Harden et migration du blog (https://hardenad.net/blog)

Bonjour

C’est avec un grand plaisir que nous vous annonçons la création de la communauté Harden (association loi 1901) : https://hardenad.net

Cette communauté a pour but de partager les standards de configuration des solutions d’infrastructure systèmes et réseaux comme Active Directory, Active Directory Certificate Services, Remote Desktop Services, Hyper-V, VMware ESX.
Ces standards sont inspirés des référentiels des éditeurs / constructeurs, de l’ANSSI ou du référentiel CIS et des retours terrain de plus de 40 contributeurs (une dédicace toute particulière à Jean-François, Loic, Sébastien et Seyfallah sans qui ce beau projet n’existerait pas).

Cette communauté a aussi pour objectifs d’automatiser et simplifier le déploiement de ces standards. C’est dans ce cadre que les solutions Harden AD, Harden 365 et Harden CS ont été développés. Elles sont sous licences Harden (développées en PowerShell pour plus de simplicité, Open Source et utilisables gratuitement par les équipes IT internes). Je vous invite à consulter le site web de la communauté Harden pour plus d’informations.

Cet article sera le dernier publié sur http://msreport.free.fr (l’hébergement Free c’est gratuit mais avec quelques limites).

Vous pouvez maintenant me suivre sur le blog de la communauté Harden.
https://hardenad.net/blog/

A+
Guillaume MATHIEU & tous les membres de la communauté Harden
La connaissance s’accroît quand nous la partageons.
https://hardenad.net

 

Publié dans Windows 2012 R2 | Commentaires fermés sur Harden et migration du blog (https://hardenad.net/blog)

Windows 2012 R2 – Windows Update affiche que vous êtes à jour alors qu’aucun correctif de sécurité mensuel n’est déployé.

Bonjour

J’ai rencontré ce cas chez un de mes clients qui disposent principalement de serveurs Windows 2012 R2. Windows Update affiche que vous êtes à jour alors qu’aucun correctif de sécurité mensuel n’est déployé.
Ce problème est décrit dans les articles suivants :
https://forums.ivanti.com/s/article/Patches-Released-After-April-2014-Are-Not-Being-Detected-As-Missing-On-2012-R2-Server-Or-Windows-8-1-Operating-Systems
https://support2.microsoft.com/en-us/help/2919355/windows-rt-8-1-windows-8-1-windows-server-2012-r2-update-april-2014

Il faut installer la KB 2969339 (https://www.microsoft.com/fr-fr/download/details.aspx?id=43266).

Télécharger l’ensemble des KB à cet emplacement :
https://www.microsoft.com/fr-fr/download/details.aspx?id=42334

Déployer dans cet ordre :
– Clearcompressionflag.exe
– KB2919355
– KB2932046
– KB2959977
– KB2937592
– KB2938439
– KB2934018

Bonne journée à tous.

Guillaume MATHIEU
Directeur Technique
La connaissance s’accroît quand on la partage.
http://msreport.free.fr
http://www.flexsi.fr

Publié dans Bug, Troubleshouting, Windows 2012 R2 | Commentaires fermés sur Windows 2012 R2 – Windows Update affiche que vous êtes à jour alors qu’aucun correctif de sécurité mensuel n’est déployé.

Pourquoi les attaquants ciblent tout particulièrement les serveurs de sauvegarde

Bonjour à tous

Je vais animer avec Sylvain CORTES une session aux Identity Days dédiée aux attaques autour d’Active Directory : Attaque Active Directory 100% démo – Zéro Slide – Zéro blabla
La session en ligne est prévue pour jeudi 29 octobre de 14h30 à 15h15.
Le programme : https://identitydays.com/programme-2020-fr/
Pour vous inscrire : https://identitydays.com/inscriptions-digital-edition/

Une des démonstrations de cette session consistera à voir pourquoi les attaquants ciblent tout particulièrement les serveurs de sauvegarde. Nous allons voir cela en détails dans cet article :
– Comment un attaquant peut élever ses privilèges une fois que ce dernier est administrateur local du serveur de sauvegarde ?
– Comment un attaquant peut supprimer toutes les sauvegardes locales ou externalisées en quelques clics si ces dernières sont accessibles en locale ou via le réseau par le serveur de sauvegarde ?
– Les bonnes pratiques à mettre en place pour réduire les risques.

Nous utiliserons Veeam Backup & Replication comme solution de sauvegarde car cette solution est une des plus déployée et cela à juste titre.

1. Comment un attaquant peut élever ses privilèges une fois que ce dernier est administrateur local du serveur de sauvegarde ?

