I. Présentation

Sur les NAS Synology, il y a plusieurs outils disponibles à partir de la ligne de commande qui permettent d'effectuer des opérations au travers de scripts, plutôt que de passer par l'interface de gestion de DSM. Dans ce tutoriel, je vais vous présenter l'outil synoacltool qui est un outil en ligne de commande qui sert à gérer les permissions (ACL) sur les dossiers et fichiers, notamment pour définir les droits d'accès sur un dossier partagé sur le NAS.

Prérequis : vous devez disposer d'un accès SSH sur votre NAS Synology afin d'accéder à la ligne de commande. L'accès SSH peut être activé temporairement dans Panneau de configuration > Terminal & SNMP > Activer le service SSH. Si vous souhaitez laisser le service actif de façon permanente, pensez à changer le port d'écoute du service.

• Cours gratuit - Comment sécuriser un NAS Synology ?

II. L'aide de synoacltool

Pour utiliser correctement l'outil synoacltool, il faut s'inspirer de l'aide accessible directement à partir de la ligne de commande. Après connexion en SSH sur le NAS, exécutez la commande suivante :

synoacltool -h

Voici l'aide complète :

Usage: synoacltool

SYNOPSIS
   synoacltool -h
   synoacltool -check PATH [ACL Perm]
   synoacltool -get PATH
   synoacltool -getace PATH
   synoacltool -get-perm PATH USERNAME
   synoacltool -add PATH [ACL Entry]
   synoacltool -replace PATH [ACL Entry Index] [ACL Entry]
   synoacltool -get-archive PATH
   synoacltool -set-archive PATH [ACL Archive Option]
   synoacltool -del-archive PATH [ACL Archive Option]
   synoacltool -del PATH [ACL Entry Index]
   synoacltool -del PATH
   synoacltool -copy PATH_SRC PATH_DST
   synoacltool -set-owner PATH [user|group] NAME
   synoacltool -set-eadir-acl PATH
   synoacltool -enforce-inherit PATH
   synoacltool [-stat|-cstat|-fstat|-lstat|-utime] PATH

   -h: show help
   -check: check acl permission of file
   -get: get syno acl of file
   -getace: get syno ACEs with uid/gid of file
   -get-perm: extract windows permission from acl or linux permission
   -add: add syno ace into file
   -replace: replace specified ace by index number
   -del: delete syno acl of file
   -get-archive: get ACL archive bit
   -set-archive: set ACL archive bit
   -del-archive: delete ACL archive bit
   -stat, -cstat, -lstat, -fstat: get stat/archive bit
   -utime: set current time into file
   -copy: copy ACL from source to destination, only works when ACL exists
   -set-eadir-acl: set ACL for EA dir
   -enforce-inherit: enforce ACL inheritance

OPTIONS
   ACL Entry Index: >= 0
   ACL Option: [inherit|single]
   ACL Archive Option: is_inherit,is_read_only,is_owner_group,has_ACL,is_support_ACL
   ACL Entry: [user|group|owner|everyone|authenticated_user|system]:name:[allow|deny]:permissions:inherit mode

   Example: user:root:allow:rwx-d---RWc--:fd--
   Example: owner:*:allow:rwx-d---RWc--:fd--

Fields
   name: user/group name
   ACL Perm: rwxpdDaARWcCo
      r: (r)ead data
      w: (w)rite data (create file)
      x: e(x)ecute
      p: a(p)pend data (create dir)
      d: (d)elete
      D: (D)elete child (only for dir)
      a: read (a)ttribute (For SMB read-only/hidden/archive/system)
      A: write (A)ttribute
      R: (R)ead xattr
      W: (W)rite xattr
      c: read a(c)l
      C: write a(c)l
      o: get (o)wner ship

    inherit mode: fdin
      f: (f)ile inherited
      d: (d)irectory inherited
      i: (i)nherit only
      n: (n)o propagate

Il faut s'inspirer de cette aide pour trouver les bonnes commandes, en fonction de ses attentes. Synology ne fournit pas d'aide supplémentaire sur l'utilisation de ce script. Pour ma part, je vais vous partager quelques exemples pour vous aider à l'utiliser, tout en sachant que l'on peut l'utiliser au travers d'un script Bash pour traiter des fichiers et dossiers par lot.

