Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 - PowerPoint PPT Presentation

L’administration en silo Aurélien Bordes SSTIC – 7 juin 2017

« Dessine-moi ton SI » Postes de travail Données Serveurs Produits de VIP « sécurité » Utilisateurs Prestataires 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 2 /35

Acteurs d’un SI • Les ressources • Les utilisateurs • Les administrateurs 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 3 /35

Synopsis d’une intrusion en environnement Active Directory 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 4 /35

Mise en place des niveaux d’administration • ROUGE : • Ressources et serveurs hébergeant des mécanismes d’administration auxquels toutes les ressources des autres niveaux sont adhérentes • JAUNE : • Données métier et serveurs associés (messagerie, fichiers, bases de données, etc.) • Serveurs d’infrastructure • VERT : • Postes de travail et le reste 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 5 /35

Pyramide d’administration en environnement Active Directory Contrôleurs de domaine Administrateurs de domaine Serveurs Applications Administrateurs associés Poste de travail Helpdesk Administrateurs associés 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 6 /35

Méthodes d’élévation • Récupération de secrets d’authentification en mémoire • Réutilisation de mots de passe • Tests de mots de passe prédictibles ou faibles • Attaque sur les secrets des comptes avec des SPN • Attaque sur les secrets des comptes sans pré-authentification Kerberos • Attaque via les délégations d’authentification • Récupération de MS-CACHE • Récupération de fichiers de sauvegarde de l’AD • Scripts dans les GPO • Mot de passe de type cpassword dans les GPO de préférences • Chemins de contrôle (droits sur objets de l’AD) • Pass-the-Hash , Pass-the-Key • Génération de TGT ou de ticket de service • Prise de contrôle des hyperviseurs • WSUS ☺ 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 7 /35

Deux protocoles d’authentification NTLM (msv1_0) Kerberos (Windows Server 2000) (LAN Manager) 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 8 /35

NTLM Mot de passe NTLM LSASS Client Défi Réponse [Défi/Réponse] LSASS LSASS NETLOGON Serveur protégé par NTDS Contrôleur Secure Channel de domaine 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 9 /35

Kerberos AS _REQ AS _REP Mot de passe LSASS [TGT] K C NTDS LSASS Contrôleur TGS _REQ [TGT] de domaine Client TGS _REP [TS] AP _REQ AP _REP [TS] Autre problème : la délégation d’authentification LSASS � À interdire Serveur 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 10 /35

Échanges AS ( AS_REQ/AS_REP ) sans blindage [AS-REQ] *padata: K C [PA-ENC-TIMESTAMP] [PA-ENC-TS-ENC] patimestamp: 20170607101242 req-body: [KDC-REQ-BODY] [AS-REP] K C ticket: [Ticket] (TGT user) enc-part: [EncKDCRepPart] 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 11 /35

Sécurisation de l’authentification Objectifs de sécurité • NTLM : • interdire son utilisation • Kerberos : • ne pas autoriser la délégation d’authentification • Kerberos : • protéger les échanges AS ( AS_REQ / AS_REP ) • Kerberos : • limiter les ordinateurs depuis lesquels les utilisateurs peuvent s’authentifier 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 12 /35

Interdire NTLM – Stratégie globale • Les restrictions NTLM, apparues avec Windows 7, permettent d’interdire globalement NTLM au niveau d’un système 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 13 /35

Interdire NTLM - Utilisation du SID S-1-5-64-10 ( AUTORITE NT\NTLM Authentication ) • Le SID « NTLM » est ajouté dans le jeton de sécurité en cas d’authentification d’un utilisateur via NTLM • Ce SID peut alors être utilisé pour interdire des accès Block-SmbShareAccess -Name ShareName -AccountName "*S-1-5-64-10" 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 14 /35

Interdire la délégation • Pour être mise en œuvre, la délégation nécessite : • d’être activée sur les services • de ne pas être interdite au niveau des utilisateurs 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 15 /35

Nouveaux mécanismes de protection avec Windows ou l’Active Directory • Protected Users Security Group • Blindage Kerberos (Kerberos Armoring) • Revendications (Claims) : • Revendications utilisateurs (User Claims) • Revendications périphériques (Device Claims) • Attributs de ressource (Resource Attributes) • Stratégies d’authentification (Authentication Policies) • Silos d’authentification (Authentication Policy Silos) • Authentification composée (Compound Authentication) 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 16 /35

Protected Users Security Group Windows 8.1 / Windows Server 2012 R2 • Côté client : • Désactivation de la mise en cache des secrets d’authentification (NTLM, CredSSP et Wdigest) • Désactivation de la mise en cache des clés Kerberos • Renouvellement de TGT impossible • Côté KDC (contrôleur de domaine) : • Désactivation de NetLogon (validation NTLM) • Kerberos : désactivation de DES et RC4 • Kerberos : interdiction de la délégation d’authentification � Ajouter à ce groupe les comptes ROUGE 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 17 /35

