Embed Size (px)
Citation preview
Le pentest pour les nulsLe pentest pour les nuls
Alain Mowat Alain Mowat
2Le pentest
› Externe› Analyse d’un service VPN, un OWA et un site web hébergé par un presta-
taire externe› Souvent très peu de failles
› Est-ce que l’entreprise est « sécurisée » pour autant ?
› Interne› Admin du domaine en 20 minutes
› Souvent le même scénario
Exploit
Elevation deprivilèges
Latéral
Latéral
Latéral
Latéral
Creds admin
3Quelques statistiques
4Conclusions
› Arrêtez de faire tourner vos services en root/System› Utilisez LAPS ou équivalent› Évitez l’authentification « simple »› Segmentez votre réseau
› Pas juste des VLANs différents… vous avez un FW, utilisez-le
› Segmentez vos utilisateurs› Utilisez le(s) compte(s) admin du domaine avec parcimonie
› Seulement pour vous connecter aux DCs
