Active Directory et la Sécurité

Sécurité

Active Directory et la Sécurité

Jugoslav Stevic – PFE Identity & SecurityDaniel Pasquier – PFE Security Lead France

Microsoft France

Donnez votre avis depuis votre smartphone sur :http://notes.mstechdays.fr

http://notes.mstechdays.fr/

#mstechdaysSécurité

• Contexte Actuel• Comptes à Pouvoirs dans l’Active Directory• Top 10 des Vecteurs Attaques & Retour

d’Expérience• Top 10 des Bonnes Pratiques pour Limiter

l’Exposition• Conclusion• Test QCM

Agenda


Les attaquants évoluent rapidement


…Ça c’est déjà vu !

Comptes à Pouvoirs dans l’Active Directory

Comptes « Protégés » (Admincount =1); On sous-estime souvent le fort pouvoir d’un Backup, Account ou Server Operators!

« Built-in groups » Windows

Délégation spécifique

« Privileges » ou « User rights »

Administrateurs locaux serveurs critiques & Host

VMsEFS Recovery Agent, Key

Recovery Agent, Data Recovery Agent, Enrollment

Agents…

« Trusted for Delegation » Kerberos

Comptes VIP

Un simple utilisateur du domaine ayant le privilège de Debug ou TCB sur un DC peut agir comme un administrateur du domaine!

Délégation sur une OU, un Conteneur AD, une Partition…Le niveau de pouvoir dépend du nombre d’objets, machines, utilisateurs impactés.Permettre à un utilisateur (compte de service) ou à un serveur « d’impersonifier au niveau Kerberos » un autre utilisateur (KCD possible).

Accès aux « credentials » des comptes de services, tâches planifiées, AppPool locaux; et pour un Host VMs, un accès « physique » à une VM tel un DC.

L’accès aux certificats et clés privées de certains rôles PKI permet la lecture des données chiffrées de l’organisation.

Mais la finalité, c’est d’accéder aux données sensibles de l’entreprise; parfois accessibles par les comptes VIP.


… oui ça existe !

Mauvaise gestion et compréhension des groupes « Built-In » : Risques très importants…

Une complète incompréhension de certains groupes spécifiques tels que “Print Operators”, “Remote Desktop”, “Backup Operators”…

Risques identifiés :- Entreprise Admin- Administrators- Print Operators- …..

Des années de mauvaise Gestion & Administration conduisent à ce type de situation! Simple manque de rigueur.


Top 10 des Vecteurs d’Attaques1 - Nombre de Comptes à Pouvoirs Non Maitrisé Ce qui favorise l’exposition de ces comptes aux attaques via:

Accès Internet & MessagerieAcquittement de popup; Installation de composants; Piece jointe; Phishing mails …

Applications non contrôléesInstallation et utilisation d’outil de type « Freeware » pour la gestion AD… (pas de gestion de failles de sécurité, Cheval de Troie..)

Utilisés en tant que compte de serviceOu tâches planifiées, AppPool sur de nombreux serveurs. Exposition au Pass-The-Credentials !

Même compte pour la bureautiqueLecture, création de documents Office, Acrobat Reader (documents ou applications infectés)

Utilisés pour la gestion de donnéesAdministration de serveurs membres; gestion d’applications SQL (SQL injection), Serveurs Web (Cross-Site Scripting)….

Hygiène de sécuritéComptes obsolètes; Mots de passe anciens et faibles, partagés; Manque de surveillance; Pas de station d’administration dédiée…


Top 10 des Vecteurs d’Attaques2 – Accès Physique aux Machines Critiques Tels que Contrôleur de Domaine, Station d’Administration, Serveurs…

DEMO (3mn48s) Boot sur CD OS Windows Shift-F10 Copy cmd.exe sethc.exe / utilman.exe… Boot normal jusqu’au Logon Shift 5 fois pour activation du Sticky-

Keys CMD en contexte System !Accès aux Masters de l’entreprise

Ou aux sauvegardes d’un serveur critique…

Accès Physique aux serveursMachines non protégées par Bitlocker

Accès aux Machines VirtuellesOu Host Hyper-V, VMWare….


