Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Qu'est-ce qu'une attaque DCSync ?

Qu'est-ce qu'une attaque DCSync ?

Nov 30, 2021

DCSync est une attaque qui permet à un adversaire de simuler le comportement d'un contrôleur de domaine (DC) et de récupérer les données de mot de passe via la réplication de domaine. L'utilisation classique de DCSync est comme prélude à une attaque Golden Ticket car il peut être utilisé pour récupérer le hash KRBTGT.

Plus précisément, DCSync est une commande dans l'outil open-source Mimikatz. Elle utilise des commandes dans le Directory Replication Service Remote Protocol (MS-DRSR) pour simuler le comportement d'un contrôleur de domaine et demander à d'autres contrôleurs de domaine de répliquer des informations — exploitant des fonctions valides et nécessaires de Active Directory qui ne peuvent être ni désactivées ni désactivées.

Contenu connexe sélectionné :

Le processus d'attaque

L'attaque DCSYNC fonctionne comme suit :

  1. L'attaquant découvre un contrôleur de domaine pour demander une réplication.
  2. L'attaquant demande la réplication de l'utilisateur en utilisant la GetNCChanges
  3. Le DC renvoie les données de réplication au demandeur, y compris les hachages de mot de passe.
Image

Droits requis

Certains droits très privilégiés sont nécessaires pour exécuter une attaque DCSync. Étant donné qu'il faut généralement un certain temps à un attaquant pour obtenir ces permissions, cette attaque est classée comme une attaque de fin de chaîne d'attaque .

En général, les administrateurs, les administrateurs de domaine et les administrateurs d'entreprise disposent des droits nécessaires pour exécuter une attaque DCSync. Plus précisément, les droits suivants sont requis :

  • Réplication des modifications de l'annuaire
  • Réplication de tous les changements de Directory

Réplication des modifications de l'ensemble filtré dans Directory Management

Image

Comment les solutions Netwrix peuvent vous aider à détecter et contrecarrer les attaques DCSync

Détection

Netwrix Threat Manager surveille tout le trafic de réplication de domaine pour détecter les signes de DCSync. Il ne dépend pas des journaux d'événements ou de la capture de paquets réseau. Sa méthode de détection principale consiste à trouver des modèles de comportement correspondant à DCSync, y compris l'activité de réplication entre un contrôleur de domaine et une machine qui n'est pas un contrôleur de domaine.

La solution fournit un résumé clair de l'activité suspecte, ainsi qu'une visualisation illustrant quel utilisateur a perpétré l'attaque, le domaine et l'utilisateur ciblé, et des preuves à l'appui de l'attaque. Si le même utilisateur exécute plusieurs attaques DCSync, ces informations critiques seront également incluses.

Réponse

Pour exécuter DCSync, un attaquant a besoin de privilèges élevés, donc la clé pour contrecarrer une attaque est de bloquer immédiatement l'escalade de privilèges. La réponse standard consistant à désactiver le compte utilisateur peut ne pas suffire, car au moment où vous détectez l'attaque en cours, l'attaquant dispose probablement d'une multitude d'autres ressources et options à sa disposition.

Netwrix Threat Prevention fournit des politiques de blocage qui peuvent empêcher un compte ou un poste de travail d'exécuter une réplication supplémentaire, ce qui peut ralentir une attaque et donner plus de temps aux intervenants pour éliminer complètement la menace.

Netwrix Threat Manager prend en charge ces étapes de réponse en fournissant des détails sur l'auteur de l'attaque DCSync, les sources, les cibles et les objets interrogés.

Voyez Netwrix Threat Manager en action

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Kevin Joyce

Directeur de Product Management

Directeur de Product Management chez Netwrix. Kevin a une passion pour la cybersécurité, en particulier pour comprendre les tactiques et techniques utilisées par les attaquants pour exploiter les environnements des organisations. Avec huit ans d'expérience en gestion de produit, se concentrant sur la sécurité d'Active Directory et de Windows, il a utilisé cette passion pour aider à développer des solutions permettant aux organisations de protéger leurs identités, infrastructures et données.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Qu'est-ce que la gestion des documents électroniques ?

Expressions régulières pour débutants : Comment commencer à découvrir des données sensibles

Partage externe dans SharePoint : Conseils pour une mise en œuvre judicieuse

Confiances dans Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité