ManageEngine - logiciels administration SI : securité

Nous avons couvert une pléthore de sujets sur l'Active Directory (AD) dans les parties une à neuf de cette série sur l'Active Directory Domain Services.

Dans cette dernière et dixième partie, nous allons nous pencher sur un autre aspect crucial de l'AD : les stratégies de groupe et les objets de stratégie de groupe (GPO). Nous verrons ce que sont les stratégies de groupe et le rôle que jouent les GPO dans la configuration efficace de tout environnement AD.

Que sont les stratégies de groupe et les GPO ?

Les stratégies de groupe sont les moyens centralisés par lesquels les administrateurs AD gèrent et contrôlent les configurations et les paramètres qui sont appliqués aux utilisateurs et aux comptes ordinateur dans une infrastructure AD. Les stratégies de groupe sont les moyens désignés qui aident à atteindre et à améliorer la sécurité des données AD.

Les GPO sont des objets conteneurs AD qui représentent une collection de paramètres de stratégie de groupe. Chaque groupe de paramètres connexes est désigné comme une GPO dans une configuration AD. Cette approche facilite la gestion des stratégies de groupe.

La GPMC (Group Policy Management Console) est un outil disponible via le tableau de bord du Server Manager. La GPMC aide à la création, gestion et suppression des GPO, ce qui est similaire aux fonctionnalités offertes par d'autres outils tels que l'Active Directory Administrative Center (ADAC) qui aident à la gestion du cycle de vie des comptes utilisateur et ordinateur.

La bonne pratique consiste à appliquer les GPO séparément aux comptes ordinateur et aux comptes utilisateur. En examinant de plus près la manière dont les GPO sont appliquées, vous constaterez que les stratégies et les préférences sont deux catégories sous lesquelles les paramètres GPO sont configurés à la fois pour les utilisateurs et les ordinateurs. Cette sous-catégorie de paramètres constitue en définitive toute GPO.

La figure 1 ci-dessous est une capture d'écran de la GPMC. Elle montre les différents paramètres classés sous les onglets Policies and Preferences.

Figure 1. Cette capture d'écran montre la console GPMC avec les différents paramètres sous Policies and Preferences. Ceux-ci sont applicables à la fois aux configurations des utilisateurs et des ordinateurs.

Stratégies

Les stratégies concernent les paramètres Windows et d'autres paramètres de livraison de logiciels que les administrateurs utilisent pour contrôler les installations de logiciels. Ils utilisent également les stratégies pour surveiller les stratégies locales et les journaux d'événements.

➤ Ces paramètres sont contrôlés de manière centralisée ; les utilisateurs individuels n'ont généralement pas la possibilité de modifier ces paramètres.

➤ Les exemples incluent les stratégies de mot de passe, les stratégies de verrouillage de compte et les configurations de stratégie d'audit avancées.

Préférences

Les préférences sont des configurations d'administration telles que la gestion des fichiers et des dossiers, les paramètres de partage réseau qui peuvent être modifiées par les utilisateurs individuels connectés au domaine.

➤ De manière générale, ces paramètres sont de nature plus flexible.

➤ Parmi les exemples de préférences, citons la configuration du panneau de configuration, l'accès à un aperçu des diverses applications en cours d'exécution et le mappage des lecteurs de stockage partagé.

Les stratégies et préférences des objets utilisateur et ordinateur doivent être examinées individuellement par l'administrateur AD. Par le biais de la GPMC, elles doivent être activées ou désactivées, et liées à toute GPO nouvellement créée ou préexistante. Ce n'est qu'ensuite que ces GPO peuvent être liées à des domaines AD, des unités d'organisation ou des sites AD spécifiques. Ceci constitue la conception de la topologie architecturale AD. La figure 2 ci-dessous illustre les étapes de la configuration des GPO.

Figure 2. Lien entre les GPO et les domaines, unités d'organisation ou sites AD.

La sécurité AD et ses liens avec les stratégies de groupe

Depuis la Partie 7 de cette série de blogs, nous avons abordé divers sujets liés à la cybersécurité. Maintenant, nous allons mieux comprendre comment la sécurité AD est liée aux stratégies de groupe. Nous allons tout d'abord examiner comment les GPO sont exploités par les cyberattaquants pour prendre le contrôle de l'environnement AD.

Si les GPO permettent incontestablement une administration efficace de l'environnement AD, leur catégorisation détaillée et les descriptions individuelles de tous les paramètres GPO disponibles dans la GPMC en font une cible lucrative pour les pirates AD, même les plus novices.

