Administration système

windows

Auteur : Oussama Riahi

2023/2024
Chapitre 3 : Sécurité de Windows
Server
3.1 Le Pare-feu windows

Le Pare-feu Windows est un pare-feu basé sur l'hôte qui est inclus
dans les systèmes Windows.

Ce composant logiciel s'exécute sur l'ordinateur local et restreint l'accès réseau en

direction et en provenance de cet ordinateur.
1
2
 Profils de pare-feu

Pour chaque interface réseau, un des trois profils est

automatiquement activé :

* Le Profil Public suppose que le réseau est partagé avec le monde

entier ,il est le profil le plus restrictif.

* Le Profil Privé suppose que le réseau est isolée d'Internet et

autorise plus de connexions entrantes que le profil public.
Un réseau n'est jamais considéré comme privé à moins qu'il ne soit
désigné comme tel par l'administrateur local.

* Le Profil de Domaine est le moins restrictif.

Cela permet d'augmenter le nombre de connexions entrantes pour
le partage de fichiers, etc. Le Profil de Domaine est sélectionné
automatiquement lorsqu'il est connecté à un réseau avec un
domaine auquel l'ordinateur local fait confiance.

3
Règles de trafic sortant

Les règles de trafic sortant contrôlent la communication initialisée par l'ordinateur

hôte et destinée à un périphérique ou un ordinateur sur le réseau.

Par défaut, toute communication sortante est autorisée, à l'exception du trafic qui est
explicitement bloqué par une règle de trafic sortant.

Règles de trafic entrant

Les règles de trafic entrant contrôlent la communication initialisée

par un autre périphérique ou ordinateur sur le réseau, avec l'ordinateur hôte.

Par défaut, toute communication entrante est bloquée, à l'exception du trafic qui est
explicitement autorisé par une règle de trafic entrant.

4
Règles de sécurité de connexion

Une règle de sécurité de connexion force l'authentification entre deux ordinateurs

homologues avant qu'ils ne puissent établir une connexion et transmettre des
informations sécurisées.

Elle sécurise également ce trafic en chiffrant les données transmises entre les
ordinateurs. Le Pare-feu Windows avec fonctions avancées de sécurité utilise la
sécurité Ipsec pour mettre en oeuvre ces règles.

Quand ces règles sont configurées, vous pouvez authentifier la communication

entre les ordinateurs, puis utiliser ces informations pour créer des règles
de pare-feu en fonction de comptes d'utilisateur et d'ordinateur spécifiques.

5
Vous pouvez déployer les règles de Pare-feu Windows selon
les méthodes suivantes :

• Manuellement : Vous pouvez configurer individuellement les règles de pare-feu sur

chaque serveur. Toutefois, dans un environnement comportant un nombre
important de serveurs, il s'agit d'une tâche intensive et sujette aux erreurs.
Cette méthode est généralement utilisée uniquement à des fins de test
et de dépannage

• Utilisation d'une stratégie de groupe : La méthode privilégiée pour distribuer les

règles de pare-feu consiste à utiliser une stratégie de groupe. Après avoir créé et testé
un objet de stratégie de groupe avec les règles de pare-feu requises, vous pouvez
déployer ces règles de pare-feu avec rapidité et précision sur un grand nombre
d'ordinateurs.

• Exportation et importation des règles de pare-feu : Le Pare-feu Windows avec

fonctions avancées de sécurité offre également l'option d'importer et d'exporter les
règles de pare-feu. Vous pouvez exporter les règles de pare-feu pour créer une
sauvegarde avant de configurer manuellement les règles de pare-feu pendant le
dépannage.
6
3.2 Windows Defender

Windows Defender protège votre ordinateur contre les logiciels malveillants et toutes
les menaces de sécurité. Il a été conçu pour empêcher les programmes malveillants,
tels que les virus, les spywares, les rootkits, les chevaux de Troie et autres programmes,
d’infecter votre ordinateur.

L'application offre une protection en temps réel contre les attaques extérieures en
analysant tout le trafic entrant et sortant

Microsoft Defender offre également un certain nombre d'options de personnalisation,

telles que la possibilité d’autoriser ou non certains processus ou programmes à accéder
à Internet.

7
3.3 Bitlocker

BitLocker est une fonctionnalité de sécurité Windows qui fournit un

chiffrement pour des volumes entiers, en réponse aux menaces
de vol de données ou d'exposition d'appareils perdus, volés ou mis
hors service de manière inappropriée

8
3.4 Sauvegarde et Restauration de windows

Le rôle principal de la sauvegarde et de la restauration

est de préserver les données stratégiques
en cas de perte ou de dommage.

Pérenniser les opérations : en cas de sinistre,

qu'il soit naturel ou provoqué
par l'homme (y compris une attaque par ransomware),
les entreprises peuvent continuer de fonctionner

9
3.5 Quota (Dans FSRM)

FSRM permet aux administrateurs de définir des limites de

stockage sur des dossiers spécifiques.

