1.Analyse
Le point commun des attaques fructueuses se base sur 3 points :
- Motivation - Avoir une raison d'attaquer le système
- Méthode - Avoir les capacités techniques pour s'introduire dans
le système
- Opportunité- Avoir le temps et l'accès pour attaquer
Voici les attaques les plus courantes :
- le spoofing: Usurper une entité, se faire passer pour quelqu'un d'autre
- le tampering - Modifier des données sans autorisation
- l'élévation des privilèges - Une entité interne
ou externe non autorisée élève ses droits dans le but d'accéder
aux ressources protégées.
- Denial of service - Perte de l'accès au service pour les utilisateurs,
connexion au système impossible
SAVIEZ VOUS QUE 80% DES ATTAQUES PROVIENNENT DE VOTRE RESEAU INTERNE.
Avant de se protéger faut il encore savoir d'où vient
le danger ?
Les types d'utilisateurs du réseau
Quels sont les différents types d'utilisateurs de votre réseau?
Quels sont leurs droits et champ d'activité via Active Directory ?
Quel est le positionnement de l'attaquant ? Qu'est il en mesure de faire si
celui-ci parvient à obtenir l'un de ces rôles ?
Quels champs d’actions pour :
L'utilisateur anonyme
- Lire et écrire des données en passant par LDAP (Possible par
défaut dans Windows 2000 serveur, doit être configurer dans Windows
2003 serveur)
- Lister les différents contrôleurs de domaines
- Lister les règles de sécurité pour un compte utilisateur
- Attaque d'un compte avec crack de mot de passe, identification d'un compte
utilisateur grâce au SID
- Altérer les performances du contrôleur de domaine en inondant
de paquet dans le but de le rendre hors service( flood)
L'utilisateur authentifié
- Lire et écrire toutes données possibles dans toutes les partitions
Active Directory
- Par défaut tous les utilisateurs peuvent lire le descripteur de sécurité
sur toutes les classes d'objets
- Attaque par DoS, flooder le contrôleur de domaine avec des demandes
de connection ou des requêtes LDAP
- Modification des propriétés de certains objets dans le but de
consommer le maximum de place sur le disque dur du contrôleur de domaine
Le délégué d'administration
- Administrer les permission pour n'importe quel utilisateur sur n'importe quel
objet de l'étendue sur laquelle le délégué à
les droits d'administration
- Réinitialiser les mots de passe
- Modifier les paramètres de sécurité des utilisateurs
et des ordinateurs (mots de passe, accès, logon)
- Administration des stratégies de groupe
L'administrateur de l'entreprise
- L'administrateur est le gardien de la forêt
- Possibilité d'administrer toutes les tâches
- Accès et obtention du contrôle total sur tous les objets stockés
et protégés par Active Directory
- Exécution d'un code malicieux sur un contrôleur de domaine
- Lecture, écriture, modification et suppression sur n'importe quelle
ressource de la forêt
- Passer outre, désactiver les ACL, les audits, modification des rôles
FSMO, lecture sur les partitions
- Bootez sur le contrôleur de domaine en mode restauration, et éditer
des fichiers système hors ligne.
Cependant, il n'est pas nécessaire d'avoir un rôle utilisateur
spécifique pour attaquer un système, en effet le fait d'accéder
physiquement au contrôleur de domaine peut entraver le bon fonctionnement
de votre système.
- Débrancher la prise électrique ou la prise réseau
- Redémarrez le serveur sur un autre système d'exploitation
- Changer la séquence de boot
- Redémarrez le contrôleur de domaine pour éditer Active
directory
- Sauvegarde de la base de compte, utilisation d'un utilitaire de cassage de
mot de passe avec la sauvegarde
- Installation d'un keylogger
- Destruction ou vol d'un contrôleur de domaine
 Introduction
1.Analyse
2.Les règles (1)
3.Les règles (2)
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tech-Ed 2004 : Sécuriser Active Directory en 10 étapes