Une fois que les acteurs malveillants ont réussi à pénétrer illégalement dans l'AD, le mouvement latéral et l'élévation de privilèges qui s'ensuit sont possibles. La plupart des techniques d'élévation de privilèges et de mouvement latéral impliquent d'accéder aux protocoles de sécurité définis par les GPO et d'en prendre le contrôle.

Il existe des outils de reconnaissance tels que BloodHound et d'autres outils de script open-source tels que Mimikatz que les pirates peuvent utiliser pour obtenir une liste des GPO dans un réseau AD. Ces outils révèlent le chemin le plus court que les pirates peuvent emprunter pour atteindre les résultats qu'ils souhaitent, y compris celui de l'élévation de privilèges. Cela leur permet d'accéder à presque tous les groupes restreints et hautement sensibles, y compris le groupe très convoité des administrateurs du domaine. C'est ainsi qu'ils mettent la main sur les clés du royaume !

Lorsqu'elles sont exploitées, les GPO peuvent permettre aux pirates de mener de nombreuses autres activités à partir du réseau AD compromis. Les pirates peuvent :

• Accéder aux données AD et les utiliser hors ligne pour planifier des attaques secondaires et personnalisées.
• Falsifier diverses stratégies de mot de passe, des paramètres de verrouillage de compte et d'autres paramètres de compte pour lancer des attaques par déni de service.
• Compromettre les listes de contrôle d'accès aux fichiers (ACL) pour accéder à des données hautement sensibles.
• Exploiter les ACL de sécurité pour s'immiscer dans les appartenances aux groupes de l'environnement AD.
• Déployer des ransomwares après avoir compromis les paramètres de sécurité des GPO. Le chiffrement des fichiers commence peu après, ce qui constitue l'essence même des attaques de ransomware prévues.

Nous savons maintenant que les GPO permettent aux pirates d'accéder aux contrôleurs de domaine, aux périphériques réseau partagés et à tous les terminaux connectés à l'AD. Les données stockées dans l'AD sont comme une mine d'or pour les pirates. Les GPO sont des points de départ intéressants dans leur quête de compromission de la configuration AD. Pour cette raison, les GPO ne peuvent pas faire l'objet de négligence.

Ceci conclut la série de 10 articles sur l'Active Directory Domain Services. L'AD a un rôle très important à jouer pour assurer la sécurité d'une entreprise contre les cybermenaces, mais aussi pour garantir sa santé opérationnelle. Grâce à cette série de blogs, j'espère que vous êtes bien équipé et que vous avez acquis une base solide sur les différents concepts AD. J'espère que vous pouvez maintenant travailler avec l'AD de la manière la plus efficace possible.

À vrai dire, il n'y a pas de limite à l'apprentissage en matière d'AD. Si cette série de blogs s'achève, pour vous, ce n'est qu'un début.

Avez-vous examiné certaines des attaques Active Directory (AD) les plus connues dans le monde ?

Comprenez-vous les nuances de ces attaques populaires et pouvez-vous mettre à profit les principes fondamentaux de l'AD que vous avez appris dans les parties précédentes de cette série de blogs ?

Après avoir lu les méthodologies de violation AD et les types d'attaque dans la Partie 8, découvrons certaines des violations de sécurité AD récentes les plus importantes au monde. Les failles de sécurité affectent en fin de compte un ou plusieurs éléments de la triade de la sécurité des données - confidentialité, intégrité et disponibilité des données. Pour réaliser une brèche, les cyberattaquants s'efforcent d'accéder aux utilisateurs, applications et données, qui sont tous contrôlés par les services d'annuaire de l'entreprise. C'est pourquoi l'AD est une cible de choix pour la compromission.

Ces trois exemples récents d'attaques AD dans le monde réel exposent les vulnérabilités auxquelles de nombreuses entreprises sont confrontées dans le monde entier :

• Une cyberattaque de la chaîne d'approvisionnement dans une grande entreprise de technologie de l'information.
• Une violation des données d'un tiers ayant un impact sur une entreprise automobile réputée.
• Une violation de la sécurité dans un groupe hôtelier renommé.

Allons droit au but.

Une cyberattaque de la chaîne d'approvisionnement dans une grande entreprise de technologie de l'information.

De plus en plus, les activités malveillantes dans la chaîne d'approvisionnement informatique d'une entreprise entraînent des répercussions inimaginables pour l'entreprise mère ainsi que pour ses clients. Voici ce qui s'est passé lorsqu'une entreprise informatique de premier plan a été exploitée.

