Durcissement des infrastructures Windows

Section 1 – Introduction sur l’écosystème actuel

1. L’évolution des systèmes d’information et leurs ouvertures sur le monde
2. Les menaces courantes pesant sur les systèmes d’information
3. Les menaces récentes
4. Chronologie et évolutions majeures des systèmes d’exploitation Windows
   • TP 1 / Questionnaire sur les fonctionnalités Windows et les risques SI
5. Compréhension de la défense par rapport à un scénario d’attaque
6. Segmentation des phases d’un attaquant
7. Étudier les outils et méthodes d’attaque par phases avec la Cyber Kill-Chain (ATT&CK)
8. Les attaques courantes dans un domaine Windows
   • TP 2 / Mener une étude Cyber Kill-Chain

Section 2 – Une défense alignée aux attaques

1. Compréhension de la défense par rapport à un scénario d’attaque
2. Segmentation des phases d’un attaquant
3. Étudier les outils et méthodes d’attaque par phases avec la Cyber Kill-Chain (ATT&CK)
4. Les attaques courantes dans un domaine Windows
5. TP 2 / Mener une étude Cyber Kill-Chain

Section 3 – Durcissement des domaines Windows

1. Stratégies de contrôle d’applications (AppLocker)
   • TP 3 / Implémentation de AppLocker via les stratégies de groupe
2. Cohérence et défauts de conception de la structure Active Directory (ACL)
3. Recommandations de sécurité pour Active Directory (Bonnes pratiques)
   • TD / Comment LAPS réduit les chances de réussite de mouvements latéraux
   • TP 4 / Implémentation de LAPS pour les clients d’un domaine Windows
   • TD / Implémentation d’un contrôle d’accès Radius
   • Sécurité des réseaux Wi-Fi
   • TD / Implémentation d’un contrôle d’accès Wi-Fi basé sur Radius
4. Sécurisation de l’administration du domaine (WinRM, RPC, WMI, RDP)
5. Sécurité des services et comptes de services managés (MSA)
6. Classification et marquage de l’information pour les systèmes de prévention de pertes de données (DLP)
7. Audit et centralisation des journaux d’événements Windows
8. Présentation d’une solution d’analyse de menaces avancées (ATA)
9. Sécurité des environnements Azure (Identity Protection, RMS, Bonnes pratiques)

Partie 3

1. Utilisation d’une infrastructure de clés publiques (PKI) pour la création de stratégies de sécurité réseau (NPS, Radius)
2. TD / Implémentation d’un contrôle d’accès Radius
3. Sécurité des réseaux Wi-Fi
4. TD / Implémentation d’un contrôle d’accès Wi-Fi basé sur Radius
5. Sécurisation de l’administration du domaine (WinRM, RPC, WMI, RDP)
6. Sécurité des services et comptes de services managés (MSA)
7. Classification et marquage de l’information pour les systèmes de prévention de pertes de données (DLP)
8. Audit et centralisation des journaux d’événements Windows
9. Présentation d’une solution d’analyse de menaces avancées (ATA)
10. Sécurité des environnements Azure (Identity Protection, RMS, Bonnes pratiques)

Section 4 – Durcissement des serveurs et postes clients

1. Sécurisation du démarrage (Secure Boot – UEFI)
2. Chiffrement des disques durs (Bitlocker, TPM, Agent de récupération)
3. Pare-feu Windows (configuration, règles)
4. Contrôler l’élévation de privilèges (UAC)
5. TD / Élévation de privilèges avec et sans UAC
6. Sécurisation des contenus web (Smartscreen)
7. Windows Defender
8. Fonctionnalités antivirales (Device Guard, Credential Guard, AMSI)
9. Augmentation de la maîtrise de Powershell (Scripts signés, Just Enough Administration, Journalisation)

Section 5 – Durcissement des protocoles

1. Les bases de l’authentification Microsoft (Authentification de Domaine, NTLM, Processus de « Défi-Réponse », NTLMv2, Kerberos)
2. Analyse des protocoles actifs sur le domaine (Netstat, Wireshark)
3. Étude des protocoles et services faillibles
4. TP 6 / Renforcement d’infrastructure et simulation d’intrusion
5. Étude des protocoles et services faillibles
6. TP 6 / Renforcement d’infrastructure et simulation d’intrusion

Section 6 – Mécanismes de Défense avancée

1. Les éditeurs de sécurité (Cyberark, Hexatrust)
2. Défenses spécifiques à l’attaque Kerberoasting
3. Mesures de détection pour l’attaque DCShadow
4. TP 7 / Génération d’un rapport de sécurité Active Directory (Ping Castle) – Implémentation d’une base de données relationnelle (Bloodhound)
5. Préparation à l’examen pour l’obtention d’un badge ESD academy (https://badges.esdacademy.eu)

Evaluation et fin de session 

1. Récapitulatif des différents items traités lors de la formation.
2. Validation des acquis via QCM

Autres formations  disponibles en  Analyse  Forensic 

• Analyse Inforensique avancée niv 2
• Analyse de Malwares – Les fondamentaux
• Deploiement d’un soc (Security Opération Center)