{"id":15551,"date":"2018-02-16T08:33:17","date_gmt":"2018-02-16T07:33:17","guid":{"rendered":"https:\/\/www.riskinsight-wavestone.com\/?p=15551"},"modified":"2021-04-26T08:56:32","modified_gmt":"2021-04-26T07:56:32","slug":"utilisation-des-metadonnees-de","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2018\/02\/utilisation-des-metadonnees-de\/","title":{"rendered":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut"},"content":{"rendered":"<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15553 media-15553\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15553 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/header-1.png\" alt=\"\" width=\"640\" height=\"160\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/header-1.png 640w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/header-1-437x109.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/header-1-71x18.png 71w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/figure>\n<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<h3 style=\"text-align: justify;\">Introduction aux donn\u00e9es de r\u00e9plication de l\u2019Active Directory<\/h3>\n<div style=\"text-align: justify;\">Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres.<\/div>\n<div style=\"text-align: justify;\">Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.<\/div>\n<div style=\"text-align: justify;\">Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<ul>\n<li>L\u2019information modifi\u00e9e n\u2019est pas une information r\u00e9pliqu\u00e9e entre les diff\u00e9rents contr\u00f4leurs de domaines. C\u2019est le cas de l\u2019ensemble des attributs de l\u2019Active Directory qui disposent du flag <span style=\"font-family: 'courier new' , 'courier' , monospace;\">FLAG_ATTR_NOT_REPLICATED<\/span>[1] comme par exemple l\u2019attribut \u00ab BadPwdCount \u00bb qui tient compte du nombre de tentatives de connexion \u00e9chou\u00e9es :\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15555 media-15555\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15555 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img1.png\" alt=\"\" width=\"563\" height=\"200\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img1.png 563w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img1-437x155.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img1-71x25.png 71w\" sizes=\"auto, (max-width: 563px) 100vw, 563px\" \/><\/figure>\n<\/div>\n<div style=\"text-align: left;\"><span style=\"text-align: justify;\">Dans ce cas, le contr\u00f4leur de domaine effectue la modification dans sa propre base de donn\u00e9es, mais ne transmet rien aux autres contr\u00f4leurs de domaine.<\/span><\/div>\n<p>&nbsp;<\/li>\n<li>\n<div style=\"text-align: left;\"><span style=\"text-align: justify;\">L\u2019information modifi\u00e9e n\u00e9cessite une r\u00e9plication entre les diff\u00e9rents contr\u00f4leurs de domaines. Dans ce cas, le contr\u00f4leur de domaine qui a re\u00e7u le changement utilise le mod\u00e8le de r\u00e9plication de l\u2019Active Directory pour transmettre le changement aux autres contr\u00f4leurs du domaine. Ce mod\u00e8le de r\u00e9plication ne sera pas d\u00e9taill\u00e9 dans cet article, mais permet la diffusion des \u00e9volutions \u00e0 l\u2019ensemble des contr\u00f4leurs d\u2019un domaine en limitant le trafic n\u00e9cessaire et en assurant la gestion des collisions (en cas de changement d\u2019un m\u00eame attribut sur diff\u00e9rents contr\u00f4leurs sur une fen\u00eatre de temps r\u00e9duite).<\/span><\/div>\n<\/li>\n<\/ul>\n<div style=\"text-align: justify;\">Le processus de r\u00e9plication utilise des m\u00e9tadonn\u00e9es qui sont conserv\u00e9es sous la forme de deux attributs distincts : <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplAttributeMetaData<\/span>[2] et <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplValueMetaData<\/span>[3]. <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplAttributeMetaData<\/span> est utilis\u00e9 pour les changements effectu\u00e9s sur les attributs non link\u00e9s de l\u2019Active Directory alors que <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplValueMetaData<\/span> est r\u00e9serv\u00e9 aux attributs link\u00e9s.<\/div>\n<div style=\"text-align: justify;\">Les attributs link\u00e9s ont \u00e9t\u00e9 introduits dans l\u2019Active Directory \u00e0 partir du niveau fonctionnel Windows Server 2003. Ce sont en fait des paires d\u2019attributs dont la valeur de l\u2019un est bas\u00e9e sur celle de l\u2019autre. C\u2019est par exemple le cas des attributs <span style=\"font-family: 'courier new' , 'courier' , monospace;\">member <\/span>d\u2019un groupe et <span style=\"font-family: 'courier new' , 'courier' , monospace;\">memberof <\/span>de l\u2019utilisateur.