• Les cyberattaquants ont d'abord obtenu un accès non autorisé à des comptes utilisateur sur le réseau de l'entreprise en utilisant un compte utilisateur vulnérable et potentiellement désactivé. Certains rapports suggèrent qu'un compte Microsoft Office 365 déjà compromis a été réutilisé pour accéder au réseau de l'entreprise.
• Après avoir obtenu cet accès initial, les pirates n'ont pas été détectés dans l'environnement AD, mais sont restés vigilants quant à l'ensemble des activités réseau en cours.
• Pendant cette période de "lying low", les pirates ont obtenu des privilèges d'accès élevés aux ressources réseau, notamment aux serveurs et aux logiciels. Ils ont testé leur plan d'attaque en injectant un code malveillant qui accède à diverses applications et les modifie. Ce code malveillant visait le logiciel phare de l'entreprise et a entraîné la livraison de mises à jour altérées.
• À ce stade, les pirates ont également établi des portes dérobées à l'aide de programmes malveillants afin de contourner les protocoles d'authentification standard et les autres mesures de sécurité en place.
• Une fois cette première opération terminée, les pirates se sont rétractés. Ils ont à nouveau trouvé le moyen de pénétrer dans le réseau de l'entreprise des mois plus tard. Cette stratégie a donné aux pirates suffisamment de temps pour évaluer l'étendue de la propagation du malcode injecté.
• L'intégration AD-DNS a été exploitée. Les pirates ont surveillé et manipulé la topologie DNS pour déterminer les serveurs de noms de domaine de premier niveau à exploiter, notamment les cibles point gov et point com.
• La cyberactivité a repris à travers la porte dérobée qui a été créée. Cette porte dérobée a permis aux pirates de rester dans le réseau compromis afin de pouvoir y pénétrer à nouveau en cas de besoin, de se déplacer latéralement et de continuer à élever leurs privilèges pour causer d'autres dommages.
• Le plan principal consistait maintenant à faire en sorte que le code malveillant, qui faisait désormais partie des mises à jour du système et d'autres logiciels associés, se propage de l'entreprise informatique à ses clients. Certaines agences gouvernementales clés et des entreprises privées de premier plan ont été ciblées de cette manière.
• Le code malveillant a eu pour effet d'affecter le schéma AD. Il y a même eu un scénario dans lequel les données les plus fondamentales de l'AD, c'est-à-dire les propriétés des comptes utilisateur, comme le numéro de téléphone associé aux comptes utilisateur, ont été altérées.
• La mise à jour compromise et défectueuse a permis aux pirates de contrôler les comptes concernés, de modifier les stratégies et les préférences, et d'étendre leur botnet.
• Les pirates pouvaient désormais espionner les réseaux de plusieurs entreprises à la fois et maintenir une communication constante avec les serveurs de commande et de contrôle nouvellement établis.
• Cette cyberattaque a démontré certaines des conséquences les plus néfastes d'une attaque de la chaîne d'approvisionnement.
• Après que l'entreprise informatique a ignoré de multiples signes d'alerte, l'activité malveillante a finalement été signalée par l'un de ses clients.
• S'en est suivie une période de reconnaissance intensive, de remédiation et de répercussions tangibles et intangibles pour l'entreprise informatique.

Une attaque par violation des données d'un tiers a eu un impact sur une entreprise automobile internationale

La manière dont les stratégies de cybersécurité d'une entreprise sont adoptées et leur efficacité dépendent de la proactivité ou de la réactivité d'un fournisseur tiers dans la protection de ses vecteurs d'attaque.

Il est essentiel d'exiger que les tiers procèdent à une solide évaluation des risques. Les brèches de sécurité resteront nombreuses tant que les entreprises ne veilleront pas à ce que les évaluations de sécurité des fournisseurs soient obligatoires.

Une étude de cas récente est détaillée ici. L'une des filiales d'une entreprise automobile internationale a été victime d'une violation de données à cause de son fournisseur tiers.

