Responsables de la sécurité des systèmes d’informations, Administrateurs Active Directory, Toute personne impliquée dans la mise en œuvre de la sécurisation de l’Active Directory
— 4 jours, soit 28 heures
• De 2 à 8 pers. max
• Pré-requis : Très bonne connaissance de l’Active Directory et des systèmes Windows : avoir 80 % de bonnes réponses à notre QCM d’entrée..
• Présentiel et virtuel
• Exposé, interactivité, mise en situation pratique, démonstrations, Travaux pratiques
• Validation des acquis : évaluation des acquis tout au long de la formation à travers des Quizz, test d’auto-positionnement en début et fin de formation, QCM final (validation des acquis à partir de 80 % de bonnes réponses)
• Évaluation de satisfaction de fin de formation
• Attestation de fin de formation précisant les modules acquis et en cours d’acquisition
• Support de cours remis au cours de la session
• Sur demande
Vous pouvez vous inscrire pour suivre une de nos formations jusqu’à la veille de la date de démarrage si la formation est financée directement par votre entreprise ET si le nombre maximum de participants n’est pas atteint.
Plusieurs solutions existent pour financer votre formation et dépendent de votre situation professionnelle.
Nos locaux sont accessibles aux Personnes à Mobilité Réduite.
Pour les personnes en situation d’handicap, vous pouvez contacter notre référente handicap au +33 7 52 05 10 68 ou à l’adresse inclusion[@]cyberwings.fr.
Nos conseillers sont disponibles pour vous accompagner dans toutes vos démarches. Nous sommes en mesure de mobiliser les expertises, les outils nécessaires pour vous accueillir, vous accompagner et vous former.
Nos experts qui animent la formation sont des spécialistes des matières abordées. Ils ont été validés par notre équipe pédagogique tant sur le plan des connaissances métiers que sur celui de la pédagogie, et ce pour chaque cours qu’ils enseignent. Ils ont au minimum trois à dix années d’expérience dans leur domaine.
RAPPELS FONDAMENTAUX SUR L’ACTIVE DIRECTORY
– Structure logique et physique : domaines, arbres, forêts, unités d’organisation, contextes de nommage
– Fonctions et rôles des serveurs (DC, DNS intégré, Global Catalog)
– Kerberos : fonctionnement et rôle
– NTLM : fonctionnement, limites et risques
– LDAP (Lightweight Directory Access Protocol)
Atelier pratique : analyse de la structure d’une forêt, des protocoles et services offerts
IDENTIFIER LES VULNÉRABILITÉS
– Analyse des vecteurs d’attaques :
◦ Relais NTLM
◦ Pass-the-Hash (PtH) et Pass-the-Ticket (PtT)
◦ Golden Ticket et Silver Ticket
◦ Kerberoasting
◦ Délégations de comptes
– Techniques d’attaques connues :
◦ Reconnaissance avec BloodHound
◦ Techniques de brute force ou attaques par dictionnaire
– Identifier les vulnérabilités avec un audit de sécurité AD
◦ Études des rapports PingCatle, Purple Knight, ANSSI
– Identification des comptes et groupes sensibles :
◦ Comptes privilégiés (Administrateurs, comptes de services…)
◦ Accès aux services critiques
Atelier pratique : étude d’un audit PingCastle, choisir les premières mesures à apporter, discussion sur les difficultés de mise en œuvre des mesures correctives.
MESURES DE DURCISSEMENT
– Recommandations de l’ANSSI
◦ Étude et mise en œuvre du guide de l’administration sécurisée de l’Active Directory
◦ Concept des niveaux d’administration (Tier)
– Sécurisation des comptes et groupes :
◦ Mise en place de politiques de mot de passe strictes
◦ Gestion des comptes sensibles avec Protected Users
◦ Gestion des comptes de services aves MSA
◦ Détection et suppression des permissions excessives
– Réduction de la surface d’attaque :
◦ Désactivation des protocoles obsolètes (LM, NTLMv1)
◦ Durcissement des requêtes LDAP
◦ Limitation des connexions directes aux DC
◦ Utilisation de pares-feux pour segmenter le réseau
– Stratégies avancées :
◦ Privileged Access Management (PAM)
◦ Just-In-Time (JIT) et Just-Enough-Administration (JEA)
◦ Forêt d ’administration
Atelier pratique : protection des comptes à forts privilèges, mise en œuvre de JEA
SURVEILLANCE ET DÉTECTION
– Configurations d’audit :
◦ Activer l’audit avancé pour les DC
◦ Utilisation de journaux d’événements
◦ Centralisation de la journalisation
◦ Utilitaire sysmon
– Surveillance avec des outils spécialisés :
◦ SIEM (Security Information and Event Management)
◦ Outils comme Microsoft Defender for Identity, Splunk, SolarWinds
– Mise en place d’alertes :
◦ Surveillance des tentatives de connexion anormales
◦ Analyse des activités suspectes
Atelier pratique : mise en œuvre d’un audit centralisé de l’Active Directory
RÉPONSE ET RÉCUPÉRATION APRÈS COMPROMISSION
– Analyse de l’impact :
◦ Identification des objets compromis
◦ Diagnostic des failles exploitées
– Stratégies de récupération :
◦ Restauration depuis une sauvegarde saine
◦ Stratégie de sauvegarde/restore de l’AD préconisé par Microsoft
◦ Stratégie de sauvegarde/restore de l’AD préconisé par l’Anssi et autres normes de bonnes pratiques
◦ Réinitialisation des mots de passe pour les comptes sensibles
– Plan de continuité :
◦ Test et validation des procédures
◦ Élaboration de scénarios de simulation pour la reprise rapide
Chaque module sera illustré par des travaux pratiques guidés par le formateur
— Nous contacter
Tous droits réservés 2024 © Cyberwings Academy
