I. Présentation

Dans ce tutoriel, nous allons apprendre à utiliser le logiciel PingCastle pour auditer un annuaire Active Directory ! Grâce à l'analyse effectuée par ce logiciel, vous allez obtenir un score qui va refléter le niveau de risque de votre Active Directory. En vous référant au rapport généré par le logiciel, vous allez pouvoir prendre connaissance des points sur lesquels travailler pour renforcer la sécurité de votre Active Directory.

PingCastle est un logiciel français bien connu par les entreprises du secteur de la cybersécurité. La bonne nouvelle, c'est que vous pouvez l'utiliser gratuitement pour auditer votre propre annuaire Active Directory. Par contre, si vous utilisez PingCastle pour auditer l'annuaire d'un client dans le cadre d'une prestation, vous devez acquérir une licence. Le site de PingCastle est très clair à ce sujet : "Avec la licence par défaut, le programme peut être exécuté gratuitement, tant que vous n'en tirez aucun revenu. Par exemple, toute organisation à but lucratif peut l'utiliser pour auditer ses propres systèmes. Pour inclure PingCastle dans un package ou un service commercial, il faut acheter une licence spécifique."

Note : le code source de PingCastle est disponible sur GitHub (sous licence propriétaire) et le logiciel est associé à une licence Non-Profit Open Software License ("Non-Profit OSL") 3.0.

L'objectif du jour va être d'auditer un annuaire Active Directory à l'aide de PingCastle, en l'occurrence en ce qui me concerne l'annuaire de mon lab. Pour l'exécuter, vous avez besoin d'un compte sur le domaine cible (ou d'un domaine approuvé) et il n'est pas nécessaire que ce soit un compte Administrateur du domaine.

PingCastle fonctionne sur les différentes versions de Windows, notamment de Windows 7 à Windows 11, et de Windows Server 2008 à Windows Server 2022.

• Site officiel - PingCastle

Il est à noter que PingCastleCloud est en cours de développement et que cette version sert à auditer Azure Active Directory, ce qui s'annonce très intéressant !

II. Télécharger et installer PingCastle

Pour télécharger PingCastle, accédez au site officiel et cliquez sur "Download" dans le menu. Dans la page qui s'ouvre, cliquez sur le bouton "Download" afin d'obtenir l'archive ZIP qui contient les sources. Il suffit d'extraire le contenu du ZIP dans un répertoire. Pour ma part, je le positionne sur mon contrôleur de domaine directement, ce qui permet d'avoir un audit plus rapide. Vous allez obtenir ceci :

Pour lancer un audit avec PingCastle, il faudra lancer "PingCastle.exe". Le fichier de configuration associé est "PingCastle.exe.config". En complément, il y a deux documents PDF qui sont livrés avec l'outil et qui permettent d'en apprendre plus sur le fonctionnement de l'outil et la méthodologie employée.

III. Réaliser un audit AD avec PingCastle

Dès qu’on lance "PingCastle.exe", une console s'ouvre. Pour lancer un audit, il faut se positionner sur "1-healthscore-Score the risk of a domain" et appuyer sur Entrée.

Ensuite, l'outil nous demande quel est le domaine Active Directory à auditer. Par défaut, il va remonter le domaine Active Directory correspondant au compte que vous utilisez, comme "it-connect.local" dans mon cas. Si c'est le domaine à auditer, il suffit de valider avec Entrée pour lancer l'audit ! Sinon, indiquez le nom de domaine Active Directory qui va bien.

Sur mon annuaire Active Directory où il y a très peu de comptes, l'analyse est très rapide : 4 secondes suffisent à PingCastle pour réaliser l'audit. Quand c'est terminé, appuyez sur Entrée pour fermer le logiciel.

Dans le répertoire d'installation de PingCastle, l'outil a généré deux rapports, l'un au format HTML et l'autre au format XML. Nous allons étudier le rapport HTML : ad_hc_it-connect.local.html.

IV. Lecture du rapport de PingCastle

Regardons de plus près le rapport généré par PingCastle. La première zone nommée "Active Directory Indicators" permet d'avoir le niveau de risque de votre domaine, avec une note sur 100. Plus cette note est élevée, moins votre Active Directory est sécurisé ! Autrement dit, ici j'obtiens le score de 85/100, ce qui est une très mauvaise note !

