I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer une stratégie de verrouillage des comptes Active Directory afin de protéger les comptes utilisateurs contre les tentatives de connexions malveillantes. Si quelqu'un cherche à utiliser votre compte Active Directory afin d'usurper votre identité et qu'il se trompe de mots de passe un trop grand nombre de fois, le compte sera verrouillé. Concrètement, c'est une mesure de protection contre les attaques de type brute force.

La stratégie de verrouillage des comptes n'est pas une fonctionnalité récente : l'Active Directory sous Windows Server 2003 (et peut-être même avant) intégrait déjà cette possibilité.

Au-delà de configurer la stratégie de verrouillage des comptes, nous verrons comment auditer le verrouillage des comptes et comment identifier la source du verrouillage. La mise en œuvre c'est une chose, l'exploitation en est une autre !

Pour ce tutoriel, je vais utiliser un contrôleur de domaine Active Directory sous Windows Server 2022 et un poste de travail sous Windows 11. Vous pouvez utiliser des versions plus anciennes (Windows Server 2016, Windows Server 2019, Windows 10, etc.).

Je vous recommande également de lire mon article sur les stratégies de mots de passe où je fais référence aux recommandations de l'ANSSI.

• Politique de mots de passe : comment appliquer les recommandations de l'ANSSI ?

II. La stratégie de verrouillage des comptes

Lors de la mise en place d'un Active Directory, la stratégie de verrouillage des comptes est définie dans la stratégie de groupe "Default Domain Policy". Cela signifie que cette configuration s'applique sur tous les ordinateurs (serveurs et postes de travail) membres de ce domaine. Sauf que si l'on regarde le contenu de cette stratégie, on peut voir qu'elle est définie sur "0 tentative d'ouvertures de session non valides" : ce qui signifie que, par défaut, le verrouillage des comptes n'est pas configuré. Dommage.

Pour configurer une stratégie de verrouillage des comptes via GPO sur le domaine, il y a trois choix :

• Configurer directement la GPO "Default Domain Policy"
• Créer une nouvelle GPO dédiée avec les paramètres de verrouillage en forçant l'application
• Créer une nouvelle GPO dédiée avec les paramètres de verrouillage sans forcer l'application
  • Cette solution implique que l'option "Définir ce paramètre de stratégie" soit décochée au sein du paramètre "Seuil de verrouillage du compte" de la GPO "Default Domain Policy"

Le résultat sera le même, ce n'est qu'une question de pratique. Personnellement, je préfère créer une GPO dédiée à la stratégie de verrouillage des comptes afin d'éviter de modifier la GPO par défaut du domaine.

A. Créer la GPO de verrouillage des comptes

À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO nommée "Verrouillage des comptes" liée directement à la racine de votre domaine afin de sécuriser l'ensemble des utilisateurs.

Modifiez la GPO et parcourez l'arborescence des paramètres de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage du compte

A cet endroit, nous retrouvons 3 paramètres :

• Seuil de verrouillage du compte : au bout de combien de tentatives d'ouvertures de session non valides faut-il verrouiller le compte ?
• Réinitialiser le compteur de verrouillages du compte après : ce paramètre détermine l'intervalle de temps pendant lequel on doit compter les tentatives en échecs avant de remettre le compte à zéro. L'idée étant de ne pas compter indéfiniment, car sinon le compte finira forcément par se verrouiller si l'utilisateur se trompe de mot de passe une fois de temps en temps.
• Durée de verrouillage de comptes : pendant combien de temps faut-il verrouiller le compte ?

Commencez par modifier le paramètre "Seuil de verrouillage du compte" afin de l'activer en cochant "Définir ce paramètre de stratégie". Ensuite, indiquez "10" pour que le compte soit verrouillé après 10 tentatives en échecs.

Cette valeur n'est pas choisie au hasard : cette valeur et celles qui suivront sont conformes aux recommandations de Microsoft intégrée au Microsoft Security Compliance Toolkit, en matière de sécurité.

On vous propose de définir les deux autres paramètres sur "30 minutes", cliquez sur "OK".

Modifiez les deux autres paramètres en mettant 15 minutes à chaque fois. Vous devez obtenir cette configuration :

En résumé, s'il y a eu 10 erreurs de mots de passe dans un intervalle de 15 minutes, alors le compte est verrouillé automatiquement pendant 15 minutes.

