Vous êtes sur la page 1sur 6

Sécuriser Active Directory en 10 étapes

1. Analyse

Le point commun des attaques fructueuses se base sur 3 points :


– Motivation – Avoir une raison d’attaquer le système – Méthode – Avoir les
capacités techniques pour s’introduire dans le système – Opportunité- Avoir le temps
et l’accès pour attaquer

Voici les attaques les plus courantes :


– le spoofing: Usurper une entité, se faire passer pour quelqu’un d’autre – le
tampering – Modifier des données sans autorisation – l’élévation des privilèges – Une
entité interne ou externe non autorisée élève ses droits dans le but d’accéder aux
ressources protégées. – Denial of service – Perte de l’accès au service pour les
utilisateurs, connexion au système impossible
SAVIEZ VOUS QUE 80% DES ATTAQUES PROVIENNENT DE VOTRE RESEAU INTERNE.
Avant de se protéger faut il encore savoir d’où vient le danger ?
Les types d’utilisateurs du réseau
Quels sont les différents types d’utilisateurs de votre réseau? Quels sont leurs droits
et champ d’activité via Active Directory ? Quel est le positionnement de l’attaquant ?
Qu’est il en mesure de faire si celui-ci parvient à obtenir l’un de ces rôles ?
Quels champs d’actions pour :
L’utilisateur anonyme – Lire et écrire des données en passant par LDAP (Possible par
défaut dans Windows 2000 serveur, doit être configurer dans Windows 2003 serveur)
– Lister les différents contrôleurs de domaines – Lister les règles de sécurité pour un
compte utilisateur – Attaque d’un compte avec crack de mot de passe, identification
d’un compte utilisateur grâce au SID – Altérer les performances du contrôleur de
domaine en inondant de paquet dans le but de le rendre hors service( flood)
L’utilisateur authentifié – Lire et écrire toutes données possibles dans toutes les
partitions Active Directory – Par défaut tous les utilisateurs peuvent lire le descripteur
de sécurité sur toutes les classes d’objets – Attaque par DoS, flooder le contrôleur de
domaine avec des demandes de connection ou des requêtes LDAP – Modification des
propriétés de certains objets dans le but de consommer le maximum de place sur le
disque dur du contrôleur de domaine
Le délégué d’administration – Administrer les permission pour n’importe quel
utilisateur sur n’importe quel objet de l’étendue sur laquelle le délégué à les droits
d’administration – Réinitialiser les mots de passe – Modifier les paramètres de
sécurité des utilisateurs et des ordinateurs (mots de passe, accès, logon) –
Administration des stratégies de groupe
L’administrateur de l’entreprise – L’administrateur est le gardien de la forêt –
Possibilité d’administrer toutes les tâches – Accès et obtention du contrôle total sur
tous les objets stockés et protégés par Active Directory – Exécution d’un code
malicieux sur un contrôleur de domaine – Lecture, écriture, modification et
suppression sur n’importe quelle ressource de la forêt – Passer outre, désactiver les
ACL, les audits, modification des rôles FSMO, lecture sur les partitions – Bootez sur le
contrôleur de domaine en mode restauration, et éditer des fichiers système hors
ligne.
Cependant, il n’est pas nécessaire d’avoir un rôle utilisateur spécifique pour attaquer
un système, en effet le fait d’accéder physiquement au contrôleur de domaine peut
entraver le bon fonctionnement de votre système.
– Débrancher la prise électrique ou la prise réseau – Redémarrez le serveur sur un
autre système d’exploitation – Changer la séquence de boot – Redémarrez le
contrôleur de domaine pour éditer Active directory – Sauvegarde de la base de
compte, utilisation d’un utilitaire de cassage de mot de passe avec la sauvegarde –
Installation d’un keylogger – Destruction ou vol d’un contrôleur de domaine

Les 10 règles (1)