III. Exemples d'utilisation de synoacltool

A. Récupérer les ACL sur un fichier ou un dossier

Avant de chercher à modifier les ACL sur un fichier ou un dossier existant, voyons comment récupérer les ACL sur un fichier ou un dossier. Synoacltool dispose d'un paramètre nommé "-get" prévu à cet usage. Il suffit de préciser le chemin vers le fichier ou dossier, tout en sachant que vos données sont sous la racine "/volume1/".

synoacltool -get /volume1/DossierPourTests/MesDatas

La commande vous retournera un résultat semblable à celui-ci :

Au-delà d'indiquer le nom du propriétaire de ce dossier, on peut voir la liste des permissions sur ce dossier.

[0] group:administrators:allow:rwxpdDaARWc--:fd-- (level:0)

Afin de vous aider à comprendre et décortiquer chaque ligne, voici quelques explications :

• [0] : c'est le numéro d'index de l'ACL, une information importante, car pour supprimer une ACL via synoacltool, il faut préciser le numéro d'index
• group : cette permission concerne un groupe, on peut aussi rencontrer "user" si l'autorisation est posée sur un utilisateur directement
• administrators : nom du groupe (ou de l'utilisateur) concerné par cette ACL
• allow : règle de type "autoriser", mais on peut rencontrer aussi "deny" pour refuser
• rwxpdDaARWc-- : les détails de l'ACL, se référer à l'aide pour comprendre la signification de chaque lettre
• fd-- : les détails sur l'héritage
• (level:0) : puisque c'est le niveau 0, c'est que cette ACL est posée directement sur le dossier que l'on audit, si l'on a "level:1", "level:2", etc... Cela signifie que ce sont des droits hérités d'un dossier de niveau supérieur

B. Supprimer une ACL sur un dossier avec synoacltool

Pour supprimer une ACL sur un dossier ou un fichier, il faut préciser le chemin de l'élément et indiquer le numéro d'index de l'ACL à supprimer, sans oublier l'option "-del". Ainsi, pour supprimer l'ACL avec l'index 0 sur le dossier "/volume1/DossierPourTests/MesDatas/", il faut exécuter cette commande :

synoacltool -del /volume1/DossierPourTests/MesDatas/ 0

Dans certains cas, une erreur est retournée ("(synoacltool.c, 588)unknown error: [900]") mais la suppression de l'ACL est prise en charge malgré tout. Pour vérifier si vos modifications sont prises en charge ou pour comparer l'affichage de synoacltool avec vos permissions, n'hésitez pas à comparer l'affichage console avec l'affichage sur l'interface DSM (Propriétés > Permissions).

C. Ajouter une ACL sur un dossier avec synoacltool

Pour ajouter une permission sur un élément avec synoacltool, c'est l'option "-add" qui doit être utilisée. Plutôt que de chercher à trouver la bonne syntaxe, et bien que ce soit faisable, je vous recommande de poser l'autorisation une fois via l'interface de DSM, d'utiliser l'option "-get" pour lister les permissions afin de récupérer la valeur. Ensuite, il vous suffit d'utiliser la même syntaxe dans une commande synoacltool pour appliquer les mêmes autorisations.

