Sécurité Active Directory Mixte : présentiel / à distance

L'annuaire Active Directory est un élément critique permettant la gestion centralisée d'un parc Windows. Les annuaires Active Directory sont une cible de choix pour les attaquants, car leur compromission entraîne la prise de contrôle complète de tous les

systèmes Windows ainsi administrés. Cette formation permet de comprendre les principaux modes opératoires des attaquants, de s'en protéger et d'administrer de façon sécurisée un Active Directory.

• Comprendre les différentes vulnérabilités exploitées par les attaquants

• Détecter et corriger les vulnérabilités liées à l'Active Directory

• Connaitre les outils et architectures permettant une administration sécurisée

• Acquérir les bonnes pratiques d'administration sécurisé

• Administrateurs système

• Équipes informatique ou sécurité

• Auditeurs techniques

• Consultants

• Avoir une expérience dans l'utilisation des systèmes Windows

• Connaissances générales en système et réseau

Architecture Active Directory

• Structure d'un AD

• Les principaux services

• Relations d'approbation

• Naming Context LDAP

• Niveaux fonctionnels

• Utilisateurs et groupes

• Authentification

• Gestion des mots de passe

• Déploiement d'une politique de sécurité (GPO)

Les points de contrôle sécurité Active Directory

• Définition

• Classement de l'ANSSI des points de contrôle les plus importants

• Les outils existants

• Cas pratiques : identification, exploitation et correction des principales vulnérabilités d'un Active Directory :

• membres de groupes à privilèges ;
• droits sur des comptes privilégiés ;
• droits sur des comptes de DC ;
• droits sur des GPO ;
• droits sur des templates de certificats ;
• délégations Kerberos ;
• absence de pré-authentification Kerberos (AS-REP Roasting) ;
• comptes avec SPN (Kerberoasting).

• Backdoors (post-compromission) d'un attaquant :

• Golden ticket ;
• rebond vers d'autres domaines via une relation d'approbation.

Modèle d'administration sécurisé

• Les principaux risques :

• mise en cache des authentifiants Windows ;
• faiblesses de NTLM ;
• pass-the-hash / pass-the-ticket.

• Atelier de réflexion sur les mesures de protection à mettre en oeuvre

• Le modèle d'administration en Tiers

• architecture du Tiers 0 : la « pierre angulaire » d'un Active Directory ;
• la PAW, station d'administration sécurisée ;
• les serveurs du Tiers 0 ;
• les autres Tiers.

• Mesures de sécurité permettant la mise en place du modèle en Tiers :

• Kerberos Armoring ;
• politiques d'authentification et silos ;
• RDP Restricted admin ;
• délégations d'administration pour les Tiers 1 et 2.

• Cours magistral

• Travaux pratiques

• Formation dispensée en français