Microsoft Security Workshop : Implémentation des meilleures pratiques de sécurité de PowerShell

Cours 40555

Classe présentielle

  • Ref. 40555
  • 1 Jour
  • Genève / Lausanne
  • CHF 900

Sur-mesure

  • Ref. 40555
  • A définir
  • Campus ITTA / Site client
  • Sur demande
Introduction 

Cet atelier de sécurité d'une journée animé par un instructeur fournit des discussions et une formation pratique sur PowerShell. Principes fondamentaux de PowerShell, y compris sa conception architecturale, ses éditions et ses versions, ainsi que les bases de l'interaction avec PowerShell. Vous explorerez ensuite les techniques les plus courantes basées sur Windows PowerShell utilisées par les pirates informatiques afin d'exploiter l'accès existant au système d'exploitation Windows afin de faciliter l'installation de logiciels malveillants, d'effectuer des tâches de reconnaissance, d'établir sa persistance sur l'ordinateur cible et de promouvoir les mouvements latéraux. Vous passerez également en revue certains outils de sécurité basés sur Windows PowerShell qui facilitent les tests d'intrusion, les analyses, le reverse-engineering et les exploits Windows PowerShell. Pour terminer le cours, vous décrirez un résumé des technologies recommandées par la Blue Team et conçues pour la mise en œuvre d'une sécurité complète et sécurisée contre les attaques basées sur Windows PowerShell.

Objectifs 

A l'issue de cette formation, les participants seront à même de :

  • Fournir une vue d'ensemble de Windows PowerShell
  • Décrire les éditions et les versions de PowerShell
  • Installer et utiliser Windows PowerShell et PowerShell Core
  • Gérer l'exécution des scripts PowerShell locaux
  • Gérer l'exécution à distance de Windows PowerShell
  • Gérer l'exécution à distance de PowerShell Core
  • Décrire les implications pour la sécurité de l'utilisation du mode de langage contraint
  • Décrire l'architecture et les composants de Windows PowerShell DSC
  • Recommander la configuration d'audit et de journalisation Windows PowerShell
  • Fournir des exemples d'attaques basées sur Windows PowerShell
  • Utiliser des outils de sécurité basés sur Windows PowerShell
  • Fournir une vue d'ensemble des technologies liées à la sécurité basées sur Windows PowerShell
  • Implémentation de la journalisation Windows PowerShell à l'aide de la configuration DSC (Desired State Configuration)
  • Identifier et atténuer les exploits basés sur Windows PowerShell
  • Implémenter le Just Enough Administration (JEA)
Connaissances préalables 

Avant de suivre cette formation, les participants devraient avoir :

  • Une bonne base pour accéder et utiliser de simples commandes Windows PowerShell
  • L’écosystème actuel de cybersécurité
  • Expérience de l'administration, de la maintenance et du dépannage du client et du serveur Windows.
  • Expérience de base et compréhension des technologies réseau Windows, y compris les paramètres réseau du pare-feu Windows, DNS, DHCP, WiFi et des services cloud.
  • Expérience et compréhension de base d'Active Directory, y compris des fonctions de contrôleur de domaine, de services de connexion et de compréhension de la stratégie de groupe.
  • Connaissance et expérience pertinente de l’administration de systèmes sous Windows 10.
Contenu du cours 

Module 1 : Principes de base de PowerShell

Avec l'introduction de .NET Core en 2016, Microsoft a étendu le champ d'application de PowerShell à d'autres plates-formes de système d'exploitation, pour aboutir à un projet open source hébergé par GitHub, nommé PowerShell Core. Vous pouvez utiliser PowerShell Core sur macOS 10.12, une variété de distributions Linux 64 bits, en plus du système d'exploitation Windows 32 bits et 64 bits, y compris Windows 10 s'exécutant sur des périphériques ARM (Advanced Reduced Set). Dans ce module, vous apprendrez les principes de base de PowerShell, notamment sa conception architecturale, ses éditions et ses versions, ainsi que les bases de l'interaction avec PowerShell.