Top 10 des Vecteurs d’Attaques3 – Même Mots de Passe pour les Comptes Admins locaux: Attaque latérale!

Scenario Compromission d’une machine Récupération du Hash NT du mot

de passe du local Admin dans la SAM

Pass-The-Hash pour utilisation du Hash NT du local Admin

Scan et Accès via Psexec aux autres machines partageant le même mot de passe pour une attaque latérale

Installation d’outils pour la récupération de données sensibles ou de « credentials »

Serveurs membresLa compromission d’un serveur conduit à la compromission de tous les serveurs ayant le même mot de passe Admin local.

Master & BackupLa récupération d’un Master ou d’un Backup permet la compromission des machines du réseau ayant le même mot de passe Admin.

ClientsLa compromission d’un client entraine la compromission de tous les clients ayant le même mot de passe Admin local.


Top 10 des Vecteurs d’Attaques4 – Applications & Partages Non Sécurisées

Portail Web d’EntrepriseAccès par l’ensemble de l’entreprise, portail Web par défaut….

Partages avec permissions excessivesContrôle total pour Tout le monde sur NTFS & Share conduit souvent à l’exécution d’un cheval de Troie par un compte privilégié!

Pas de serveurs de distribution OfficielsL’installation de pilotes ou d’applications se fait à partir de serveurs non contrôlés.

Scenario Un utilisateur est infecté (Mail/Internet, Clé

USB, Doc…) Cet utilisateur standard a accès en

lecture écriture à une application ou un partage accédé par l’entreprise

Le hacker créé un nouvel EXE avec le même nom… mais contenant du code malveillant

L’outil est exécuté par l’entreprise (Portail Web par défaut; Application maison…) et tout est compromis en peu de temps


Top 10 des Vecteurs d’Attaques5 – Relations d’Approbation Anciennes sans SID Filtering

DEMO (5mn14s) Prendre un copie du NTDS.dit du

domaine de comptes Injecter le SID d’un compte du domaine de

ressources dans l’attribut SIDHistory d’un utilisateur du domaine de comptes

Charger NTDS.dit sur le domaine de comptes Se connecter avec le compte ayant le

SIDHistory Accéder au domaine de ressources

Achat & Fusion d’EntrepriseCes environnements ne sont parfois pas soumis à une surveillance particulière et peuvent être plus facilement compromis.

Difficultés pour rompre la relation Quelles ressources sont encore accédées et par qui?

Ancienne Migration de domaineLa relation d’approbation est de type sortante, le domaine de ressources est exposé.


Top 10 des Vecteurs d’Attaques6 – OS non Supportés et/ou Non Patchés Pourquoi chercher à ouvrir une porte quand les fenêtres sont ouvertes?

Attributs ADuserPassword ou unixUserPassword contiennent parfois des mots de passe. Vérification avec les metadata unicodePWD.

7 - Mot de Passe Stocké en Clair ou en Mode Réversible Automatiser, faire fonctionner rapidement… ok et la sécurité dans tout ca?

OS non supportésVous pouvez considérer que la machine est déjà compromise.. Plus de patch disponible.

OS ou Applications non patchésCela comprend les produits MS et non MS!Ne jamais utiliser de comptes à privilèges sur ces machines….

Partages SYSVOL & NetlogonGroup Policy Preference (xml files);Fichiers Batch, cmd, vbs, ps1…& mot de passe en clair ou réversible; accessible par tous !


Top 10 des Vecteurs d’Attaques8 – Exposition PKI & Authentification Forte par Carte à Puce

Scenario Compromission d’un compte admin

de serveurs membres ou attaque latérale

Copie de la clé privée de la CA à distance via psexec et certutil –backup (hors HSM)

Installation d’une CA Standalone avec clé privée et certificat existant

Génération d’un faux certificat de carte à puce avec UPN de l’administrateur

Logon avec Carte à Puce (Virtuelle possible) en tant qu’Admin du domaine!

Permissions d’Ecriture sur NTAuthCAPermettant d’activer n’importe quels CAs pour l’authentification par carte à puce .