<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<div style=\"text-align: justify;\">\n<h3>Quel int\u00e9r\u00eat pour l\u2019investigation ?<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">En tant qu\u2019analyste forensic qui intervient suite \u00e0 un incident de s\u00e9curit\u00e9, le premier r\u00e9flexe pour permettre d\u2019identifier les actions malveillantes ayant eu lieu au sein d\u2019un Active Directory est l\u2019utilisation des journaux d\u2019\u00e9v\u00e9nements. Mais que faire si ceux-ci n\u2019\u00e9taient pas activ\u00e9s au moment de l\u2019attaque ? Ou si l\u2019attaquant est parvenu \u00e0 supprimer les journaux g\u00e9n\u00e9r\u00e9s par ses actions, comme le permet un outil comme mimikatz[4] ?<\/div>\n<div style=\"text-align: justify;\">Dans de telles situations, il est possible d\u2019utiliser les donn\u00e9es de r\u00e9plication pour obtenir une vision partielle des actions des attaquants. En effet, d\u2019apr\u00e8s le fonctionnement des donn\u00e9es de r\u00e9plication, toute modification d\u2019un attribut de l\u2019Active Directory aboutit \u00e0 la cr\u00e9ation d\u2019une donn\u00e9e de r\u00e9plication contenant diff\u00e9rentes informations pouvant \u00eatre utile pour une investigation.<\/div>\n<div style=\"text-align: justify;\">Dans le cas d\u2019un attribut non link\u00e9, et donc d\u2019une m\u00e9tadonn\u00e9e de type <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplAttributeMetaData<\/span>, les informations stock\u00e9es sont la version, qui correspond au nombre de changements de l\u2019attribut depuis sa cr\u00e9ation, la date \u00e0 laquelle a \u00e9t\u00e9 effectu\u00e9e la modification, l\u2019USN correspondant au changement pour le contr\u00f4leur de domaine qui a initi\u00e9 la r\u00e9plication, l\u2019USN correspondant au changement pour le contr\u00f4leur de domaine sur lequel est r\u00e9cup\u00e9r\u00e9 la m\u00e9tadonn\u00e9e, ainsi que l\u2019UUID et le DN du contr\u00f4leur de domaine ayant initi\u00e9 le changement :<\/div>\n<div style=\"text-align: justify;\">\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15557 media-15557\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15557 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img2.png\" alt=\"\" width=\"563\" height=\"128\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img2.png 563w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img2-437x99.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img2-71x16.png 71w\" sizes=\"auto, (max-width: 563px) 100vw, 563px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\">Pour les attributs link\u00e9s, les m\u00e9tadonn\u00e9es de r\u00e9plication, cette fois de type <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplValueMetaData<\/span>, vont \u00e9galement stocker des informations sur les attributs li\u00e9s \u00e0 l\u2019attribut en question. Les m\u00e9tadonn\u00e9es de r\u00e9plication vont alors conserver des informations sur chacune des propri\u00e9t\u00e9s de l\u2019attribut li\u00e9, y compris pour les valeurs pr\u00e9c\u00e9dentes. Dans l\u2019exemple de l\u2019attribut <span style=\"font-family: 'courier new' , 'courier' , monospace;\">member<\/span>, les donn\u00e9es de r\u00e9plication conserveront donc \u00e0 la fois des informations sur les membres actuels du groupe, mais \u00e9galement sur les utilisateurs ayant \u00e9t\u00e9 membres mais ne l\u2019\u00e9tant plus :<\/div>\n<div style=\"text-align: justify;\">\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15559 media-15559\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15559 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img3.png\" alt=\"\" width=\"558\" height=\"209\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img3.png 558w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img3-437x164.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img3-71x27.png 71w\" sizes=\"auto, (max-width: 558px) 100vw, 558px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\">A un instant donn\u00e9, il est alors possible gr\u00e2ce \u00e0 ces donn\u00e9es de d\u00e9terminer la date de derni\u00e8re modification d\u2019un attribut, ainsi que le nombre de fois o\u00f9 il a \u00e9t\u00e9 modifi\u00e9 depuis sa cr\u00e9ation. Ces donn\u00e9es, bien que semblant tr\u00e8s limit\u00e9es, peuvent alors servir \u00e0 identifier diff\u00e9rents sc\u00e9narios d\u2019attaque.