Windows AD Attacks Scenario
Durée de l'examen de certification : 8 heures
Tous les cours et tous les modes sont disponibles avec formateur [Présentiel & Distanciel] et sans formateur [Autonomie].
MAIN
Dans le scénario Windows Active Directory Attacks (SWADA), vous observez plusieurs attaques visant des utilisateurs et des machines membres d’un domaine Active Directory. L’objectif principal des attaquants est d’obtenir des privilèges d’Administrateur du domaine. Votre mission est de détecter les activités suspectes et de prévenir ces attaques. Vous devez renforcer la configuration de sécurité d’Active Directory pour atténuer les vulnérabilités. La maîtrise de la gestion des stratégies de groupe (GPO) et de l’administration des comptes AD est requise.
Abus d’identifiants admin extraits d’un fichier sur SYSVOL
Identifiez et supprimez le script contenant un mot de passe dans le répertoire SYSVOL, puis durcissez la configuration d’Active Directory pour empêcher ce type d’abus.
Compte ordinateur en groupe Admin — exécution d’un stager RAT sur le DC
Révoquez les privilèges de débogage du compte Administrateur local. Détectez et corrigez les erreurs de configuration, notamment l’ajout de comptes ordinateurs à des groupes à privilèges élevés non destinés à l’administration.
Mauvaise utilisation d’un compte utilisateur membre d’un groupe Admin
Détectez et supprimez les erreurs de configuration consistant à ajouter des comptes utilisateurs à des groupes à privilèges élevés alors qu’ils ne sont pas destinés à des activités d’administration (exécution de stager Empire observée).
Pivot via Admin local (abus des Group Policy Preferences)
Bloquez l’utilisation du compte Administrateur local via le réseau et supprimez tout mot de passe stocké dans les Group Policy Preferences (GPP).
Exécution d’un script malveillant sur le DC
Vérifiez l’accès aux contrôleurs de domaine et révoquez les droits des comptes destinés au travail bureautique (non administratifs). Durcissez la configuration d’AD pour réduire la surface d’attaque.
Comptes Administrateur surdimensionnés
Localisez les comptes d’administrateurs du domaine, empêchez leur délégation et bloquez l’usage du compte Administrateur local via le réseau. Renforcez la configuration d’Active Directory (GPO, comptes, services) pour limiter les abus de privilèges.
Compte de service surdimensionné — attaque DCSync
Recherchez les objets ayant le droit de répliquer les changements entre contrôleurs de domaine et retirez ces permissions des objets qui ne devraient pas les posséder (réduction du risque DCSync).
Password spraying via protocole Kerberos
Mettez en place une stratégie de mots de passe appropriée et un verrouillage automatique après plusieurs échecs d’authentification afin de contrer le password spraying sur Kerberos.
Connexion d’un compte de service au DC et exécution d’un stager Empire
Supprimez ou désactivez le compte de service concerné, vérifiez les accès aux contrôleurs de domaine et révoquez les droits inadaptés accordés à des comptes non administratifs.
Identifiants admin depuis une sauvegarde NTDS.dit sur partage public
Localisez et supprimez une sauvegarde de l’état du système (NTDS.dit) laissée sur un partage réseau. Renforcez AD (GPO, comptes) pour éviter l’exfiltration et l’abus d’identifiants d’administration.
Escalade de privilèges par un membre d’Account Operators
Détectez et corrigez les erreurs de configuration : retirez des groupes à privilèges les comptes qui n’ont pas vocation à réaliser des tâches d’administration.
Kerberoast (craquage de mots de passe TGS)
Identifiez les comptes de service et convertissez-les en Managed Service Accounts (MSA). Supprimez ou désactivez ensuite l’ancien compte de service pour réduire l’attaque Kerberoast.
Relais NTLM — cas d’usage SMB relay
Prévenez les attaques de relais NTLM par une configuration adéquate des politiques de sécurité (désactivation de LM/NTLM là où possible, SMB signing, etc.) et un durcissement global d’Active Directory.