Add to collection(s) Add to saved
  1. No category
Uploaded by John Jack

SSTIC2017-Slides-administration en silo-bordes

advertisement 
L’administration
en silo
Aurélien Bordes
SSTIC – 7 juin 2017
« Dessine-moi ton SI »
Postes de
travail
Données
Serveurs
VIP
Utilisateurs
Produits de
« sécurité »
Prestataires
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
2 /35
Acteurs d’un SI
• Les ressources
• Les utilisateurs
• Les administrateurs
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
3 /35
Synopsis d’une intrusion en environnement
Active Directory
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
4 /35
Mise en place des niveaux d’administration
• ROUGE :
• Ressources et serveurs hébergeant des mécanismes
d’administration auxquels toutes les ressources des
autres niveaux sont adhérentes
• JAUNE :
• Données métier et serveurs associés (messagerie,
fichiers, bases de données, etc.)
• Serveurs d’infrastructure
• VERT :
• Postes de travail et le reste
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
5 /35
Pyramide d’administration
en environnement Active Directory
Contrôleurs de domaine
Administrateurs de domaine
Serveurs
Applications
Administrateurs associés
Poste de travail
Helpdesk
Administrateurs associés
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
6 /35
Méthodes d’élévation
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Récupération de secrets d’authentification en mémoire
Réutilisation de mots de passe
Tests de mots de passe prédictibles ou faibles
Attaque sur les secrets des comptes avec des SPN
Attaque sur les secrets des comptes sans pré-authentification Kerberos
Attaque via les délégations d’authentification
Récupération de MS-CACHE
Récupération de fichiers de sauvegarde de l’AD
Scripts dans les GPO
Mot de passe de type cpassword dans les GPO de préférences
Chemins de contrôle (droits sur objets de l’AD)
Pass-the-Hash, Pass-the-Key
Génération de TGT ou de ticket de service
Prise de contrôle des hyperviseurs
WSUS ☺
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
7 /35
Deux protocoles d’authentification
NTLM (msv1_0)
(LAN Manager)
07/06/2017
Kerberos
(Windows Server 2000)
SSTIC 2017 – Aurélien Bordes – L’administration en silo
8 /35
NTLM
Mot de passe
NTLM
LSASS
Client
Défi
Réponse
[Défi/Réponse]
LSASS
Serveur
07/06/2017
NETLOGON
protégé par
Secure Channel
LSASS
Contrôleur
de domaine
SSTIC 2017 – Aurélien Bordes – L’administration en silo
NTDS
9 /35
Kerberos
AS_REQ
Mot de passe
AS_REP
[TGT]
KC
LSASS
Client
AP_REQ
[TS]
Contrôleur
de domaine
NTDS
TGS_REP
[TS]
AP_REP
LSASS
Serveur
07/06/2017
TGS_REQ [TGT]
LSASS
Autre problème : la délégation d’authentification
À interdire
SSTIC 2017 – Aurélien Bordes – L’administration en silo
10 /35
Échanges AS (AS_REQ/AS_REP)
sans blindage
[AS-REQ]
*padata:
[PA-ENC-TIMESTAMP]
[PA-ENC-TS-ENC]
patimestamp: 20170607101242
req-body:
[KDC-REQ-BODY]
KC
07/06/2017
KC
[AS-REP]
ticket:
[Ticket] (TGT user)
enc-part:
[EncKDCRepPart]
SSTIC 2017 – Aurélien Bordes – L’administration en silo
11 /35
Sécurisation de l’authentification
Objectifs de sécurité
• NTLM :
• interdire son utilisation
• Kerberos :
• ne pas autoriser la délégation d’authentification
• Kerberos :
• protéger les échanges AS (AS_REQ/AS_REP)
• Kerberos :
• limiter les ordinateurs depuis lesquels les
utilisateurs peuvent s’authentifier
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
12 /35
Interdire NTLM – Stratégie globale
• Les restrictions NTLM, apparues avec Windows 7,
permettent d’interdire globalement NTLM au niveau d’un
système
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
13 /35
Interdire NTLM - Utilisation du SID
S-1-5-64-10 (AUTORITE NT\NTLM Authentication)
• Le SID « NTLM » est ajouté dans le jeton de sécurité en
cas d’authentification d’un utilisateur via NTLM
• Ce SID peut alors être utilisé pour interdire des accès
Block-SmbShareAccess -Name ShareName -AccountName "*S-1-5-64-10"
