ou peu de politique de logs – Cas #2 : Pokemon de la sécurité § En résumé – Détection lors d'un impact sur le business – Manque de données pour tracer un incident 7
d'enregistrer dans un fichier les évènements (DROP-ALLOW) du Firewall Date | Time | action | proto | src-ip | dst-ip | size | src-port | dst-port – En Powershell 3.0 : Set-NetFirewallProfile -All -DefaultInboundAction Block -DefaultOutboundAction Allow -LogFileName mylog.log 13
– En réalité, NT Authority\Anonymous Logon – Plus d'actualité sur les environnements post- 2008 – Apparait également si la délégation n'est plus autorisée pour des comptes critiques 15
pérenniser l’accès § L'attaquant n'est pas obligé de connaître le mot de passe/hash administrateur pour créer le compte - ex : utilisation token delegate et WinRM 35
Création d'un compte § Ajout dans un groupe privilégié/intéressant - ex : r&d § Compte qui n'expire jamais § Compte verrouillé, déverrouillé, supprimé 36