Cette solution permet de sauvegarder des machines virtuelles et des serveurs physiques. L’outil dispose donc au moins d’un compte permettant de sauvegarder ces machines.
Pour faire une sauvegarde cohérente d’une base SQL Server ou d’un annuaire Active Directory, il faut aussi activer l’option Application-Aware processing. Cette dernière permet de sauvegarder de manière cohérente l’annuaire AD sans générer un USN Rollback.
https://support.microsoft.com/en-us/help/875495/how-to-detect-and-recover-from-a-usn-rollback-in-windows-server-dc.
https://helpcenter.veeam.com/docs/backup/vsphere/application_aware_processing.html?ver=100
Il est cependant nécessaire de fournir un compte avec les droits Builtin\Administrators qui permet l’escalade vers des groupes à plus fort privilèges comme Domain Admins ou Enterprise Admins (s’il s’agit du domaine racine de la forêt).

Veeam Backup & Replication for Office 365 permet de sauvegarder les tenant Office 365. Là encore le serveur de sauvegarde dispose d’un compte avec des privilèges très importants sur le Tenant Office 365.

Veeam Backup & Replication intègre une fonctionnalité très intéressante qui permet de restaurer directement une machine sous forme d’une machine virtuelle Azure. Pour cela, Veeam Backup & Replication doit au minimum disposait d’un accès à un groupe de ressource Azure.

Tous les mots de passe utilisés pour se connecter aux différentes ressources à sauvegarder ou utilisés pour la restauration sont stockés dans le Credential Manager de Veeam Backup & Replication.
https://helpcenter.veeam.com/docs/backup/vsphere/credentials_edit_delete.html?ver=100
https://www.veeam.com/kb3224
https://www.veeam.com/kb2327

Le contenu du Credential Manager est contenu dans table dbo.Credentials de la base de données SQL Server appelée VeeamBackup. En effet l’installation de Veeam Backup & Replication crée une instance SQL Server appelée VEEAMSQL2016 et la base de données VeeamBackup. Pour y accéder, vous pouvez installer SQL Server Management Studio depuis cette adresse :
https://docs.microsoft.com/en-us/sql/ssms/download-sql-server-management-studio-ssms?view=sql-server-ver15

Dans l’exemple ci-dessous nous souhaitons récupérer le mot de passe du compte service-veeam du domaine Active Directory veeamdemo.local. Veeam étant un éditeur sérieux, le mot de passe est chiffré dans la base de données (colonne password).

La première étape est de copier ce mot de passe chiffré. Exemple :
AQAAANCMnd8BFdERjHoAwE/Cl+sBAAAAJomkgpjMLkC/ppA6+NLe
+QQAAAACAAAAAAAQZgAAAAEAACAAAABEGn+h41jmLDGovB2ctYT
WMjx4LUUx4fUdOUfN5iUl6gAAAAAOgAAAAAIAACAAAABJZejvoUx6
WOnJISPV3I447n1iW+f7brr1o8KURtm63SAAAAAqGRSTDrRRyYxQyw
T+/nX/M8RUdgKRY8nYkZPnT7iLK0AAAABf64m2IUd3xLyjz6ZfM9c7x
lHoPMdd/MjeljITvYU39pDjHQoYrx1Tf6EFarsF6hjj0gNXi+EDPYQ3x2I
2AS09

Sur le serveur Veeam Backup & Replication, il faut ensuite exécuter les commandes PowerShell suivantes :
$encoded = “le mot de passe chiffré récupéré à l’étape précédente depuis la base de données
Add-Type -Path “C:\Program Files\Veeam\Backup and Replication\Backup\Veeam.Backup.Common.dll”
[Veeam.Backup.Common.ProtectedStorage]::GetLocalString($encoded)

Le mot de passe du compte de service service-veeam membre du groupe BUILTIN\Administrators s’affiche alors (V@chette123!!!2020% dans cet exemple).

Le fait qu’il existe une fonction pour récupérer le mot de passe en texte claire du compte de service est logique. En effet, le service Veeam Backup & Replication doit pouvoir accéder à ces informations pour fonctionner correctement.

2. Comment un attaquant peut supprimer toutes les sauvegardes locales ou externalisées en quelques clics si ces dernières sont accessibles par le serveur de sauvegarde ?

Les attaques par rançonware ont pour objectif d’obtenir une rançon en contre partie de la récupération de vos données qui ont été chiffrées. L’attaquant va donc essayer de vous empêcher de restaurer ces dernières en rendant inopérant votre sauvegarde locale ou externalisée.

La console d’administration de Veeam Backup & Replication permet supprimer toutes les sauvegardes accessibles par le serveur de sauvegarde. Cela inclue la sauvegarde locale mais aussi les sauvegardes des fournisseurs Veeam Cloud Connect ou les sauvegardes vers des Objects Storage comme un compte de stockage Azure ou son équivalent chez AWS. Pour cela, il faut aller dans la section Home | Backup dans la console Veeam Backup & Replication.