Sur un annuaire Active Directory dans une configuration proche de celle par défaut, c'est un score fréquent et qui montre qu'il est nécessaire d'agir ! Dans cette zone, le bouton "Compare with statistics" permet de se situer par rapport aux autres personnes qui ont audité leur annuaire.

Si on descend un peu plus bas dans la page, nous avons quatre scores où chaque score correspond à une catégorie, et on comprend que la note de "85/100" affichée en haut du rapport correspond à la note la plus élevée de ces quatre catégories. En aucun cas il s'agit d'un cumul ou d'une moyenne.

• Stale Object : points de sécurité liés aux utilisateurs ou aux ordinateurs
• Privileged Accounts : points de sécurité liés aux comptes avec des privilèges élevés (Administrateurs) du domaine Active Directory
• Trusts : points de sécurité liés aux relations d'approbations entre les domaines Active Directory
• Anomalies : points de sécurité liés à d'autres aspects de la configuration qui peuvent impacter la sécurité de votre annuaire

A chaque fois, il y a le nombre de règles qui ont matchées qui s'affiche, et chaque règle qui matche fait augmenter le score.

Le tableau "Risk Model" qui vient juste après permet d'en savoir un peu plus sur les risques que vous encourez avec la configuration actuelle de votre annuaire Active Directory. Quand la case est blanche, c'est tout bon. Quand elle est bleue également, sauf que vous pouvez tout de même améliorer votre configuration. Par contre, quand c'est jaune, c'est qu'il y a un peu de travail et les cases en orange et rouge doivent attirer votre attention tout particulièrement, car cela concerne les risques élevés et majeurs.

À partir du moment où on a passé la partie synthèse du rapport, on peut obtenir la liste des points de sécurité à améliorer. Pour chaque règle, il y a un nom, le nombre de points, ainsi qu'une description, une explication technique, des conseils pour solutionner ce problème et des liens vers des documentations pour vous aider. C'est très complet et très bien fait !

Voici un exemple avec la règle "Non-admin users can add up to 10 computer(s) to a domain" qui signifie que tous les utilisateurs de mon domaine Active Directory, y compris les non-administrateurs peuvent intégrer au domaine jusqu'à 10 ordinateurs. C'est la configuration par défaut de l'Active Directory !

Au-delà des points à améliorer en termes de sécurité, ce rapport est très intéressant, car il donne des informations générales sur les contrôleurs de domaine, les versions de système d'exploitation, les stratégies de groupe, etc...

Je ne vais pas passer en revue l'ensemble des règles, car les points à corriger ne seront pas les mêmes d'une infrastructure à une autre, même s'il y a des règles qui matchent la plupart du temps.

V. Comment améliorer la sécurité de son Active Directory ?

Les réponses se situent dans le rapport de PingCastle ! En effet, comme je le disais, à partir du rapport de PingCastle, vous pouvez prendre connaissance des différents points et vous référer aux documentations mentionnées sous chaque règle. Pour certains points, il y a des tutoriels sur IT-Connect qui pourront vous aider (voir en fin d'articles). Vous ne pourrez peut-être pas corriger l'ensemble des points, mais généralement, il y a des actions assez simples que l'on peut effectuer pour améliorer le niveau de sécurité de son Active Directory.

Après avoir corrigé un ou plusieurs points, vous pouvez relancer un audit avec PingCastle pour vérifier que le changement est bien pris en compte. Ainsi, vous pouvez suivre l'évolution de votre score dans le temps. Quand vous relancez un audit PingCastle, il va écraser le rapport précédemment généré alors pensez à le garder de côté si vous souhaitez avoir un historique.

Prenons un exemple avec la règle "The spooler service is remotely accessible from 1 DC" qui signifie que le service Spouleur d'impression est activé et démarré sur le contrôleur de domaine. Sur un serveur qui n'est pas serveur d'impression et depuis lequel nous n'avons pas besoin d'imprimer, il n'y a pas besoin de maintenir ce service dans cet état, d'autant plus qu'il peut être exploité dans le cadre d'attaques. Il est très fréquent d'avoir cette règle qui matche.