La GPO est prête, mais si vous n'avez pas décoché l'option du paramètre "Seuil de verrouillage du compte" de la GPO "Default Domain Policy" (comme expliqué précédemment), vous devez penser à forcer la GPO pour qu'elle soit prioritaire. Pour cela, effectuez un clic droit sur la GPO puis "Appliqué".

B. Vérifier que la GPO s'applique bien

Rendez-vous sur un poste de travail où s'applique la GPO afin de se connecter avec un utilisateur. Avant toute chose, il faut effectuer un "gpupdate /force" et redémarrer la machine.

Ensuite, pour vérifier que la GPO est bien appliquée, on peut utiliser l'outil "Gpresult" mais aussi une commande bien pratique pour gagner du temps :

net accounts

On voit bien les trois options liées au verrouillage et les valeurs correspondent bien à notre GPO !

III. Compte verrouillé : que se passe-t-il dans l'AD ?

La protection est configurée, mais nous devons la tester. Pour cela, c'est simple : il suffit de se connecter en boucle sur une machine en saisissant des mots de passe bidon. Au bout de 10 tentatives en échecs, le compte va se verrouiller.

Windows affichera un message pour préciser que le compte est verrouillé. De mon côté, j'ai pris l'utilisateur "Vincent Timmes" comme cobaye et désormais quand j'essaie de me connecter, j'obtiens : "Par mesure de sécurité, le compte de l’utilisateur a été verrouillé suite à un nombre excessif de tentatives de connexion ou de modification du mot de passe. Attendez un peu avant de réessayer, ou contactez votre administrateur système ou votre service de support technique."

Au niveau de l'Active Directory, si je regarde les propriétés du compte utilisateur "Vincent Timmes", je peux voir dans l'onglet "Compte" que le compte est verrouillé : "Déverrouiller le compte. Ce compte est actuellement verrouillé sur ce contrôleur de domaine Active Directory". Pour déverrouiller le compte sans attendre la fin du temps imparti, il faut cocher l'option et valider. Une manipulation utile si c'est un utilisateur qui a verrouillé son compte par erreur.

Si l'on veut en savoir un peu plus sur ce verrouillage de compte, il faut basculer sur l'éditeur d'attributs. L'attribut "lockoutTime" indique la date et l'heure à laquelle a eu lieu cet incident de sécurité. Je remarque la valeur suivante :

132890901190781735

Lorsqu'un compte n'est pas verrouillé, l'attribut "lockoutTime" est égal à "0" contrairement à certains attributs qui sont en "non défini".

Ce timestamp peut-être converti avec la commande suivante :

w32tm.exe /ntte 132890901190781735

Vu la date et l'heure du verrouillage, cela ressemble à une action malveillante !

IV. Les commandes Search-ADAccount et Unlock-ADAccount

En utilisant PowerShell, on peut également lister facilement les comptes verrouillés en effectuant une recherche sur l'annuaire :

Search-ADAccount -LockedOut

Avec PowerSell, on peut utiliser Get-ADUser pour récupérer le lockoutTime de l'utilisateur et le convertir directement. On obtient la commande suivante :

Get-ADUser -Identity vincent.timmes -Properties lockoutTime | Select sAMAccountName,@{Name="LockoutTime";Expression={([datetime]::FromFileTime($_.lockoutTime).ToLocalTime())}}

En couplant l'utilisation de cette commande avec la présente, on peut sortir une liste des comptes verrouillés avec la date et l'heure de verrouillage. Pour chaque compte verrouillé, on récupère l'identifiant sAMAccountName et le lockoutTime. On va également classer les événements du plus récent au plus ancien, pour les avoir dans l'ordre chronologique.

Voici la commande :

Search-ADAccount -LockedOut | Get-ADUser -Properties lockoutTime | Select sAMAccountName,@{Name="LockoutTime";Expression={([datetime]::FromFileTime($_.lockoutTime).ToLocalTime())}} | Sort LockoutTime -Descending

Le résultat est plutôt sympa :

Enfin, on peut déverrouiller un compte utilisateur avec PowerShell avec Unlock-ADAccount :

Unlock-ADAccount -Identity vincent.timmes

V. Auditer le verrouillage des comptes

Par défaut, lorsqu'un compte est verrouillé, Windows génère un événement dans l'Observateur d'événements afin de consigner l'incident. Néanmoins, pour être sûr que cette configuration d'audit soit appliquée sur les contrôleurs de domaine, nous allons créer une deuxième GPO : "Verrouillage des comptes - Audit".

