Credential access et Mimikatz
Audit de mots de passe avec données synthétiques, hashcat, John, Hydra et risques du credential dumping.
Objectif de sécurité
Les tests de credential access mesurent la résistance des postes, la protection LSASS, la séparation des comptes et la capacité de détection. Ils sont parmi les actions les plus sensibles d’une mission.
Mimikatz
Mimikatz est connu pour interagir avec des secrets Windows, hashes et tickets Kerberos. Le portail ne fournit pas les commandes d’extraction ou de réutilisation de credentials.
Validation en laboratoire
- domaine fictif ;
- comptes et mots de passe synthétiques ;
- snapshot ;
- Defender/EDR actif ;
- collecte des événements ;
- preuve que l’outil est bloqué ou détecté ;
- restauration du lab.
Contrôles
- Credential Guard ;
- LSA protection ;
- réduction des comptes admin ;
- Protected Users ;
- Windows LAPS ;
- restriction des sessions Tier 0 ;
- EDR et contrôle applicatif ;
- rotation après incident.
Preuve en production
Préférer une revue de configuration et une simulation de détection avec un outil validé plutôt qu’un dump réel de mémoire ou de secrets.
Ne collecte jamais un mot de passe, hash, ticket ou token réel sans autorisation spécifique, procédure de conservation et plan de rotation immédiate.