Accès à la copie de la clé privée de la CAA partir d’une sauvegarde ou d’un fichier PFX, P12 laissé par négligence dans un dossier ou sur une clé USB…

Local Admin sur la CA EnterpriseVol ou usage frauduleux de la clé privée de l’autorité de certification pour émettre de faux certificats.


Top 10 des Vecteurs d’Attaques9 – Gestion Opérationnelle

10 – Autres Sources d’Attaques…

Pare Feux sur le host désactivé

Education & Ingénierie Sociale

Transfert des données non sécurisé

Zone DNS, WINS non sécurisé

Accès Anonymes (ldap, SAM, Shares…)

Utilisation de SNMP sur DC

Pas de station d’administration dédiée

Pas de gouvernance de la sécurité (SRP)

Pas d’outillage pour la détection d’attaques

Pas de gestion de la conformité

Stockage des sauvegardes non protégé

Utilisation du Simple Bind ldap


Top 10 des Bonnes Pratiques Sécurité

3 comptes: Gestion AD, Gestion d’applications, Gestion bureautique

Revue périodique des comptes obsolètes et mots de passe anciens

Utilisation de FGPP pour un mot de passe fort (>14 caractères)

Un esprit sain dans un corps sain…

Hygiène de Sécurité des comptes privilégiés

Moins d’administrateurs

égale plus de contrôle !

Approcher le zéro Administrateur AD

Approche POLP pour tous les besoins

Maximiser les délégations & RBAC

Définir une durée d’attribution et traçabilité des actions

Surveillance comptes et groupes privilégiés

C’est là le principal vecteur d’attaques !

Limiter l’exposition des comptes privilégiés

Stations d’Admin dédiées et sécurisées

Interdire par GPO la connexion sur les postes non sécurisés/identifiés

Interdire l’accès à Internet et Mails

Pas d’installation d’outils non vérifiés…

Création, optimisation du processus de gestion des mises à jour de sécurité

Suivi d’implémentation et optimisation continu du processus

Suppression des OS & Applications non supportés

Produits non MS inclus; Inventaire complet !

Processus de patch management


Cela inclus les Sauvegardes de ces

serveurs

Protéger contre l’accès Physique

Stations d’admin et serveurs sensibles dans un local sécurisé

Bitlocker pour le chiffrement du disque avec accès PIN

Machines Virtuelles sensibles gérées séparément


Utilisation de SCM et SCW pour renforcer le niveau de sécurité de l’OS et des rôles

Installer le moins de composants possible

Valable aussi pour tous les serveurs critiques et stations d’Admin

Moins de composants installés = moins de

MAJ

Réduire la surface d’Attaque des DCs

C’est là aussi un des principaux vecteurs

d’attaques!

Gérer les mots de passe

Administrateurs locaux

A minima pour les serveurs critiques et stations d’Admins!

Evaluer et choisir une solution tiers (Cyber-Ark, SLAM etc…)

La segmentation réseau limite aussi les attaques latérales

Applications, Pilotes, Outils accessible à partir d’un site officiel et contrôlé;

Scanner et supprimer les partages « trop ouverts »

Contrôler les permissions sur vos applications

Limiter ainsi l’exécution d’un cheval

de Troie

Point de distribution officiel et contrôlé


Le risque résiduel existe, il faut le

connaitre

Gestion Opérationnelle

Identifier un responsable de la sécurité & établir une gestion du risque, SRP et de la conformité

Gérer les Identités dans une OU spécifique et auditée

Classifier les données

Eduquer les utilisateurs!Bouger est parfois

difficile, ne rien faire c’est pire !

Relations d’Approbation

S’assurer qu’elles sont nécessaires

Activer le SID Filtering

Envisager le « Selective Authentication »

Supprimer les SID History

Cacher les comptes protégés !


Liens Utiles:Best Practices for Securing Active Directoryhttp://blogs.technet.com/b/security/archive/2013/06/03/microsoft-releases-new-mitigation-guidance-foractive-directory.aspxhttp://www.certa.ssi.gouv.fr/ http://www.microsoft.com/en-us/news/stories/cybercrime/index.html

Conclusion

“If You Haven't Been Hacked…, You May Not Be Looking…….Closely Enough…”

Agir plutôt qu’attendre ! Laisser une problématique de sécurité parce qu’on ne sait pas l’impact que cela aura; c’est ne pas maitriser les évènements, tôt ou tard le problème sera là!