Pour corriger le tir, vous devez arrêter et désactiver le service "Spouleur d'impression" sur l'ensemble de vos contrôleurs de domaine (sauf besoins spécifiques). Soit par GPO, soit manuellement avec l'interface graphique ou PowerShell. À partir de la console de gestion des services, cela donne :

Dès que c'est fait, si je relance une analyse avec PingCastle, je constate que le score de la section "Anomalies" est passé de 40 à 30 : une bonne nouvelle ! Désormais, il va falloir poursuivre nos efforts...

V. Planifier un audit régulier de l'AD avec PingCastle

L'exécutable de PingCastle accepte de nombreux arguments, ce qui permet de l'appeler facilement dans une tâche planifiée. Vous pouvez prendre connaissance des différentes options en exécutant cette commande :

.\pingcastle.exe --help

Par exemple, voici une commande qui permet d'exécuter un audit avec PingCastle en ciblant le serveur srv-adds-01.it-connect.local. Le rapport HTML généré sera envoyé par e-mail à l'adresse "securite@it-connect.tech".

.\PingCastle.exe --server srv-adds-01.it-connect.local --healthcheck --sendHtmlTo securite@it-connect.tech

En ce qui concerne le serveur SMTP à utiliser pour envoyer les e-mails, il doit être défini dans le fichier de configuration "PingCastle.exe.config".

VI. Conclusion

Pour auditer facilement un annuaire Active Directory, PingCastle est une très bonne solution ! Son utilisation repose sur un simple fichier "setup.exe" qui n'a pas besoin d'être réellement installé sur la machine, ce qui est avantageux. Nous venons de voir l'utilisation de la fonctionnalité principale de PingCastle, mais il est possible d'aller plus loin.

En effet, PingCastle intègre d'autres fonctionnalités que vous pouvez explorer à partir du menu de l'application (en naviguant avec le clavier) ou en regardant la documentation. Par exemple, vous pouvez réaliser un export des objets ordinateurs ou utilisateurs de votre Active Directory, mais aussi utiliser la fonction "Scanner" pour vérifier certains éléments de configuration sur les objets ordinateurs de votre Active Directory (exemple : rechercher la présence d'un partage ouvert).

Pour terminer, voici une liste de tutoriels qui pourront vous aider à corriger certains points :

• Comment réinitialiser le mot de passe du compte krbtgt ?
• Politiques de mots de passe Active Directory
• Verrouillage des comptes Active Directory
• Empêcher les non-administrateurs d'ajouter des machines au domaine Active Directory
• Activer la corbeille Active Directory
• Le groupe Protected Users de l'Active Directory

Vous n'avez plus qu'à renforcer la sécurité de votre audit Active Directory et à réaliser des audits réguliers avec PingCastle pour maintenir un niveau de sécurité satisfaisant dans le temps.

The post Comment auditer l’Active Directory avec PingCastle ? first appeared on IT-Connect.

Une campagne de phishing très importante cible les clients de Microsoft et plus particulièrement les utilisateurs d'Office 365. Le mode opératoire employé par les cybercriminels permet de contourner l'authentification multifacteurs (MFA). Explications.

D'après les chercheurs en sécurité de chez Microsoft, cette campagne de phishing a déjà ciblée plus de 10 000 entreprises depuis septembre 2021 ! À partir d'un compte e-mail compromis, les pirates émettent des e-mails de phishing aux autres salariés de l'entreprise, mais également aux partenaires externes, dans le but d'obtenir des paiements frauduleux. Lorsqu'un nouveau compte e-mail est compromis, il est utilisé à son tour pour diffuser des e-mails malveillants.

Suite à l'analyse effectuée par Microsoft, on apprend que les e-mails envoyés dans le cadre de cette campagne de phishing contiennent une pièce jointe HTML malveillante. Dans certains cas, et cela n'est pas nouveau, l'e-mail indique à l'utilisateur qu'il a reçu un nouveau message vocal et qu'il doit consulter la pièce jointe. Lorsque l'on ouvre cette page, une pseudo-page de chargement s'affiche, avant de rediriger l'utilisateur sur une page de connexion Office 365.