Voici ce qui s'est passé :

• Un fournisseur tiers disposant d'un accès privilégié au service d'annuaire d'une entreprise automobile accédait régulièrement à l'environnement AD du client pour des opérations commerciales spécifiques.
• Il n'a pas été déterminé si l'accès accordé par l'entreprise automobile au fournisseur était basé sur des rôles.
• Une approche Zero Trust aurait dû être suivie pour établir un environnement à moindre privilège. Les risques d'utilisation abusive de données hautement sensibles étaient implicitement élevés, ce qui rendait l'ensemble de l'écosystème AD vulnérable aux failles de sécurité.
• Le fournisseur, avec ou sans intentions malveillantes, a laissé certaines des données hautement sensibles non sécurisées sur Internet pendant une période prolongée.
• Cette violation de données a exposé des informations confidentielles, ouvrant la voie à d'éventuels cas d'usurpation d'identité et à d'autres conséquences graves résultant de la compromission d'informations personnelles.
• Le fournisseur, par sa négligence, a causé de nombreuses infractions liées à la conformité qui ont eu un impact négatif sur son client.
• La société automobile a subi des pertes financières et de réputation pour atténuer les dommages causés à ses clients en raison de la violation de données.

Une violation de la sécurité dans un groupe hôtelier renommé

Les entreprises, en particulier dans le secteur de l'hôtellerie, ont besoin d'une maintenance régulière de leurs bases de données pour assurer leur bon fonctionnement au quotidien.

Les décisions stratégiques, telles que les fusions et les acquisitions, transforment souvent complètement la topologie des AD et nécessitent une solution robuste de surveillance de la sécurité pour garantir que les données ne sont pas compromises.

Les conséquences d'un événement indésirable en matière de cybersécurité qui pourrait survenir à la suite d'une fusion, le cas échéant, peuvent être catastrophiques.

C'est ce qui s'est passé pour un groupe hôtelier renommé "X" ; un événement qui a eu de graves conséquences après sa fusion très médiatisée avec un autre leader du marché, "Y", à l'époque.

Voici comment s'est déroulée l'attaque de sécurité :

• L'attaque a été initiée comme une attaque AD typique : Un utilisateur vulnérable, bien que disposant apparemment de faibles privilèges, a d'abord été compromis pour obtenir un accès initial au réseau du groupe hôtelier Y.
• Les rapports indiquent que cette compromission initiale a été réalisée bien plus tôt, des années avant qu'une fusion avec le groupe hôtelier X ne soit envisagée.
• Les pirates, nous le savons maintenant, ont inséré un code malveillant, un Trojan d'accès à distance, soit par le biais d'un e-mail de phishing, soit en utilisant l'outil de script open source Mimikatz.
• Ils ont ensuite pris le contrôle d'autres comptes utilisateur avec des privilèges administrateur et ont eu accès à des bases de données hautement confidentielles et sensibles.
• À ce stade, la fusion a finalement pris forme. Ce que nous savons maintenant, c'est que malgré la fusion, l'infrastructure informatique de la société Y a continué à être utilisée.
• Après des années passées inaperçues, l'équipe de sécurité du groupe hôtelier X a découvert une activité anormale des pirates. Une requête habituelle de la base de données pour accéder à la base de données de l'entreprise Y a été détectée, déclenchant une notification de drapeau rouge à l'équipe de sécurité et l'alertant d'une activité réseau potentiellement suspecte.
• Le groupe hôtelier X a alors pris des mesures correctives.
• Il a été révélé que les pirates avaient maîtrisé la base de données et volé les informations personnelles de plus d'un million de clients grâce à une période prolongée de surveillance non autorisée de l'activité réseau avant et après la fusion.
• Ce vol massif de données a ouvert la voie à de nombreuses conséquences potentiellement désastreuses pour les clients des groupes hôteliers X et Y.
• L'absence de tout système de surveillance de la sécurité, d'abord au sein du groupe hôtelier Y, ce qui a permis aux pirates de ne pas être détectés pendant tout ce temps, puis au sein du groupe hôtelier X après la fusion, lorsque l'escroquerie a été révélée, est devenue un point noir très discuté dans l'histoire de la réputation de cette marque.

Il s'agit de trois attaques sur lesquelles je voulais attirer votre attention pour vous faire comprendre à quel point une compromission de votre infrastructure AD peut être fondamentale mais aussi catastrophique. Les trois attaques, la méthodologie de chacune d'entre elles et leur impact reflètent certaines des plus grandes leçons en matière de cybersécurité aujourd'hui.

La plupart des cyberattaques ciblent l'environnement AD. Ce n'est que par la connaissance et l'application que vous pouvez intégrer et maintenir les principes de sécurité et de cybersécurité pour mieux protéger votre AD.

La sécurité des AD exige que vous en fassiez une priorité.

Nous sommes heureux d'annoncer que ManageEngine a été récompensé dans trois catégories différentes par le Business Intelligence Group dans le cadre de ses 2022 Fortress Cyber Security Awards. C'est un moment de fierté pour nous de voir deux de nos solutions, AD360 et Log360, remporter de nouveaux prix.

