Chaque semaine, De Quoi Je Me Mail présenté par François Sorel ouvre le débat sur l'actu high-tech ! En compagnie de journalistes, mais aussi de personnalités spécialistes du numérique, nous analysons, décortiquons les grandes tendances du moment.
…
continue reading
Content provided by Hackfest Communication. All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Hackfest Communication or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://player.fm/legal.
Player FM - Podcast App
Go offline with the Player FM app!
Go offline with the Player FM app!
Épisode 0x003 (Teknik) - Sécurité Active Directory Part 1
MP3•Episode home
Manage episode 173694122 series 1303750
Content provided by Hackfest Communication. All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Hackfest Communication or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://player.fm/legal.
Sécurité Active Directory Part 1
Segment Technique par Guillaume Ross (@gepeto42)
Shownotes and Links
Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec
Sécuriser AD et les serveurs Windows
- Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
- S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
- Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
- Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution = Enabled
- Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
- Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
- Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
- Empêcher les comptes de service de s’authentifier de façon intéractive.
- Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
- Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
- Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
- Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
- Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations -Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
- Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
- Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
- Serveurs de fichiers
- Activer l’auditing.
- Créer une liste de types d’extension communes des Ransomware.
- Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/
- Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
Chapters
1. Intro. (00:00:00)
2. Outro. (00:29:10)
267 episodes
MP3•Episode home
Manage episode 173694122 series 1303750
Content provided by Hackfest Communication. All podcast content including episodes, graphics, and podcast descriptions are uploaded and provided directly by Hackfest Communication or their podcast platform partner. If you believe someone is using your copyrighted work without your permission, you can follow the process outlined here https://player.fm/legal.
Sécurité Active Directory Part 1
Segment Technique par Guillaume Ross (@gepeto42)
Shownotes and Links
Blue Team: Awesome Windows Domain Hardening Guide par notre host @PaulWebSec
Sécuriser AD et les serveurs Windows
- Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
- S’assurer qu’au minimum, toutes les méthodes d’authentification super dangereuse du genre LM et NTLMv1 soient désactivées.
- Enlever les droits de logon des groupes comme Backup, Account et Print operator des DC.
- Désactiver la résolution de nom Netbios et LLMNR (surtout sur les postes de travail): Computer Configuration\Administrative Templates\Network\DNS Client\Turn off Multicast Name Resolution = Enabled
- Déployer une bonne audit policy: https://technet.microsoft.com/windows-server-docs/identity/ad-ds/plan/security-best-practices/monitoring-active-directory-for-signs-of-compromise et https://blogs.technet.microsoft.com/jepayne/2015/11/26/tracking-lateral-movement-part-one-special-groups-and-specific-service-accounts/
- Limiter les pouvoirs des comptes de service: https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment](https://community.rapid7.com/community/services/blog/2015/06/05/reducing-windows-attack-surface-with-user-rights-assignment)
- Empêcher le groupe “Local Accounts https://technet.microsoft.com/en-us/library/dn745900(v=ws.11).aspx de s’authentifier à distance.
- Empêcher les comptes de service de s’authentifier de façon intéractive.
- Empêcher les domain et enterprise admin de s’authentifier en tant que services, ainsi que de s’authentifier sur les postes de travail.
- Déployer LAPS https://www.microsoft.com/en-us/download/details.aspx?id=46899
- Créer une Fine-Grained Password Policy https://technet.microsoft.com/en-us/library/cc770842(v=ws.10).aspx pour forcer les comptes de service à avoir de très longs mots de passe (32+).
- Si vous avez déjà utilisé les GPO pour déployer des mots de passe, les changer en enlever ça au plus vite: https://msdn.microsoft.com/en-us/library/cc422924.aspx
- Créer des PAW (Privileged Access Workstations) pour toute activité très privilégiée: https://technet.microsoft.com/en-us/windows-server-docs/security/securing-privileged-access/privileged-access-workstations -Les PAW ne doivent en aucun cas avoir accès à Internet, ni direct ni à travers un proxy.
- Utiliser Device Guard https://technet.microsoft.com/en-us/itpro/windows/keep-secure/device-guard-deployment-guide ou au moins AppLocker.
- Déléguer des droits précis et n’avoir aucun compte très puissant utilisé dans le day-to-day. Absolument critique.
- Serveurs de fichiers
- Activer l’auditing.
- Créer une liste de types d’extension communes des Ransomware.
- Utiliser FSRM pour créer une règle de firewall temporaire, arrêter le service, bloquer le compte utilisateur ou changer les permissions quand un fichier chiffré par ransomware est détecté: https://gallery.technet.microsoft.com/scriptcenter/Protect-your-File-Server-f3722fce et https://fsrm.experiant.ca/
- Créer une structure d’OU de base flexible et appliquer l’endurcissement de base avec SCM: https://technet.microsoft.com/en-us/solutionaccelerators/cc835245.aspx
Chapters
1. Intro. (00:00:00)
2. Outro. (00:29:10)
267 episodes
All episodes
×Welcome to Player FM!
Player FM is scanning the web for high-quality podcasts for you to enjoy right now. It's the best podcast app and works on Android, iPhone, and the web. Signup to sync subscriptions across devices.