SlideShare a Scribd company logo

Récupération d’un Active Directory: comment repartir en confiance après une compromission

Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Matthieu Trivier lors des Identity Days 2022.

Technology
1 of 32
Download to read offline
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Rappel de la session 2021 et contexte SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM
Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
SEMPERIS.COM
SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
• First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
Demo
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
• “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
SEMPERIS.COM L’approche “Inside-Out”
Demo
Forest Druid WebSite: https://www.purple-knight.com/forest-druid
SEMPERIS.COM Mission accomplie !
SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommended

Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYMaganathin Veeraragaloo
 
Azure security and Compliance
Azure security and ComplianceAzure security and Compliance
Azure security and ComplianceKarina Matos
 
Data Sanitization: What, Why, When and How?
Data Sanitization: What, Why, When and How?Data Sanitization: What, Why, When and How?
Data Sanitization: What, Why, When and How?Baltimax
 
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법Amazon Web Services Korea
 
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?Amazon Web Services Korea
 
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...Amazon Web Services
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 

Recommended

Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
CLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYCLOUD NATIVE SECURITY
CLOUD NATIVE SECURITYMaganathin Veeraragaloo
 
Azure security and Compliance
Azure security and ComplianceAzure security and Compliance
Azure security and ComplianceKarina Matos
 
Data Sanitization: What, Why, When and How?
Data Sanitization: What, Why, When and How?Data Sanitization: What, Why, When and How?
Data Sanitization: What, Why, When and How?Baltimax
 
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법
AWS Backup을 이용한 데이터베이스의 백업 자동화와 편리한 복구방법Amazon Web Services Korea
 
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?
AWS Summit Seoul 2023 | 지능화되는 랜섬웨어 위협으로부터 지킬 것인가? 당할 것인가?Amazon Web Services Korea
 
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...
AWS Mobile Services: Amazon Cognito - Identity Broker and Synchronization Ser...Amazon Web Services
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
AWS Direct Connect
AWS Direct ConnectAWS Direct Connect
AWS Direct ConnectAmazon Web Services
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
CCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network securityCCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network securityAhmed Habib
 
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ... No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...Amazon Web Services
 
CNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecurityCNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecuritySam Bowne
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Backup And Recovery
Backup And RecoveryBackup And Recovery
Backup And RecoveryWynthorpe
 
Azure WAF
Azure WAFAzure WAF
Azure WAFCheah Eng Soon
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020Guido Marchetti
 
AWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services ComparisonAWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services ComparisonAniket Kanitkar
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Amazon Web Services
 
Introduction to SAML 2.0
Introduction to SAML 2.0Introduction to SAML 2.0
Introduction to SAML 2.0Mika Koivisto
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere零壹科技股份有限公司
 
IAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with ConditionsIAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with ConditionsBryant Poush
 
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안Amazon Web Services Korea
 
BMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud FunctionBMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud FunctionBill Spinner
 
Mastering Azure Monitor
Mastering Azure MonitorMastering Azure Monitor
Mastering Azure MonitorRichard Conway
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 

More Related Content

What's hot

Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud ComputingTactika inc.
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days
 
CCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network securityCCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network securityAhmed Habib
 
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ... No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...Amazon Web Services
 
CNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecurityCNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecuritySam Bowne
 
Backup And Recovery
Backup And RecoveryBackup And Recovery
Backup And RecoveryWynthorpe
 
AWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services ComparisonAWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services ComparisonAniket Kanitkar
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Amazon Web Services
 
Introduction to SAML 2.0
Introduction to SAML 2.0Introduction to SAML 2.0
Introduction to SAML 2.0Mika Koivisto
 
IAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with ConditionsIAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with ConditionsBryant Poush
 
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안Amazon Web Services Korea
 
BMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud FunctionBMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud FunctionBill Spinner
 
Mastering Azure Monitor
Mastering Azure MonitorMastering Azure Monitor
Mastering Azure MonitorRichard Conway
 

What's hot (20)

Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
La sécurité et le Cloud Computing
La sécurité et le Cloud ComputingLa sécurité et le Cloud Computing
La sécurité et le Cloud Computing
 
AWS Direct Connect
AWS Direct ConnectAWS Direct Connect
AWS Direct Connect
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
CCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network securityCCNA Security 02- fundamentals of network security
CCNA Security 02- fundamentals of network security
 
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ... No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
No Hassle NoSQL - Amazon DynamoDB & Amazon DocumentDB | AWS Summit Tel Aviv ...
 
CNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS SecurityCNIT 40: 1: The Importance of DNS Security
CNIT 40: 1: The Importance of DNS Security
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Backup And Recovery
Backup And RecoveryBackup And Recovery
Backup And Recovery
 
Azure WAF
Azure WAFAzure WAF
Azure WAF
 
Zero trust deck 2020
Zero trust deck 2020Zero trust deck 2020
Zero trust deck 2020
 
AWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services ComparisonAWS vs Azure - Cloud Services Comparison
AWS vs Azure - Cloud Services Comparison
 
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
Access Control for the Cloud: AWS Identity and Access Management (IAM) (SEC20...
 