<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<div style=\"text-align: justify;\">\n<h3>El\u00e9vation de privil\u00e8ges par ajout dans un groupe<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">L\u2019un des cas o\u00f9 les donn\u00e9es de r\u00e9plication offrent les meilleurs r\u00e9sultats est l\u2019identification d\u2019un sc\u00e9nario o\u00f9 l\u2019attaquant s\u2019est ajout\u00e9, puis supprim\u00e9 d\u2019un groupe, comme par exemple le groupe \u00ab Admins du domaine \u00bb.<\/div>\n<div style=\"text-align: justify;\">En effet, au sein d\u2019un Active Directory, les groupes poss\u00e8dent une propri\u00e9t\u00e9 \u00ab member \u00bb qui liste les utilisateurs appartenant au groupe. L\u2019ajout d\u2019un utilisateur dans un groupe va alors incr\u00e9menter l\u2019USN de son attribut \u00ab <span style=\"font-family: 'courier new' , 'courier' , monospace;\">member <\/span>\u00bb de 1, celui-ci ayant \u00e9t\u00e9 modifi\u00e9. De m\u00eame, le retrait de l\u2019utilisateur incr\u00e9mentera \u00e9galement cet USN de 1.<\/div>\n<div style=\"text-align: justify;\">Etant donn\u00e9 ces propri\u00e9t\u00e9s, deux conclusions sont possibles :<\/div>\n<div style=\"text-align: justify;\">\n<ul>\n<li>Les utilisateurs ayant un USN impair sont membres du groupe (chose qu\u2019il est directement possible de voir dans la valeur de l\u2019attribut \u00ab <span style=\"font-family: 'courier new' , 'courier' , monospace;\">member <\/span>\u00bb), et la date de dernier ajout de l\u2019utilisateur au sein du groupe est celle de l\u2019USN ;<\/li>\n<li>Les utilisateurs ayant un USN pair ont appartenu au groupe, mais n\u2019en font plus parti depuis la date de l\u2019USN.<\/li>\n<\/ul>\n<\/div>\n<div style=\"text-align: justify;\">C\u2019est donc dans le second cas que se retrouverait le compte d\u2019un attaquant s\u2019\u00e9tant ajout\u00e9 au groupe \u00ab Admins de domaine \u00bb pour r\u00e9aliser des actions malveillantes, puis supprim\u00e9 du groupe. Il est alors possible de cr\u00e9er un script r\u00e9cup\u00e9rant les utilisateurs ayant \u00e9t\u00e9 ajout\u00e9s ou supprim\u00e9s d\u2019un groupe apr\u00e8s une date donn\u00e9e (seule la date de premier et de dernier changement \u00e9tant conserv\u00e9s, il ne serait pas fiable de limiter la recherche \u00e0 une date maximale) :<\/div>\n<div style=\"text-align: justify;\">\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15561 media-15561\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15561 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img4.png\" alt=\"\" width=\"561\" height=\"86\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img4.png 561w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img4-437x67.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img4-71x11.png 71w\" sizes=\"auto, (max-width: 561px) 100vw, 561px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\">\n<h3>Targeted Kerberoasting<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">Le kerberoasting est une technique qui exploite le processus d\u2019authentification Kerberos pour permettre \u00e0 un attaquant de r\u00e9cup\u00e9rer le mot de passe d\u2019un compte de service (comprendre \u00ab compte disposant d\u2019un Service Principal Name \u00bb). Le principe de cette attaque est que, comme le montre le sch\u00e9ma suivant, lors d\u2019une demande d\u2019authentification \u00e0 un service par un utilisateur, le KDC utilise le hash NTLM du compte de service pour chiffrer le TGS renvoy\u00e9 \u00e0 l\u2019utilisateur. Dans ce processus, la l\u00e9gitimit\u00e9 de l\u2019utilisateur \u00e0 acc\u00e9der au service n\u2019est pas v\u00e9rifi\u00e9e, et n\u2019importe quel utilisateur peut donc obtenir le TGS.<\/div>\n<div style=\"text-align: justify;\">\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15563 media-15563\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15563 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img5.png\" alt=\"\" width=\"640\" height=\"391\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img5.png 640w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img5-313x191.png 313w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img5-64x39.png 64w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<div style=\"text-align: justify;\">Il est alors possible pour l\u2019attaquant d\u2019effectuer une tentative de cassage du hash NTLM du compte de service en tentant de d\u00e9chiffrer le TGS \u00e0 partir de hashs successifs.