.png)
- Warning
-
- JFolder::files : le chemin n'est pas un répertoire. Chemin : images/Badges
« N'essayez pas de devenir un homme qui a du succès. Essayez de devenir un homme qui a de la valeur. »
Recherche glossaire
Traduction
Sécuriser les machines virtuelles
Nous sommes de plus en plus sensibilisé sur les risques d'attaques de nos machines et notament de nos machines virtuelles. Il existe des solutions natives à Windows Serveur 2016 et supérieur permettant sans coût supplémentaire de se sécuriser et de diminuer la surface d'attaque.
Il s'agit de Bitlocker et de "Credential Guard".
Activer Bitlocker
Activer Bitlocker
La fonctionnalité "Bitlocker" est préinstallée sur les OS Clients Windows mais pas sur les OS serveurs. Si vous effectuez un clic droit sur un de vos lecteurs, l'option "Bitlocker" n'est pas présente dans le menu.
.jpeg)
Commençons par installer cette fonctionnalité, ici nommé "Chiffrement de lecteur Bitlocker"
.jpeg)
.jpeg)
Une fois installée, apparaît dans le menu "Activer Bitlocker"
.jpeg)
Par défaut, cette action à elle seule ne suffit pas, L'activation de "Bitlocker" sur une partition, et notament la partition C nécessite la présence d'une puce TPM. Etant sur une machine virtuelle...
.jpeg)
L'action que je vous invite à mener à présent n'est faisable que sur une machine de deuxième génération. La machine virtuelle étant éteinte, allez dans "Fichier - Paramètres"
.jpeg)
Sélectionnez "Sécurité" et cochez la case "Activer la protection"
.jpeg)
"OK"
.jpeg)
Démarrer votre machine virtuelle, puis une fois votre session ouverte, refaites un clic droit sur le lecteur C puis "Activer Bitlocker"
.jpeg)
Le résultat est différent. Le système effectue une vérification de l'ordinnateur
.jpeg)
Initialise le lecteur
.jpeg)
"Suivant"
.jpeg)
Le système averti l'administrateur quand au mesure qui vont être appliquées.
Suivant
.jpeg)
Dans le cadre de cette démonstration, aucun GPO paramètrant Bitlocker ne s'applique. Nous sommes ici par défaut.
Suivant
.jpeg)
Le système vous demande que faire de la clé de récupération. Cela peut-être paramétré par GPO
.jpeg)
Je l'enregistre obligatoirement dans un dossier situé sur un autre lecteur n'étant pas impacté par le cryptage "Bitlocker".
.jpeg)
Cette action dévérouille le bouton "Suivant".
Suivant
.jpeg)
Deux modes de chiffrement s'affichent..
Suivant
.jpeg)
Dernière étape, cochez la case "Executer la vérification du système Bitlocker". Cela ne coûte rien qui s'assure du bon paramétrage.
Continuer
.jpeg)
Sur les serveurs, cela nécessite le redémarrage du poste
.jpeg)
Une fois redémarré, le lecteur C apparaît avec un cadenas gris ouvert. Vous pouvez à présent activer "Bitlocker" sur le lecteur D et ainsi de suite et demander le déverrouillage automatique.
.jpeg)
.jpeg)
Ici, cochez la case "Déverrouiller automatiquement ce lecteur sur cet ordinateur.
.jpeg)
.jpeg)
.jpeg)
Le chiffrement du lecteur s'effectue..
.jpeg)
Credential Guard
Credential Guard
Ce que l'on appelle le "Credential Guard" est une technologie permettant de bloquer les attaques de type "Pass The Hash" qui consiste à récupérer le "hash" d'un utilisateur soit sur une machine, soit parcequ'il est en transite sur le réseau. Une fois le "Hash" récupérer, un hacker est en mesure de l'injecter dans une machine de manière à se faire passer pour cet utilisateur (pas besoin de login ou de mot de passe, c'est le "Hash" qui résulte de l'authentification de l'utilisateur lors de la phase d'ouverture de session qui est utilisé.)
Cette technique permet de mener des actions sans connaître le login et/ou le mot de passe. Le pirate, une fois connecté sur la machine, va être en mesure de récupérer le hash de tous les utilisateurs s'étant connectés (administrateur, etc...) et continuer son attaque.
Avant de télécharger et décompresser l'utilitaire "Minikatz", créer un dossier et faites une exeption de votre anti-virus sur ce dossier.
.jpg)
Executer "Minicatz" en mode administrateur
.jpg)
Lancer cette première commande
privilege::debug
Lancer cette deuxième commande
sekurlsa::msv
.jpg)
Minicatz vous liste l'ensemble des comptes ayany ouvert une session sur la machine et vous ressort le "hash" des comptes, ici en surbrillance.
.jpg)
Créez de préférence une stratégie de groupe Active Directory et paramétrez le noeud « Configuration Ordinateur / Modèles d’administration / Système / Device Guard »
.jpg)
Activer la sécurité basée sur la virtualisation
.jpg)
Si vous relancez Minicatz, le "Hash" n'est plus visible et vous constaterez qu'il est bien isolé
.jpg)