Introduction to SAML 2.0
Introduction to SAML 2.0Introduction to SAML 2.0
Introduction to SAML 2.0
 
VMware vSphere
VMware vSphereVMware vSphere
VMware vSphere
 
IAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with ConditionsIAM Deep Dive - Custom IAM Policies with Conditions
IAM Deep Dive - Custom IAM Policies with Conditions
 
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
[2017 Windows on AWS] AWS 를 활용한 Active Directory 연동 및 이관 방안
 
BMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud FunctionBMC Discovery with new Multi-Cloud Function
BMC Discovery with new Multi-Cloud Function
 
Mastering Azure Monitor
Mastering Azure MonitorMastering Azure Monitor
Mastering Azure Monitor
 

Similar to Récupération d’un Active Directory: comment repartir en confiance après une compromission

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteMicrosoft
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS BelgeKilem
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Amazon Web Services
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeMicrosoft Technet France
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.pptwebhostingguy
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaMicrosoft
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Microsoft Technet France
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Georgeot Cédric
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesOVHcloud
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Microsoft Décideurs IT
 

Similar to Récupération d’un Active Directory: comment repartir en confiance après une compromission (20)

Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
Track 1 - Atelier 1 - Votre première semaine avec Amazon EC2
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Webinar bonnes pratiques securite
Webinar bonnes pratiques securiteWebinar bonnes pratiques securite
Webinar bonnes pratiques securite
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Azure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmediaAzure Camp 9 Décembre - slides session développeurs webmedia
Azure Camp 9 Décembre - slides session développeurs webmedia
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2Les nouveautés stockage dans Windows Server 2012 R2
Les nouveautés stockage dans Windows Server 2012 R2
 
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry DemanOptimisation et administration avancée d’Active Directory - Par Thierry Deman
Optimisation et administration avancée d’Active Directory - Par Thierry Deman
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
Cours 70 410 - J2
Cours 70 410 - J2Cours 70 410 - J2
Cours 70 410 - J2
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?Cloud Privé, Cloud Public...poursquoi choisir ?
Cloud Privé, Cloud Public...poursquoi choisir ?
 
Cours 70 410-1
Cours 70 410-1Cours 70 410-1
Cours 70 410-1
 

More from Identity Days

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 

More from Identity Days (20)

Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 

Récupération d’un Active Directory: comment repartir en confiance après une compromission