<\/div>\n<div style=\"text-align: justify;\">Supposons maintenant qu\u2019un attaquant soit parvenu \u00e0 r\u00e9cup\u00e9rer des privil\u00e8ges maximums sur un objet utilisateur, \u00e0 savoir des privil\u00e8ges de type <span style=\"font-family: 'courier new' , 'courier' , monospace;\">GenericAll<\/span>[5], qui donne notamment le droit de modifier le mot de passe du compte, ou encore de modifier les propri\u00e9t\u00e9s de l\u2019objet Active Directory associ\u00e9 au compte. Pour usurper l\u2019identit\u00e9 du compte en question, l\u2019attaquant pourrait donc r\u00e9initialiser le mot de passe du compte avec une valeur qu\u2019il choisit, et se connecter \u00e0 l\u2019aide de ce nouveau mot de passe. N\u00e9anmoins, une telle attaque serait rapidement d\u00e9tect\u00e9e par l\u2019utilisateur l\u00e9gitime du compte, qui ne parviendrait plus \u00e0 se connecter avec son mot de passe habituel.<\/div>\n<div style=\"text-align: justify;\">Une possibilit\u00e9 plus int\u00e9ressante pour l\u2019attaquant serait alors d\u2019ajouter un Service Principal Name (SPN) au compte de cibl\u00e9, puis d\u2019ex\u00e9cuter une attaque de type kerberoasting. C\u2019est ce qu\u2019on appelle le targeted kerberoasting.<\/div>\n<div style=\"text-align: justify;\">La majorit\u00e9 des utilisateurs d\u2019un domaine n\u2019\u00e9tant jamais suppos\u00e9e avoir de SPN, une telle attaque peut assez simplement \u00eatre d\u00e9tect\u00e9e si ce SPN n\u2019est pas supprim\u00e9. Si par contre ce SPN est supprim\u00e9 par l\u2019attaquant une fois l\u2019attaque effectu\u00e9e, il reste toujours possible d\u2019utiliser les donn\u00e9es de r\u00e9plication !<\/div>\n<div style=\"text-align: justify;\">En effet, l\u2019ajout ou la suppression d\u2019un SPN sont des \u00e9v\u00e9nements r\u00e9pliqu\u00e9s au sein de l\u2019Active Directory, et g\u00e9n\u00e8rent donc des m\u00e9tadonn\u00e9es de r\u00e9plication de type <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplAttributeMetaData<\/span> :<\/div>\n<div style=\"text-align: justify;\">\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15565 media-15565\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15565 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img6.png\" alt=\"\" width=\"559\" height=\"76\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img6.png 559w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img6-437x59.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img6-71x10.png 71w\" sizes=\"auto, (max-width: 559px) 100vw, 559px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\">Il est alors possible de cr\u00e9er un script r\u00e9cup\u00e9rant les comptes du domaine dont l\u2019attribut SPN a \u00e9t\u00e9 modifi\u00e9 depuis une date donn\u00e9e, comptes qui sont donc des victimes potentielles d\u2019une attaque de type targeted kerberoasting.<\/div>\n<div style=\"text-align: justify;\"><\/div>\n<div style=\"text-align: justify;\">\n<h3>Bruteforce d\u2019un compte par blocage successif<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">Un sc\u00e9nario d\u2019attaque par bruteforce pouvant \u00eatre utilis\u00e9 par un attaquant au sein d\u2019un Active Directory ne disposant d\u2019aucune alerte est la r\u00e9alisation de tentatives de connexion en dehors des heures d\u2019utilisation du compte, et ce jusqu\u2019au blocage du compte.<\/div>\n<div style=\"text-align: justify;\">\n<p>Lors du blocage d\u2019un compte, un flag <span style=\"font-family: 'courier new' , 'courier' , monospace;\">LOCKOUT<\/span>[6] est positionn\u00e9 sur l\u2019attribut <span style=\"font-family: 'courier new' , 'courier' , monospace;\">userAccountControl<\/span> d\u2019un utilisateur. Cet attribu\u00e9 \u00e9tant r\u00e9pliqu\u00e9 entre les diff\u00e9rents contr\u00f4leurs de domaine, des donn\u00e9es de r\u00e9plication de type <span style=\"font-family: 'courier new' , 'courier' , monospace;\">msDS-ReplAttributeMetaData<\/span> sont alors g\u00e9n\u00e9r\u00e9es. Il est alors possible de cr\u00e9er un script permettant d\u2019identifier les comptes du domaine ayant un num\u00e9ro de version important dans les donn\u00e9es de r\u00e9plication de cet attribut, ce qui pourrait annoncer un tel bruteforce :<\/p>\n<div class=\"separator\" style=\"clear: both; text-align: center;\">\n<figure id=\"post-15567 media-15567\" class=\"align-none\"><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-15567 size-full\" src=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img7.png\" alt=\"\" width=\"560\" height=\"73\" srcset=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img7.png 