« Un problème sans solution est un problème mal posé.  »

Recherche glossaire

Rechercher dans les définitions (terme ou expression)
Commence par Contient Terme exactSe prononce comme

Traduction

frendeitptes
Print Friendly, PDF & Email
Etoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactivesEtoiles inactives
 

Sécuriser les machines virtuelles

Nous sommes de plus en plus sensibilisé sur les risques d'attaques de nos machines et notament de nos machines virtuelles. Il existe des solutions natives à Windows Serveur 2016 et supérieur permettant sans coût supplémentaire de se sécuriser et de diminuer la surface d'attaque.

Il s'agit de Bitlocker et de "Credential Guard".

 

Activer Bitlocker

Activer Bitlocker

La fonctionnalité "Bitlocker" est préinstallée sur les OS Clients Windows mais pas sur les OS serveurs. Si vous effectuez un clic droit sur un de vos lecteurs, l'option "Bitlocker" n'est pas présente dans le menu.

Bitlocker (2)

Commençons par installer cette fonctionnalité, ici nommé "Chiffrement de lecteur Bitlocker"

Bitlocker (3)

Bitlocker (4)

Une fois installée, apparaît dans le menu "Activer Bitlocker"

Bitlocker (5)

Par défaut, cette action à elle seule ne suffit pas, L'activation de "Bitlocker" sur une partition, et notament la partition C nécessite la présence d'une puce TPM. Etant sur une machine virtuelle...

Bitlocker (6)

L'action que je vous invite à mener à présent n'est faisable que sur une machine de deuxième génération. La machine virtuelle étant éteinte, allez dans "Fichier - Paramètres"

Bitlocker (7)

Sélectionnez "Sécurité" et cochez la case "Activer la protection"

Bitlocker (8)

"OK"

Bitlocker (9)

Démarrer votre machine virtuelle, puis une fois votre session ouverte, refaites un clic droit sur le lecteur C puis "Activer Bitlocker"

Bitlocker (11)

Le résultat est différent. Le système effectue une vérification de l'ordinnateur

Bitlocker (12)

Initialise le lecteur

Bitlocker (13)

"Suivant"

Bitlocker (14)

Le système averti l'administrateur quand au mesure qui vont être appliquées.

Suivant

Bitlocker (15)

Dans le cadre de cette démonstration, aucun GPO paramètrant Bitlocker ne s'applique. Nous sommes ici par défaut.

Suivant

Bitlocker (16)

Le système vous demande que faire de la clé de récupération. Cela peut-être paramétré par GPO

Bitlocker (17)

Je l'enregistre obligatoirement dans un dossier situé sur un autre lecteur n'étant pas impacté par le cryptage "Bitlocker".

Bitlocker (18)

Cette action dévérouille le bouton "Suivant".

Suivant

Bitlocker (19)

Deux modes de chiffrement s'affichent..

Suivant

Bitlocker (20)

Dernière étape, cochez la case "Executer la vérification du système Bitlocker". Cela ne coûte rien qui s'assure du bon paramétrage.

Continuer

Bitlocker (22)

Sur les serveurs, cela nécessite le redémarrage du poste

Bitlocker (23)

Une fois redémarré, le lecteur C apparaît avec un cadenas gris ouvert. Vous pouvez à présent activer "Bitlocker" sur le lecteur D et ainsi de suite et demander le déverrouillage automatique.

Bitlocker (25)

Bitlocker (26)

Ici, cochez la case "Déverrouiller automatiquement ce lecteur sur cet ordinateur.

Bitlocker (27)

Bitlocker (28)

Bitlocker (29)

Le chiffrement du lecteur s'effectue..

Bitlocker (30)

Credential Guard

Credential Guard

Ce que l'on appelle le "Credential Guard" est une technologie permettant de bloquer les attaques de type "Pass The Hash" qui consiste à récupérer le "hash" d'un utilisateur soit sur une machine, soit parcequ'il est en transite sur le réseau. Une fois le "Hash" récupérer, un hacker est en mesure de l'injecter dans une machine de manière à se faire passer pour cet utilisateur (pas besoin de login ou de mot de passe, c'est le "Hash" qui résulte de l'authentification de l'utilisateur lors de la phase d'ouverture de session qui est utilisé.)

Cette technique permet de mener des actions sans connaître le login et/ou le mot de passe. Le pirate, une fois connecté sur la machine, va être en mesure de récupérer le hash de tous les utilisateurs s'étant connectés (administrateur, etc...) et continuer son attaque.

Avant de télécharger et décompresser l'utilitaire "Minikatz", créer un dossier et faites une exeption de votre anti-virus sur ce dossier.

Pass the hash (1)

Executer "Minicatz" en mode administrateur

Pass the hash (2)

 Lancer cette première commande

privilege::debug

 Lancer cette deuxième commande

sekurlsa::msv

 

Pass the hash (3)

Minicatz vous liste l'ensemble des comptes ayany ouvert une session sur la machine et vous ressort le "hash" des comptes, ici en surbrillance.

Pass the hash (4)

Créez de préférence une stratégie de groupe Active Directory et paramétrez le noeud « Configuration Ordinateur / Modèles d’administration / Système / Device Guard »

Pass the hash (6)

Activer la sécurité basée sur la virtualisation

Pass the hash (7)

Si vous relancez Minicatz, le "Hash" n'est plus visible et vous constaterez qu'il est bien isolé

Pass the hash (8)

Vous devez être authentifié pour pouvoir laisser des commentaires...

Print Friendly, PDF & Email