Modifiez la GPO et parcourez l'arborescence des paramètres de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Configuration avancée de l'audit > Ouvrir/fermer la session

A cet endroit, nous retrouvons plusieurs paramètres à activer comme sur l'image ci-dessous :

• Auditer le verrouillage du compte
• Auditer la fermeture de session
• Auditer l'ouverture de session

D'une part pour surveiller les verrouillages de comptes, mais aussi pour suivre les ouvertures et fermetures de session. Ce sera utile pour investiguer plus précisément en cas d'incident.

La GPO "Verrouillage des comptes - Audit" est directement appliquée sur l'OU "Domain Controllers". Voici les paramètres à activer au final (à reproduire sur votre GPO). Le paramètre "Audit : forcer les paramètres des sous-catégories..." doit être activé lorsque l'on souhaite utiliser l'audit avancé.

Voyons ce que ça donne au niveau des logs Windows.

VI. Voir la source d'un verrouillage de compte

Après avoir effectué un nouveau verrouillage d'un compte, il faut se rendre au sein de l'observateur d'événements de Windows : Journaux Windows > Sécurité.

L'idée, c'est de filtrer le journal pour afficher uniquement les événements avec l'ID "4740". Pour cela, effectuez un clic droit sur "Sécurité" puis "Filtrer le journal actuel" et indiquez l'ID "4740".

De mon côté, j'obtiens plusieurs événements, voici un exemple :

Nous pouvons voir plusieurs informations intéressantes :

• Compte verrouillé avec le nom du compte
• La date et l'heure de l'événement
• Nom de l'ordinateur appelant : c'est la source de l'attaque, cela permet de savoir d'où provient la tentative de connexion !

Au sujet des événements 4740, vous devez savoir ce qui suit :

L'événement 4740 sera généré sur le contrôleur de domaine auprès duquel l'utilisateur a essayé de s'authentifier. Généralement, cela correspond au contrôleur de domaine le plus proche. Dans le cas où l'on a plusieurs DC, les événements peuvent être éparpillés entre vos contrôleurs de domaine. Fort heureusement, le processus d'authentification intègre un mécanisme qui, en cas de tentatives d'authentification en échecs, oblige le DC d'origine à contacter le DC qui détient le rôle FSMO d'Emulateur PDC. C'est ce DC qui traite le verrouillage des comptes. Le contrôleur de domaine avec le rôle d'émulateur PDC va centraliser les événements 4740 de tous les contrôleurs de domaine.

Remarques : le contenu du journal sera influencé en cas d'indis474ponibilité du DC émulateur PDC et dans ce cas, il pourra manquer des événements. Malgré tout, en cas d'indisponibilité, le compte sera bien verrouillé par le DC qui traite les requêtes d'authentification, ce qui est rassurant.

Par ailleurs, dans les infrastructures avec un grand nombre de DC, il me semble pertinent d'augmenter la taille du journal "Sécurité" sur l'émulateur PDC. Enfin, vos journaux sont peut-être collectés et analysés par un SIEM directement.

Si vous ne savez pas trop quel est l'émulateur PDC sur votre infra, exécutez cette commande :

(Get-AdDomain).PDCEmulator

Pour aller plus loin dans la consultation de ces événements, il y a plusieurs possibilités, dont :

• Utiliser PowerShell pour consulter l'observateur d'événements d'un ou plusieurs DCs (l'exemple ci-dessous récupère le dernier log avec l'ID 4740).

Get-EventLog -LogName Security -InstanceId 4740 -Newest 1 | fl

• Utiliser l'outil gratuit "Microsoft Account Lockout and Management Tools" qui, bien que très vieux, peut être utile pour afficher quelques informations, dont le nombre de mauvais mots de passe, etc... Simplement.

• Utiliser l'outil gratuit "Netwrix Account Lockout Examiner" qui, pour un compte précis, va rechercher les logs correspondants sur les différents DC et indiquer la source.

Grâce à cet article, vous êtes en mesure de mettre en place une stratégie de verrouillage de comptes et de consulter les journaux d'audit en cas d'incident.

The post Active Directory et le verrouillage des comptes first appeared on IT-Connect.

Microsoft envisage d'introduire un changement au sein de Windows 11 Pro qui ne risque pas de plaire à tout le monde ! En effet, l'utilisation d'un compte Microsoft deviendrait obligatoire par la suite !