Cela ne nous arrivera pas… Positionner la sécurité en gardant à l’esprit qu’il existe réellement quelqu’un qui veut rentrer chez vous. Quand c’est trop tard, ca peut être la reconstruction de l’AD qui vous attend…

Rester Sécurisé c’est possible… Des exemples concrets existent et prouvent qu’il est possible de disposer d’un environnement sain et bien protégé tout en permettant à l’ensemble des utilisateurs de travailler dans de bonnes conditions….ce n’est pas un mythe !

Rester équilibré ! La vocation d’une entreprise est de produire, la sécurité est la pour maintenir cette production pas pour la bloquer. Vous ne pourrez empêcher la compromission d’un compte AD, il faut juste que ce ne soit pas un compte à privilèges.

Test QCM 1/3

Vous trouvez une clé USB de 20Go dans les toilettes, que faites vous?1. Je la plug de suite sur ma station d’admin, en plus j’ai l’AutoRun activé et ca c’est pratique!2. Je l’offre à un voisin que j’apprécie peu3. Je cherche son propriétaire et en cas d’échec, je la formate sur une « station blanche »Un collègue distant vous demande de l’aide pour un problème sur son PC, que faite vous? 1. J’établie une session RDP sur son PC avec mon compte Admin; je sais pas s’il est Admin

local.2. Je lui dit de demander à un autre collègue Admin car j’ai pas le temps3. Je tente de l’aider par téléphone/mail sinon il ouvre un call au HelpDeskOn vient de vous informer que l’outil PiqueCred.exe permet de débusquer les mots de passe faibles stockés dans l’AD, que faites vous?1. Je le télécharge et l’installe immédiatement pour renforcer la sécurité de mon AD, en

plus il est gratuit!2. Je n’utilise jamais d’outil de hacking dans mon environnement. Un contrôle s’impose.

Test QCM 2/3

Après 20mn de recherche vous ne parvenez pas à trouver un outil; que faites vous? 1. Je demande à un collègue, qui m’indique l’avoir vu sur le partage \Tests et je l’exécute2. Je vais de suite sur Internet « DownloadMe.com » et télécharge l’outil en question3. Je n’utilise que les outils approuvés et disponibles sur notre partage officielVous trouvez un fichier avec la liste des comptes et mots de passe sur DD, que faites vous? 1. Je rigole, c’est encore un collègue qui s’amuse à faire du Pass-The-Hash & Password

Cracking2. Les mots de passe sont amusants, je les publie sur mon compte Facebook & Yammer3. Je préviens immédiatement le service de sécurité pour déterminer son origineLe fournisseur d’une application m’indique qu’il faut un compte de service Admin AD pour fonctionner, que faites vous?1. Je le crois s’il y a une personne qui connait l’application c’est bien lui; moi je fais

toujours confiance.2. J’évalue le produit en test avant mise en production; j’évalue la délégation qu’il est

possible de mettre en place et le risque engendré. Je vérifie la concurrence en matière de sécurité.

Lors d’un colloque en Asie dans un centre de conférence une charmante hôtesse distribue des clés USB de 1Go? 1. Wouaahhh, j’ai toujours rêvé d’avoir une jolie…. clé USB, Je la remercie infiniment et je

l’utilise de suite 2. Je refuse la clé, puis d’abord j’ai toujours détesté les cadeaux3. Je prends la clé et la fournie à notre service de Sécurité pour une analyse approfondie

Lors d’une soirée bien arrosée une fille me demande mon PIN BitLocker? 1. Je dis non, jamais le premier soir, un PIN ça ne se donne pas !2. Pas de souci, depuis que j’ai “Bitlocker” sur mon poste elles craquent toutes….3. Je lui explique les fondements de la sécurité dont un des principes de bases….bref je

finie la soirée seul, elle est partie…mais pas mes données

Test QCM 3/3

© 2014 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Digital is business

Donnez votre avis depuis votre smartphone sur :http://notes.mstechdays.fr

http://notes.mstechdays.fr/

Technology

Active Directory et la Sécurité