Segment Technique, Sécurité Active Directory - Part 1
Part 1
Segment Technique par Guillaume Ross (@gepeto42)
Shownotes and Links
Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec
Sécuriser AD et les serveurs Windows
Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\\Administrative Templates\\Network\\DNS Client\\Turn off Multicast Name Resolution = Enabled
Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
Empêcher les comptes de service de s’authentifier de façon intéractive.
Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations
-Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
Serveurs de fichiers
Activer l’auditing.
Créer une liste de types d’extension communes des Ransomware.
Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/
Segment Technique par Guillaume Ross (@gepeto42)
Shownotes and Links
Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec
Sécuriser AD et les serveurs Windows
Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\\Administrative Templates\\Network\\DNS Client\\Turn off Multicast Name Resolution = Enabled
Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
Empêcher les comptes de service de s’authentifier de façon intéractive.
Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations
-Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
Serveurs de fichiers
Activer l’auditing.
Créer une liste de types d’extension communes des Ransomware.
Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/