Category: sécurité

May 30 2013

Powershell: Forensics one-liners

Nous allons décrire dans ce post quelques one-liners Powershell afin de déterminer qui accède à une machine. Cela en analysant le journal de sécurité grâce au cmdlet Get-EventLog et en affichant les connexions actives grâce à la commande Netstat.
Read more »

Apr 03 2013

Powershell: Exchange et Oracle, secure string.

Nous allons utiliser dans cet article des cmdlets pour se connecter à une base Oracle, qui contient les données RH et vérifier si chaque employé dispose d’une boite Email sous Exchange 2010. L’attribut commun entre les deux systèmes peut être filtré avec les cmdlets Exchange, ce qui est conseillé pour la performance du script. Nous choisirons le CustomAttribute13 pour notre exemple.
Read more »

Mar 10 2013

Protection des processus: Utilisation de EMET, activation de ASLR DEP…

Afin de contrôler les processus lancés sur vos clients vous pouvez utiliser des Software Restriction Policies ou des outils comme Applocker ou Bit9. Vous pouvez améliorer la sécurité des processus autorisés sur votre système en activant certaines mesures de protection: DEP, ASLR, SEHOP… L’outil EMET vous permet de définir ces mesures de protection, qui peuvent même éventuellement vous protéger en cas d’attaque via un exploit 0-day.
Read more »

Feb 10 2013

Durcissement du contrôleur de domaine: Dump du NTDS.

Une fois que des pirates sont en possession des droits administrateur du domaine et ont accès aux contrôleurs de domaine, ils essayent en général de dumper le contenu de la base NTDS (voir chapitre Dumping All The Hashes–ntdsgrab.rb). Ceci afin de cracker les mots de passe de tous les utilisateurs du domaine, c’est ce qui s’est d’ailleurs passé lors de la récente cyberattaque contre le New York Times. Nous allons voir dans ce post comment rendre cette tâche plus difficile à un attaquant en modifiant certains paramètres de sécurité sur nos contrôleurs de domaine.
Read more »

Nov 16 2012

Test d’intrusion active directory

Nous allons décrire dans cet article les différentes étapes d’un test d’intrusion sur un domaine ADDS de test. Le pentest ne couvre que la partie systèmes et ne tient pas compte des protections antivirus, firewall, IDS, IPS. Nous ne couvrons que les phases de scan, d’exploitation et de maintien d’accès. Nous allons réaliser le test avec BackTrack 5 R3 à télécharger ici: Les outils dont nous allons nous servir sont Nmap, Nessus, Metasploit (le framework du hacker, les exploits sont écrits en ruby), John the Ripper et Powershell. L’objectif est de récupérer les credentials administrateur du domaine et de maintenir l’accès.
Read more »

Oct 07 2012

Dcpromo: the system detected a possible attempt to compromise security.

Lors du demote d’un DC (i.e. désinstallation d’ADDS) avec dcpromo.exe nous sommes tombés sur le message d’erreur suivant:

The operation failed because: Managing the network session with dc-srv2.ldap389.local failed. “The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”


Read more »

Aug 20 2012

Windows 2012 server: Certificats au format PFX et compatibilité SNI sous IIS 8.0

Flash news: Windows server 2012 RTM est disponible ;-). Et oui, la dernière que je postais sur cet OS il s’appelait encore Windows 8 server Developer Preview. Nous allons voir dans ce post comment IIS 8 supporte plusieurs certificats SSL sur une IP et port identique, il s’agit du Server Name Indication (SNI),  cette fonctionnalité est supporté depuis 2009 par Apache… Nous décrirons aussi les nouvelles fonctionnalités d’export/import des certificats au format PFX pour déployer ces derniers sur plusieurs serveurs Web.
Read more »

Dec 22 2011

Powershell: exporter les firewall policies de vos serveurs TMG.

Nous allons voir dans ce post comment utiliser PowerShell avec TMG en utilisant l’objet COM FPC.root, pour plus de détails vous pouvez lire cet article.

Le but de ce script est d’exporter au format XML les Firewall Policies de chacun de vos serveurs TMG:


Read more »

Dec 09 2011

Publication OWA via une array TMG membre d’un domaine en DMZ

Nous allons dans cet article décrire comment fonctionne TMG pour publier l’URL externe de votre OWA et vous indiquer quels types de certificats utiliser. Le site OWA est installé sur les serveurs CAS de votre infrastructure Exchange. L’URL interne du site est enregistrée dans votre DNS interne et est accédé par les clients membres de votre domaine. L’URL externe du site est enregistrée dans votre DNS externe et est accédée par les clients se connectant depuis l’internet qui ne sont pas forcément membres de votre domaine. Pour obtenir ces URLs, lancer la commande suivante via l’Exchange Management Shell:

Get-OwaVirtualDirectory | ft server,InternalURL,externalURL

Read more »

Oct 31 2011

Powershell: WSUS comparer patchs approuvés entre deux groupes

Ce script compare les KB approuvées entre deux groupes d’ordinateurs WSUS ce qui peut etre utile quand vous configurez un groupe de machines de test et un de production, vous pouvez lire cet article de Group Policy Central pour plus de détails sur ce type de configuration via de clients WSUS via GPO (voir chapitre Implement a WSUS Update Test Group of Computers).
Read more »

WordPress Themes

Blossom Icon Set

Software Top Blogs