Active Directory securization

L'Active Directory est la solution de Microsoft qui permet d'intégrer rapidement un annuaire ainsi qu'une gestion des droits d'accès dans un système d'informations. Le succès et le déploiement d’Active Directory reposent sur sa simplicité de mise en place ainsi que son intégration facilitée dans les environnements informatiques sous Windows. C’est pourquoi de nombreuses entreprises ont fait le choix de cette solution.

audit configuration active directory

Point névralgique dans le système informatique, il est primordial de s’assurer de la sécurisation : l'implémentation par défaut ne garantit pas une sécurité optimale. Quant à la configuration, celle-ci peut vite s’avérer complexe et des erreurs peuvent être commises. Cette complexité, ajoutée à celle de la gestion à l’usage, rendent difficile l’appréhension des privilèges effectifs des utilisateurs et des groupes.

Les attaquants ont bien compris le potentiel d’attaques sur Active Directory, et et de nombreuses attaques sur le réseau interne reposent désormais sur l'escalade de privilèges dans l'annuaire. Les impacts peuvent être très dommageables : altération ou extraction de données sensibles, indisponibilité des services et donc interruption du fonctionnement de l'entreprise...

Face à cette problématique, et fort des compétences acquises par nos pentesteurs durant les tests d'intrusion interne, nous proposons aujourd'hui une offre d'e'accompagnement à la sécurisation de l'Active Directory. Cet accompagnement est réalisé en trois phases : un audit de configuration de l’Active Directory, la planification des actions de remédiation, puis l’aide au durcissement de votre Active Directory et des contrôleurs de domaine.

Notre approche de la sécurisation de l'Active Directory présente plusieurs avantages :

  • Une approche globale de la sécurisation de l’Active Directory
  • Une meilleure visibilité sur votre annuaire et votre écosystème Windows
  • Un plan d’actions priorisé et planifié en fonctions des compétences et disponibilités de votre équipe
  • Un accompagnement adaptatif : supervision des actions de remédiation ou implémentation
  • Au final, une réduction de la surface d’attaque de l'Active Directory

Audit de configuration de l'Active Directory

Nous commençons la sécurisation par un audit de configuration qui permet d’identifier les défauts de configuration menant à des vulnérabilités.

Une vérification exhaustive

De nombreuses vérifications sont intégrées suite au retour d'expérience de nos pentesteurs sur le terrain.

Cette rubrique analyse les paramètres généraux de l'annuaire, les unités organisationnelles principales, et les partages netlogon et SYSVOL.

Quelques exemples de points vérifiés :

  • Le niveau fonctionnel de l'Active Directory
  • L'utilisation de la corbeille
  • Les propriétaires et permissions des OU principales (Contrôleurs de domaine, OU racine, OU contenant des utilisateurs et des machines)
  • Les permissions étendues dangereuses sur les administrateurs de domaine
  • Les mots de passe stockés dans les fichiers de définition de GPO (le fameux "cpassword")
  • Les mots de passe stockés dans les fichiers du partage SYSVOL tels que des scripts ou fichiers de configuration

Cette rubrique vérifie la bonne hygiène des comptes utilisateurs, les propriétés qui leurs sont appliquées, ainsi que l'usage de groupes privilégiés, et les délégations.

Quelques exemples de points vérifiés :

  • La stratégie de nommage des comptes
  • Les comptes inactifs ou inutilisés
  • Les comptes pouvant s'authentifier sans mot de passe, ou si celui-ci est ancien, n'expire jamais, est stocké avec un chiffrement réversible...
  • Les comptes avec mots de passe stockés dans la description
  • Les stratégies de mots de passe et de verrouillages des comptes
  • Les comptes kerberoastables
  • L'utilisation de LAPS, et le cas échéant, sa bonne configuration
  • Le droit d'ajout de machines au domaine
  • L'utilisation des Protected Users
  • Les comptes avec délégation, contrainte ou non

Cette rubrique analyse certains attributs qui peuvent être placés sur des comptes, et potentiellement fragiliser la sécurité de ceux-ci.

Quelques exemples de points vérifiés :

  • Les privilèges sur l'objet AdminSDHolder
  • Les objets AdminSDHolder orphelins
  • L'attribut SIDHistory pour certains objets
  • Le filtrage des sID
  • La pré-authentification Kerberos

Nous faisons le tour des GPO en place sur le domaine, et nous assurons de la bonne hygiène de celles-ci.

Quelques exemples de points vérifiés :

  • Les propriétaires des GPO ainsi que les permissions qui leur sont appliquées
  • Les comptes d'utilisateurs pouvant lier et délier des GPO sur le domaine
  • Les GPO désactivées, non appliquées, orphelines, ou appliquées trop largement
  • Les réglages de sécurité principaux de la Default Domain Controllers Policy

Nous vérifions quelques mécanismes de sécurité appliqués sur les contrôleurs de domaine.