AD360 a été déclaré gagnant dans la catégorie "Authentication and Identity", et Log360 a été récompensé dans les catégories "Threat Detection" et "Incident Response". Les Fortress Cyber Security Awards sont conçus pour récompenser les entreprises et les produits qui prennent des mesures concrètes pour déjouer les attaques tout en gardant une longueur d'avance sur le paysage des menaces.

Comment et pourquoi les pirates ciblent-ils l'Active Directory (AD) d'une entreprise ?

Ce blog, qui constitue la Partie 8 de la série Une approche pratique de l'Active Directory Domain Services, vous apportera les réponses. Dans cette partie, nous examinerons ce que les pirates gagnent en compromettant la configuration AD. Nous examinerons également certains des moyens les plus courants de compromettre l'AD.

Si vous avez fait des recherches sur l'Active Directory (AD), il est fort probable que vous ayez rencontré le concept Kerberos pour l'authentification des utilisateurs et d'autres fonctionnalités liées aux demandes de service.

Il est intéressant d'examiner en profondeur le protocole Kerberos et, par conséquent, d'apprécier la dépendance de l'AD vis-à-vis de Kerberos. Étant donné que Kerberos est une norme industrielle, vous constaterez qu'il est devenu le protocole d'authentification réseau le plus largement utilisé dans tous les environnements Windows avec les systèmes d'exploitation 2000 et ultérieurs. Il est essentiel de se familiariser avec l'authentification Kerberos pour mieux comprendre ce protocole.

La vulnérabilité zero-day Windows récemment découverte continue de faire parler d'elle, car les acteurs malveillants du monde entier s'acharnent à l'exploiter. La vulnérabilité, baptisée Follina, peut être exploitée lorsque le Microsoft Support Diagnostic Tool (MSDT) est appelé par une application Microsoft Office à l'aide du protocole URL.

Dans les six premières parties de cette série de blogs, nous avons posé les bases pour commencer à travailler avec l'Active Directory (AD) et à le gérer. Une fois les bases posées, il est temps d'explorer la relation entre la cybersécurité et l'AD.

En poussant cette série un peu plus loin, ce blog donne un aperçu des considérations de conception qui sont importantes pour sécuriser votre infrastructure AD contre les failles de sécurité potentielles. Nous allons maintenant explorer les quatre aspects d'une attaque basée sur l'AD : qui, quoi, quand et où dans une analyse des causes profondes.

Si vous reconnaissez l'importance de surveiller votre AD et de garantir sa sécurité, ce blog est fait pour vous.

Les nouveaux utilisateurs créés sur un contrôleur de domaine (DC) d'un environnement Active Directory (AD) sont-ils parfois supprimés par erreur après quelques minutes seulement par les DC d'autres sites au sein d'une forêt AD ?

Les modifications apportées dans un site AD particulier sont-elles parfois réécrites par les DC d'autres sites ? Les objets AD peuvent-ils être identifiés par erreur ?

Un compte utilisateur AD, par exemple, avec tous ses attributs associés, peut-il être la réplique d'un autre compte utilisateur ?

De tels scénarios conflictuels se produisent-ils dans une configuration AD qui fonctionne bien ?

Avec les questions ci-dessus à l'esprit, creusons un peu plus.

Cette série de blogs sur l'Active Directory Domain Services (AD DS) est conçue pour vous aider à acquérir une bonne connaissance pratique de ce qu'est l'Active Directory (AD). Chaque blog successif fait la lumière sur certains aspects de l'AD. Tous les blogs sont conçus de manière à inclure le bon mélange de bases théoriques AD et d'exercices pratiques utiles.

Dans les premières parties de cette série de blogs, il est apparu clairement que l'AD DS, installé dans un environnement Windows, offre de nombreux avantages aux entreprises. L'introduction AD DS rend la gestion des autorisations et des privilèges d'accès très efficace. Les administrateurs peuvent également surveiller de manière centralisée les données stockées dans l'AD.

Les objets Active Directory (AD) sont rarement gérés comme des entités autonomes. Dans la Partie 3 de cette série, nous avons abordé des exercices pratiques pour créer et gérer deux des objets AD les plus critiques, à savoir les utilisateurs et les ordinateurs, après avoir configuré un environnement AD sur des machines virtuelles.

Pour gérer l'AD efficacement, il est impératif d'avoir des connaissances et une expérience pratique des groupes AD et des unités d'organisation (OU). Dans cette quatrième partie de notre série, nous allons approfondir ce point.