© Copyright 2017 METSYS. Tous droits réservés

Présentation au sujet: "© Copyright 2017 METSYS. Tous droits réservés"— Transcription de la présentation:

1 © Copyright 2017 METSYS. Tous droits réservés

2 Agenda La sécurité en 2018 : priorité de Metsys et des DSI Azure AD Premium, une solution pour sécuriser Active Directory et Azure Active Directory Microsoft ATA ou comment détecter l’indétectable La sécurité passe aussi par le poste de travail ! Merci Windows 10 ! © Copyright 2018 METSYS. Tous droits réservés

3 La sécurité en 2018 : priorité de Metsys et des DSI

4 Une relation de confiance Une Société en forte croissance
Qui sommes nous ? Une équipe de talents Une relation de confiance Une Société en forte croissance Une Expertise Microsoft Pure-Player Gold & Silver Partner Partenaire VIP MCS Partenaire « Platinum » Microsoft Experiences Des experts certifiés 11 13 CA 2014 : 5 M€ CA 2015 : 8,5 M€ CA 2016 : 11 M€ CA 2017 : 16,5 M€ Champion de la croissance 2017 Champion de la croissance 2018 [Channel News – 15/10/14] +120 experts Microsoft seniors 5 agences en France Spécialiste sur l’ensemble des technologies Microsoft Des Modérateurs de forum technique Microsoft, Des Consultants MVP Nos valeurs : Satisfaction Confiance Engagement Avec chaque nouveau client, notre ambition est d’inaugurer une relation de confiance. © Copyright 2018 METSYS. Tous droits réservés

5 Déploiement et Gestion De Parc
Infrastructure Infrastructure Services Automatisation Migration Déploiement et Gestion De Parc Sécurité Gestion d’identités Azure © Copyright 2017 METSYS. Tous droits réservés

6 Communication unifiée
Digital Workplace Mobility And Devices Office 365 Communication unifiée Collaboratif © Copyright 2017 METSYS. Tous droits réservés

7 L’accompagnement projet
Analyse des besoins Rédaction de cahiers des charges Etude de cadrage POC et maquette étude & conseil L’accompagnement projet + accompagnement au changement Projet support & maintenance Exploitation, support et supervision des infrastructures Tierce Maintenance Applicative conception Définition de la solution Expertise Structuration de projet livraison & mise en œuvre Projet au forfait Assistance Technique Intégration des solutions Transfert de compétences et formation © Copyright 2017 METSYS. Tous droits réservés

8 Références: Banque / Finance / Assurance
© Copyright METSYS. Tous droits réservés

9 Industrie & Services www.metsys.com
© Copyright 2017 METSYS. Tous droits réservés © 2010 Microsoft Corporation. All rights reserved.

10 Public, Santé & Pharma © Copyright METSYS. Tous droits réservés

11 PME (<3000 personnes) © Copyright METSYS. Tous droits réservés

12 La sécurité en 2018 : quelques chiffres
280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS 81 % : les entreprises françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT euros : prix (moyenne) pour s’en remettre Saint Gobain : 60 millions TV5 Monde : 4,5 millions

13 Le stockage des mots de passe avec Windows
Le stockage des mots de passe avec Windows Mot de passe d’un compte utilisateur Active Directory : Stockés sous forme de Hash / empreintes : LMHASH ( ) : 882B5831DF88FDB77C3113B4A1A5E3A0 NTHASH ( ) : B8895ECED52341EDFC6A078BB962CB3B Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory (historique) protégés par le système Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT. Rainbow Table : retrouver un mot de passe à partir d’un HASH Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH © 2010 Microsoft Corporation. All rights reserved.

14 Les mots de passe sont en texte clair / Hash en mémoire !
Les mots de passe sont en texte clair / Hash en mémoire ! Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : © 2010 Microsoft Corporation. All rights reserved.

15 Version NTLM (négociation…)
Le protocole NTLM Authentification NTLM : Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie. 1 - Charlie ouvre sa session 4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie 3- FILE1 génère le challenge et l’envoie à CL1 8- Si les deux réponses correspondent, DC1 donne accès à FILE1 7- DC1 compare la réponse générée avec celle reçue par FILE1 2- Charlie accède à File1 6- DC1 génère la réponse avec le challenge et le logon de Charlie 5- FILE1 envoie le logon + challenge + réponse à DC1 FILE1 DC1 Charlie CL1 « Je suis Charlie » Réponse Version NTLM (négociation…) Challenge Réponse DC1 : OK Challenge Logon de Charlie © 2010 Microsoft Corporation. All rights reserved.