560w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img7-437x57.png 437w, https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/04\/img7-71x9.png 71w\" sizes=\"auto, (max-width: 560px) 100vw, 560px\" \/><\/figure>\n<\/div>\n<p>&nbsp;<\/p>\n<\/div>\n<div style=\"text-align: justify;\">Il est cependant \u00e0 noter que l\u2019attribut <span style=\"font-family: 'courier new' , 'courier' , monospace;\">userAccountControl <\/span>dispose de plusieurs autres flags dont la modification entrainerait \u00e9galement la g\u00e9n\u00e9ration de donn\u00e9es de r\u00e9plication, indissociable des pr\u00e9c\u00e9dentes, comme par exemple pour le flag <span style=\"font-family: 'courier new' , 'courier' , monospace;\">PASSWORD_EXPIRED<\/span>. Cependant, cet attribut n\u2019est g\u00e9n\u00e9ralement pas amen\u00e9 \u00e0 \u00e9voluer grandement, et un tr\u00e8s grand nombre de changements reste un indicateur relativement fiable d\u2019un bruteforce.<\/div>\n<div style=\"text-align: justify;\">Un autre point \u00e0 noter est qu\u2019en limitant les tentatives de connexion pour \u00e9viter le blocage du compte, un attaquant serait invisible \u00e0 cette m\u00e9thode d\u2019investigation.<\/div>\n<div style=\"text-align: justify;\">\n<h3>Conclusion<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">Bien que n\u2019apportant pas une vision aussi compl\u00e8te que les journaux d\u2019\u00e9v\u00e9nements, les donn\u00e9es de r\u00e9plication peuvent donc \u00eatre une source d\u2019information non n\u00e9gligeable pour une investigation forensic dans un Active Directory.<\/div>\n<div style=\"text-align: justify;\">Il est cependant \u00e0 noter que des techniques permettant la modification des donn\u00e9es de r\u00e9plication pourraient exister[7], la confiance accord\u00e9e aux informations obtenues gr\u00e2ce \u00e0 celles-ci ne doit donc pas \u00eatre aveugle.<\/div>\n<p><\/p>\n<div style=\"text-align: right;\"><\/div>\n<div style=\"text-align: justify;\">\n<h3>Sources :<\/h3>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[1] Voir \u00ab systemFlags \u00bb : <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/cc223202.aspx\">https:\/\/msdn.microsoft.com\/en-us\/library\/cc223202.aspx<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[2] <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/cc220352.aspx\">https:\/\/msdn.microsoft.com\/en-us\/library\/cc220352.aspx<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[3] h<a href=\"ttps:\/\/msdn.microsoft.com\/en-us\/library\/cc220356.aspx\">ttps:\/\/msdn.microsoft.com\/en-us\/library\/cc220356.aspx<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[4] <a href=\"https:\/\/github.com\/gentilkiwi\/mimikatz\/releases\">https:\/\/github.com\/gentilkiwi\/mimikatz\/releases<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[5] <a href=\"https:\/\/msdn.microsoft.com\/en-us\/library\/aa772285(v=vs.85).aspx\">https:\/\/msdn.microsoft.com\/en-us\/library\/aa772285(v=vs.85).aspx<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[6] <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/305144\/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro\">https:\/\/support.microsoft.com\/en-us\/help\/305144\/how-to-use-the-useraccountcontrol-flags-to-manipulate-user-account-pro<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\">[7] <a href=\"https:\/\/twitter.com\/mysmartlogon\/status\/903166180889907200\">https:\/\/twitter.com\/mysmartlogon\/status\/903166180889907200<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\"><a href=\"https:\/\/www.harmj0y.net\/blog\/defense\/hunting-with-active-directory-replication-metadata\/\">https:\/\/www.harmj0y.net\/blog\/defense\/hunting-with-active-directory-replication-metadata\/<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\"><a href=\"https:\/\/social.technet.microsoft.com\/wiki\/contents\/articles\/25946.metadata-de-replication-et-analyse-forensic-active-directory-fr-fr.aspx\">https:\/\/social.technet.microsoft.com\/wiki\/contents\/articles\/25946.metadata-de-replication-et-analyse-forensic-active-directory-fr-fr.aspx<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\"><a href=\"https:\/\/blogs.technet.microsoft.com\/pie\/2014\/08\/25\/metadata-2-the-ephemeral-admin-or-how-to-track-the-group-membership\/\">https:\/\/blogs.technet.microsoft.com\/pie\/2014\/08\/25\/metadata-2-the-ephemeral-admin-or-how-to-track-the-group-membership\/<\/a><\/div>\n<\/div>\n<div style=\"text-align: justify;\">\n<div style=\"text-align: left;\"><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Introduction