3. Les bonnes pratiques à mettre en place pour réduire les risques :

La première bonne pratique est de respecter la règle du 3-2-1 de la sauvegarde. Vous devez :
– Disposer de 3 copies de vos données au moins
– Stocker ces copies sur deux supports différents
– Conserver une copie de la sauvegarde hors site et surtout hors ligne.

Microsoft et Amazon proposent des solutions de stockage immuable (écriture unique, lecture multiple).
https://docs.microsoft.com/fr-fr/azure/storage/blobs/storage-blob-immutable-storage
Ce service peut être intéressant mais il faut pouvoir garantir que l’attaquant ne pourra pas supprimer la ressource de stockage immuable si ce dernier devient administrateur du service de cloud public. Bref vous l’aurez compris, je préconise des sauvegardes hors ligne (non accessible par le serveur de sauvegarde) protégé par un mot de passe (RGPD oblige) vers des NAS ou des disques déconnectés complètement du réseau de l’entreprise et mis sous coffre.

La configuration du serveur Veeam Backup doit aussi être renforcée :
– Arrêt du service RDP et SMB dans la mesure du possible ou filtrage de l’accès à ces services via le pare feu Windows.
– Configuration du serveur de sauvegarde en groupe de travail
– Définir un mot de passe administrateur local (base SAM) différent du mot de passe du domaine Active Directory ou des autres mots de passe administrateur local sur les serveurs et statons de travail de l’entreprise.
– Déploiement automatique des mises à jour de sécurité tous les mois.
– Chiffrement des disques du sauvegarde avec des solutions comme Microsoft BitLocker pour empêcher un attaquant ayant voler le serveur de pouvoir devenir administrateur local.
https://www.youtube.com/watch?v=yND1ZrTtZmQ
– Utiliser un serveur physique au lieu d’une machine virtuelle pour le serveur de sauvegarde. En effet les machines virtuelles sont plus simples à voler (il est très simple de faire un clone une fois que l’on est administrateur de l’hyperviseur) que de serveurs physiques.
– Faire une sauvegarde de vos contrôleurs de domaine avec Windows Server Backup vers un disque dédié. Configurer Veeam Backup & Replication pour sauvegarder le contrôleur de domaine sans utiliser Application-Aware processing.
– Faire une sauvegarde de vos serveurs de base SQL Server avec SQL Server Management Studio vers un disque local. Configurer Veeam Backup & Replication pour sauvegarder le serveur SQL Server sans utiliser Application-Aware processing.

A très bientôt.
Guillaume MATHIEU
Directeur Technique de Flexsi
La connaissance s’accroît quand on la partage.
http://wwwflexsi.fr
http://msreport.free.fr

Publié dans Active Directory, Annuaire, BitLocker, Hyper-V, Sauvegarde, Sécurité, Système, Tests d'intrusion, Virtualisation, Virus, Vmware ESX | Commentaires fermés sur Pourquoi les attaquants ciblent tout particulièrement les serveurs de sauvegarde

Nouvelle formation Msreport

Bonjour à tous

Flexsi va prochainement publier sur son site web  le contenu de notre site de formation interne, Flexsi Académie. D’ici là, je vous propose d’accéder au contenu de 3 formations Flexsi Académie dont je suis l’auteur :
Active Directory, les fondamentaux et la sécurité.
Microsoft Azure, les fondamentaux.
Microsoft 365 Business, les fondamentaux

Bonne formation.

Guillaume MATHIEU
Directeur Technique de Flexsi
Flexsi, la Data Performance – la connaissance s’accroît quand on la partage.
www.flexsi.fr
http://msreport.free.fr

Publié dans Flexsi Académie | Commentaires fermés sur Nouvelle formation Msreport

Identity Days -> mes slides sont disponibles

Bonjour

Mes slides sur MIM 2016 Synchronization Service sont disponibles à cette adresse :
http://msreport.free.fr/articles/MIMSynchronizationService.pptx

Venez apprendre comment utiliser MIM 2016 Synchronization Service pour créer, modifier et supprimer les identités et les comptes utilisateurs associés à l’aide de plusieurs sources de données (RH / paie).
Tous les codes sources, les fichiers RH et la configuration MIM sont dans le PowerPoint (fichiers ZIP liés).

Cordialement

Guillaume MATHIEU
La connaissance s’accroît quand on la partage.
http://msreport.free.fr

Publié dans IAM, MIM, Sécurité | Commentaires fermés sur Identity Days -> mes slides sont disponibles