L’objectif de cette formation est d’apprendre et de comprendre les techniques les plus courantes permettant la compromission d’un environnement Active Directory, leurs causes, et comment y remédier. Cette formation simule la réalisation d’un test d’intrusion interne, du branchement du poste sans aucun compte de domaine valide, à la compromission totale de la forêt via l’obtention des privilèges d’administrateur de l’entreprise.
Plusieurs techniques seront présentées et expliquées pour chacune des étapes de cette compromission, avec pour la plupart une mise en pratique des attaques par les participants.
Objectifs pédagogiques
- Connaître les principales failles liées aux réseaux internes basés sur Active Directory
- Savoir détecter la présence des failles présentées
- Acquérir les bonnes pratiques sécurité d’administration
Programme
Jour 1
- Introduction : pourquoi cibler Active Directory
- Protocoles d’authentification (NTLM et Kerberos)
- Principaux protocoles applicatifs (LDAP, SMB et RDP)
- Obtenir un premier compte de domaine
- Techniques :
- Obtenir une réponse NTLM avec des empoisonnements réseau : ARP, DHCPv4/v6, LLMNR, NBT-NS, mDNS
- Casser ou relayer cette réponse NTLM
- Obtention d’une liste d’utilisateurs (via relai, NULL sessions, Kerbrute), afin de mettre en place du password spraying ou ASREPRoasting
- Énumérations réseau : applications web et services réseau
- Outils :
- Responder
- Impacket
- Bettercap
- Mitm6
- Kerbrute
- Wireshark
- Accès supplémentaires obtenus grâce à un compte de domaine
- Techniques :
Jour 2
- Obtenir les droits d’administrateur local sur des machines
- Techniques :
- Relais d’authentification NTLM vers LDAP (RBCD, Shadow Credentials), ADCS et SMB
- Kerberoast
- Elévation locale de privilèges (PrivescCheck)
- Downgrade NTLMv1
- Défauts de mises-à-jour (PrintNightmare, MS17-010)
- Disque non chiffré sur un poste utilisateur
- Outils :
- BloodHound
- Pingcastle
- Impacket
- PrivescCheck
- Accès supplémentaires obtenus grâce à un accès administrateur local
- Techniques :
Jour 3
- Élever ses privilèges sur le domaine
- Techniques :
- Mouvements latéraux (WMI, SMB, WinRM)
- Sessions d’administrateurs ouvertes sur des machines
- Extraction des mots de passe de comptes de service et tâches planifiées
- Extraction des empreintes de mots de passe en cache
- Délégations Kerberos
- Modèles de certificats ADCS
- Défauts de mises-à-jour (ZeroLogon, SamAccountName Spoofing, Certifried)
- Élévation de privilèges intra-forêt : domaine enfant vers domaine parent.
- Outils :
- Rubeus
- Impacket
- Certipy
- Techniques :
- Attaquer des relations d’approbation
- Techniques :
- SID Filtering
- TGT Delegation
- Réutilisation de mot de passe
- Comptes inter-forêts dans des groupes d’administration
- Techniques :
Evaluation des acquis
- Validation en cours de formation via la réalisation d’exercices pratiques
- Réalisation d’un questionnaire en ligne final recouvrant l’ensemble des notions apprises
Les plus de la formation
- Une formation dispensée par un expert en sécurité Active Directory ayant réalisé de nombreux tests d’intrusions internes
- Mises en pratique réalisées par les participants eux-mêmes
Public
- Équipe d’administrateurs systèmes et réseaux
- Équipe de sécurité des systèmes d’information
- Équipe support utilisateurs
Prérequis
Notions de base en informatique :
- Réseau (protocoles, modèle OSI, etc.)
- Environnement Active Directory
- Système d’exploitation Windows
Modalités et délai d’accès
Le stagiaire est considéré inscrit lorsque :
- Les prérequis et besoins sont identifiés et validés
- La convention de formation signée
Les demandes d’inscription peuvent être envoyées jusqu’à 10 jours ouvrés avant le début de la formation
Accessibilité
Que vous soyez reconnu en situation de handicap ou pas, rendre notre formation accessible à toutes et à tous fait partie de notre engagement.
Si vous avez besoin d’une compensation ou adaptation pour le contenu, les supports, le « lieu », le matériel utilisé, les horaires, le rythme, nous sommes à votre écoute.
Durée
3 jours
Tarif
2750€ HT
Financement
Prise en charge OPCO