Incident de sécurité ? Suspicion de compromission ? 09 71 18 27 69csirt@synacktiv.com

Rechercher
Switch Language
Forensic

Active Directory: Hardening & Post-Compromise Recovery Intermédiaire - 5 jours - 2500€ HT

Description

Pour de nombreuses entreprises, l'Active Directory (AD) constitue le cœur de la gestion des identités et des accès. Son omniprésence au sein des systèmes d'information en fait la cible prioritaire des attaques informatiques complexes et des ransomwares. Il est aujourd'hui indispensable de rendre ces infrastructures plus résilientes, mais aussi de maîtriser les étapes clés post-intrusion pour reprendre confiance en son système après un incident.

Au cours de cette formation de cinq jours, les participants acquerront les compétences nécessaires pour défendre et sécuriser un environnement Active Directory de bout en bout. Le programme détaille la mise en œuvre de mécanismes de sécurité robustes, la protection des chemins de contrôle de l'annuaire et les bonnes pratiques d'administration (modèle de Tiering, LAPS, gMSA) pour réduire drastiquement les opportunités de compromission. Enfin, un module dédié prépare les équipes au pire scénario : la présence d'un attaquant sur le réseau et la méthodologie de reprise de confiance et de nettoyage du cœur du SI.

  • 5 jours (35 heures)

  • Environnement Active Directory complet simulant une infrastructure d'entreprise

  • Approche défensive couvrant l'hygiène continue, le durcissement et la réponse post-incident

Objectifs

  • Comprendre les mécanismes de sécurité internes de Windows et l'anatomie d'une compromission

  • Auditer et sécuriser les chemins de contrôle de l'annuaire et nettoyer les permissions (ACL/ACE)

  • Implémenter des stratégies d'administration sécurisées (Tiering, PAW, JIT/JEA, LAPS)

  • Déployer une politique de monitoring et d'audit avancée pour détecter les comportements malveillants

  • Maîtriser la méthodologie de reprise de confiance post-intrusion et de nettoyage d'un Active Directory compromis

Public et prérequis

Cette formation s'adresse aux profils techniques chargés de la conception, du maintien en conditions de sécurité ou de la surveillance des infrastructures Active Directory.

  • Administrateurs systèmes et réseaux

  • Architectes sécurité

  • Membres d'équipes sécurité (Blue Team, SOC, CERT)

Une bonne connaissance de l'administration des environnements Active Directory est nécessaire. Une familiarité avec PowerShell est un plus pour aborder sereinement les exercices pratiques d'audit et de configuration.

Contenu

Jour 1

Architecture de sécurité Windows : modèle de sécurité, gestion des jetons d'accès (Access Tokens), SID. Mécanismes d'authentification : NTLM vs Kerberos en profondeur. Concepts clés : fonctionnement des GPO, délégation. Anatomie d'une compromission : Cyber Kill Chain (scénario ransomware), vol d'identifiants (LSASS dumping, extraction SAM), techniques de déplacements latéraux.

Jour 2

Chemins de contrôle : analyse et sécurisation (BloodHound / SharpHound), nettoyage des permissions (ACL/ACE) sur les objets sensibles. Délégation d'administration : principe du moindre privilège. Services réseaux : sécurisation du DNS, du DHCP et désactivation des protocoles obsolètes (LLMNR / NetBIOS). Modèle de Tiering : concepts (Tier 0, 1, 2), déploiement de silos d'administration, Kerberos Armoring (FAST). Comptes de services : mise en place de gMSA (Group Managed Service Accounts) et protection contre le Kerberoasting.

Jour 3

Postes d'administration : implémentation des PAW (Privileged Access Workstations). Gestion des privilèges : administration JIT (Just-in-Time), JEA (Just-Enough-Administration), déploiement de LAPS (Local Administrator Password Solution). Environnements hybrides : extension vers le cloud (Entra ID), sécurisation du connecteur Microsoft Entra Connect, compréhension des attaques Cloud-to-On-Prem et On-Prem-to-Cloud. Contrôle d'accès : mise en place du Conditional Access et du MFA pour les rôles critiques.

Jour 4

Visibilité et Log Management : configuration avancée de la politique d'audit Windows. Supervision étendue : déploiement et configuration de Sysmon. Centralisation : analyse des logs critiques et identification des Event ID incontournables. Hygiène AD : audit et contrôle de conformité, vérification régulière des droits et privilèges (scripts PowerShell), utilisation d'outils d'analyse de configuration internes.

Jour 5

Scénario catastrophe : méthodologie de Remediation Strategy. Analyse de la persistance : traque des accès maintenus (WMI, tâches planifiées, backdoors). Stratégies de restauration : concept de « Bascule AD » vs « Nettoyage ». Nettoyage AD : procédure de double réinitialisation du mot de passe KRBTGT, éviction de l'attaquant. Durcissement d'urgence : création et application de GPO de survie.

Toutes les modalités de déroulement de la formation sont détaillées sur cette page.

Contact us

N'hesitez pas à nous contacter afin de nous faire part de vos besoins. Notre équipe commerciale se tient à votre disposition pour répondre à toutes vos questions.

Contactez-nous

Nous contacter

01 45 79 74 75
contact@synacktiv.com
Clé GPG

PARIS

5 boulevard Montmartre
75002 Paris

TOULOUSE

4 Rue du Pont Guilhemery
31000 Toulouse

LYON

56 rue Smith
69002 Lyon

RENNES

7D Rue de Châtillon
35000 Rennes

LILLE

7 Boulevard Louis XIV
59000 Lille

BORDEAUX

4/6 Cours de l'Intendance
33000 Bordeaux
Copyright © Synacktiv 2026