background preloader

AD

Facebook Twitter

» Test d’intrusion active directory. Le but de cette étape est de réaliser une cartographie des machines de notre environnement de test et repérer les vulnérabilités de celui-ci, toutes les machines sont dans le même subnet.

» Test d’intrusion active directory

Nous lançons la commande Nmap suivante afin de scanner les IPs de 192.168.206.132 à 255: nmap -sS -p- -PN -O 192.168.206.132-255 Nous avons pour une première machine les résultats suivants: Nmap scan report for ldap389-dc1.ldap389.local (192.168.206.134) Host is up (0.0023s latency). Not shown: 65506 closed ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http 88/tcp open kerberos-sec 111/tcp open rpcbind 135/tcp open msrpc 139/tcp open netbios-ssn 389/tcp open ldap 443/tcp open https 445/tcp open microsoft-ds 464/tcp open kpasswd5 593/tcp open http-rpc-epmap 636/tcp open ldapssl 670/tcp open vacdsm-sws 3268/tcp open globalcatLDAP 3269/tcp open globalcatLDAPssl […] No exact OS matches for host (If you know what OS is running on it, see ).

Nous avons aussi un serveur sous Windows 2008 SP1: <? Méthodologie et outils d’audit des permissions d’un Active Directory. Lors de l’édition 2012 du Symposium sur la sécurité des technologies de l’information et des communications (SSTIC), Pierre Capillon (ANSSI) et Géraud de Drouas (ANSSI) ont présenté une approche pratique de l’audit de l’ensemble des permissions d’un environnement Active Directory.

Méthodologie et outils d’audit des permissions d’un Active Directory

L’ANSSI vient de publier les outils utilisés sous licence de logiciel libre CeCILLv2, sur la forge publique GitHub. Les contributions techniques aux outils et les retours d’expérience sont les bienvenus, les auteurs ayant l’intention de faire évoluer ces outils dans le futur. Comme spécifié dans la licence, l’agence ne s’engage en aucun cas à assurer une quelconque prestation d’assistance technique ou de maintenance du logiciel. Audit des permissions en environnement Active Directory.

Tools

Audit des groupes de sécurité de l'Active Directory. I.

Audit des groupes de sécurité de l'Active Directory

Présentation La gestion d'un Active Directory ne s'arrête pas à la réalisation d'opérations de maintenance, de création d'objets (utilisateurs, groupes, etc.) ou au déploiement de stratégie de groupe (GPO). Il est aussi essentiel d'auditer les changements opérés dans l'annuaire afin de tenir un journal des changements et ainsi garder une trace. Cela est encore plus vrai et plus important lorsque plusieurs personnes sont susceptibles de pouvoir modifier l'annuaire, ce qui sera certainement le cas dans un service informatique composé de plusieurs personnes. Dans ce tutoriel, nous allons auditer les groupes de sécurité de l'Active Directory, ce qui permettra de garder une trace dans les Journaux d'événements à chaque fois qu'un groupe est créé, modifié ou supprimé. Il faut savoir que par défaut l'audit pour les groupes de sécurité est déjà opérationnel concernant les tentatives réussies.

II. Vous trouverez ici un élément nommé "Auditer la gestion des groupes de sécurité", ouvrez-le. Experts In Active Directory Security For Businesses. [Épisode 40] La sécurité d'Active Directory : Le Comptoir Sécu. Comprendre le Tiering Model de Microsoft (en français) Dans un précédent article, je vous avais présenté une méthodologie en termes de sécurité qui doit vous permettre de limiter les accès admins au sein de votre infrastructure en tenant compte de paramètres tels que le niveau d’accès nécessaire et la durée de validité de cet accès : Just-in-Time & Just Needed Access.

Comprendre le Tiering Model de Microsoft (en français)

Je vous propose d’aborder une autre méthodologie de sécurité que l’on appelle le Tiering Model. Cette méthodologie a pour but d’organiser l’ensemble de votre infrastructure informatique en différentes couches. Modèle des couches L’objectif étant de séparer les composants de votre infrastructure en fonction de leur niveau d’importance et de de rendre ces différentes couches hermétiques les unes des autres.

De ce fait, si une couche venait à être compromise, on souhaite éviter qu’un attaquant potentiel puisse aller attaquer les autres couches de votre infrastructure. Par défaut, on distingue 3 couches différentes qui sont organisées comme suit : Administration des couches Ainsi : Just-In-Time & Just Needed Access. Aujourd’hui je vous propose de discuter d’une méthodologie que j’aborde souvent avec les clients avec lesquels je travaille.

Just-In-Time & Just Needed Access

Il s’agit de ce que l’on appelle Just-In-Time Access & Just Needed Access. Evidemment dans mon cas, j’en parle en lien avec l’Active Directory mais c’est une démarche de sécurité qui vaut pour tout type d’infrastructure. Vous en avez peut-être entendu parlé sous le nom de principe de moindre privilège (ou en anglais Principle of Least Privilege). Lorsque l’on aborde la question de sécuriser les accès et notamment les accès fournis par l’Active Directory au sein de l’entreprise il existe plusieurs méthodes et solutions (j’en liste quelques uns un peu plus loin dans l’article). Administrateurs : utilisez 2 comptes Quelque-chose de très classique que vous faîtes probablement depuis longtemps c’est séparer votre compte utilisateur standard (sur lequel vous avez votre messagerie, votre IM…) du compte que vous utilisez pour vos élévations de privilèges.