Voici un exemple :

synoacltool -add /volume1/DossierPourTests/MesDatas/ user:it-connect:allow:rwxpdDaARWc--:fd--

Pour trouver la bonne valeur, j'ai simplement récupéré la valeur dans la console :

D. Supprimer les permissions héritées

Pour désactiver l'héritage sur un dossier et supprimer tous les droits pour repartir à blanc, dans l'optique de poser des nouveaux droits, il faut exécuter ces deux commandes sur l'élément cible :

synoacltool -set-archive /volume1/DossierPourTests/MesDatas/ has_ACL,is_support_ACL
synoacltool -del-archive /volume1/DossierPourTests/MesDatas/ is_inherit

Une fois ces deux commandes exécutées, il sera nécessaire de passer par DSM pour ajouter des droits ou utiliser directement synoacltool avec l'option "-add" évoquée précédemment.

E. Traitement avec une boucle et un script Bash

Nous allons voir qu'il est possible de traiter des données par lot, que ce soit pour ajouter, supprimer, modifier des droits, ou tout simplement lister les droits existants. Commençons par créer un script Bash sur un volume du NAS :

cd /volume1/homes/florian/
vi synoacltool-exemple.sh

Dans ce fichier, je vous invite à ajouter le contenu suivant :

#!/bin/bash
# Racine à inspecter
DossierSource="/volume1/DossierPourTests/"
# Répertoire cible
DossierFiltre="Photos"

# Process
for Dossier in $DossierSource
do
   find $Dossier -path "*/@eaDir" -prune -o -path "*/#recycle" -prune -o -type d -name $DossierFiltre -print | while read DossierATraiter
   do
     echo $DossierATraiter
     synoacltool -get $DossierATraiter
   done
done

Ce script va permettre de rechercher tous les dossiers avec le nom "Photos" (variable DossierFiltre) à partir de la racine "/volume1/DossierPourTests/" (variable DossierSource), de manière récursive, et à chaque fois que ce dossier est trouvé, on liste les ACL. On peut utiliser ce type de boucle pour traiter des dossiers par lot, et ici j'ai indiqué uniquement une règle "synoacltool" mais on pourrait ajouter plusieurs commandes pour réaliser plusieurs actions.

On enregistre le fichier avec "Echap" puis ":wq!" dans l'éditeur Vi et on ajoute les droits d'exécution sur le script :

chmod +x synoacltool-exemple.sh

Il ne reste plus qu'à exécuter le script :

./synoacltool-exemple.sh

On peut voir qu'à chaque fois qu'il a trouvé un dossier nommé "Photos", le script m'a listé les ACL de mon NAS :

Autre script intéressant : GitHub

IV. Conclusion

Nous venons de voir comment utiliser synoacltool pour gérer les ACL de son NAS Synology à partir de la ligne de commande. Son utilisation est intéressante car on peut automatiser certaines tâches ou effectuer du traitement par lot, plutôt que de passer par l'interface de DSM.

The post Synoacltool : un outil pour gérer les ACL de son NAS Synology en ligne de commande first appeared on IT-Connect.

VMware a mis en ligne un correctif pour vCenter Server afin de corriger une faille de sécurité découverte en novembre 2021. Cette vulnérabilité affecte la fonctionnalité qui sert à s'authentifier dans vCenter à partir des informations de Windows.

Associée à la référence CVE-2021-22048, cette vulnérabilité remontée à VMware par Yaron Zinar et Sagi Sheinfeld de chez CrowdStrike affecte VMware vCenter Server et la solution VMware Cloud Foundation. En exploitant cette faille de sécurité, un cybercriminel avec un accès non-administrateur peut élever ses privilèges sur le serveur, vers un groupe avec des privilèges plus élevés.

D'après VMware, pour exploiter ce bug de sécurité, il faut se situer sur le même réseau physique ou logique que le serveur VMware vCenter, à cause de la complexité de l'exploitation de cette vulnérabilité. À l'inverse, l'entité américaine NIST affirme que cette vulnérabilité peut être exploitée à distance, sans être sur le même réseau, et qu'elle est exploitable dans des attaques peu complexes.

