Épiside 0x006 (Tecknik) 12 Mai 2017
Sécurité Active Directory Part 2

Sécurité Active Directory Part 2

Shownotes and Links

• Mitigations Pass-the-Hash
  • Mitigating Pass-the-Hash and Other Credential Theft, version 2
  • Utiliser les Protected Accounts et créer une politique de silo d’authentification
  • Déployer une configuration Kerberos plus stricte.
• Augmenter le niveau de logging PowerShell 5
• Sysmon v6
• Utiliser WEF pour ramasser les événements de qualité de chaque poste et serveur (avec ou sans SIEM), surtout pour détecter les mouvements latéraux - Activer WinRM, pointer la GPO vers un serveur, voir les liens!
  • https://www.iad.gov/iad/library/ia-guidance/security-configuration/applications/spotting-the-adversary-with-windows-event-log-monitoring.cfm
  • https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem/
• Bloquer Netbios/SMB/RPC/WMI/RDP entre les postes et les serveurs - sauf évidemment lorsque nécessaire (système de gestion, serveur de fichier, etc)
• Utiliser Windows Nano et Core sur les serveurs.
• Utiliser AppLocker pour bloquer RunAs.exe sur les postes de travail
• Utiliser AGPM pour la gestion des GPO.
  • Fait parti de MDOP
• Utiliser Microsoft ATA.
• Podcast ayant traité de Sécurité AD : https://www.nolimitsecu.fr