aux donn\u00e9es de r\u00e9plication de l\u2019Active Directory Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui&#8230;<\/p>\n","protected":false},"author":1415,"featured_media":15549,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"page-templates\/tmpl-one.php","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[36,3854,3225],"tags":[711,3872,3882,3883],"coauthors":[3878],"class_list":["post-15551","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurity-digital-trust","category-deep-dive","category-ethical-hacking-indicent-response","tag-active-directory","tag-deep-dive","tag-forensics-2","tag-usn-2"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v27.0 - https:\/\/yoast.com\/product\/yoast-seo-wordpress\/ -->\n<title>Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight<\/title>\n<meta name=\"description\" content=\"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight\" \/>\n<meta property=\"og:description\" content=\"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\" \/>\n<meta property=\"og:site_name\" content=\"RiskInsight\" \/>\n<meta property=\"article:published_time\" content=\"2018-02-16T07:33:17+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2021-04-26T07:56:32+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1378\" \/>\n\t<meta property=\"og:image:height\" content=\"1378\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nicolas Daubresse\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Nicolas Daubresse\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"10 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\"},\"author\":{\"name\":\"Nicolas Daubresse\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e\"},\"headline\":\"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut\",\"datePublished\":\"2018-02-16T07:33:17+00:00\",\"dateModified\":\"2021-04-26T07:56:32+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\"},\"wordCount\":2013,\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"keywords\":[\"Active directory\",\"deep-dive\",\"forensics\",\"usn\"],\"articleSection\":[\"Cybersecurity &amp; Digital Trust\",\"Deep-dive\",\"Ethical Hacking &amp; Incident Response\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\",\"name\":\"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight\",\"isPartOf\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"datePublished\":\"2018-02-16T07:33:17+00:00\",\"dateModified\":\"2021-04-26T07:56:32+00:00\",\"description\":\"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :\",\"breadcrumb\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg\",\"width\":1378,\"height\":1378,\"caption\":\"computer infection design, vector illustration eps10 graphic\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Accueil\",\"item\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#website\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"name\":\"RiskInsight\",\"description\":\"The cybersecurity &amp; digital trust blog by Wavestone&#039;s consultants\",\"publisher\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#organization\",\"name\":\"Wavestone\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"contentUrl\":\"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png\",\"width\":50,\"height\":50,\"caption\":\"Wavestone\"},\"image\":{\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/\"}},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e\",\"name\":\"Nicolas Daubresse\",\"url\":\"https:\/\/www.riskinsight-wavestone.com\/en\/author\/nicolas-daubresse\/\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight","description":"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/","og_locale":"en_US","og_type":"article","og_title":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight","og_description":"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :","og_url":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/","og_site_name":"RiskInsight","article_published_time":"2018-02-16T07:33:17+00:00","article_modified_time":"2021-04-26T07:56:32+00:00","og_image":[{"width":1378,"height":1378,"url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg","type":"image\/jpeg"}],"author":"Nicolas Daubresse","twitter_misc":{"Written by":"Nicolas Daubresse","Est. reading time":"10 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#article","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/"},"author":{"name":"Nicolas