Quant au patch qui permet de se protéger de cette faille : il y a une bonne et une mauvaise nouvelle. La bonne nouvelle, c'est que VMware a mis en ligne un correctif pour la dernière version de vCenter Server, à savoir désormais vCenter Server 7.0 Update 3f. La mauvaise nouvelle, c'est que les autres versions vulnérables, notamment les versions vCenter Server 6.5, 6.7 et 7.0, n'ont pas le droit à un correctif.

Néanmoins, depuis novembre 2021, VMware a mis en ligne (sur cette page) des indications sur les mesures à appliquer pour se protéger de cette faille de sécurité. Concrètement, cela consiste à changer de méthode d'authentification pour se passer du système d'authentification Windows (Integrated Windows Authentication). VMware précise que les administrateurs peuvent basculer sur l'authentification Active Directory ou Identity Provider Federation pour ADFS. Des documentations complémentaires sont disponibles sur le site de VMware pour indiquer aux admins la marche à suivre.

Source

The post VMware vCenter Server : VMware vient de corriger une faille datant de novembre 2021 first appeared on IT-Connect.

De nos jours, les objets connectés sont de plus en plus présents dans nos maisons, nos appartements, nos jardins, et ils s'intéressent à toutes les problématiques que l'on peut rencontrer. Qu'en est-il de la détection d'une fuite d'eau pouvant mener à un important dégât des eaux ? Existe-t-il un objet connecté permettant de prévenir cet éventuel problème ? Réponse dans cet article.

Les dégâts des eaux sont fréquents et l'origine n'est pas toujours la même. Cet incident peut être la conséquence d'une fuite, d'une infiltration ou encore d'une canalisation défectueuse. Dans cet article, je ne vais pas vous faire un cours de plomberie, mais les éléments liés à la plomberie sont à surveiller, car ils s'usent avec le temps, ce qui augmente le risque d'avoir un dégât des eaux. Par ailleurs, l'isolation du logement en lui-même est importante pour éviter les infiltrations d'eau liées à la pluie, par exemple. Quoi qu'il en soit, d'après les assurances les dégâts des eaux sont dans le Top des incidents les plus fréquents, et BFMTV indique dans un article publié il y a quelques années, qu'il y en a plus de 4 000 par jour, en France.

Quel capteur peut-on utiliser ?

Maintenant, parlons des solutions technologiques qui peuvent permettre d'éviter un dégât des eaux. Au niveau des objets connectés, il y a différents capteurs et détecteurs sur le marché, notamment des capteurs de température, d'humidité, d'ouverture et fermeture de portes, etc.... Sans oublier les capteurs intelligents qui sont capables de détecter l'eau. Concrètement, ce capteur va être capable de détecter l'eau à un endroit où il n'est pas censé y en avoir... S'il y a de l'eau à proximité du lave-linge, voir sous le lave-linge, il y a des chances pour que ce soit anormal. C'est sûrement le signe qu'il y a une fuite d'eau qui émane de cet appareil, ce qui peut engendrer des dégâts plus importants.

Le capteur intelligent, connecté au réseau Wi-Fi de votre domicile, va pouvoir émettre une alerte que vous recevrez sur votre smartphone afin de vous avertir de la situation. En obtenant l'information rapidement et en intervenant dans la foulée, vous pouvez éviter un dégât des eaux grâce à ce capteur. Bien que ces capteurs ne répondent pas à toutes les origines potentielles pouvant mener à un dégât des eaux, ils sont pertinents à proximité des appareils électroménagers comme le lave-linge ou le lave-vaisselle, mais aussi le ballon d'eau chaude, par exemple.

Sur le marché, quelles sont les marques qui proposent des capteurs de ce type ?

Tout d'abord, on peut citer le capteur intelligent Grohe Sense de chez Grohe, un fabricant reconnu que vous connaissez sûrement et qui s'est lancé sur le marché de la maison connectée il y a quelques années. En complément de ce capteur, Grohe propose également Sense Guard, un contrôleur Wi-Fi qui s'installe sur l'arrivée d'eau principale de votre logement et qui est capable de couper l'eau en cas d'incident.

