AWS로 게임의 공통 기능 개발하기! - 채민관, 김민석, 한준식 :: AWS Game Master 온라인 세미나 #2
Ähnlich wie Comment securiser votre annuaire Active Directory contre les attaques de malware selon les recommandations de Microsoft et de l’ANSSI [2019 01-31]
Ähnlich wie Comment securiser votre annuaire Active Directory contre les attaques de malware selon les recommandations de Microsoft et de l’ANSSI [2019 01-31] (20)
Révolutionnez l'usage de vos espaces collaboratifs grâce aux objets connectés...
Comment securiser votre annuaire Active Directory contre les attaques de malware selon les recommandations de Microsoft et de l’ANSSI [2019 01-31]
1. AD Hardening : Comment sécuriser votre annuaire
Active Directory contre les attaques de malware selon
les recommandations de Microsoft et de l’ANSSI
Présentateurs :
Sylvain Cortes
Architecte Expert IAM &
CyberSecurity
Enseignant à l’ESGI, au CNAM
et à l’Université de Grenoble
@sylvaincortes
sylvaincortes@hotmail.com
Thomas Limpens
Ingénieur Avant-vente, Netwrix
2. Posez votre
question ici
Cliquez sur
« Send »
(Envoyer)
Comment poser des questions
▪ Tous les participants sont en mode muet.
▪ N’hésitez pas à poser vos questions
▪ Nous répondrons aux questions au cours
du webinaire, ou à la fin lors de la session
de questions-réponses.
▪ Vous recevrez les diapositives et
l’enregistrement du webinaire dans un e-
mail ultérieur.
▪ Le webinaire dure environ 50-60 minutes.
3. Agenda
▪ Biographie de Sylvain Cortes
▪ Objectifs du webinar
▪ Pourquoi protéger Active Directory ?
▪ Comment protéger Active Directory ?
▪ Cinétique macro d’un attaque
▪ Le 3 Tier-Model de Microsoft
▪ Sources d’inspiration
▪ Conclusion
4. Sylvain Cortes
Architecte Expert IAM & CyberSecurity
Enseignant à l’ESGI, au CNAM
et à l’Université de Grenoble
@sylvaincortes
sylvaincortes@hotmail.com
Depuis 12 ans
▪ GPOs
▪ Active Directory
▪ Microsoft Identity Manager
▪ Enterprise Mobility (IDA)
Mon blog: www.identitycosmos.com
▪ Gestion des identités
▪ Active Directory Hardening
▪ Microsoft Identity Manager
▪ CyberSecurity des OS
▪ Gestion des privilèges
▪ Microsoft EMS
Biographie
5. Objectifs du webinar
Vous expliquez la base pour ne pas avoir un Active Directory « trop »
permissif
Vous fournir les pistes pour aller plus loin par vous-même
Vous fournir le minimum vital
Nous ne pouvons pas couvrir l’ensemble des éléments, il nous faudrait
plusieurs jours de formation
6. Pourquoi protéger Active Directory ?
Active Directory est au centre de tout et contrôle énormément d’éléments de votre infrastructure
7. Pourquoi protéger Active Directory ?
BNP Paribas, Verallia, Auchan,
SNCF, etc...
Compromettre Active Directory, c’est compromettre la bonne marche
voir la survie de votre organisation, quelle que soit son activité…
8. Comment protéger Active Directory ?
C’est une question très large !
Globalement…
✓ Monter en compétence sur Active Directory (je veux dire vraiment
monter en compétence…)
✓ Lire les recommandations de base proposées par Microsoft et l’ANSII
✓ A minima, implémenter le Tier-Model de Microsoft (voir plus loin)
✓ Installer un minimum d’outillage à votre disposition (voir conclusion)
9. Comment protéger Active Directory ?
Quelques principes fondamentaux avant de commencer…
✓ Il n’est pas possible de protéger un système contre son compte
d’administration globale, cela n’a rien à voir avec Windows, c’est un
concept global s’appliquant aussi à UNIX ou Linux
✓ Il n’est pas possible de protéger Active Directory contre un Administrateur
de domaine (attention au « mythe » Domain admin vs Enterprise admin)
✓ Un des objectifs principaux sera de ne donner sous aucunes raisons un
compte Administrateur local d’une workstation !!! (utiliser des solutions
de gestion des privilèges si nécessaire)
