Épiside 0x006 (Tecknik) 12 Mai 2017
Sécurité Active Directory Part 2

Synopsis

Dans cet épisode, les animateurs poursuivent leur série sur la sécurité Active Directory en abordant les mitigations contre les attaques Pass-the-Hash, l’amélioration du logging avec PowerShell 5 et Sysmon, ainsi que l’utilisation de Windows Event Forwarding pour détecter les mouvements latéraux. Ils explorent également diverses mesures de durcissement comme le blocage des protocoles réseau entre postes, l’utilisation d’AppLocker et de Microsoft ATA pour renforcer la sécurité des environnements Windows.

Shownotes and Links

• Mitigations Pass-the-Hash
  • Mitigating Pass-the-Hash and Other Credential Theft, version 2
  • Utiliser les Protected Accounts et créer une politique de silo d’authentification
  • Déployer une configuration Kerberos plus stricte.
• Augmenter le niveau de logging PowerShell 5
• Sysmon v6
• Utiliser WEF pour ramasser les événements de qualité de chaque poste et serveur (avec ou sans SIEM), surtout pour détecter les mouvements latéraux - Activer WinRM, pointer la GPO vers un serveur, voir les liens!
  • https://www.iad.gov/iad/library/ia-guidance/security-configuration/applications/spotting-the-adversary-with-windows-event-log-monitoring.cfm
  • https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem/
• Bloquer Netbios/SMB/RPC/WMI/RDP entre les postes et les serveurs - sauf évidemment lorsque nécessaire (système de gestion, serveur de fichier, etc)
• Utiliser Windows Nano et Core sur les serveurs.
• Utiliser AppLocker pour bloquer RunAs.exe sur les postes de travail
• Utiliser AGPM pour la gestion des GPO.
  • Fait parti de MDOP
• Utiliser Microsoft ATA.
• Podcast ayant traité de Sécurité AD : https://www.nolimitsecu.fr

Durée : 35m39s | Date : 12 Mai 2017