Cela permet d'éviter aux utilisateurs de consommer trop

d'espace disque et garantit une allocation équitable des
ressources entre les utilisateurs ou les services.

10
3.6 Powershell

PowerShell est un langage de script fondé sur la

programmation orientée objet.

Le logiciel PowerShell (fichier exécutable [Link]) est

l'interpréteur de l’interface en ligne de commande de
l'environnement de développement Windows PowerShell.

Les commandes PowerShell sont constituées d'un verbe ou

préfixe et d'un nom séparés par un tiret.

Exemple :

PS C:\> Get-Help

11
3.7 Test d'intrusion de l’active directory

Il existe quelques raisons principales pour lesquelles les attaquants

considèrent AD comme une cible si souhaitable :

- Une violation réussie signifie qu'un pirate informatique peut

obtenir une vue panoramique de tous les ordinateurs appartenant
à un domaine dans un réseau, diffusant ainsi leurs activités
malveillantes. De plus, l’architecture détaillant le domaine d’une
organisation offre une feuille de route de son plan informatique, ce
qui s’avère inestimable pour orchestrer des cyberattaques ciblées.

- La présence du système de noms de domaine (DNS) et du protocole

de configuration dynamique d'hôte (DHCP) dans AD amplifie
encore sa profondeur d'informations. Au lieu d’analyser un réseau
en externe, les attaquants peuvent extraire la plupart des
informations dont ils ont besoin directement à partir d’un seul
serveur AD, accélérant ainsi considérablement leurs efforts.

12
3.7 Test d'intrusion de l’active directory

13
3.7 Test d'intrusion de l’active directory

1 Kerberoasting

Les attaques Kerberoasting ciblent les comptes de service dans

Active Directory en exploitant l'attribut SPN
(ServicePrincipalName) sur les objets utilisateur.

Les services publient leurs SPN sur des objets AD lorsqu'ils

s'authentifient, et les adversaires tenteront de cibler ces comptes
de service et de modifier les valeurs SPN en fonction de leurs
besoins, surtout si le compte appartient à des groupes privilégiés.

Les organisations doivent surveiller en permanence les objets

utilisateur pour détecter les modifications anormales apportées
aux valeurs SPN et les comptes de service doivent être protégés
par des mots de passe forts.
14
3.7 Test d'intrusion de l’active directory

2 Password spraying

C’est ici que l’attaquant utilise une liste de mots de passe et de

hachages précédemment compromis pour se frayer un chemin
brutalement vers un compte.

Étant donné que la plupart des systèmes d'authentification

verrouillent les utilisateurs après plusieurs tentatives de connexion
infructueuses, l'attaquant essaiera différentes combinaisons de
noms d'utilisateur jusqu'à ce qu'il trouve une correspondance.
Naturellement, c'est une bonne idée de s'assurer que les
employés utilisent des mots de passe complexes et, si possible,
d'utiliser l'authentification multifacteur pour empêcher les
attaques par pulvérisation de mots de passe.
Une solution qui conserve également une liste de mots de passe et
de hachages précédemment compromis peut également être
efficace pour détecter les tentatives de connexion anormales. 15
3.7 Test d'intrusion de l’active directory

3 Local Loop Multicast Name Resolution (LLMNR)

La résolution de noms de multidiffusion en boucle locale (LLMNR) est

une fonction réseau Windows qui met Active Directory en danger.

LLMNR permet la résolution de noms sans nécessiter de serveur DNS.

Les paquets multicast sont diffusés sur le réseau, demandant
l'adresse IP d'un nom d'hôte donné.

Les attaquants peuvent intercepter ces paquets et prétendre que

l'adresse IP est liée à leur nom d'hôte.

Cette fonctionnalité n'est pas nécessaire si le système de noms de

domaine (DNS) est correctement configuré. En tant que tel, le
meilleur moyen d’atténuer cette menace serait simplement de
désactiver complètement LLMNR.
16
3.7 Test d'intrusion de l’active directory

4 Pass-the-hash with Mimikatz

Pass-the-hash est une technique utilisée pour voler les

informations d'identification d'Active Directory et facilite
également les mouvements latéraux dans l'environnement.

Les attaquants utilisent un outil appelé Mimikatz, qui exploite le

protocole d'authentification NTLM pour usurper l'identité d'un
utilisateur et vider les hachages d'informations d'identification de
la mémoire.

Les organisations doivent s’assurer que les hachages de comptes

privilégiés ne sont pas stockés dans un endroit où ils peuvent être
facilement extraits. Ils devraient également envisager d'activer la
protection LSA et d'utiliser le mode administrateur restreint pour
les postes de travail distants.
17
3.7 Test d'intrusion de l’active directory

5 Default Credentials

Les entreprises oublient souvent de modifier les mots de passe par

défaut sur les appareils/systèmes, et les attaquants rechercheront
ces appareils/systèmes afin de s'introduire dans votre réseau.