Là où la technique utilisée par les pirates informatiques est astucieuse et redoutable, c'est que le site malveillant mis en place sert de proxy HTTPS. Autrement dit, lorsque l'utilisateur navigue sur la page malveillante, ce sont des informations obtenues à partir du véritable site de Microsoft qui sont affichées, en temps réel. Le site des cybercriminels, en tant que proxy HTTPS, se positionne entre deux : le principe d'une attaque man in the middle.

Grâce à cette méthode, la connexion peut être effectuée auprès des services de Microsoft, jusqu'à l'étape du MFA (si la fonctionnalité est activée). Ainsi, si l'utilisateur complète le processus d'authentification, le pirate informatique peut récupérer le cookie de connexion de l'utilisateur ! Microsoft précise : "Dans plusieurs cas, les cookies attestaient d’une demande MFA, ce qui signifie que même si l’entreprise avait une politique MFA, l'attaquant a utilisé le cookie de session pour obtenir un accès au nom du compte compromis".

Certains seconds facteurs sont vulnérables à cette attaque, notamment le SMS et le code par e-mail, ce qui n'est pas le cas des méthodes basées sur la norme FIDO 2, comme les clés YubiKey. Malgré tout, cela reste intéressant de mettre en place le MFA car il permet d'éliminer un grand nombre d'attaques et de se protéger contre les méthodes classiques, comme le brute force. En complément, Microsoft recommande de configurer des règles d'accès conditionnel, par exemple.

Bien que le nom de domaine ne soit pas celui de Microsoft et qu'il correspond au nom de domaine mis en place par les cybercriminels, plusieurs éléments permettent de rassurer l'utilisateur :

• Lorsqu'il se retrouve face à la page de connexion Office 365, son adresse e-mail est déjà renseignée, comme quand il se trouve sur le site officiel
• La page de connexion Office 365 qui s'affiche reprend les éléments graphiques propres à l'entreprise (s'il y en a), notamment l'image de fond
• La connexion au site malveillant est sécurisée à l'aide du protocole HTTPS

Si besoin, je vous invite à lire mon tutoriel sur la configuration du MFA sur Office 365.

Source

The post Phishing Office 365 : 10 000 entreprises ciblées par cette campagne capable de contourner le MFA first appeared on IT-Connect.

Tor Browser 11.5 est disponible ! Au sein de cette nouvelle version majeure, les développeurs du projet Tor ont inclus de nouvelles fonctionnalités pour faciliter la connexion au réseau Tor mais aussi pour que ce soit plus facile de contourner la censure.

Pour rappel, Tor Browser est un navigateur Internet qui n'est pas tout à fait comme les autres puisqu'il sert à se connecter au réseau Tor, un réseau où la navigation est anonyme et où le respect de la vie privée règne. Le trafic acheminé sur ce réseau est chiffré, tout au long du flux, y compris lorsque l'on passe au travers d'un nœud Tor. Le serveur que l'on souhaite atteindre est contacté par le nœud Tor que l'on utilise, et non directement par notre propre machine.

Parlons maintenant de Tor Browser 11.5, dont l'annonce officielle est disponible sur cette page. Tout d'abord, il faut savoir que cela fait un an que les développeurs travaillent sur l'expérience de connexion au réseau Tor. Désormais, ces efforts sont concrétisés puisque Tor Browser 11.5 intègre une nouvelle fonctionnalité nommée "Assistant de connexion" qui assigne automatiquement à l'utilisateur le meilleur pont possible vis-à-vis de son emplacement actuel, sans avoir à tester plusieurs configurations manuellement. Avec Tor, un pont (bridge) est comme un nœud Tor mais avec une configuration légèrement différente, car il a pour objectif de permettre de contourner les actions de censure de certains gouvernements et FAI. Cette nouvelle fonctionnalité doit encore être améliorée, d'après l'équipe du projet Tor, alors n'hésitez pas à tester et à effectuer des retours.

Par ailleurs, le mode de navigation "HTTPS Only" est le mode par défaut au sein de Tor Browser 11.5 afin que l'ensemble des connexions soient sécurisées. On le sait, le chiffrement du protocole HTTPS permet de se protéger contre différentes attaques, notamment contre les techniques de type man in the middle. Enfin, Tor Browser 11.5 intègre un nouveau menu de gestion des paramètres réseau, totalement révisé et désormais nommé "Paramètres de connexion".

