projet + accompagnement au changement Projet support & maintenance Exploitation, support et supervision des infrastructures Tierce Maintenance Applicative conception Définition de la solution Expertise Structuration de projet livraison & mise en œuvre Projet au forfait Assistance Technique Intégration des solutions Transfert de compétences et formation © Copyright 2017 METSYS. Tous droits réservés

Références: Banque / Finance / Assurance © Copyright 2017 METSYS. Tous droits réservés

Industrie & Services www.metsys.com © Copyright 2017 METSYS. Tous droits réservés © 2010 Microsoft Corporation. All rights reserved.

Public, Santé & Pharma © Copyright 2017 METSYS. Tous droits réservés

PME (<3000 personnes) © Copyright 2017 METSYS. Tous droits réservés

La sécurité en 2018 : quelques chiffres 280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS 81 % : les entreprises françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT 800 000 euros : prix (moyenne) pour s’en remettre Saint Gobain : 60 millions TV5 Monde : 4,5 millions

Le stockage des mots de passe avec Windows www.metsys.com Le stockage des mots de passe avec Windows Mot de passe d’un compte utilisateur Active Directory : Stockés sous forme de Hash / empreintes : LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory (historique) protégés par le système Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT. Rainbow Table : retrouver un mot de passe à partir d’un HASH Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH © 2010 Microsoft Corporation. All rights reserved.

Les mots de passe sont en texte clair / Hash en mémoire ! www.metsys.com Les mots de passe sont en texte clair / Hash en mémoire ! Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : http://support.microsoft.com/kb/299656/en-us http://support.microsoft.com/kb/946405/en-us © 2010 Microsoft Corporation. All rights reserved.

Version NTLM (négociation…) www.metsys.com Le protocole NTLM Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. 1 - Charlie ouvre sa session 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie 3- FILE1 génère le challenge et l’envoie à CL1 8- Si les deux réponses correspondent, DC1 donne accès à FILE1 7- DC1 compare la réponse générée avec celle reçue par FILE1 2- Charlie accède à File1 6- DC1 génère la réponse avec le challenge et le logon de Charlie 5- FILE1 envoie le logon + challenge + réponse à DC1 FILE1 DC1 Charlie CL1 « Je suis Charlie » Réponse Version NTLM (négociation…) Challenge Réponse DC1 : OK Challenge Logon de Charlie © 2010 Microsoft Corporation. All rights reserved.

L’attaque NTLM Pass The Hash www.metsys.com L’attaque NTLM Pass The Hash Comportement standard du protocole NTLM (SSO) Sur une machine distante (ouverture de session réseau) Mot de passe complexe -> vulnérable à cette attaque mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c 59562e675c /domain:msexp76.intra" © 2010 Microsoft Corporation. All rights reserved.

PowerSploit : PowerShell une plateforme de simulation d’attaques ? Intègre les fonctionnalités de Mimikatz (Invoke-Mimikatz) Disponible sur https://github.com/PowerShellMafia/PowerSploit Afficher les mots de passe / Hash d’une machine : Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"

Azure AD Premium, une solution pour sécuriser Active Directory et Azure Active Directory

Une identité hybride : Active Directory et Azure Active Directory

Sécuriser son identité hybride Active Directory / Azure Active Directory Détection des attaques (ATA / ATP) Tests d’intrusions Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA Définition de l’architecture cible - gouvernance des annuaires Active Directory / Azure Active Directory

Réinitialiser son mot de passe Active Directory avec Azure AD Premium !

Une authentification à 2 facteurs avec Azure Multi-factor Authentication

Microsoft ATA ou comment détecter l’indétectable

Présentation Microsoft ATA : Advanced Threat Analytics ATA c’est quoi en fait ? Le BIG DATA / MACHINE LEARNING appliqué à la sécurité Active Directory. Analyse l’ensemble du trafic réseau et les événements (journal Security) Détecte les attaques : OUI Cela bloque une attaque : NON Les attaques détectées : Surveillance des utilisateurs / groupes à fort privilèges (admin du domaine). PSEXEC NTLM Pass The Nash Kerberos Pass The Ticket et Golden Ticket (1.8)

Présentation Microsoft ATA : Advanced Threat Analytics

Démo Microsoft ATA

La sécurité passe aussi par le poste de travail ! Merci Windows 10 !

Attaque par élévation de privilèges Je deviens administrateur local (sethc.exe -> cmd.exe) Analyse de la mémoire du processus LSASS.EXE ou des LSA SECRETS (HKEY_LOCAL_MACHINE\SECURITY) -> obtention des NTHASH Pass the Hash (Mimikatz, PowerSploit) pour se connecter à distance sur une autre machine Réappliquer la même méthode sur la nouvelle machine. mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"

Sécuriser son poste de travail Windows Defender Advanced Threat Protection (ATP) Credential Guard Device Guard Windows Hello Enterprise Data Protection BitLocker Secure Boot Délégation d’administration (Tier 0 / Tier 1 / Tier 2) LAPS Utilisateur standard (administrateur) Un OS supporté (APPV – UE/V) Un OS à jour Un antivirus à jour

Se protéger de Mimikatz avec Credential Guard Objectifs : Protéger le processus LSASS.EXE (exécution dans une machine virtuelle) Limitation : Fonctionne que pour les comptes utilisateurs Active Directory. Protéger les comptes locaux -> déployer LAPS Pas de déploiement sur les contrôleurs de domaine Prérequis: Windows Enterprise E3 / E5 Hyper-V Mode utilisateur isolé. NTLM V1 et MSCHAP

Protéger ma machine contre les malwares Intérêt: Vérifie si l’application est autorisée par l’entreprise. Fonctionne avec des applications, pilotes ou scripts Prérequis / recommandations : Privilégier le mode basée sur la virtualisation Windows 10 Enterprise E3 / E5 Fonctionnalité Hyper-V (Intel VT) Fonctionnalité Mode utilisateur approuvé UEFI Secure Boot TPM 1.2 ou TPM 2.0 requis Le code des applications doit être signé. Déployer Code Integrity Policy https://mva.microsoft.com/fr-fr/training-courses/windows-10-et-la-scurit-14452?l=Lu1lAqZlB_5705192797 https://docs.microsoft.com/fr-fr/windows/whats-new/whats-new-windows-10-version-1507-and-1511

Protéger ma machine contre les malwares

Protéger ma machine contre les malwares

© Copyright 2016 METSYS. Tous droits réservés