Segment Technique, Sécurité Active Directory Part 2 - Part 2
Part 2
Shownotes and Links
Mitigations Pass-the-Hash
Mitigating Pass-the-Hash and Other Credential Theft, version 2
Utiliser les Protected Accounts et créer une politique de silo d’authentification
Déployer une configuration Kerberos plus stricte.
Augmenter le niveau de logging PowerShell 5
Sysmon v6
Utiliser WEF pour ramasser les événements de qualité de chaque poste et serveur (avec ou sans SIEM), surtout pour détecter les mouvements latéraux - Activer WinRM, pointer la GPO vers un serveur, voir les liens!
https://www.iad.gov/iad/library/ia-guidance/security-configuration/applications/spotting-the-adversary-with-windows-event-log-monitoring.cfm
https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem/
Bloquer Netbios/SMB/RPC/WMI/RDP entre les postes et les serveurs - sauf évidemment lorsque nécessaire (système de gestion, serveur de fichier, etc)
Utiliser Windows Nano et Core sur les serveurs.
Utiliser AppLocker pour bloquer RunAs.exe sur les postes de travail
Utiliser AGPM pour la gestion des GPO.
Fait parti de MDOP
Utiliser Microsoft ATA.
Podcast ayant traité de Sécurité AD : https://www.nolimitsecu.fr
Shownotes and Links
Mitigations Pass-the-Hash
Mitigating Pass-the-Hash and Other Credential Theft, version 2
Utiliser les Protected Accounts et créer une politique de silo d’authentification
Déployer une configuration Kerberos plus stricte.
Augmenter le niveau de logging PowerShell 5
Sysmon v6
Utiliser WEF pour ramasser les événements de qualité de chaque poste et serveur (avec ou sans SIEM), surtout pour détecter les mouvements latéraux - Activer WinRM, pointer la GPO vers un serveur, voir les liens!
https://www.iad.gov/iad/library/ia-guidance/security-configuration/applications/spotting-the-adversary-with-windows-event-log-monitoring.cfm
https://blogs.technet.microsoft.com/jepayne/2015/11/23/monitoring-what-matters-windows-event-forwarding-for-everyone-even-if-you-already-have-a-siem/
Bloquer Netbios/SMB/RPC/WMI/RDP entre les postes et les serveurs - sauf évidemment lorsque nécessaire (système de gestion, serveur de fichier, etc)
Utiliser Windows Nano et Core sur les serveurs.
Utiliser AppLocker pour bloquer RunAs.exe sur les postes de travail
Utiliser AGPM pour la gestion des GPO.
Fait parti de MDOP
Utiliser Microsoft ATA.
Podcast ayant traité de Sécurité AD : https://www.nolimitsecu.fr
