TP2 : Durcissement et Sécurisation

d’Active Directory
Description : Les différents phase de durcissement et les outils, qui vont être aborder dans
cet atelier permet tout simplement de mettre des obstacles devant les attaques en interne et
de les rendre plus difficile et plus longues, en aucun elles vont garantir que vous êtes
invulnérable.
Objectif : L’objectif de cet atelier est de :

• Comprendre l'intérêt des techniques de durcissement d’Active Directory.

• Maîtriser les différentes techniques de durcissement d’Active Directory
• Outils et techniques utilisés par des principales attaques et sécurisation Active
Directory.
• Être capable de protéger les serveurs AD de l'entreprise contre ces attaques et des
vulnérabilités de ce système.
Prérequis : Disposer de connaissances en

• Administration système Windows et AD.

• Protocoles d’authentification NTLM, Kerberos
• Composants LSASS, SMB, SAM, …
• Techniques de hacking éthiques

Partie 1 : Outils de durcissement disponibles sur AD

1. Outils de test d’intrusion et détection des vulnérabilités AD

Avant de débuter toute action de renforcement de la sécurité, il est nécessaire d’identifier le point de
départ, en établissant un premier état des lieux. Pour cela, réaliser un audit outillé permet de revoir
les différents éléments de configuration de l’AD : protocoles obsolètes, version d’OS obsolètes, niveau
fonctionnel non à jour, politiques de mots de passe, relations d’approbations avec d’autres forêts AD,
comptes à privilèges etc.

Pour une identification des vulnérabilités de l’AD, l’on pourra notamment se tourner vers des outils
Open source :

• PingCastle (open source)

• Purple Knight (Semperis)
• Group3r (open source)
• ADAnlyzer (Cogiceo)
• AD Control Path (open source, ANSSI).
• Pour les opérateurs règlementés et de la sphère publique, l’ANSSI propose le service Active
Directory Security (ADS) [3], afin d’aider les opérateurs critiques à évaluer leur niveau de
sécurité.

Question 1 : Tester ces outils et donner l’explication de chaque outil, en donnant des rapports de
durcissement par rapport à votre environnement ?

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

2. Outils utilisés par les attaquants pour compromettre Active Directory

Il existe un ensemble d’outils permettant à un attaquant d’évaluer le niveau de fiabilité technique et

d’exploiter les vulnérabilités de votre Active Directory.

2.1. BloodHound
C’est un outil qui permet de cartographier un environnement Active Directory en le représentant sous
forme de graphe
Aussi il permettra à l’attaquant de détecter les sessions sur les machines, les statistiques sur les objets
Active Directory et surtout d’émettre des hypothèses sur les chemins d’attaque potentiels.
Question 2 : Installer et configurer l’outil sur votre environnement AD ?
Question 3 : Expliquer le principe de fonctionnement de cet outil et donner des cas exemple ?
2.2. Mimikatz
Les hackers utilisent couramment Mimikatz pour voler des données d’identification et augmenter les
droits. Au départ, Mimikatz montrait comment exploiter une simple vulnérabilité du système
d’authentification de Windows. Aujourd’hui, l’outil permet de procéder à la démonstration de
plusieurs types de vulnérabilités.
Question 4 : Donner le principe de fonctionnement de Mimikatz ?
Question 5 : Installer et configurer l’outil puis Exécutez Mimikatz en tant qu’Administrateur : pour être
totalement fonctionnel, même si vous utilisez un compte Administrateur.
Question 6 : Citer les modules intégrés de Mimikatz et les commandes pour les utilisés ?
Mimikatz peut utiliser des techniques de rassemblement de données d’identification telles que :
○ Pass-the-Hash
○ Pass-the-Ticket
○ Over-Pass the Hash (Pass the Key)
○ Kerberos Silver/Golden Ticket
○ Pass-the-Cache
Question 7 : Tester ces attaques avec des cas d’utilisation en décrivant les étapes à suivre
• Pour l’extraction de hash de mot de passe ?
• Rejouer le hash pour obtenir un ticket Kerberos ?
• Récupération des mots de passe en base de registre ?
• Etc.
Question 8 : proposer des solutions pour la protection de votre environnement contre Mimikatz.
Comme désactiver les Security Service Providers (SSP) stockant les mots de passe els que :
• LiveSSP
• TsPkg
• Wdigest

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

2.3. Metasploit
Metasploit regroupe un ensemble d’outils packagés vous permettant de réaliser des tests d’intrusion
efficaces. Il ne vise pas particulièrement les environnement Microsoft, mais depuis ses dernières
versions, il s’est enrichi d’outils spécifiques à Active Directory pour accompagner la tendance globale
actuelle.
Question 9 : avec kali, tester les modules dédiés à l’Active directory pour :
• Tester que le port 445 est ouvert puis utiliser le module msfconsole sur le port TCP 445 pour
exploiter la vulnérabilité de SMB sur TCP/IP
• Trouver tous les utilisateurs d'Active Directory
• Trouver tous les dossiers partagés dans Active Directory
• Rassembler tous les groupes dans Active Directory
• Ajouter tout utilisateur dans Active Directory
• Pour supprimer un utilisateur d'Active Directory
Lien utile : Metasploit AD

Partie 2 : durcir la sécurité de votre environnement AD

3. Vulnérabilité de Microsoft SMBv1

Premièrement phase de durcissement, il faut se débarrasser de protocole SMBv1 qui est très
vulnérable sur l’ensemble des ordinateurs (serveurs et postes clients). Depuis Windows 10 et
Windows Server 2019, le support de SMBv1 est désactivé par défaut.
Vérifier si le protocole SMBv1 est activé dans votre l’environnement, en exécutant la commande
suivante :

Get-SmbServerConfiguration | Select EnableSMB1Protocol

Avant de désactiver SMBv1, il est possible de vérifier si celui-ci est encore utilisé sur un serveur. Pour
cela utiliser la commande ci-dessous :

Get-SmbSession | Select-Object -Property ClientComputerName, ClientUserName,

Dialect
Question 1 : Expliquer le résultat de la vérification ? et pourquoi cette vérification tant que cette
version est vulnérable ?
Pour désactiver le protocole SMBv1 pour une station de travail :

Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Question 2 : Désactiver le protocole SMBv1 de votre domaine utilisant les GPOs.

