Voici les slides de ma présentation de Vendredi dernier pour Secure-IT. J’y ai présenté quelques-unes des techniques les plus communément exploitées en test d’intrusion pour compromettre un domaine Windows ainsi que les différentes remédiations possibles.
Pour ceux qui n’auraient pas le temps de parcourir la totalité des slides, voici un bref résumé des recommendations:
- Désactiver WPAD et les protocoles de résolutions de noms LLMNR et NetBios
- Utiliser un système come LAPS pour gérer les mots de passe des administrateurs locaux
- Limiter l’utilisation des comptes privilégiés (surtout les “admins du domaine”)
- Placer ces comptes dans le groupe “Protected Users“
- Utiliser AppLocker pour empêcher l’exécution de programmes non autorisés
- Améliorer le filtrage réseau entre les VLANs internes et même au sein du même VLAN (Firewall local)
- Limiter les privilèges utilisés par les applications (notamment Tomcat et serveurs SQL)
- Utiliser un système de corrélation de logs pour pouvoir détecter les anomalies sur le réseau
L’utilisation de tests d’intrusion de type “Red Team” ou “Purple Team” permet ensuite de valider la pertinence des logs et des alertes remontées, ceci dans le but d’accélérer la réponse à incident pour pouvoir palier à une réelle attaque.