Sécurisation de l’authentification Objectifs de sécurité � Protected Users • NTLM : • interdire son utilisation � Protected Users • Kerberos : • ne pas autoriser la délégation d’authentification • Kerberos : • protéger les échanges AS ( AS_REQ / AS_REP ) • Kerberos : • limiter les ordinateurs depuis lesquels les utilisateurs peuvent s’authentifier 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 18 /35

Blindage Kerberos Windows 8 / Windows Server 2012 • Implémentation du protocole FAST (Flexible Authentication via Secure Tunneling) • Permet de renforcer la protection des échanges : • AS (AS_REQ/AS_REP) • TGS (TGS_REQ/TGS_REP) • Nécessite un TGT et la clé de session associée pour la protection • Utilisation de celui de la machine 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 19 /35

Requêtes AS_REQ sans blindage [AS-REQ] *padata: K C [PA-ENC-TIMESTAMP] [PA-ENC-TS-ENC] patimestamp: 20170607101242 req-body: [KDC-REQ-BODY] 07/06/2017 /35

Requête AS_REQ avec blindage [PA-ENC-TIMESTAMP] [AS-REQ] TGT computer *padata: ↓ [PA-DATA] [PA-FX-FAST-REQUEST] [PA-FX-FAST-REQUEST] [AP-REQ] K KDC [Ticket] (TGT computer) [EncTicketPart] S C’,K key: S C’,K authenticator: *subkey: S SUB’ enc-fast-req: S SUB’ Armor Key [KrbFastReq] padata: K C [PA-ENC-TS-ENC] req-body: Challenge Key [KDC-REQ-BODY] 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 21 /35

Conséquences du blindage • L’utilisateur ne peut plus générer de requêtes AS_REQ (pas d’accès au TGT de la machine et à S C’,K ) • Seul LSASS peut le faire • Il n’y a plus bloc directement chiffré par K C • Les messages AS ( AS_REQ / AS_REP ) ne sont plus vulnérables • Le KDC dispose du TGT de la machine depuis laquelle l’utilisateur s’authentifie 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 22 /35

Sécurisation de l’authentification Objectifs de sécurité � Protected Users • NTLM : • interdire son utilisation � Protected Users • Kerberos : • ne pas autoriser la délégation d’authentification � Blindage Kerberos • Kerberos : • protéger les échanges AS ( AS_REQ / AS_REP ) • Kerberos : • limiter les ordinateurs depuis lesquels les utilisateurs peuvent s’authentifier 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 23 /35

Stratégies d’authentification Windows Server 2012 R2 • Les stratégies d’authentification permettent d’appliquer des restrictions lors des demandes de TGT et ticket de service : • TGT : limite de la durée de vie du TGT • TS : restriction du To Utilise le TGT de l’ordinateur • TGT : restriction du From présenté grâce au blindage Kerberos [AS-REQ] KDC [PA-FX-FAST-REQUEST] Service AS TGT computer msDS-AuthNPolicy: TGTLifetime AllowedToAuthenticateTo AllowedToAuthenticateFrom 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 24 /35

Démo 1 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 25 /35

Silo d’authentification Windows Server 2012 R2 • Un silo d’authentification permet de simplifier la mise en place des stratégies d’authentification • Un silo d’authentification est caractérisé par : • Un ensemble de machines et d’utilisateurs • Une stratégie d’authentification • La stratégie d’authentification doit autoriser l’authentification des utilisateurs du silo uniquement depuis les machines du silo 07/06/2017 SSTIC 2017 – Aurélien Bordes – L’administration en silo 26 /35

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 - PowerPoint PPT Presentation

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 Dessine-moi ton SI Postes de travail Donnes Serveurs Produits de VIP scurit Utilisateurs Prestataires 07/06/2017 SSTIC 2017 Aurlien Bordes

FG/135/19/PL Demolition of a silo & erection of an office building (B1(a) Business), 6 No.

XAMARIN robin-manuel.thiel@microsoft.com @einRobby 10 INCREDIBLE FACTS ABOUT XAMARIN #1 NO

ccNSO days in ccNSO days in Helsinki Helsinki 15:15 15:00 18:30 8:00 CC Sessions Silo

The Whirlwind Silo Who We Are NXT LEVEL ENERGY is an Energy Management and Consulting Firm.

