Durcissement des infrastructures Windows
Section 1 – Introduction sur l’écosystème actuel L’évolution des systèmes d’information et leurs ouvertures sur le monde Les menaces courantes et récentes pesant sur les SI Chronologie et évolutions majeures des systèmes d’exploitation Windows TP 1 : Questionnaire sur les fonctionnalités Windows et l’évaluation des risques SI Section 2 – Une défense alignée aux attaques Compréhension de la défense par rapport à un scénario d’attaque réel Segmentation des phases d’un attaquant Étude des outils et méthodes d’attaque par phases avec la Cyber Kill-Chain (MITRE ATT&CK) Les vecteurs d’attaques courants dans un domaine Active Directory Windows TP 2 : Mener une étude complète Cyber Kill-Chain sur un scénario d’intrusion Section 3 – Durcissement des domaines Windows (Active Directory) Stratégies de contrôle d’applications (AppLocker) TP 3 : Implémentation d’AppLocker via les stratégies de groupe (GPO) Cohérence et défauts de conception de la structure Active Directory (Gestion des ACL) Recommandations de sécurité et bonnes pratiques ANSSI pour Active Directory TD : Comment LAPS (Local Administrator Password Solution) réduit les mouvements latéraux TP 4 : Implémentation de LAPS pour les postes clients d’un domaine Windows Utilisation d’une infrastructure de clés publiques (PKI) pour la création de stratégies réseau (NPS, Radius) TD : Implémentation d’un contrôle d’accès réseau basé sur Radius Sécurité des réseaux Wi-Fi d’entreprise et contrôle d’accès Sécurisation des protocoles d’administration du domaine (WinRM, RPC, WMI, RDP) Sécurité des services et déploiement des comptes de services managés (MSA / gMSA) Classification, marquage de l’information et prévention des pertes de données (DLP) Audit, durcissement et centralisation des journaux d’événements Windows Présentation des solutions modernes d’analyse des menaces d’identité (Microsoft Defender for Identity / ex-ATA) Sécurité des environnements hybrides Azure / Entra ID (Identity Protection, RMS, Bonnes pratiques) Section 4 – Durcissement des serveurs et postes clients Sécurisation de la chaîne de démarrage (Secure Boot, UEFI) Chiffrement des disques durs (BitLocker, puces TPM, gestion des agents de récupération) Pare-feu Windows avancé : méthodologie de configuration et règles restrictives Contrôle et restriction de l’élévation de privilèges (UAC) TD : Simulation d’élévation de privilèges avec et sans contournement de l’UAC Sécurisation des contenus web et navigation (SmartScreen) Configuration avancée de Windows Defender et fonctionnalités antivirales de nouvelle génération Isolation et protection des secrets (Device Guard, Credential Guard, protection de LSASS) Intégration du mécanisme AMSI (Antimalware Scan Interface) Augmentation de la maîtrise et sécurisation de PowerShell (Scripts signés, Just Enough Administration – JEA, journalisation block-logging) Section 5 – Durcissement des protocoles réseau Les bases de l’authentification Microsoft (Authentification de Domaine, processus Défi-Réponse NTLM, NTLMv2, Kerberos) Analyse des protocoles actifs et flux sur le domaine (Utilisation de Netstat et Wireshark) Étude des protocoles et services faillibles hérités (Legacy) à désactiver TP 5 : Exercice global de renforcement d’infrastructure et simulation d’intrusion Section 6 – Mécanismes de défense avancée et outillage Panorama des éditeurs de sécurité du marché (Solutions de PAM comme CyberArk, Écosystème Hexatrust) Défenses spécifiques et contre-mesures face à l’attaque Kerberoasting Mesures de détection précoces pour l’attaque de persistance DCShadow TP 6 : Génération d’un rapport de sécurité Active Directory avec PingCastle et cartographie des chemins d’attaque via la base de données relationnelle BloodHound Évaluation et Fin de Session Récapitulatif global des différents items traités lors de la formation Validation officielle des acquis via un QCM de contrôle Profil formateur : Mederick W : Consultant Senior en Cybersécurité : Expert certifié dans la sécurisation des infrastructures Microsoft, cumulant 5 ans d’expérience en audit d’architecture, durcissementet réponse aux incidents cyber Cursus complémentaires disponibles au catalogue : Analyse Inforensique avancée reponse à incident Analyse de Malwares – Les fondamentaux Deploiement d’un soc (Security Opération Center)
AI Readiness
Good foundation, but some important product data is still missing.