May 30 2013

Powershell: Forensics one-liners

Nous allons décrire dans ce post quelques one-liners Powershell afin de déterminer qui accède à une machine. Cela en analysant le journal de sécurité grâce au cmdlet Get-EventLog et en affichant les connexions actives grâce à la commande Netstat.
Read more »

Apr 03 2013

Powershell: Exchange et Oracle, secure string.

Nous allons utiliser dans cet article des cmdlets pour se connecter à une base Oracle, qui contient les données RH et vérifier si chaque employé dispose d’une boite Email sous Exchange 2010. L’attribut commun entre les deux systèmes peut être filtré avec les cmdlets Exchange, ce qui est conseillé pour la performance du script. Nous choisirons le CustomAttribute13 pour notre exemple.
Read more »

Mar 10 2013

Protection des processus: Utilisation de EMET, activation de ASLR DEP…

Afin de contrôler les processus lancés sur vos clients vous pouvez utiliser des Software Restriction Policies ou des outils comme Applocker ou Bit9. Vous pouvez améliorer la sécurité des processus autorisés sur votre système en activant certaines mesures de protection: DEP, ASLR, SEHOP… L’outil EMET vous permet de définir ces mesures de protection, qui peuvent même éventuellement vous protéger en cas d’attaque via un exploit 0-day.
Read more »

Feb 10 2013

Durcissement du contrôleur de domaine: Dump du NTDS.

Une fois que des pirates sont en possession des droits administrateur du domaine et ont accès aux contrôleurs de domaine, ils essayent en général de dumper le contenu de la base NTDS (voir chapitre Dumping All The Hashes–ntdsgrab.rb). Ceci afin de cracker les mots de passe de tous les utilisateurs du domaine, c’est ce qui s’est d’ailleurs passé lors de la récente cyberattaque contre le New York Times. Nous allons voir dans ce post comment rendre cette tâche plus difficile à un attaquant en modifiant certains paramètres de sécurité sur nos contrôleurs de domaine.
Read more »

Dec 21 2012

Powershell: Controler le magasin d’autorité de certification racine de confiance – Schannel ID 36885 et 36887

La mise à jour des certificats racines KB931125 peut faire dysfonctionner des serveurs fournissant une authentification avec certificat: Cela peut concerner l’authenfication LDAP over SSL sur vos DCs, l’athenfication IIS sur un serveur Web et IAS sur un serveur Radius (NPS sous Windows 2008). Le phénomène et les solutions de contournement sont expliqués dans cette KB, le patch proposé est pour Windows 2003. Pour information la KB 931125 ne peut pas être désinstallée via WSUS.
Read more »

Nov 16 2012

Test d’intrusion active directory

Nous allons décrire dans cet article les différentes étapes d’un test d’intrusion sur un domaine ADDS de test. Le pentest ne couvre que la partie systèmes et ne tient pas compte des protections antivirus, firewall, IDS, IPS. Nous ne couvrons que les phases de scan, d’exploitation et de maintien d’accès. Nous allons réaliser le test avec BackTrack 5 R3 à télécharger ici: Les outils dont nous allons nous servir sont Nmap, Nessus, Metasploit (le framework du hacker, les exploits sont écrits en ruby), John the Ripper et Powershell. L’objectif est de récupérer les credentials administrateur du domaine et de maintenir l’accès.
Read more »

Oct 07 2012

Dcpromo: the system detected a possible attempt to compromise security.

Lors du demote d’un DC (i.e. désinstallation d’ADDS) avec dcpromo.exe nous sommes tombés sur le message d’erreur suivant:

The operation failed because: Managing the network session with dc-srv2.ldap389.local failed. “The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”


Read more »

Aug 20 2012

Windows 2012 server: Certificats au format PFX et compatibilité SNI sous IIS 8.0

Flash news: Windows server 2012 RTM est disponible ;-). Et oui, la dernière que je postais sur cet OS il s’appelait encore Windows 8 server Developer Preview. Nous allons voir dans ce post comment IIS 8 supporte plusieurs certificats SSL sur une IP et port identique, il s’agit du Server Name Indication (SNI),  cette fonctionnalité est supporté depuis 2009 par Apache… Nous décrirons aussi les nouvelles fonctionnalités d’export/import des certificats au format PFX pour déployer ces derniers sur plusieurs serveurs Web.
Read more »

Jul 24 2012

Powershell: Désactiver les appareils ActiveSync non utilisés

Nous allons voir dans ce post comment désactiver les vieux appareils ActiveSync qui ne sont plus utilisés par vos utilisateurs. Il existe déjà pour cela un script proposé sur les forums MS Exchange, mais celui peut ne pas fonctionner dans certains cas:
Read more »

Jun 12 2012

Powershell: Defragmentation hors ligne du NTDS.dit

Nous allons voir dans cet article comment réaliser une défragmentation hors ligne de la base de données AD (NTDS) sous Windows 2008. A partir de cette version, plus besoin de redémarrer en mode DSRM pour effectuer ce type d’opération, il vous suffit de stopper le service Active Directory.
Read more »

WordPress Themes

Blossom Icon Set

Software Top Blogs