Le développement exponentiel des solutions cloud ainsi que les révélations de Snowden sur les pratiques de la NSA positionnent la sécurité au cœur des préoccupations des entreprises. Active Directory est la solution d’annuaire la plus déployée dans les entreprises. De plus en plus d’applications cloud (Microsoft ou non) s’appuient sur Azure Active Directory. Maîtriser et sécuriser ses annuaires Active Directory et Azure Active Directory deviennent donc des enjeux stratégiques. Lors de cette session, nous vous proposons de découvrir : - Le top 5 des attaques les plus connues autour des technologies Active Directory / Azure Active Directory (NTLM Pass The Hash, Golden Ticket…) avec des démonstrations concrètes dans notre laboratoire. - Les contres mesures à déployer pour sécuriser ses annuaires Active Directory et Azure Active Directory - Les principaux outils pour détecter ou se prémunir contre ces attaques comme Microsoft LAPS, Microsoft Advanced Threat Analytics, Microsoft Azure Active Directory Identity Protection et Microsoft Azure Active Directory Privileged Identity Management.

1. Tester la sécurité de vos annuaires Active Directory / Azure
Active Directory
Alan DEGROISE – Guillaume
MATHIEU

2. 2
Merci à nos sponsors
PLATINUM
LOCAUX
PARTENAIRES MEDIA

3. 3
Sponsors internationaux

4. 4
Pourquoi cette session ?
 Active Directory : annuaire le plus déployé dans les entreprises.
 Azure Active Directory : 500 millions de comptes / 4500 applications SaaS
 Kit d’attaques de la NSA qui a fuité sur Internet.
 GDPR
 Multiplication du nombre d’attaques en 2016 / 2017
 280 jours en moyenne pour détecter une attaque.
Maîtriser et sécuriser Active Directory et Azure Active Directory devient un
enjeux stratégique.

5. 5
Les solutions pour sécuriser
Active Directory et Azure Active Directory existent
mais elles ne sont pas appliquées ou connues !

6. 6
1. NTLM Pass the Hash
a. Réduire la surface d’attaque avec LAPS
b. Détecter et alerter avec Microsoft Advanced Threat Analytics
2. Kerberos Pass the ticket et Golden Ticket
a. Réduire les privilèges des comptes d’administration / services
3. Sécuriser et contrôler Azure Active Directory
a. Délégation d’administration avec Azure Microsoft Azure Active Directory Privileged
Identity Management
b. Détecter l’utilisation des comptes Azure à fort privilèges avec Microsoft Azure Active
Directory Identity Protection
Agenda

7. 7
1. NTLM Pass The Hash

8. 8
Mot de passe d’un compte utilisateur Active Directory :
 Stockés sous forme de Hash / empreintes :
 LMHASH (14127487) : 882B5831DF88FDB77C3113B4A1A5E3A0
 NTHASH (14127487) : B8895ECED52341EDFC6A078BB962CB3B
 Attributs dBCSPwd / UnicodePwd (mot de passe) et lmPwdHistory / ntPwdHistory
(historique) protégés par le système
 Procédure pour récupérer les Hash avec LIBESEDB et NTDSXTRACT.
 Rainbow Table : retrouver un mot de passe à partir d’un HASH
 Rainbow Table 17 Go : retrouver tout mot passe à partir de son LMHASH
Stockage des mots de passe

9. 9Les mots de passe en texte clair / Hash en mémoire

10. 10
Authentification NTLM :
Charlie accède au serveur FILE1. DC1 est le contrôleur du domaine. CL1 est la machine de Charlie.
Charlie
CL1
FILE1 DC1
Version NTLM
(négociation…)
1 - Charlie ouvre sa session2- Charlie accède à File1
Challenge
4- CL1 chiffre ce challenge avec NTHASH Charlie et le renvoie3- FILE1 génère le challenge et l’envoie à CL1
Réponse
5- FILE1 envoie le logon + challenge + réponse à DC1
Challenge
Logon de Charlie
6- DC1 génère la réponse avec le challenge et le logon de Charlie
Réponse DC1 :
OK
7- DC1 compare la réponse générée avec celle reçue par FILE18- Si les deux réponses correspondent, DC1 donne accès à FILE1
« Je suis
Charlie »
Le protocole NTLM

11. 11
 Comportement standard du protocole NTLM (SSO)
 Sur une machine distante (ouverture de session réseau)
 Mot de passe complexe -> vulnérable à cette attaque !
L’attaque NTLM Pass The Hash

12. 12
Mimikatz - NTLM Pass The Hash
mimikatz.exe "privilege::debug" "sekurlsa::pth /user:service-ata
/ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"

13. 13
Détecter NTLM Pass The Hash avec ATA

14. 14
LAPS
Les attributs LAPS (compte ordinateur) :
MS-MCS-ADMPWD et MS-MCS-ADMPWDEXPIRATIONTIME

15. 15
 Activer NTLM V2
 Déployer LAPS
 Déployer Advanced Threat Analytics
 Configurer votre antivirus (détection Mimikatz)
 KB2871997
 Désactiver WDIGEST (UseLogonCredential).
 Désactiver NTLM
NTLM Pass The Hash

16. 16
2. Kerberos Pass The Ticket
Golden Ticket

17. 17
Le protocole Kerberos

18. 18
Mimikatz Pass The Ticket

19. 19
Mimikatz Golden Ticket
mimikatz.exe "privilege::debug" "kerberos::golden /admin:darkalan
/domain:msexp76.intra /id:4000 /sid:S-1-5-21-595127354-1458299726-
2062179204 /krbtgt:49918692dbb7808c45b8fefe499bc7f6 /startoffset:0
/endin:600 /renewmax:10080 /ptt“
Nom du domaine : msexp76.intra
Krbtgt : 49918692dbb7808c45b8fefe499bc7f6
SID du domaine : S-1-5-21-595127354-1458299726-2062179204

20. 20
3. Sécuriser et contrôler Azure Active
Directory

21. 21
Azure AD Privileged Identity Management

22. 22
Azure Identity Protection

23. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
23
Annexe
Tester la sécurité de son annuaire Active Directory V1 :
https://www.youtube.com/watch?v=hD9NQppdVNQ
Microsoft LAPS et les Golden Tickets : https://experiences.microsoft.fr/Video/avec-laps-metsys-
premunit-un-si-dattaques-par-elevation-de-privileges/fd1a804d-c21d-4bbe-97d7-
1697364fe5b5#tJC0exc3qQLceeix.97
Microsoft Advanced Threat Analytics : https://www.microsoft.com/fr-fr/cloud-platform/advanced-
threat-analytics
Microsoft LAPS : https://www.microsoft.com/en-us/download/details.aspx?id=46899
Microsoft Azure Active Directory Privileged Identity Management : https://docs.microsoft.com/fr-
fr/azure/active-directory/active-directory-privileged-identity-management-configure
Microsoft Azure Active Directory Identity Protection : https://docs.microsoft.com/fr-fr/azure/active-
directory/active-directory-identityprotection
Recommandation ANSII : http://www.ssi.gouv.fr/
Recommandation Microsoft : http://aka.ms/bpsad

24. www.azug.fr
© 2017 AZUG FR. All Rights Reserved.
24
Nous suivre
Facebook
facebook.com/groups/azugfr/
Twitter
twitter.com/AZUGFR
Meetup
meetup.com/AZUG-FR/
LinkedIn
Linkedin.com/inspirasign
Web
www.azug.fr

25. Merci
d’être venus
A bientôt !