Par ailleurs, Konyks dont je vous parle assez régulièrement ne propose pas encore ce type de capteur, que l'on peut retrouver néanmoins chez Xiaomi au sein de la gamme Xiaomi Aqara. Enfin, le fabricant AJAX, dont on parle souvent pour les alarmes, propose aussi un détecteur d'inondations et de fuites d'eau nommé AJAX LeaksProtect.

Pour conclure, je dirais qu'objet connecté ou non, quand vous partez en vacances, pensez à couper l'eau afin d'éviter les mauvaises surprises surtout si vous êtes à plusieurs centaines ou milliers de kilomètres de votre domicile.

The post Quels objets connectés peut-on utiliser pour éviter un dégât des eaux ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser le logiciel PingCastle pour auditer un annuaire Active Directory ! Grâce à l'analyse effectuée par ce logiciel, vous allez obtenir un score qui va refléter le niveau de risque de votre Active Directory. En vous référant au rapport généré par le logiciel, vous allez pouvoir prendre connaissance des points sur lesquels travailler pour renforcer la sécurité de votre Active Directory.

PingCastle est un logiciel français bien connu par les entreprises du secteur de la cybersécurité. La bonne nouvelle, c'est que vous pouvez l'utiliser gratuitement pour auditer votre propre annuaire Active Directory. Par contre, si vous utilisez PingCastle pour auditer l'annuaire d'un client dans le cadre d'une prestation, vous devez acquérir une licence. Le site de PingCastle est très clair à ce sujet : "Avec la licence par défaut, le programme peut être exécuté gratuitement, tant que vous n'en tirez aucun revenu. Par exemple, toute organisation à but lucratif peut l'utiliser pour auditer ses propres systèmes. Pour inclure PingCastle dans un package ou un service commercial, il faut acheter une licence spécifique."

Note : le code source de PingCastle est disponible sur GitHub (sous licence propriétaire) et le logiciel est associé à une licence Non-Profit Open Software License ("Non-Profit OSL") 3.0.

L'objectif du jour va être d'auditer un annuaire Active Directory à l'aide de PingCastle, en l'occurrence en ce qui me concerne l'annuaire de mon lab. Pour l'exécuter, vous avez besoin d'un compte sur le domaine cible (ou d'un domaine approuvé) et il n'est pas nécessaire que ce soit un compte Administrateur du domaine.

PingCastle fonctionne sur les différentes versions de Windows, notamment de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

• Site officiel - PingCastle

Il est à noter que PingCastleCloud est en cours de développement et que cette version sert à auditer Azure Active Directory, ce qui s'annonce très intéressant !

II. Télécharger et installer PingCastle

Pour télécharger PingCastle, accédez au site officiel et cliquez sur "Download" dans le menu. Dans la page qui s'ouvre, cliquez sur le bouton "Download" afin d'obtenir l'archive ZIP qui contient les sources. Il suffit d'extraire le contenu du ZIP dans un répertoire. Pour ma part, je le positionne sur mon contrôleur de domaine directement, ce qui permet d'avoir un audit plus rapide. Vous allez obtenir ceci :

Pour lancer un audit avec PingCastle, il faudra lancer "PingCastle.exe". Le fichier de configuration associé est "PingCastle.exe.config". En complément, il y a deux documents PDF qui sont livrés avec l'outil et qui permettent d'en apprendre plus sur le fonctionnement de l'outil et la méthodologie employée.

III. Réaliser un audit AD avec PingCastle

Dès qu’on lance "PingCastle.exe", une console s'ouvre. Pour lancer un audit, il faut se positionner sur "1-healthscore-Score the risk of a domain" et appuyer sur Entrée.