16 L’attaque NTLM Pass The Hash
L’attaque NTLM Pass The Hash Comportement standard du protocole NTLM (SSO) Sur une machine distante (ouverture de session réseau) Mot de passe complexe -> vulnérable à cette attaque mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c e675c /domain:msexp76.intra" © 2010 Microsoft Corporation. All rights reserved.

17 PowerSploit : PowerShell une plateforme de simulation d’attaques ?
Intègre les fonctionnalités de Mimikatz (Invoke-Mimikatz) Disponible sur Afficher les mots de passe / Hash d’une machine : Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"

18 Azure AD Premium, une solution pour sécuriser Active Directory et Azure Active Directory

19 Une identité hybride : Active Directory et Azure Active Directory

20 Sécuriser son identité hybride Active Directory / Azure Active Directory
Détection des attaques (ATA / ATP) Tests d’intrusions Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA Définition de l’architecture cible - gouvernance des annuaires Active Directory / Azure Active Directory

21 Réinitialiser son mot de passe Active Directory avec Azure AD Premium !

22 Une authentification à 2 facteurs avec Azure Multi-factor Authentication

23 Microsoft ATA ou comment détecter l’indétectable

24 Présentation Microsoft ATA : Advanced Threat Analytics
ATA c’est quoi en fait ? Le BIG DATA / MACHINE LEARNING appliqué à la sécurité Active Directory. Analyse l’ensemble du trafic réseau et les événements (journal Security) Détecte les attaques : OUI Cela bloque une attaque : NON Les attaques détectées : Surveillance des utilisateurs / groupes à fort privilèges (admin du domaine). PSEXEC NTLM Pass The Nash Kerberos Pass The Ticket et Golden Ticket (1.8)

25 Présentation Microsoft ATA : Advanced Threat Analytics

26 Démo Microsoft ATA

27 La sécurité passe aussi par le poste de travail !
Merci Windows 10 !

28 Attaque par élévation de privilèges
Je deviens administrateur local (sethc.exe -> cmd.exe) Analyse de la mémoire du processus LSASS.EXE ou des LSA SECRETS (HKEY_LOCAL_MACHINE\SECURITY) -> obtention des NTHASH Pass the Hash (Mimikatz, PowerSploit) pour se connecter à distance sur une autre machine Réappliquer la même méthode sur la nouvelle machine. mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"

29 Sécuriser son poste de travail
Windows Defender Advanced Threat Protection (ATP) Credential Guard Device Guard Windows Hello Enterprise Data Protection BitLocker Secure Boot Délégation d’administration (Tier 0 / Tier 1 / Tier 2) LAPS Utilisateur standard (administrateur) Un OS supporté (APPV – UE/V) Un OS à jour Un antivirus à jour

30 Se protéger de Mimikatz avec Credential Guard
Objectifs : Protéger le processus LSASS.EXE (exécution dans une machine virtuelle) Limitation : Fonctionne que pour les comptes utilisateurs Active Directory. Protéger les comptes locaux -> déployer LAPS Pas de déploiement sur les contrôleurs de domaine Prérequis: Windows Enterprise E3 / E5 Hyper-V Mode utilisateur isolé. NTLM V1 et MSCHAP

31 Protéger ma machine contre les malwares
Intérêt: Vérifie si l’application est autorisée par l’entreprise. Fonctionne avec des applications, pilotes ou scripts Prérequis / recommandations : Privilégier le mode basée sur la virtualisation Windows 10 Enterprise E3 / E5 Fonctionnalité Hyper-V (Intel VT) Fonctionnalité Mode utilisateur approuvé UEFI Secure Boot TPM 1.2 ou TPM 2.0 requis Le code des applications doit être signé. Déployer Code Integrity Policy

32 Protéger ma machine contre les malwares

33 Protéger ma machine contre les malwares

34 © Copyright 2016 METSYS. Tous droits réservés