Daubresse","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e"},"headline":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut","datePublished":"2018-02-16T07:33:17+00:00","dateModified":"2021-04-26T07:56:32+00:00","mainEntityOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/"},"wordCount":2013,"publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg","keywords":["Active directory","deep-dive","forensics","usn"],"articleSection":["Cybersecurity &amp; Digital Trust","Deep-dive","Ethical Hacking &amp; Incident Response"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/","url":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/","name":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut - RiskInsight","isPartOf":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage"},"thumbnailUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg","datePublished":"2018-02-16T07:33:17+00:00","dateModified":"2021-04-26T07:56:32+00:00","description":"Au sein d\u2019un domaine Active Directory se trouvent g\u00e9n\u00e9ralement plusieurs contr\u00f4leurs de domaine qui n\u00e9cessitent de disposer des m\u00eames informations. Pour parvenir \u00e0 cela, l\u2019Active Directory dispose d\u2019un m\u00e9canisme de r\u00e9plication qui permet, entre autres, de propager un changement depuis un contr\u00f4leur de domaine vers les autres. Dans son processus de r\u00e9plication, l\u2019Active Directory utilise des USN (Update Sequence Number) pour d\u00e9terminer l\u2019\u00e9tat des contr\u00f4leurs de domaines. Ces USN repr\u00e9sentent un compteur stock\u00e9 dans la base de donn\u00e9es de l\u2019Active Directory, qui est incr\u00e9ment\u00e9 \u00e0 chaque changement de cette base au niveau d\u2019un contr\u00f4leur de domaine. Chaque contr\u00f4leur de domaine dispose alors d\u2019un USN qui lui est propre.Lorsqu\u2019un changement d\u2019une information de l\u2019Active Directory intervient sur un contr\u00f4leur de domaine, deux cas peuvent se pr\u00e9senter :","breadcrumb":{"@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#primaryimage","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2020\/01\/Fotolia_78673393_Subscription_Monthly_M.jpg","width":1378,"height":1378,"caption":"computer infection design, vector illustration eps10 graphic"},{"@type":"BreadcrumbList","@id":"https:\/\/www.riskinsight-wavestone.com\/2018\/02\/utilisation-des-metadonnees-de\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Accueil","item":"https:\/\/www.riskinsight-wavestone.com\/en\/"},{"@type":"ListItem","position":2,"name":"Utilisation des m\u00e9tadonn\u00e9es de r\u00e9plication, quand les journaux font d\u00e9faut"}]},{"@type":"WebSite","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#website","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","name":"RiskInsight","description":"The cybersecurity &amp; digital trust blog by Wavestone&#039;s consultants","publisher":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.riskinsight-wavestone.com\/en\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#organization","name":"Wavestone","url":"https:\/\/www.riskinsight-wavestone.com\/en\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/","url":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","contentUrl":"https:\/\/www.riskinsight-wavestone.com\/wp-content\/uploads\/2021\/08\/Monogramme\u2013W\u2013NEGA-RGB-50x50-1.png","width":50,"height":50,"caption":"Wavestone"},"image":{"@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/logo\/image\/"}},{"@type":"Person","@id":"https:\/\/www.riskinsight-wavestone.com\/en\/#\/schema\/person\/46c7f082a7e3517c5689f990ca460e1e","name":"Nicolas Daubresse","url":"https:\/\/www.riskinsight-wavestone.com\/en\/author\/nicolas-daubresse\/"}]}},"_links":{"self":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15551","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/users\/1415"}],"replies":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/comments?post=15551"}],"version-history":[{"count":5,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15551\/revisions"}],"predecessor-version":[{"id":15572,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/posts\/15551\/revisions\/15572"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media\/15549"}],"wp:attachment":[{"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/media?parent=15551"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/categories?post=15551"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/tags?post=15551"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.riskinsight-wavestone.com\/en\/wp-json\/wp\/v2\/coauthors?post=15551"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}