Ensuite, l'outil nous demande quel est le domaine Active Directory à auditer. Par défaut, il va remonter le domaine Active Directory correspondant au compte que vous utilisez, comme "it-connect.local" dans mon cas. Si c'est le domaine à auditer, il suffit de valider avec Entrée pour lancer l'audit ! Sinon, indiquez le nom de domaine Active Directory qui va bien.

Sur mon annuaire Active Directory où il y a très peu de comptes, l'analyse est très rapide : 4 secondes suffisent à PingCastle pour réaliser l'audit. Quand c'est terminé, appuyez sur Entrée pour fermer le logiciel.

Dans le répertoire d'installation de PingCastle, l'outil a généré deux rapports, l'un au format HTML et l'autre au format XML. Nous allons étudier le rapport HTML : ad_hc_it-connect.local.html.

IV. Lecture du rapport de PingCastle

Regardons de plus près le rapport généré par PingCastle. La première zone nommée "Active Directory Indicators" permet d'avoir le niveau de risque de votre domaine, avec une note sur 100. Plus cette note est élevée, moins votre Active Directory est sécurisé ! Autrement dit, ici j'obtiens le score de 85/100, ce qui est une très mauvaise note !

Sur un annuaire Active Directory dans une configuration proche de celle par défaut, c'est un score fréquent et qui montre qu'il est nécessaire d'agir ! Dans cette zone, le bouton "Compare with statistics" permet de se situer par rapport aux autres personnes qui ont audité leur annuaire.

Si on descend un peu plus bas dans la page, nous avons quatre scores où chaque score correspond à une catégorie, et on comprend que la note de "85/100" affichée en haut du rapport correspond à la note la plus élevée de ces quatre catégories. En aucun cas il s'agit d'un cumul ou d'une moyenne.

• Stale Object : points de sécurité liés aux utilisateurs ou aux ordinateurs
• Privileged Accounts : points de sécurité liés aux comptes avec des privilèges élevés (Administrateurs) du domaine Active Directory
• Trusts : points de sécurité liés aux relations d'approbations entre les domaines Active Directory
• Anomalies : points de sécurité liés à d'autres aspects de la configuration qui peuvent impacter la sécurité de votre annuaire

A chaque fois, il y a le nombre de règles qui ont matchées qui s'affiche, et chaque règle qui matche fait augmenter le score.

Le tableau "Risk Model" qui vient juste après permet d'en savoir un peu plus sur les risques que vous encourez avec la configuration actuelle de votre annuaire Active Directory. Quand la case est blanche, c'est tout bon. Quand elle est bleue également, sauf que vous pouvez tout de même améliorer votre configuration. Par contre, quand c'est jaune, c'est qu'il y a un peu de travail et les cases en orange et rouge doivent attirer votre attention tout particulièrement, car cela concerne les risques élevés et majeurs.

À partir du moment où on a passé la partie synthèse du rapport, on peut obtenir la liste des points de sécurité à améliorer. Pour chaque règle, il y a un nom, le nombre de points, ainsi qu'une description, une explication technique, des conseils pour solutionner ce problème et des liens vers des documentations pour vous aider. C'est très complet et très bien fait !

Voici un exemple avec la règle "Non-admin users can add up to 10 computer(s) to a domain" qui signifie que tous les utilisateurs de mon domaine Active Directory, y compris les non-administrateurs peuvent intégrer au domaine jusqu'à 10 ordinateurs. C'est la configuration par défaut de l'Active Directory !

Au-delà des points à améliorer en termes de sécurité, ce rapport est très intéressant, car il donne des informations générales sur les contrôleurs de domaine, les versions de système d'exploitation, les stratégies de groupe, etc...

Je ne vais pas passer en revue l'ensemble des règles, car les points à corriger ne seront pas les mêmes d'une infrastructure à une autre, même s'il y a des règles qui matchent la plupart du temps.