Les organisations doivent s'assurer de modifier les mots de passe

par défaut et de maintenir un inventaire à jour de tout le matériel
réseau.

Il pourrait également être intéressant d’adopter une solution

créant des mots de passe aléatoires pour les utilisateurs et les
appareils du secteur d’activité.

18
3.7 Test d'intrusion de l’active directory

6 Hard-coded Credentials

Dans certains cas, les développeurs de logiciels coderont en dur les

informations d'identification dans des scripts, ce qui constitue
évidemment un risque pour la sécurité, surtout si les informations
d'identification fournissent un accès privilégié.

Les développeurs peuvent avoir codé en dur les informations

d'identification afin de tester la fonctionnalité du script, puis avoir
oublié de les supprimer.

Quelle que soit la raison, les attaquants tenteront de trouver des

scripts contenant des informations d’identification codées en dur,
qu’ils pourront exploiter. Les administrateurs doivent surveiller de
près tous les comptes d'utilisateurs pour s'assurer qu'ils sont
utilisés aux fins prévues.
19
3.7 Test d'intrusion de l’active directory

7 Privilege Escalation

Les cybercriminels tentent généralement d'accéder à un compte

utilisateur standard en exploitant de mauvaises pratiques en matière
de mot de passe.

Une fois qu’ils y auront accès, ils tenteront d’élever leurs privilèges
grâce à l’ingénierie sociale, en exploitant les vulnérabilités
logicielles/matérielles, les erreurs de configuration, l’installation de
logiciels malveillants, etc.

Les organisations doivent tenir à jour un inventaire indiquant quels

comptes ont accès à quelles ressources, en particulier les ressources
critiques. Les comptes doivent disposer du minimum de privilèges
dont ils ont besoin pour remplir leur rôle, et toutes les activités des
comptes privilégiés doivent être surveillées en permanence, avec des
alertes en temps réel envoyées à l'administrateur. 20
3.7 Test d'intrusion de l’active directory

8 LDAP Reconnaissance

Les adversaires qui ont déjà accès à votre environnement Active

Directory peuvent utiliser des requêtes LDAP pour recueillir des
informations supplémentaires sur l'environnement.

Grâce à cette méthode, ils peuvent découvrir des utilisateurs, des

groupes et des ordinateurs, ce qui les aidera à planifier leur
prochain déplacement.

Empêcher la reconnaissance LDAP est délicat car la plupart des

informations d'Active Directory sont disponibles par défaut pour
tous les utilisateurs. En tant que tel, vous devrez surveiller de près
le trafic LDAP pour détecter les anomalies et vous assurer que tous
les comptes bénéficient du moins d'accès dont ils ont besoin pour
remplir leurs rôles.
21
3.7 Test d'intrusion de l’active directory

9 BloodHound Reconnaissance

BloodHound est un outil qui aide les adversaires à identifier et à

visualiser les chemins d'attaque dans les environnements Active
Directory.

L'outil fonctionne en créant une carte indiquant quels ordinateurs sont

accessibles à quels utilisateurs et quelles informations d'identification
utilisateur peuvent être volées dans la mémoire.

Les organisations peuvent également utiliser BloodHound pour les

aider à identifier et corriger les vulnérabilités de leur environnement,
ainsi que pour fournir des informations significatives sur la manière
d'attribuer le niveau d'accès approprié aux utilisateurs.

22
3.7 Test d'intrusion de l’active directory

10 [Link] Extraction

Les contrôleurs de domaine stockent toutes les données Active

Directory dans un fichier appelé [Link], ou « le dit », comme
certains l'appellent.

Par défaut, ce fichier se trouve au chemin suivant :

C:\Windows\NTDS\. Si un adversaire accède à Active Directory,
il peut accéder au fichier [Link] ou compromettre la solution de
sauvegarde de l'organisation et extraire le fichier [Link] de la
sauvegarde.

Pour empêcher les adversaires d'extraire le fichier [Link], vous

devez minimiser le nombre de comptes pouvant se connecter aux
contrôleurs de domaine, contrôler l'accès aux machines des
contrôleurs de domaine physiques et prendre toutes les mesures
nécessaires pour renforcer votre environnement Active Directory. 23
3.8 Comment protéger Active Directory des attaquants

Désactiver LLMNR et NBT-NS

Limiter la communication entre les postes de travail sur un même réseau

Désactiver WPAD via la stratégie de groupe

Désactiver complètement NTLM, utilisez Kerberos

Activer la signature SMB, si possible

Activer la signature LDAP

Désactiver l'administrateur intégré

Établir des politiques de mots de passe forts (complexité, historique, expiration)

Effectuer un audit et une surveillance sur une base programmée

24
Quiz : Répondre par vrai ou faux

Bitlocker fournit le chiffrement des partitions

Vrai
Faux

NTLM est moins sécurisée que Kerberos

Vrai
Faux

On peut extraire le fichier [Link] par une attaque

Vrai
Faux
25