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
14 /35
Interdire la délégation
• Pour être mise en œuvre, la délégation nécessite :
• d’être activée sur les services
• de ne pas être interdite au niveau des utilisateurs
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
15 /35
Nouveaux mécanismes de protection
avec Windows ou l’Active Directory
• Protected Users Security Group
• Blindage Kerberos (Kerberos Armoring)
• Revendications (Claims) :
• Revendications utilisateurs (User Claims)
• Revendications périphériques (Device Claims)
• Attributs de ressource (Resource Attributes)
• Stratégies d’authentification (Authentication Policies)
• Silos d’authentification (Authentication Policy Silos)
• Authentification composée (Compound Authentication)
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
16 /35
Protected Users Security Group
Windows 8.1 / Windows Server 2012 R2
• Côté client :
• Désactivation de la mise en cache des secrets
d’authentification (NTLM, CredSSP et Wdigest)
• Désactivation de la mise en cache des clés Kerberos
• Renouvellement de TGT impossible
• Côté KDC (contrôleur de domaine) :
• Désactivation de NetLogon (validation NTLM)
• Kerberos : désactivation de DES et RC4
• Kerberos : interdiction de la délégation d’authentification
Ajouter à ce groupe les comptes ROUGE
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
17 /35
Sécurisation de l’authentification
Objectifs de sécurité
• NTLM :
Protected Users
• interdire son utilisation
Protected Users
• Kerberos :
• ne pas autoriser la délégation d’authentification
• Kerberos :
• protéger les échanges AS (AS_REQ/AS_REP)
• Kerberos :
• limiter les ordinateurs depuis lesquels les
utilisateurs peuvent s’authentifier
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
18 /35
Blindage Kerberos
Windows 8 / Windows Server 2012
• Implémentation du protocole FAST (Flexible
Authentication via Secure Tunneling)
• Permet de renforcer la protection des
échanges :
• AS (AS_REQ/AS_REP)
• TGS (TGS_REQ/TGS_REP)
• Nécessite un TGT et la clé de session associée
pour la protection
• Utilisation de celui de la machine
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
19 /35
Requêtes AS_REQ sans blindage
[AS-REQ]
*padata:
[PA-ENC-TIMESTAMP]
[PA-ENC-TS-ENC]
patimestamp: 20170607101242
req-body:
[KDC-REQ-BODY]
07/06/2017
KC
/35
Requête AS_REQ avec blindage
[AS-REQ]
*padata:
[PA-DATA]
KKDC
TGT computer
[PA-FX-FAST-REQUEST]
[AP-REQ]
[Ticket] (TGT computer)
[EncTicketPart]
key: SC’,K
authenticator:
*subkey: SSUB’
enc-fast-req:
[PA-ENC-TIMESTAMP]
↓
[PA-FX-FAST-REQUEST]
SC’,K
SSUB’
[KrbFastReq]
padata:
[PA-ENC-TS-ENC]
req-body:
[KDC-REQ-BODY]
07/06/2017
Armor Key
KC
Challenge Key
SSTIC 2017 – Aurélien Bordes – L’administration en silo
21 /35
Conséquences du blindage
• L’utilisateur ne peut plus générer de requêtes
AS_REQ (pas d’accès au TGT de la machine et à SC’,K)
• Seul LSASS peut le faire
• Il n’y a plus bloc directement chiffré par KC
• Les messages AS (AS_REQ/AS_REP) ne sont plus
vulnérables
• Le KDC dispose du TGT de la machine depuis
laquelle l’utilisateur s’authentifie
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
22 /35
Sécurisation de l’authentification
Objectifs de sécurité
• NTLM :
Protected Users
• interdire son utilisation
Protected Users
• Kerberos :
• ne pas autoriser la délégation d’authentification
• Kerberos :
Blindage Kerberos
• protéger les échanges AS (AS_REQ/AS_REP)
• Kerberos :
• limiter les ordinateurs depuis lesquels les
utilisateurs peuvent s’authentifier
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
23 /35
Stratégies d’authentification
Windows Server 2012 R2
• Les stratégies d’authentification permettent d’appliquer des
restrictions lors des demandes de TGT et ticket de service :
• TGT : limite de la durée de vie du TGT
• TS : restriction du To
Utilise le TGT de l’ordinateur
présenté grâce au blindage Kerberos
