--- titre: Sécurité dans l'Active Directory description: Sécurité dans l'Active Directory, 08/07/2020 - 09/07/2020 tags: XMCO, jerome.tchan author: Jérôme Tchan --- # Sécurité dans l'Active Directory > Slides: > {%pdf https://51.38.177.120/dokuwiki/lib/exe/fetch.php?media=cours:xmco:xmco_cours_ad_epita.pdf %} Deux types d'ACL: - Discretionary Access Control List (DACL): indique les utilisateurs et groupes autorisés ou interdits - System Access Control List (SACL): indique comment les accès sont audités Deux types d'administrateurs: - Administrateur du service AD: en charge du fonctionnement de l'AD - Administrateur du **contenu** de l'annuaire AD: en charge des données de l'AD ## Attaques sur l'AD ### Vulnérabilités - Mots de passe dans SYSVOL (`\\<DOMAIN>\SYSVOL\<DOMAIN>\Policies\`) - Ne pas stocker de mot de passe en clair dans un script - Utiliser LAPS ou une autre solution (SCCM, etc.) - Mots de passe dans les GPP: mot de passe chiffré avec AES256 mais clé commune à tous les AD dans le monde (et la clé est publique aujourd'hui) - Supprimer le fichier concerné - Vulnérabilité MS14-068: Permet de forger un ticket et de passer administrateur du domaine - Appliquer le correctif de sécurité KB3011780 - Vulnérabilités Windows ### Défauts de configuration #### Mots de passe - Mots de passe faibles - Stockage des mots de passe au format LM - Réutilisation de mot de passe Recommendations: - Définir une politique de mot de passe (possibilité de faire du fine-grained password policy depuis WS 2008) - Interdire le stockage des condensats au format LM #### Kerberos - Kerberoasting - AS_REP Roasting #### Protocoles - LLMNR (ou son ancêtre NBT-NS): permet de faire une recherche d’une ressource sur le réseau (serveur, partage, etc.) par une requête de type broadcast => on peut se faire passer pour le partage et récupérer les secrets d'authentification (pour tenter de les casser) - WPAD: permet la découverte automatique d'un serveur proxy sur le réseau => on peut se faire passer pour le serveur wpad #### Partages réseau ouverts Partages réseau accessibles à des utilisateurs sans comptes connectés sur le réseau, peut contenir des informations intéressantes (scripts avec des mots de passe, config, sauvegardes, etc) #### Périphériques réseau Imprimantes par exemple, possiblement configurés avec un compte de service ayant des privilèges élevés #### ACL (Access Control Lists) Les ACL sont complexes et très difficiles à contrôler sur un domaine avec des dizaines de milliers d’utilisateurs, on peut potentiellement abuser des droits d'un utilisateur pour réaliser une action malveillante sur le domaine Bloodhound: permet de représenter l'AD sous forme de graphe, utile pour l'audit #### MSCache Fonctionnalité prévue au cas où le DC ne peut pas répondre, stocke les entrées utilisateurs précédemment authentifiés sur la machine afin de se connecter hors réseau (10 dernières connexions par défaut) V1 (WinXP/2003): facilement cassable V2 (Vista/2008+): un peu moins