À chaque nouvelle version publiée dans le canal Dev de Windows 11, accessible par l'intermédiaire du programme Windows Insiders, les utilisateurs peuvent découvrir les futures fonctionnalités de Windows 11 en avant-première. C'est aussi un excellent moyen de suivre l'avancement des travaux réalisés par la firme de Redmond. Dernièrement, nous avons eu le droit à un nouveau Gestionnaire des tâches, ainsi qu'un nouveau Bloc-notes ou encore le nouveau lecteur multimédia.

Au milieu de ces nouvelles applications et ces nouvelles fonctionnalités, il y a un autre changement qui devrait faire grincer les dents des utilisateurs : l'obligation d'utiliser un compte Microsoft pour sa session utilisateur avec Windows 11 Pro. Jusqu'ici, le compte Microsoft était obligatoire uniquement pour Windows 11 Famille. Le compte Microsoft serait imposé lors de l'initialisation de Windows 11, lors du premier démarrage du système. Cela signifie qu'il n'y aurait que les éditions Entreprise et Education qui pourraient se passer du compte Microsoft.

Nous verrons par la suite si ce changement s'applique au sein d'une future version stable de Windows 11, ou si cela restera uniquement au niveau du programme Windows Insiders. En effet, certains changements apportés sur les builds de développement ne voient jamais le jour sur les versions publiées auprès du grand public.

Sur Windows 11 Famille, il y a une astuce qui consiste à ne pas connecter la machine à internet afin de pouvoir utiliser un compte local. On peut imaginer que cette astuce fonctionne également avec la version Pro, sinon cela signifie que le système est inutilisable.

Que pensez-vous de ce changement ?

The post Windows 11 Pro : le compte Microsoft bientôt obligatoire ? first appeared on IT-Connect.

WordPress a pris la décision de forcer la mise à jour de l'extension UpdrafPlus afin de corriger une faille de sécurité critique permettant à un utilisateur de récupérer la dernière sauvegarde de la base de données du site : une occasion en or pour récupérer les identifiants admin.

L'extension UpdrafPlus est très populaire et elle permet de réaliser des sauvegardes de son site WordPress, aussi bien des fichiers que de la base de données, que ce soit en local ou à distance sur un espace Cloud ou un serveur FTP, par exemple. Quand je dis qu'elle est très populaire, c'est qu'il y a 3 millions de sites WordPress qui l'utilisent ! Alors, suite à la découverte de cette faille de sécurité, cela représente un nombre important de sites vulnérables.

Associée à la référence CVE-2022-0633, c'est Marc Montpas d'Automattic qui a fait la découverte de cette vulnérabilité le 14 février 2022. Preuve qu'elle est critique, elle hérite d'un score CVSS v3.1 de 8,5. À partir du moment où une personne dispose d'un compte sur le site WordPress, y compris avec le niveau de privilèges le plus faible (rôle "Abonné"), il devient possible de télécharger une sauvegarde du site en l'envoyant par e-mail grâce à l'exploitation de cette vulnérabilité. Au sein de la sauvegarde de la base de données, le pirate aura accès à l'ensemble des comptes utilisateurs du site, ainsi qu'au hash des mots de passe : il suffira de convertir les mots de passe en clair pour récupérer celui du compte admin du site. Pour exploiter cette vulnérabilité, il faut qu'il soit possible de s'inscrire sur le site, et qu'il y ait au moins une sauvegarde existante.

Dès le lendemain de la découverte de la vulnérabilité, une mise à jour était disponible afin de la corriger, puis ensuite, WordPress a pris la décision de forcer la mise à jour vers cette nouvelle version afin de protéger les sites sans attendre. C'est un cas très rare, mais ce choix s'avère pertinent.

Si vous utilisez cette extension, vérifiez qu'elle soit bien à jour ! La vulnérabilité est corrigée dans UpdraftPlus 1.22.3 pour la version gratuite et la version 2.22.3 pour la version payante. La dernière version est la 1.22.4 et je vous recommande de l'installer dès que possible si ce n'est pas déjà fait. Cette vulnérabilité affecte toutes les versions comprises entre 1.16.7 et 1.22.2

• Tutoriel - Comment installer WordPress sur son propre serveur ?

Source

The post WordPress et UpdraftPlus : une vulnérabilité touche 3 millions de sites first appeared on IT-Connect.

Microsoft Teams est un outil collaboratif très à la mode et utilisé par plus de 270 millions de personnes chaque mois, alors forcément, il représente le terrain de jeu idéal pour les pirates afin de diffuser des logiciels malveillants. C'est d'ailleurs ce qu'il se passe actuellement avec l'exécutable malveillant UserCentric.exe.