Source

The post Tor Browser 11.5 intègre une fonctionnalité pour contourner la censure automatiquement first appeared on IT-Connect.

Sur Amazon, le répéteur Wi-Fi TP-Link RE300 est proposé à 9,99 euros au lieu de 34,90 euros ! De quoi s'équiper à moindre coût pour améliorer la portée de son réseau Wi-Fi.

Pour améliorer son réseau Wi-Fi à la maison, il y a plusieurs possibilités, plus ou moins onéreuses, plus ou moins performantes. On peut mettre en place ses propres bornes Wi-Fi, un système de type Wi-Fi Mesh, ou encore un simple répéteur Wi-Fi comme celui que je vous propose aujourd'hui. D'ailleurs, les fournisseurs d'accès à Internet proposent généralement un répéteur Wi-Fi pour améliorer la portée du signal Wi-Fi de la box. Ce modèle TP-Link fonctionne avec toutes les box et il va diffuser le même réseau Wi-Fi que votre box, de manière à répéter le signal et améliorer la portée globale du réseau.

Il ne s'agit pas d'un modèle compatible Wi-Fi 6 : à ce prix il ne faut pas rêver. Par contre, il respecte la norme Wi-Fi 802.11ac, avec à la fois du 2,4 Ghz et du 5 GHz. TP-Link promet un débit pouvant atteindre jusqu'à 1200 Mbps, une couverture de 120m² au maximum et la prise en charge de 32 périphériques en même temps.

Ce répéteur Wi-Fi TP-Link RE300 est proposé à 9,99 euros et il est garanti 3 ans : une bonne affaire à petit budget.

Pour profiter de ce bon plan, c'est par ici : Amazon.

The post Bon plan : un répéteur Wi-Fi TP-Link à seulement 9,99 euros ! first appeared on IT-Connect.

À la surprise générale, Microsoft pourrait lancer Windows 12 en 2024, ce qui signifie que la firme de Redmond reviendrait à un calendrier de sortie un peu plus classique avec un nouveau Windows tous les trois ans.

D'après les informations relayées par le site Windows Central, Microsoft travaille déjà sur Windows 12, le successeur de Windows 11. Alors que Windows 10, à l'époque de son lancement, devait être le dernier système Windows que Microsoft souhaitait faire évoluer dans le temps (ce que Microsoft a fait pendant quelques années), on nous parle aujourd'hui de Windows 12, moins d'un an après le lancement de Windows 11.

Windows 11 est disponible depuis octobre 2021 et Microsoft souhaite sortir une nouvelle version majeure de Windows tous les trois ans, donc Windows 12 pourrait voir le jour en 2024. Quant à Windows 11, il reste de toute façon le dernier système de Microsoft jusqu'à nouvel ordre, et il recevra une mise à jour majeure à l'automne prochain. Windows 10 étant pris en charge par Microsoft jusqu'en 2025, cette rumeur va peut-être encourager certaines personnes et entreprises à patienter afin d'en savoir un peu plus quant à la sortie éventuelle de Windows 12 : pour passer directement de Windows 10 à Windows 12.

D'après Windows Central, Microsoft envisage d'inclure à cette nouvelle version une fonction de mise à jour nommée "Moments". Son objectif : le déploiement de nouvelles fonctionnalités sans attendre la sortie d'une version majeure, sous la forme de modules, afin de proposer plus souvent des nouveautés aux utilisateurs. Actuellement, Microsoft publie déjà quelques nouveautés de temps à autre avec les mises à jour mensuelles.

Pour le moment, ce ne sont que des rumeurs ! Bien entendu, Microsoft ne s'est pas exprimé directement à ce sujet. L'avenir nous apportera la réponse, mais visiblement quelque chose est en préparation chez Microsoft. En attendant d'en savoir plus, Windows 11 a encore de beaux jours devant lui (et personnellement, je l'aime bien !), comme son compère Windows 10.

Source

The post Microsoft pourrait lancer Windows 12 en 2024 ! first appeared on IT-Connect.