V. Comment améliorer la sécurité de son Active Directory ?

Les réponses se situent dans le rapport de PingCastle ! En effet, comme je le disais, à partir du rapport de PingCastle, vous pouvez prendre connaissance des différents points et vous référer aux documentations mentionnées sous chaque règle. Pour certains points, il y a des tutoriels sur IT-Connect qui pourront vous aider (voir en fin d'articles). Vous ne pourrez peut-être pas corriger l'ensemble des points, mais généralement, il y a des actions assez simples que l'on peut effectuer pour améliorer le niveau de sécurité de son Active Directory.

Après avoir corrigé un ou plusieurs points, vous pouvez relancer un audit avec PingCastle pour vérifier que le changement est bien pris en compte. Ainsi, vous pouvez suivre l'évolution de votre score dans le temps. Quand vous relancez un audit PingCastle, il va écraser le rapport précédemment généré alors pensez à le garder de côté si vous souhaitez avoir un historique.

Prenons un exemple avec la règle "The spooler service is remotely accessible from 1 DC" qui signifie que le service Spouleur d'impression est activé et démarré sur le contrôleur de domaine. Sur un serveur qui n'est pas serveur d'impression et depuis lequel nous n'avons pas besoin d'imprimer, il n'y a pas besoin de maintenir ce service dans cet état, d'autant plus qu'il peut être exploité dans le cadre d'attaques. Il est très fréquent d'avoir cette règle qui matche.

Pour corriger le tir, vous devez arrêter et désactiver le service "Spouleur d'impression" sur l'ensemble de vos contrôleurs de domaine (sauf besoins spécifiques). Soit par GPO, soit manuellement avec l'interface graphique ou PowerShell. À partir de la console de gestion des services, cela donne :

Dès que c'est fait, si je relance une analyse avec PingCastle, je constate que le score de la section "Anomalies" est passé de 40 à 30 : une bonne nouvelle ! Désormais, il va falloir poursuivre nos efforts...

V. Planifier un audit régulier de l'AD avec PingCastle

L'exécutable de PingCastle accepte de nombreux arguments, ce qui permet de l'appeler facilement dans une tâche planifiée. Vous pouvez prendre connaissance des différentes options en exécutant cette commande :

.\pingcastle.exe --help

Par exemple, voici une commande qui permet d'exécuter un audit avec PingCastle en ciblant le serveur srv-adds-01.it-connect.local. Le rapport HTML généré sera envoyé par e-mail à l'adresse "securite@it-connect.tech".

.\PingCastle.exe --server srv-adds-01.it-connect.local --healthcheck --sendHtmlTo securite@it-connect.tech

En ce qui concerne le serveur SMTP à utiliser pour envoyer les e-mails, il doit être défini dans le fichier de configuration "PingCastle.exe.config".

VI. Conclusion

Pour auditer facilement un annuaire Active Directory, PingCastle est une très bonne solution ! Son utilisation repose sur un simple fichier "setup.exe" qui n'a pas besoin d'être réellement installé sur la machine, ce qui est avantageux. Nous venons de voir l'utilisation de la fonctionnalité principale de PingCastle, mais il est possible d'aller plus loin.

En effet, PingCastle intègre d'autres fonctionnalités que vous pouvez explorer à partir du menu de l'application (en naviguant avec le clavier) ou en regardant la documentation. Par exemple, vous pouvez réaliser un export des objets ordinateurs ou utilisateurs de votre Active Directory, mais aussi utiliser la fonction "Scanner" pour vérifier certains éléments de configuration sur les objets ordinateurs de votre Active Directory (exemple : rechercher la présence d'un partage ouvert).

Pour terminer, voici une liste de tutoriels qui pourront vous aider à corriger certains points :

• Comment réinitialiser le mot de passe du compte krbtgt ?
• Politiques de mots de passe Active Directory
• Verrouillage des comptes Active Directory
• Empêcher les non-administrateurs d'ajouter des machines au domaine Active Directory
• Activer la corbeille Active Directory
• Le groupe Protected Users de l'Active Directory

Vous n'avez plus qu'à renforcer la sécurité de votre audit Active Directory et à réaliser des audits réguliers avec PingCastle pour maintenir un niveau de sécurité satisfaisant dans le temps.