Quelques exemples de points vérifiés :

  • NLA (Network Level Authentication)
  • DEP (Data Execution Prevention)
  • Les mécanismes LLMNR et NBT-NS de résolution de noms
  • Le service du spooler d’impression
  • Les paramètres de la stratégie de sécurité locale
  • La politique de journalisation et leur éventuelle centralisation

Nous étudions dans cette rubrique la surveillance de certains éléments principaux : les comptes et groupes à privilèges, la création d'objets ordinateur, ou encore les droits spéciaux. Nous n'effectuons pas de relevés techniques, mais échangeons simplement avec les administrateurs principaux de l'annuaire.

De manière similaire à la rubrique sur la surveillance, nous échangeons avec les administrateurs de l'annuaire pour connaître votre politique de revue des comptes utilisateyurs, groupes fonctionnels et d'administration, ainsi que les mécanismes de sauvegarde de l'annuaire.

Un rapport détaillé complété par les préconisations

Nous remettons un rapport détaillé à la fin de cette première phase, qui intègre une synthèse managériale reprenant les principaux défauts constatés, ainsi qu'une synthèse des préconisations globales. Par la suite, le détail de chaque point est fourni, et se compose :

  • d'une description du point, et des éventuels risques de sécurité associés ;
  • de la situation constatée ;
  • et le cas échéant, de notre recommandation de sécurisation pour ce point.

Nous évaluons la priorité à donner aux actions correctives et vous suggérons une chronologie des étapes de nettoyage et de sécurisation.

Une transparence sur notre méthodologie et outils

Nous communiquons de manière transparente les actions réalisées sur votre infrastructure. Pour cela, vous trouverez en annexe de nos rapports la liste des outils qui ont été utilisés au cours de l’audit, ainsi que d’éventuels scripts que nous aurions pu développer pour un besoin spécifique. Nous nous appuyons sur des outils principalement open-source, bénéficiant d'un haut niveau de qualité et d'une forte réputation auprès de la communauté cybersécurité. Nous pouvons citer de manière non exhaustive :

  • PingCastle, l'outil de référence pour l'analyse des points de sécurité de l'Active Directory,
  • ADRecon, pour synthétiser les objets de l'Active Directory dans un tableur Excel facilement filtrable,
  • BloodHound et son collecteur SharpHound, pour la visualisation synthétique des chemins d'attaque,
  • RSAT - Remote Server Admin Tools de Microsoft pour la connexion à l'annuaire et aux services annexes,
  • ainsi que nos propres outils et scripts PowerShell.

Nous aimons mettre en avant la transparence des actions réalisées sur votre infrastructure. Pour cela, vous trouverez en annexe de nos rapports la liste des outils qui ont été utilisés au cours de l'audit, ainsi que d'éventuels scripts que nous aurions pu développer pour un besoin spécifique.

Priorisation et planification des actions

Basé sur le rapport de notre audit, nous établissons ensuite un plan d’actions cohérent en tenant compte de vos contraintes métiers. Nous définissons ensemble le mode de travail de nos consultants entre supervision, délégation ou collaboration avec vos équipes en fonction de vos ressources internes et de l'expertise nécessaire. Enfin, nous planifions avec vous les actions de remédiations.

Notre chef de projet coordonnera les différentes actions entre votre équipe et la nôtre.

Assistance à la remédiation de sécurité Active Directory

Nous pouvons vous aider à implémenter certains mécanismes de sécurité et à durcir la sécurité de votre Active Directory, et plus largement, votre réseau Windows d'entreprise. Quelques exemples de points précis sur lesquels nous intervenons :

  • Mise en place du modèle d'administration par tiers
  • Identification et élimination des protocoles vulnérables type LLMNR et NBT-NS, WPAD, SMBv1...
  • Nettoyage des objets et épuration de l'annuaire
  • Sécurisation des comptes : pré-authentification Kerberos, transition des comptes de services vers les gMSA...
  • Sécurisation des mécanismes de délégation
  • Sécurisation des composants majeurs : contrôleurs de domaines, AD Certificate Services, Exchange...
  • Mise en place de procédures pour la création et la fin de vie des comptes
  • Mise en place de procédures pour la surveillance de l'annuaire
  • Et plus encore !

En durcissant la sécurité de votre Active Directory, vous renforcez plus largement la sécurité de votre réseau Windows d'entreprise. N'hésitez pas à nous contacter pour avoir plus d'informations et que nous discutions ensemble de votre besoin.

You've enabled "Do Not Track" in your browser, we respect that choice and don't track your visit on our website.