10. Comment protéger Active Directory ?
UK - https://www.ncsc.gov.uk/
FRANCE - https://www.ssi.gouv.fr/
Agence gouvernementale
Agence gouvernementale
USA - https://www.nist.gov/ Agence gouvernementale
11. Comment protéger Active Directory ?
USA - https://www.isaca.org/
USA - https://www.isc2.org/
USA - https://www.cisecurity.org/
Training & Certifications (GIAC)USA - https://www.sans.org/
Association (Information Systems
Audit and Control Association)
Training & Certifications (CISSP)
Association - SOC (MS-ISAC)
USA - https://cmmiinstitute.com/ Training & Certifications (CMMI)
12. Cinétique macro d’une attaque (voir APT)
Mouvement horizontal
Mouvement
vertical
1 – Devenir administrateur d’une
workstation: compromission
initiale
2 – Devenir administrateur de
plusieurs workstations:
mouvement latéral
0 – Ecoute, analyse de
l’environnement – Social hacking
3 – Devenir administrateur
d’un ou plusieurs serveurs avec
des applications et données
4 – Devenir administrateur de
domaine ou de forêt: Escalade
des privilèges
5 – Couvrir ses actions:
shadowing
13. Cinétique macro d’une attaque
0 – Ecoute, analyse de l’environnement – Social hacking
Une petite
histoire dans le
TGV…
14. Cinétique macro d’une attaque
1 – Devenir administrateur d’une workstation: compromission initiale
15. Cinétique macro d’une attaque
1 – Devenir administrateur d’une workstation: compromission initiale
Contre-Mesures principales:
✓ Chiffrement de partition
(BitLocker par exemple)
✓ UEFI et SecureBoot à la place de
BIOS
✓ Rotation des mots de passe
administrateurs sur les
workstations (LAPS par exemple)
16. Cinétique macro d’une attaque
3 – Devenir administrateur d’un ou plusieurs serveurs avec des applications et données
4 – Devenir administrateur de domaine ou de forêt: Escalade des privilèges
17. Cinétique macro d’une attaque
Contre-Mesures principales:
✓ Utilisation de gMSA
✓ Utilisation de certificats et ou
OTP pour accès réseau
✓ Utilisation de Microsoft
Credential Guard
3 – Devenir administrateur d’un ou plusieurs serveurs avec des applications et données
4 – Devenir administrateur de domaine ou de forêt: Escalade des privilèges
18. Cinétique macro d’une attaque
Contre-Mesures principales:
✓ Ne pas être infecté au « plus
haut niveau » !
5 – Couvrir ses actions: shadowing
https://www.dcshadow.com/
19. Le Microsoft 3-Tiers model et le AD Hardening – quelques explications
Le 3-Tier model Microsoft
20. Le Microsoft 3-Tiers model et le AD Hardening – pour aller plus loin
• AD Hardening: Microsoft Security Compliance
Manager & Microsoft Security Compliance Toolkit:
http:/www.identitycosmos.com/cybersecurity/ad-hardening-
Microsoft
• Sécurité Active Directory, les 10 questions à se poser
immédiatement:
http:/www.identitycosmos.com/strategie/activedirectory-10-
security-questions
• SysAdmin Magazin:
https://try.netwrix.com/sysadmin_france
Ne pas hésiter à utiliser des outils
complémentaires pour gagner en
investissement temps et en
fiabilité technique
Le 3-Tier model Microsoft
23. La règle d’or: Faire en sorte qu’aucun utilisateur ne soit administrateur de sa
workstation, quitte à utiliser des solutions payantes de gestion des privilèges et à
activer les contre-mesures évoquées
Si vous êtes perdu dans les consignes de sécurité, le livre blanc de l’ANSII est un bon
point de départ – Microsoft propose aussi certains documents intéressants – Si vous
avez besoin d’accompagnement, il existe des formations spécifiques sur ce sujet
Il existe un ensemble d’outil dédié à la sécurité AD, le minimum vital est d’avoir un
outil d’audit du changement sur Active Directory et un outil permettant de collecter
les logs des contrôleurs de domaine
Conclusion
25. À propos de Netwrix Auditor
Une plateforme de visibilité pour l’analyse du comportement des utilisateurs et l’atténuation
des risques qui permet de contrôler les modifications, les configurations et les accès dans
les environnements informatiques hybrides.
Elle fournit des renseignements de sécurité permettant d’identifier les failles, de détecter les anomalies dans
le comportement des utilisateurs et d’enquêter sur les menaces suffisamment tôt pour éviter
des dommages réels.
Netwrix Auditor
26. A propos de Netwrix Corporation
Fondée en 2006
Siège social à Irvine, Californie
Clients dans le monde : plus de 9000
Une des compagnies avec la plus
forte progression sur le marché
des logiciels aux Etats-Unis
(Inc 5000, Deloitte)
Support dans le monde :
USA, EMEA et Asie
27. Netwrix: Les clients dans le monde
GA
Finances Santé & Pharmacopée
Fédéral, État, Local, Gouvernement Industrie/Technologie/Autres
28. Récompenses et notoriété de la part de l’industrie
Toutes les récompenses:
www.netwrix.com/awards
29. Étapes suivantes
▪ Essai gratuit : Configurez Netwrix Auditor dans votre propre environnement de test
netwrix.fr/auditor9.7
▪ Appareil virtuel : Mettez Netwrix Auditor en service en quelques minutes netwrix.com/go/appliance
▪ Démonstration dans le navigateur : Lancez une démonstration dans votre navigateur sans aucune
installation
netwrix.com/go/browser_demo
▪ Contactez le service des ventes Netwrix France pour obtenir plus d’informations
Pierre Louis Lussan
pierre-louis.lussan@netwrix.com
+33 9 75 18 11 19
▪ Webinaires à venir et à la demande : Participez aux prochains webinaires ou regardez nos webinaires
enregistrés
netwrix.com/webinars