• TGT : restriction du From
[AS-REQ]
[PA-FX-FAST-REQUEST]
TGT computer
07/06/2017
KDC
Service AS
msDS-AuthNPolicy:
TGTLifetime
AllowedToAuthenticateTo
AllowedToAuthenticateFrom
SSTIC 2017 – Aurélien Bordes – L’administration en silo
24 /35
Démo 1
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
25 /35
Silo d’authentification
Windows Server 2012 R2
• Un silo d’authentification permet de
simplifier la mise en place des stratégies
d’authentification
• Un silo d’authentification est caractérisé par :
• Un ensemble de machines et d’utilisateurs
• Une stratégie d’authentification
• La stratégie d’authentification doit autoriser
l’authentification des utilisateurs du silo
uniquement depuis les machines du silo
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
26 /35
Le silo ROUGE
Mot de passe
NTLM
KC
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
27 /35
Démo 2
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
28 /35
Sécurisation de l’authentification
Objectifs de sécurité
• NTLM :
Protected Users
• interdire son utilisation
Protected Users
• Kerberos :
• ne pas autoriser la délégation d’authentification
• Kerberos :
Blindage Kerberos
• protéger les échanges AS (AS_REQ/AS_REP)
• Kerberos :
Stratégies d’authentification
• limiter les ordinateurs depuis lesquels les
utilisateurs peuvent s’authentifier
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
29 /35
Authentification composée
Windows 8 / Windows Server 2012
• Mise en œuvre par le blindage des messages TGS
• Les données d’autorisation contenues dans le TGT de la
machine sont fusionnées avec celles de l’utilisateur
KDC
[TGS-REQ]
[AP-REQ]
TGT user
KERB_VALIDATION_INFO
PAC_CLIENT_CLAIMS_INFO
[TGS-REP]
[PA-FX-FAST-REQUEST]
TGT computer
KERB_VALIDATION_INFO
PAC_CLIENT_CLAIMS_INFO
USER (computer)
07/06/2017
Service TGS
DEVICE (user)
TS user
KERB_VALIDATION_INFO
PAC_CLIENT_CLAIMS_INFO
PAC_DEVICE_INFO
PAC_DEVICE_CLAIMS_INFO
SSTIC 2017 – Aurélien Bordes – L’administration en silo
30 /35
Utilisation dans le contrôle d’accès
[AP_REQ]
TS user
PAC_USER_INFO
PAC_CLIENT_CLAIMS_INFO
PAC_DEVICE_INFO
PAC_DEVICE_CLAIMS_INFO
nt!_TOKEN
UserAndGroups
pClaimAttributes
pUserSecurityAttributes
pDeviceGroups
pDeviceSecurityAttributes
SECURITY DESCRIPTOR
(A;;FA;;;WD)
Filtrage sur les SID de l’utilisateur
(XA;;FA;;;WD;(@USER.ad://ext/AuthenticationSilo Any_of {"ROUGE"}))
Filtrage sur les revendications de l’utilisateur
(XA;;FA;;;WD;(Device_Member_of_any {SID(DD)}))
Filtrage sur les SID de la machine
(XA;;FA;;;WD;(@DEVICE.ad://ext/AuthenticationSilo Any_of {"ROUGE"}))
Filtrage sur les revendications de la machine
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
31 /35
Démo 3
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
32 /35
Conclusions
• Protections :
• 5 ans après, toujours méconnues et peu utilisées
• Simples à mettre en œuvre
• Mais reposant sur des concepts et des mécanismes de
sécurité de plus en plus complexes
• Permettent de cloisonner efficacement les niveaux
d’authentification (en particulier le ROUGE)
• Nécessite une hygiène minimum
• Windows Server 2012 / Windows 8
• Peu de comptes de niveau ROUGE
• Ne sont pas une protection absolue
• Ne peut rien contre la perte du compte krbtgt
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
33 /35
Kerberos samples :
http://aurelien26.free.fr/kerberos/
TS (Terminal Service) Security Editor :
https://github.com/aurel26/TS-Security-Editor
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
34 /35
Questions ?
aurelien26 (at) free.fr
07/06/2017
SSTIC 2017 – Aurélien Bordes – L’administration en silo
35 /35
Related documents
controle Exam MS
controle Exam MS
Loi-24-09 FNC2017
Loi-24-09 FNC2017
CV MEHDI ELBAKKOURI
CV MEHDI ELBAKKOURI
1. ALLER ETRE AVOIR VOCAB UTILE NOTES
1. ALLER ETRE AVOIR VOCAB UTILE NOTES
CV Sample
CV Sample
ROb2SZ6SQ5WJstuSa93G Mod leCV1
ROb2SZ6SQ5WJstuSa93G Mod leCV1
Download
advertisement