Académique Documents
Professionnel Documents
Culture Documents
d’Active Directory
Description : Les différents phase de durcissement et les outils, qui vont être aborder dans
cet atelier permet tout simplement de mettre des obstacles devant les attaques en interne et
de les rendre plus difficile et plus longues, en aucun elles vont garantir que vous êtes
invulnérable.
Objectif : L’objectif de cet atelier est de :
Avant de débuter toute action de renforcement de la sécurité, il est nécessaire d’identifier le point de
départ, en établissant un premier état des lieux. Pour cela, réaliser un audit outillé permet de revoir
les différents éléments de configuration de l’AD : protocoles obsolètes, version d’OS obsolètes, niveau
fonctionnel non à jour, politiques de mots de passe, relations d’approbations avec d’autres forêts AD,
comptes à privilèges etc.
Pour une identification des vulnérabilités de l’AD, l’on pourra notamment se tourner vers des outils
Open source :
Question 1 : Tester ces outils et donner l’explication de chaque outil, en donnant des rapports de
durcissement par rapport à votre environnement ?
2.1. BloodHound
C’est un outil qui permet de cartographier un environnement Active Directory en le représentant sous
forme de graphe
Aussi il permettra à l’attaquant de détecter les sessions sur les machines, les statistiques sur les objets
Active Directory et surtout d’émettre des hypothèses sur les chemins d’attaque potentiels.
Question 2 : Installer et configurer l’outil sur votre environnement AD ?
Question 3 : Expliquer le principe de fonctionnement de cet outil et donner des cas exemple ?
2.2. Mimikatz
Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les
droits. Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système
d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de
plusieurs types de vulnérabilités.
Question 4 : Donner le principe de fonctionnement de Mimikatz ?
Question 5 : Installer et configurer l’outil puis Exécutez Mimikatz en tant qu’Administrateur : pour être
totalement fonctionnel, même si vous utilisez un compte Administrateur.
Question 6 : Citer les modules intégrés de Mimikatz et les commandes pour les utilisés ?
Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :
○ Pass-the-Hash
○ Pass-the-Ticket
○ Over-Pass the Hash (Pass the Key)
○ Kerberos Silver/Golden Ticket
○ Pass-the-Cache
Question 7 : Tester ces attaques avec des cas d’utilisation en décrivant les étapes à suivre
• Pour l’extraction de hash de mot de passe ?
• Rejouer le hash pour obtenir un ticket Kerberos ?
• Récupération des mots de passe en base de registre ?
• Etc.
Question 8 : proposer des solutions pour la protection de votre environnement contre Mimikatz.
Comme désactiver les Security Service Providers (SSP) stockant les mots de passe els que :
• LiveSSP
• TsPkg
• Wdigest
Avant de désactiver SMBv1, il est possible de vérifier si celui-ci est encore utilisé sur un serveur. Pour
cela utiliser la commande ci-dessous :
Pour faire cela, on applique la GPO suivante : Configuration ordinateur / Paramètres Windows /
Paramètres de sécurité / Options de sécurité. En configurant
Si vous devez utiliser ce paramètre, des HASH NTLMv1 peuvent encore circuler sur le réseau et ceci
sont vulnérables aux attaques par brute-force plus rapidement que NTLMv2.
Il est possible d’auditer le trafic NTLM en activant les paramètres afin d’identifier où NTMLv1 est utilisé
La configuration de NTLM permet pas mal de souplesse au niveau de sa configuration et d’ajouter des
exceptions.
Si vous utilisez un logiciel type Wireshark pour écouter le réseau, vous verrez qu’il y a beaucoup trafic
LLMNR et NBT-NS.
Le principal danger de LLMNR et NBT-NS, c’est qu’il est facile d’envoyer une fausse réponse avec un
autre ordinateur afin de récupérer un hash NTLM du client qui a fait la demande.
Après application de la GPO sur les ordinateurs du domaine, ils n’utiliseront plus LLMNR.
Si vous avez des ordinateurs hors domaine, il sera nécessaire de le faire dessus.
Au niveau des options (étendue ou serveur), il faut configurer l’option 001 Options Microsoft de
désactivation du NetBios dans la classe fournisseur Option Microsoft Windows 2000. Il faut entrer la
valeur 0x2 pour désactiver NBT-NS.
Pour les ordinateurs qui ne sont pas en adressage automatique, il faut désactiver Netbios sur la ou les
cartes réseaux. Ouvrir les propriétés de la carte réseau.
Il est possible de désactiver Netbios par GPO à l’aide d’un script PowerShell exécuté au démarrage.
Voici le script :
Question 8 : Donner un scénario qui explique l’intérêt de cette solution pour un groupe AD ?
Question 9 : Configurer une stratégie de mot de passe pour le compte Administrateur Local?