Enterprise GRC Framework p Unified Approach to Address Silo Cyber Security Landscape

SILO CLEANING SERVICES Introduction Dickinson Group of Companies was founded in 1910 as a

BatchCrypt: Efficient Homomorphic Encryption for Cross-Silo Federated Learning Chengliang Zhang

From Satellite to Silo: The impact of EGNOS on Precision Farming Dr Sally Basker, Booz Allen

What can happen to polymer granules from the supplier's silo to the extruder hopper? Otto

JST-CREST Extreme Big Data Project (2013-2018) Future Non-Silo Extreme Big Data Scientific

Independent Administration I c I can do i it! What is an Independent Administration?

Media Briefing 2 Damage to Majuba power station coal storage silo 7 November 2014 Introduction

The .ae Domain Administration (.aeDA) .ae Domain Administration (.aeDA) The .aeDA was

ENSURING QUALITY CARE MEDICATION ADMINISTRATION Medication administration basics Medical

Federal Aviation Administration Administration Utilizing Technology to Address Changes in

Administration Administration Administrative Vice Chancellor Campus Information Housing &

TAGPMA The Americas Grid Policy Management Authority Drivers Members OS G, Bob Cowles,

Manifest Sharing with Session Types Stephanie Balzer and Frank Pfenning Work in Progress!

LBNF/DUNE Far Site Detector Grounding System Requirements This document sets forth the LBNF

DNS Cache Poisoning Attack Relo loaded: Revolutions wit ith Sid ide Channels Keyu Man, Zhiyun

WHAT ARE WE DOING WITH OUR LIVES? Nobody Cares About Our Concurrency Control Research SIGMOD

Bridging the Gap Between Value and Policy Based Reinforcement Learning Ofir Nachum, Mohammad

And- and Or-Operations A Natural Idea for Double, Triple, etc. We Need

Domain analysis Domain analysis Goal: build an object-oriented model of the real- world

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 - PowerPoint PPT Presentation

Ladministration en silo Aurlien Bordes SSTIC 7 juin 2017 Dessine-moi ton SI Postes de travail Donnes Serveurs Produits de VIP scurit Utilisateurs Prestataires 07/06/2017 SSTIC 2017 Aurlien Bordes

FG/135/19/PL Demolition of a silo &amp; erection of an office building (B1(a) Business), 6 No.

XAMARIN robin-manuel.thiel@microsoft.com @einRobby 10 INCREDIBLE FACTS ABOUT XAMARIN #1 NO

ccNSO days in ccNSO days in Helsinki Helsinki 15:15 15:00 18:30 8:00 CC Sessions Silo

The Whirlwind Silo Who We Are NXT LEVEL ENERGY is an Energy Management and Consulting Firm.

Enterprise GRC Framework p Unified Approach to Address Silo Cyber Security Landscape

SILO CLEANING SERVICES Introduction Dickinson Group of Companies was founded in 1910 as a

BatchCrypt: Efficient Homomorphic Encryption for Cross-Silo Federated Learning Chengliang Zhang

From Satellite to Silo: The impact of EGNOS on Precision Farming Dr Sally Basker, Booz Allen

What can happen to polymer granules from the supplier's silo to the extruder hopper? Otto

JST-CREST Extreme Big Data Project (2013-2018) Future Non-Silo Extreme Big Data Scientific

Independent Administration I c I can do i it! What is an Independent Administration?

Media Briefing 2 Damage to Majuba power station coal storage silo 7 November 2014 Introduction

The .ae Domain Administration (.aeDA) .ae Domain Administration (.aeDA) The .aeDA was

ENSURING QUALITY CARE MEDICATION ADMINISTRATION Medication administration basics Medical

Federal Aviation Administration Administration Utilizing Technology to Address Changes in

Administration Administration Administrative Vice Chancellor Campus Information Housing &amp;

TAGPMA The Americas Grid Policy Management Authority Drivers Members OS G, Bob Cowles,

Manifest Sharing with Session Types Stephanie Balzer and Frank Pfenning Work in Progress!

LBNF/DUNE Far Site Detector Grounding System Requirements This document sets forth the LBNF

DNS Cache Poisoning Attack Relo loaded: Revolutions wit ith Sid ide Channels Keyu Man, Zhiyun

WHAT ARE WE DOING WITH OUR LIVES? Nobody Cares About Our Concurrency Control Research SIGMOD

Bridging the Gap Between Value and Policy Based Reinforcement Learning Ofir Nachum, Mohammad

And- and Or-Operations A Natural Idea for Double, Triple, etc. We Need

Domain analysis Domain analysis Goal: build an object-oriented model of the real- world

FG/135/19/PL Demolition of a silo & erection of an office building (B1(a) Business), 6 No.

Administration Administration Administrative Vice Chancellor Campus Information Housing &