MSEXP : Microsoft Advanced Threat Analytics
•Als PPTX, PDF herunterladen•
1 gefällt mir•237 views
Talk à Microsoft Experiences 2017 : Comment se prémunir d'attaques avancées à l'aide de Microsoft ATA. Session présentée par Guillaume MATHIEU (http://msreport.free.fr/) & Mickael LOPES (@lopesmick)
Empfohlen
Empfohlen
Weitere ähnliche Inhalte
Ähnlich wie MSEXP : Microsoft Advanced Threat Analytics
Ähnlich wie MSEXP : Microsoft Advanced Threat Analytics (20)
MSEXP : Microsoft Advanced Threat Analytics
- 2. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS Active Directory et la sécurité Des exemples d’attaques et les outils Comment les détecter
- 3. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS 280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegarde HS 81 % : les entreprises françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT 800 000 euros : prix (moyenne) pour s’en remettre
- 4. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS Définition de l’architecture cible - gouvernance de l’annuaire Active Directory Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets Active Directory Tests d’intrusions Mise en place d’outils de détection d’attaques (Microsoft Advanced Threat Analytics)
- 6. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS Comportement standard du protocole NTLM (SSO) Sur une machine distante (ouverture de session réseau) Mot de passe complexe -> vulnérable à cette attaque mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata /ntlm:13b29964cc2480b4ef454 c59562e675c /domain:msexp76.intra"
- 7. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS https://github.com/PowerShellMafia/PowerSploit Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"
- 8. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS ATA c’est quoi en fait ? Les attaques détectées :
- 10. Microsoft experiences’17#experiences17ADVANCED THREAT ANALYTICS
- 11. © 2017 Microsoft Corporation. All rights reserved. experiences.microsoft.fr #experiences17
Hinweis der Redaktion
- Saint Gobain : 60 millions TV5 Monde : 4,5 millions
- Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : http://support.microsoft.com/kb/299656/en-us http://support.microsoft.com/kb/946405/en-us