4. Signature sur le protocole SMB

Afin de se « protéger » d’attaque de Man-in-the-middle (MITM), il est possible d’activer la signature
sur les échanges du protocoles SMB.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

La signature SMB fonctionne avec SMBv2 et SMBv3. Cette configuration peut se faire dans le coté
client et Serveur

La configuration se fait au niveau des GPO : Configuration ordinateur / Paramètres Windows /

Paramètres de sécurité / Stratégie locale /Options de sécurité. Les deux paramètres à activer :

• Client réseau Microsoft : communications signées numériquement (toujours)

• Serveur réseau Microsoft : communications signées numériquement (toujours)

Question 3 : Expliquer l’intérêt de ces paramètres par rapport au protocole SMB ?

5. Désactiver l’authentification LM et NTLMv1

Comme démontré dans la première partie, il est nécessaire de désactiver les protocoles LM et NTLMv1
qui ont des vulnérabilités simples à exploiter via des outils comme Mimikatz.

Pour faire cela, on applique la GPO suivante : Configuration ordinateur / Paramètres Windows /
Paramètres de sécurité / Options de sécurité. En configurant

• Sécurité réseau : niveau d’authentification LAN Manager.

• Cocher Définir ce paramètre de stratégie et sélectionner : Envoyer des réponses NTLM version
2 uniquement\Refuser LM et NTLM

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Ce paramètre c’est dans le cas idéal, si NTLMv1 doit encore être utilisé, sélectionner ce paramètre
pour désactiver que LM : Envoyer uniquement les réponses NTLMv2\Refuser LM

Si vous devez utiliser ce paramètre, des HASH NTLMv1 peuvent encore circuler sur le réseau et ceci
sont vulnérables aux attaques par brute-force plus rapidement que NTLMv2.

Il est possible d’auditer le trafic NTLM en activant les paramètres afin d’identifier où NTMLv1 est utilisé

• Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant

• Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine

La configuration de NTLM permet pas mal de souplesse au niveau de sa configuration et d’ajouter des
exceptions.

Question 4 : Donner les inconvénients de protocoles LM, NTLM et NTLMV1 ?

6. Désactiver LLMNR et NBT-NS

LLMNR (Link-Local Multicast Name Resolution) et NBT-NS (Netbios Name Service) sont deux
« protocoles » de résolutions de nom de broadcast/multicast qui sont activés par défaut, ils sont
utilisés quand la résolution de nom dns échoue.

Si vous utilisez un logiciel type Wireshark pour écouter le réseau, vous verrez qu’il y a beaucoup trafic
LLMNR et NBT-NS.

Le principal danger de LLMNR et NBT-NS, c’est qu’il est facile d’envoyer une fausse réponse avec un
autre ordinateur afin de récupérer un hash NTLM du client qui a fait la demande.

6.1. Désactiver LLMNR

Pour désactiver LLMNR, il faut activer le paramètre Désactiver la résolution de noms multidiffusion
qui se trouve à : Configuration ordinateur / Modèles d'administration / Réseau / Client DNS.

Après application de la GPO sur les ordinateurs du domaine, ils n’utiliseront plus LLMNR.

Si vous avez des ordinateurs hors domaine, il sera nécessaire de le faire dessus.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

6.2. Désactiver NBT-NS
Ici, ça se complique un peu car NBT-NS est configuré au niveau de la carte réseau et il n’y a pas de GPO
applicable. Mais pour les ordinateurs clients (principalement poste de travail), il est possible de le faire
par une option sur le serveur DHCP.

Au niveau des options (étendue ou serveur), il faut configurer l’option 001 Options Microsoft de
désactivation du NetBios dans la classe fournisseur Option Microsoft Windows 2000. Il faut entrer la
valeur 0x2 pour désactiver NBT-NS.

Pour les ordinateurs qui ne sont pas en adressage automatique, il faut désactiver Netbios sur la ou les
cartes réseaux. Ouvrir les propriétés de la carte réseau.

Il est possible de désactiver Netbios par GPO à l’aide d’un script PowerShell exécuté au démarrage.
Voici le script :

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

 # Get network cards
$regkey = "HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces"
# Disable Netbios on each
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path "$regkey\$($_.pschildname)" -Name
NetbiosOptions -Value 2 -Verbose}

7. LAPS – Sécurisation des comptes Administrateur Local

Question 5 : Expliquer de quoi il s’agit LAPS ?

Question 6 : Installer et configurer la solution sur un contrôleur de domaine ?

Question 7 : Installation du client LAPS ?

Question 8 : Donner un scénario qui explique l’intérêt de cette solution pour un groupe AD ?

Question 9 : Configurer une stratégie de mot de passe pour le compte Administrateur Local?

ENSA Marrakech © 2022 Pr. Omar ACHBAROU