Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises.
Active Directory est la solution d’annuaire la plus déployée dans les entreprises.
De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory.
Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques.
Lors de cette session, nous vous proposons de découvrir :
- Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire.
- Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory
- Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.
Rapport administration systèmes et supervision réseaux tp4 diabang master1 trCheikh Tidiane DIABANG
Similaire à GAB 2017 PARIS - Tester la sécurité de vos annuaires Active Directory et Azure Active Directory par Alan DEGROISE et Guillaume MATHIEU (20)
4. 4
Pourquoi cette session ?
Active Directory : annuaire le plus déployé dans les entreprises.
Azure Active Directory : 500 millions de comptes / 4500 applications SaaS
Kit d’attaques de la NSA qui a fuité sur Internet.
GDPR
Multiplication du nombre d’attaques en 2016 / 2017
280 jours en moyenne pour détecter une attaque.
Maîtriser et sécuriser Active Directory et Azure Active Directory devient un
enjeux stratégique.
5. 5
Les solutions pour sécuriser
Active Directory et Azure Active Directory existent
mais elles ne sont pas appliquées ou connues !
6. 6
1. NTLM Pass the Hash
a. Réduire la surface d’attaque avec LAPS
b. Détecter et alerter avec Microsoft Advanced Threat Analytics
2. Kerberos Pass the ticket et Golden Ticket
a. Réduire les privilèges des comptes d’administration / services
3. Sécuriser et contrôler Azure Active Directory
a. Délégation d’administration avec Azure Microsoft Azure Active Directory Privileged
Identity Management
b. Détecter l’utilisation des comptes Azure à fort privilèges avec Microsoft Azure Active
Directory Identity Protection
Agenda
8. 8
Mot de passe d’un compte utilisateur Active Directory :
Stockés sous forme de Hash / empreintes :
LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0
NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B
Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory
(historique) protégés par le système
Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT.
Rainbow Table : retrouver un mot de passe à partir d’un HASH
Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH
Stockage des mots de passe
9. 9Les mots de passe en texte clair / Hash en mémoire
10. 10
Authentification NTLM :
Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie.
Charlie
CL1
FILE1 DC1
Version NTLM
(négociation…)
1 - Charlie ouvre sa session2- Charlie accède à File1
Challenge
4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie3- FILE1 génère le challenge et l’envoie à CL1
Réponse
5- FILE1 envoie le logon + challenge + réponse à DC1
Challenge
Logon de Charlie
6- DC1 génère la réponse avec le challenge et le logon de Charlie
Réponse DC1 :
OK
7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1
« Je suis
Charlie »
Le protocole NTLM
11. 11
Comportement standard du protocole NTLM (SSO)
Sur une machine distante (ouverture de session réseau)
Mot de passe complexe -> vulnérable à cette attaque !
L’attaque NTLM Pass The Hash