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Récupération d’un Active Directory: comment repartir en confiance après une compromission Matthieu Trivier Director of EMEA Pre-Sales @ Semperis 27 octobre 2022 - PARIS IdentityDays 2022
  • 3. Matthieu TRIVIER Director of EMEA Pre-Sales @ Semperis Depuis 15 ans, je discute Identité et Résilience et avec ceux qui veulent bien m’écouter… Mais aussisneakers et maison autonome, pour ceux qui préfèrentun sujetplus léger ☺ • Rappel de la session 2021 et contexte • Active Directory est à l’arrêt: pilule bleue ou pilule rouge? • Remonter une infrastructure AD de manière automatisée et simple, possible ? • Reprendre confiance dans l’identité, sujet crucial ! AGENDA DE LA CONFÉRENCE 27 octobre 2022 - PARIS IdentityDays 2022 A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 4. Rappel de la session 2021 et contexte SEMPERIS.COM
  • 8. Active Directory est à l’arrêt: pilule bleue ou pilule rouge ? SEMPERIS.COM
  • 10. SEMPERIS.COM « Tu prends la pilule rouge: tu restes au Pays des Merveilles, et on descend avec le lapin blanc au fond du gouffre » >> Récupération et remédiation des compromissions « Choisis la pilule bleue et tout s’arrête. Après, tu pourras faire de beaux rêves et penser ce que tu veux. » >> Réinstallation d’un AD « neuf »
  • 11. SEMPERIS.COM Avantages Inconvénients Récupération des objets Récupération des permissions Peu d’impact sur les utilisateurs (un reboot) Sûr de repartir avec un environnement sain Risque de réintroduction du malware Risque de backdoor Recréation de l’ensemble des objets (Quelqu’un a une liste ??) Réapplication du modèle de délégation (Qui a dit cartographie ??) Réinstallationde l’ensemble des postes (Qui a dit AutoPilot ??) Récupération Réinstallation
  • 12. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des autorisations • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 13. Remonter une infrastructure AD de manière automatisée et simple, possible ? SEMPERIS.COM
  • 14. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network
  • 15. • First Level • Second Level • Third Level • Fourth Level SEMPERIS.COM Récupération réduite de plusieurs jours à quelques heures Restauration Propre (sans malware) Récupération Rapide Automatisation Avancée Récupération sans lien avec le matériel Analyse post-attaque (anti-virus AD) + + + + +
  • 16. What Does it Take to Manually Perform a Forest Recovery? 1. Pull the network cables from all DCs or otherwise disable 2. Connect DCs to be restored to a private network (oh yes - establish a global private VLAN) For each domain, 3. Nonauthoritative restore of first writeable DC 4. Auth restore of SYSVOL on that DC 5. Look for malware, etc. Forensic analysis: is it safe to continue? 6. Reset all admin account passwords 7. Seize FSMOs 8. Metadata cleanup of all writeable DCs except for targeted seed forest DCs 9. Configure DNS on the forest root DC 10. Remove the global catalog from each DC. <Wait for GC to unhost…> 11. Delete DNS NS records of DCs that no longer exist 12. Delete DNS SRV records of DCs that no longer exist 13. Raise the RID pool by 100K 14. Invalidate the current RID pool 15. Reset the computer account of the root DC twice 16. Reset krbtgt account twice <seed forest at this point> 17. Configure Windows Time 18. Verify replication health 19. Add GC to a DC for each OS version in each domain <Wait for GCs to host…> 20. Take a backup of all DCs in the seed forest 21. Create an IFM package for each OS version, in each domain, your DCs are running 22. Build out seed forest with additional DCs to support Tier 0 / Tier 1 operations: For each DC to be repromoted into the seed forest, 23. Clean up the (former) DC using /FORCEREMOVAL or rebuild OS 24. Send IFM package to server <Wait> 25. Take the DC off the public network and put it on the seed forest network. 26. Run a DCPROMO IFM <Days pass…> <Large enough forest to support basic operations> 27. Verify health of the full forest 28. Move restored forest to the corporate network Traditional AD Backup tool
  • 17. 116 MB (500 MB uncompressed) Operating System 116 MB (500 MB uncompressed) 11 GB Operating system, other volumes 17.7 GB ADFR vs. other domain controller backups ADFR backups ✓ Contain no OS → no OS-resident malware in recovery ✓ Remove dependence on source hardware → recover anywhere ✓ Are significantly smaller ✓ Provide faster backup and recovery ✓ Require less storage ADFR Other Active Directory BootFile Active Directory BootFile Active Directory BootFile
  • 18. Demo
  • 19. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’accélérer une reprise sûre Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 20. Reprendre confiance dans l’identité, sujet crucial ! SEMPERIS.COM
  • 21. SEMPERIS.COM Quelques exemples de techniques utilisées: • SIDHistory • PrimaryGroupID • AdminSDHolder • ManagedBy • DNSAdmins abuse Le backdooring, deuxième risque majeur après la réinfection par un malware. Maisaussi : • Nested Groups • ACL/ACE Abuse • SYSVOL infection Problèmes de configurationunitaires aka « Indicateurs de compromission» Chemins d’attaquerésiduels
  • 22. • “Tier 0” regroupe l’ensemble des composants qui gèrent les identitéset les privilèges (Contrôleurs de domaine, PKI, AAD Connect, …) • Le Tiering Model ne s’appliquepas uniquement aux données du domaine AD … mais également à tout les membres de ces ADs (serveurs, PCs, …) Source: Microsoft
  • 23. Purple Knight • 100+ Indicateursd’Expositionet de Compromission pour AD et AAD • Pas d’installation (portable),pas de droits d’admin, lecture seule • Rapport PDF/HTML sur la posture de sécurité globale • Intégrationdes recommandationsde l’ANSSI SEMPERIS.COM Forest Druid • Approche novatrice pour faciliter le travaildes défenseurs • Visibilitésur les chemins d’attaquemenant au Tier 0 avec classificationpersonnalisablede la notion de Tier 0 • Export des objets et des relationpour faciliter la remédiation
  • 24. Evaluez rapidement la sécurité d’un AD Indicateurs de sécurité pre- and post-attaque Modèles de menaces basés sur la communauté Plan de remédiation inclus Corrélation avec MITRE ATT&CK/D3FEND & ANSSI + + + +
  • 25. Forest Druid • Solution pour analyser de manière interactive les risques de sécurité liées à AD en suivi une méthode « Inside- Out » • Extrêmement simple à configure et rapide pour collecter les bonnes données AD (permissions, relations entre les objets, …) • Focus sur les objets et les relations qui sont un risque pour le Tier 0 (DC, Admins du domaine, …). • Aide les admins AD à rapidement identifier les relations à risques qui pourraient permettre des attaques ➔ Permet aux admins de facilement identifier et protéger l’ensemble du périmètre privilégié de leur Active Directory!
  • 27. Demo
  • 30. SEMPERIS.COM Deux problématiques sont à adresser L’infrastructure: • Besoin de « remettre en route » les services AD DS • Service d’annuaire • Service d’authentification • Service de temps • Résolutionde noms interne • Quid de l’intégrité des backups ? • Quid du SYSVOL sauvegardé ? → Nécessité d’éradiquer les malwares présents Le référentiel d’identité: • Ensemble des objets • Utilisateurs, Groupes, OUs, … • GPOs • Ensemble des permissions • ACE, ACL, Audit, … • Quid des comptes compromis? • Quid des backdoors ? → Nécessité de reprendre confiance dansl’environnement
  • 31. IdentityDays 2022 27 octobre 2022 - PARIS Questions ? Merci de votre participation ! A la mémoire de L.L., mentor et ami 23/08/1969 - 21/10/2022
  • 32. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022