The post Comment auditer l’Active Directory avec PingCastle ? first appeared on IT-Connect.

Une campagne de phishing très importante cible les clients de Microsoft et plus particulièrement les utilisateurs d'Office 365. Le mode opératoire employé par les cybercriminels permet de contourner l'authentification multifacteurs (MFA). Explications.

D'après les chercheurs en sécurité de chez Microsoft, cette campagne de phishing a déjà ciblée plus de 10 000 entreprises depuis septembre 2021 ! À partir d'un compte e-mail compromis, les pirates émettent des e-mails de phishing aux autres salariés de l'entreprise, mais également aux partenaires externes, dans le but d'obtenir des paiements frauduleux. Lorsqu'un nouveau compte e-mail est compromis, il est utilisé à son tour pour diffuser des e-mails malveillants.

Suite à l'analyse effectuée par Microsoft, on apprend que les e-mails envoyés dans le cadre de cette campagne de phishing contiennent une pièce jointe HTML malveillante. Dans certains cas, et cela n'est pas nouveau, l'e-mail indique à l'utilisateur qu'il a reçu un nouveau message vocal et qu'il doit consulter la pièce jointe. Lorsque l'on ouvre cette page, une pseudo-page de chargement s'affiche, avant de rediriger l'utilisateur sur une page de connexion Office 365.

Là où la technique utilisée par les pirates informatiques est astucieuse et redoutable, c'est que le site malveillant mis en place sert de proxy HTTPS. Autrement dit, lorsque l'utilisateur navigue sur la page malveillante, ce sont des informations obtenues à partir du véritable site de Microsoft qui sont affichées, en temps réel. Le site des cybercriminels, en tant que proxy HTTPS, se positionne entre deux : le principe d'une attaque man in the middle.

Grâce à cette méthode, la connexion peut être effectuée auprès des services de Microsoft, jusqu'à l'étape du MFA (si la fonctionnalité est activée). Ainsi, si l'utilisateur complète le processus d'authentification, le pirate informatique peut récupérer le cookie de connexion de l'utilisateur ! Microsoft précise : "Dans plusieurs cas, les cookies attestaient d’une demande MFA, ce qui signifie que même si l’entreprise avait une politique MFA, l'attaquant a utilisé le cookie de session pour obtenir un accès au nom du compte compromis".

Certains seconds facteurs sont vulnérables à cette attaque, notamment le SMS et le code par e-mail, ce qui n'est pas le cas des méthodes basées sur la norme FIDO 2, comme les clés YubiKey. Malgré tout, cela reste intéressant de mettre en place le MFA car il permet d'éliminer un grand nombre d'attaques et de se protéger contre les méthodes classiques, comme le brute force. En complément, Microsoft recommande de configurer des règles d'accès conditionnel, par exemple.

Bien que le nom de domaine ne soit pas celui de Microsoft et qu'il correspond au nom de domaine mis en place par les cybercriminels, plusieurs éléments permettent de rassurer l'utilisateur :

• Lorsqu'il se retrouve face à la page de connexion Office 365, son adresse e-mail est déjà renseignée, comme quand il se trouve sur le site officiel
• La page de connexion Office 365 qui s'affiche reprend les éléments graphiques propres à l'entreprise (s'il y en a), notamment l'image de fond
• La connexion au site malveillant est sécurisée à l'aide du protocole HTTPS

Si besoin, je vous invite à lire mon tutoriel sur la configuration du MFA sur Office 365.

Source

The post Phishing Office 365 : 10 000 entreprises ciblées par cette campagne capable de contourner le MFA first appeared on IT-Connect.