SlideShare a Scribd company logo

Récupération d’un Active Directory: comment repartir en confiance après une compromission

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Matthieu Trivier lors des Identity Days 2022.

Technology
1 of 32
Download to read offline
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Rappel de la session 2021 et contexte SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
• First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
Demo
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
• “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
SEMPERIS.COM L’approche “Inside-Out”
Demo
Forest Druid WebSite: https://www.purple-knight.com/forest-druid
SEMPERIS.COM Mission accomplie !
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommended

La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
Rabeb Boumaiza
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Secure coding guidelines
Secure coding guidelinesSecure coding guidelines
Secure coding guidelines
Zakaria SMAHI
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
moussa sambe
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
Jeff Hermann Ela Aba
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Net4All
 

Recommended

La sécurité sur le web
La sécurité sur le webLa sécurité sur le web
La sécurité sur le web
Softeam agency
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
Rabeb Boumaiza
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
Tidiane Sylla
 
Secure coding guidelines
Secure coding guidelinesSecure coding guidelines
Secure coding guidelines
Zakaria SMAHI
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
Mohammed LAAZIZLI
 
Moussasambe projet de securite zabbix
Moussasambe projet de securite zabbixMoussasambe projet de securite zabbix
Moussasambe projet de securite zabbix
moussa sambe
 
Mise en place d’un serveur radius
Mise en place d’un serveur radiusMise en place d’un serveur radius
Mise en place d’un serveur radius
Jeff Hermann Ela Aba
 
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, KyosTest d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Test d'intrusion, méthodologie et cas concret - Dominique Climenti, Kyos
Net4All
 
PKI
PKIPKI
PKI
hossam-10
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
JoelChouamou
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Alaaeddine Tlich
 
Security Onion
Security OnionSecurity Onion
Security Onion
n|u - The Open Security Community
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
Achille Njomo
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm
 
Webinar organiser un exercice de gestion de crise cyber
Webinar organiser un exercice de gestion de crise cyberWebinar organiser un exercice de gestion de crise cyber
Webinar organiser un exercice de gestion de crise cyber
James Bolton
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Abdallah YACOUBA
 
Squid
SquidSquid
Squid
Franck SIMON
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Présentation de EasyAdmin, le bundle d'admin de Symfony
Présentation de EasyAdmin, le bundle d'admin de SymfonyPrésentation de EasyAdmin, le bundle d'admin de Symfony
Présentation de EasyAdmin, le bundle d'admin de Symfony
Raphaël Kueny
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
BGA Cyber Security
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo Wazuh
Aurélie Henriot
 
Security Onion
Security OnionSecurity Onion
Security Onion
johndegruyter
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
emnabenamor3
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
Identity Days
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
Alphorm
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
Yaya N'Tyeni Sanogo
 
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
Amazon Web Services
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 

More Related Content

What's hot

Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
Alphorm
 

What's hot (20)

PKI
PKIPKI
PKI
 
RAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdfRAPPORT DE STAGE SSI - Copie.pdf
RAPPORT DE STAGE SSI - Copie.pdf
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
 
Security Onion
Security OnionSecurity Onion
Security Onion
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Tp securité des reseaux
Tp securité des reseauxTp securité des reseaux
Tp securité des reseaux
 
Alphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft HyperconvergenceAlphorm.com Formation Microsoft Hyperconvergence
Alphorm.com Formation Microsoft Hyperconvergence
 
Webinar organiser un exercice de gestion de crise cyber
Webinar organiser un exercice de gestion de crise cyberWebinar organiser un exercice de gestion de crise cyber
Webinar organiser un exercice de gestion de crise cyber
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
Squid
SquidSquid
Squid
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 
Présentation de EasyAdmin, le bundle d'admin de Symfony
Présentation de EasyAdmin, le bundle d'admin de SymfonyPrésentation de EasyAdmin, le bundle d'admin de Symfony
Présentation de EasyAdmin, le bundle d'admin de Symfony
 
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
LINUX, WINDOWS VE AĞ SİSTEMLERİ SIZMA TESTLERİ
 
Présentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo WazuhPrésentation ELK/SIEM et démo Wazuh
Présentation ELK/SIEM et démo Wazuh
 
Security Onion
Security OnionSecurity Onion
Security Onion
 
Wazuh Pre.pptx
Wazuh Pre.pptxWazuh Pre.pptx
Wazuh Pre.pptx
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Alphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTMAlphorm.com Formation Fortinet UTM
Alphorm.com Formation Fortinet UTM
 
Siem OSSIM
Siem OSSIMSiem OSSIM
Siem OSSIM
 
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
Why Users Are Moving on from Docker and Leaving Its Security Risks Behind (Sp...
 

Similar to Récupération d’un Active Directory: comment repartir en confiance après une compromission

En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Amazon Web Services
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
webhostingguy
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
Georgeot Cédric
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?
Microsoft Décideurs IT
 

Similar to Récupération d’un Active Directory: comment repartir en confiance après une compromission (20)

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?
 
Cours 70 410-1
Cours 70 410-1Cours 70 410-1
Cours 70 410-1
 

More from Identity Days

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Identity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Identity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
Identity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
Identity Days
 

More from Identity Days (20)

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 

Récupération d’un Active Directory: comment repartir en confiance après une compromission

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
  • 3. Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 4. Rappel de la session 2021 et contexte SEMPERIS.COM
  • 8. Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
  • 10. SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
  • 11. SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
  • 12. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 13. Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
  • 14. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
  • 15. • First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
  • 16. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
  • 17. 116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
  • 18. Demo
  • 19. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 20. Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
  • 21. SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
  • 22. • “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
  • 23. Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
  • 24. Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
  • 25. Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
  • 27. Demo
  • 30. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 31. IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 32. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022