L’Active Directory (AD), élaboré par Microsoft, représente le socle central de la gestion des identités, des accès, et des ressources au sein des réseaux informatiques d’entreprise. Pour un expert en cybersécurité, la compréhension approfondie de l’AD s’avère impérative pour renforcer la solidité des systèmes d’information face à la multiplicité des attaques.
Architecture et Fonctionnement
L’AD est composé de plusieurs éléments fondamentaux. Les Contrôleurs de domaine (Domain Controllers) sont des serveurs responsables de l’authentification des utilisateurs, de la gestion des accès, et de la réplication des données au sein d’un domaine. Ces derniers peuvent être organisés en une hiérarchie appelée arbre AD, tandis que plusieurs arbres partageant une structure de noms commune forment une forêt AD.
Les relations d’approbation (ou trusts) permettent à des utilisateurs d’un domaine d’accéder à des ressources d’un autre domaine dans la même forêt Active Directory. Elles sont utiles lors de fusions ou acquisitions d’entreprises. L’ANSSI recommande une approche unidirectionnelle pour mieux protéger les comptes à privilèges.
L’authentification dans l’AD se fait principalement via NTLM et Kerberos. NTLM, développé par Microsoft, présente des vulnérabilités telles que les attaques de relai (type Man In The Middle) ou Pass-The-Hash. C’est pourquoi il est préférentiel de privilégier Kerberos, développé par le MIT, à la place de NTLM. Mais dans les faits, il est compliqué de réaliser totalement cette action car NTLM est encore le seul protocole supporté par certains périphériques et applications.
Aujourd’hui, Kerberos a remplacé NTLM comme protocole d’authentification par défaut mais NTLM est encore pris en charge par tous les systèmes Windows pour assurer une compatibilité maximale avec les serveurs et clients antérieurs.
Les conseils des experts ORNISEC pour une meilleure sécurisation de l’AD :
Une attention particulière doit être accordée à certains principes fondamentaux afin d’assurer une sécurité maximale au sein de l’AD.
- Gestion des identités et des accès : l’AD permet une gestion centralisée des identités, mais les experts doivent veiller à éviter les privilèges excessifs, en contrôlant attentivement les droits et les permissions.
- Créer des Utilisateurs Protégés : les Utilisateurs Protégés sont un groupe de sécurité dans l’AD conçu pour prévenir les attaques par vol d’informations d’identification.
- Surveillance et journalisation : la configuration adéquate des journaux et l’utilisation d’outils de surveillance sont cruciales pour détecter les activités suspectes et réagir rapidement aux incidents.
- Contrôles d’accès : la mise en place de contrôles d’accès rigoureux, notamment la gestion appropriée des groupes de sécurité et des listes de contrôle d’accès (ACL), est essentielle pour minimiser les vulnérabilités.
- Gestion des mots de passe : la sécurité des mots de passe est un point clé, avec l’importance de politiques de mots de passe robustes et de mécanismes d’authentification multi-facteurs.
- Réinitialiser périodiquement les autorisations : AdminSDHolder et l’attribut adminCount sont des mécanismes pour protéger les comptes à privilèges en réinitialisant périodiquement les autorisations. L’AdminSDHolder contient les ACLs restrictives appliquées aux comptes à privilèges, tandis que adminCount est utilisé pour activer ce mécanisme de protection.
En plus de ces principes fondamentaux, certaines pratiques peuvent contribuer significativement à renforcer la sécurité de l’AD.
- Mises à jour et correctifs : se tenir informer constamment des mises à jour et correctifs de sécurité est primordiale pour prévenir les vulnérabilités.
- Plan de reprise d’activité (PRA) : la création et la mise en œuvre d’un plan de reprise d’activité spécifique à l’AD assurent une récupération plus rapide en cas d’incident majeur.
- Surveillance des menaces : la veille constante sur les menaces émergentes est essentielle afin de comprendre et d’anticiper les menaces.
- Formation et sensibilisation : une formation continue des utilisateurs et des administrateurs contribue à réduire les risques liés à des erreurs humaines et renforce la sécurité globale de l’AD.
L’Active Directory demeure un élément central pour la sécurité informatique des entreprises. En comprenant les fondements de l’AD et en appliquant des pratiques exemplaires, les experts en cybersécurité peuvent jouer un rôle déterminant dans la protection des données et des systèmes.
Pour de plus amples informations sur l’AD, vous pouvez retrouver le replay de notre webinaire CyberTalk avec Hamza Konda à cette adresse.
La liste complète de nos webinaires est disponible en cliquant ici.