Une fois que l'on est connecté à son espace Teams, on accède à ses équipes, ses conversations, etc... On a l'impression d'être dans une bulle entre collègues, partenaires et même entre amis. À tel point que l'on pourrait oublier qu'il peut y avoir des actions malveillantes menées sur Teams, notamment en exploitant la fonction d'envoi de fichiers.

Les chercheurs d'Avanan, une société appartenant à Check Point et qui travaille sur la sécurisation des e-mails et des plateformes collaboratives, ont découvert une nouvelle attaque qui a débutée en janvier. L'attaquant utilise la fonction de chat de Teams pour diffuser un exécutable appelé "User Centric", qui est bien sûr malveillant, dans l'objectif d'infecter les ordinateurs des victimes. Si un utilisateur télécharge et exécute ce fichier, sa machine Windows est infectée : des entrées sont créées dans le Registre et des DLLs installés afin que le malware soit persistant sur la machine.

Alors bien sûr, avant de pouvoir diffuser le document au sein de conversations Teams, le pirate doit obtenir l'accès à un compte Microsoft 365. On peut imaginer plusieurs scénarios : vol d'identifiants, achat d'identifiants, diffusion de campagnes de phishing, etc... Une fois que le pirate dispose d'un accès au compte Teams d'un utilisateur, il peut cibler ses contacts.

En résumé : Teams n'est pas tout rose, et il faut être vigilant comme on peut l'être avec les pièces jointes d'un e-mail lorsque quelque chose semble suspicieux. Cela est valable pour les autres solutions équivalentes à Teams. Dans ce cas, contactez le service informatique si vous avez un doute !

Source

The post Des pirates diffusent un malware dans les conversations Teams first appeared on IT-Connect.

Au sein du canal Dev, Microsoft a publié une nouvelle version de Windows 11 : la build 22557. Je vous en parle, car elle intègre plusieurs nouveautés que vous allez pouvoir découvrir dans cet article.

Pour cette nouvelle version, Microsoft a apporté des améliorations à plusieurs éléments importants de Windows, notamment le Gestionnaire des tâches, le menu Démarrer ou encore le mode concentration. En complément, les développeurs travaillent sur l'optimisation du système et la correction de certains bugs.

• Création de groupes d'icônes dans le menu Démarrer

Jusqu'ici, il n'était pas possible de créer des groupes d'icônes au sein du menu Démarrer de Windows 11, alors que c'était possible sous Windows 10. Ce n'est qu'une question de temps, car cette build ajoute cette possibilité.

• Nouveaux modes "Ne pas déranger" et "Focus"

La firme de Redmond a introduit de nouveaux modes : "Ne pas déranger" et "Focus" (Concentration). L'objectif étant de masquer les notifications pendant une période donnée, mais aussi de jouer de la musique calme pour favoriser la concentration de l'utilisateur. Lors de l'utilisation du mode "Focus", on définit une durée pour la session. Les applications qui ont tendance à flasher dans la barre des tâches pour attirer l'intention de l'utilisateur ne pourront plus le faire lorsque le mode "Focus" sera actif.

• Sous-titres en temps réel

Au sein des options d'accessibilité, Windows 11 va intégrer une fonctionnalité permettant de générer les sous-titres en direct lorsque vous regardez une vidéo. On peut imaginer que cette possibilité sera accessible uniquement en anglais dans un premier temps.

• Épingler des fichiers à l'accès rapide

Jusqu'ici, il n'était pas possible d'épingler un fichier dans la zone "Accès rapide" de l'Explorateur de fichiers. Désormais, ce sera possible de le faire, comme on le faisait avec les dossiers jusqu'à présent. Plutôt cool je trouve !

Par ailleurs, un icône OneDrive va être accessible en haut à droite de l'explorateur de fichiers afin d'avoir un état de son compte, notamment l'espace de stockage utilisé.

• Nouveau gestionnaire des tâches

Le gestionnaire des tâches bénéficie d'un nouveau design et d'un mode sombre pour se mettre au niveau du reste du système. Il y a également la possibilité de mettre en pause un processus ou de passer un processus en mode "Efficacité" afin que le système le priorise et lui attribue plus de ressources.

En complément, Microsoft a ajouté de nouvelles possibilités en termes de gestuelle, que ce soit pour fermer le menu Démarrer, ouvrir les notifications, etc... Avec un balayage de l'écran.

Annonce officielle de Microsoft : ici.

Source

The post Les nouveautés de Windows 11 build 22557 first appeared on IT-Connect.