  • Leçon 1 : Vue d'ensemble de Windows PowerShell
  • Leçon 2 : Editions et versions de PowerShell
  • Leçon 3 : Exécution de PowerShell

 

Module 2 : Sécurité opérationnelle PowerShell

Pour tirer parti des avantages offerts par Windows PowerShell tout en minimisant les risques liés à la sécurité, il est essentiel de comprendre les principaux aspects de la sécurité opérationnelle de Windows PowerShell. Dans ce cas, Windows PowerShell constitue un moteur puissant et extrêmement flexible pour l'exécution de tâches arbitraires sur les ordinateurs locaux et distants, ce qui, incidemment, est la même raison qui a rendu Windows PowerShell extrêmement populaire parmi les administrateurs système. Il existe évidemment d’autres types d’attaques faisant appel à Windows PowerShell pour obtenir un accès non autorisé à un système cible. Dans ce type de scénario, Windows PowerShell sert d’outil d’exploitation. Nous allons explorer ces types d’attaques dans le dernier module de ce cours.

  • Leçon 1 : Gestion de l'exécution de script locale
  • Leçon 2 : Gestion des capacités d'exécution à distance de Windows PowerShell
  • Leçon 3 : Gestion des capacités d'exécution à distance de PowerShell Core
  • Leçon 4 : Mode de langue

 

Module 3 : Implémentation de la sécurité basée sur PowerShell

Dans le module précédent, vous avez appris le nombre de fonctionnalités de sécurité intégrées à Windows PowerShell et de technologies faisant partie de l'environnement opérationnel Windows PowerShell qui vous aident à les appliquer. Le but de ce module est de présenter les méthodes les plus courantes et les plus efficaces de livraison de Windows PowerShell pour améliorer la sécurité du système d'exploitation. Les méthodes suivantes sont notamment utilisées:> Protection contre les modifications de configuration inattendues à l'aide de la configuration DSC (Etat souhaité) de PowerShell> Implémentation du principe de privilège minimal dans les scénarios d'administration à distance à l'aide de JEA (Just Enough Administration)> Suivi et audit des événements susceptibles d'indiquer des tentatives d'exploitation Utilisation de la journalisation Windows PowerShell

  • Leçon 1 : Windows PowerShell DSC
  • Leçon 2 : Juste Effort Administration (JEA)
  • Leçon 3 : Audit et journalisation Windows PowerShell

 

Module 4 : Exploits basés sur Windows PowerShell et leur atténuation

Les organisations ne peuvent pas identifier de manière exhaustive les lacunes en matière de détection de sécurité et de réponse en se concentrant uniquement sur les stratégies de prévention des violations. Il est tout aussi important de comprendre comment protéger, mais également détecter et remédier aux violations, sinon plus que de prendre des mesures pour empêcher qu'une violation ne se produise. Nous allons explorer les techniques les plus courantes basées sur Windows PowerShell utilisées par les pirates afin de tirer parti de l'accès existant à un système d'exploitation Windows afin de faciliter l'installation de logiciels malveillants, d'effectuer des tâches de reconnaissance, d'établir sa persistance sur l'ordinateur cible et de promouvoir les mouvements latéraux. Nous passerons également en revue certains outils de sécurité basés sur Windows PowerShell qui facilitent les tests d'intrusion, les analyses judiciaires, le reverse engineering et les exploits Windows PowerShell. Pour conclure le module et le cours, nous fournirons un résumé des technologies recommandées par l’équipe bleue qui visent à mettre en place une sécurité complète et sécurisée contre les attaques basées sur Windows PowerShell. De nombreux exploits documentés utilisant les fonctionnalités de Windows PowerShell pour mener des attaques ciblant les failles de sécurité présentes sur des systèmes non corrigés ou obsolètes, ou pour étendre ultérieurement la portée de telles attaques lorsqu'un seul système est compromis. Notez que la vue d'ensemble de ces exploits présentée dans ce module n'est pas exhaustive.

  • Leçon 1 : Attaques basées sur Windows PowerShell
  • Leçon 2 : Outils de sécurité basés sur Windows PowerShell
  • Leçon 3 : Résumé des technologies liées à la sécurité Windows PowerShell
Documentation 

Support de cours Officiel Microsoft

Lab / Exercices 
  • Lab 1 : Implémentation de la sécurité Windows PowerShell
  • Lab 2 : Implémentation de la journalisation Windows PowerShell à l'aide de DSC
  • Lab 3 : Effectuer un exploit basé sur Windows PowerShell
  • Lab 4 : Mettre en place une administration limitée (JEA)