1-Etablir une frontière de sécurité


Dans Active Directory, la forêt est une frontière de sécurité. Vous devez établir une
structure logique Active Directory qui vous permettra de mettre en oeuvre cette
frontière sécurisée.- Identifiez tous les entités qui interagiront avec Active Directory –
Evaluez l’organisation, les besoins opérationnels pour tous les participants – Pour
chaque besoin, déterminez les besoins en terme d’isolation et d’autonomie – Evaluez
le niveau de confiance que vous pouvez accorder dans votre service d’administration
– Utilisez la documentation en ligne Microsoft qui vous aidera à modéliser votre
structure Active Directory (https://go.microsoft.com/fwlink/?LinkId=4723)
2-Etablir une relation d’approbation sécurisée
– Etablir une relation d’approbation sécurisée avec les autres forets – Créer une
relation d’approbation uniquement lorsque toutes les forets et administrateurs de
domaines sont des individus de confiance – N’incluez pas des utilisateurs d’une autre
foret dans un groupe qui serait susceptible de:
– d’administrer un service particulier – d’appartenir aux groupes d’administrateur –
d’obtenir le contrôle sur des ordinateurs qui stockent des données protégées
– Etablir une relation d’approbation sécurisée avec des domaines externes –
Considérer le risque d’utilisation de l’historique des SID
3-Déploiement de contrôleurs de domaine sécurisés
– Sécurisez l’environnement d’installation du contrôleur de domaine
– Limiter l’accès physique au contrôleur de domaine uniquement aux personnes de
confiance
– Installez et administrez le nouveau contrôleur de domaine dans une zone restreinte
d’accès
– Assurez-vous de pouvoir répéter les déploiements des autres DC de manière
sécurisé en établissant des procédures de sécurisation d’installation – Dans le cas où
c’est possible, automatisez le processus d’installation de vos contrôleurs de domaine
– Installez Windows 2003 serveur avec les derniers services packs et hot-fixes
– Install Windows Server 2003 with latest service packs & hot-fixes
– Créez un mot de passe compliqué (+ de 8 caractères alphanumérique et caractère
spéciaux) pour le compte administrateur du contrôleur de domaine
– Installez un logiciel anti-virus sur le serveur
– Consultez la documentation ID 822158 dans la base de connaissances Microsoft, il
s’agit d’un article sur les recommandations de la détection de virus
– Sélectionnez des paramètres sécurisés pour la promotion de votre contrôleur de
domaine
– Activez uniquement les services nécessaires au bon fonctionnement de votre
contrôleur de domaine
– Implémentez des scripts signés sur les contrôleurs de domaine et sur les stations de
travail appartenant aux administrateurs
-Lire l’article dans la base de connaissance Microsoft pour prévenir le système contre
toute attaque de virus MS KB Article ID 822158
4-Implémentez une stratégie de sécurité physique
– Sécurisez physiquement l’accès aux contrôleurs de domaine de votre organisation –
Interdisez l’amorçage sur un autre système d’exploitation – Protégez le redémarrage
de votre contrôleur de domaine à l’aide de l’utilitaire SYSKEY

L’utilitaire SYSKEY permet de crypter les mots de passe, basé sur l’algorithme RC4, le
décryptage nécessite un mot de passe à l’amorçage du système pour permettre au
processus LSASS.EXE l’accès aux informations des comptes d’authentification. Le mot
de passe Syskey peut être stockée dans la base de registre, sur une disquette ou
demander à chaque amorçage du système.
– Sécurisez tous les accès aux périphériques de sauvegarde – Augmentez la sécurité
de votre infrastructure réseau, filtres de paquets IP, implémentation de VLAN –
Sécurisez l’administration à distance de vos contrôleurs de domaine
5. Renforcez la stratégie de sécurité de votre infrastructure
– Augmentez la sécurité de votre domaine en établissement des règles de mot de
passe, des stratégies de blocage de mots de passe, des stratégies Kerberos –
Renforcez la sécurité du contrôleur de domaine en ajustant les droits utilisateurs, les
options de sécurité locales, l’enregistrement des journaux, les audits de sécurité

Les 10 règles (2)

6. Etablir des pratiques administratives sécurisées


– Ne faire uniquement une entière confiance aux administrateurs de votre service
informatique pour la délégation de l’administration
– Effectuez régulièrement des contrôles et effectuez des tests de sécurité
– Etablissez des règles d’administration strictes qui devront être appliqués et
respecté par tous les membres de l’équipe
– Responsabilisez les administrateurs de l’entreprise sur l’impact de leur pouvoir sur
les données de l’entreprise.
– N’utilisez pas un compte d’administrateur pour vos tâches quotidiennes, assurez-
vous que les comptes ont 2 mots de passe différents
– Limitez l’autorisation d’ouverture de session sur des postes de travail classique pour
les comptes administrateur
– Renforcez l’administration à l’aide de carte à puce
– Résolvez toutes les redémarrages de vos contrôleurs de domaine, vous devez vous
assurer d’avoir connaissance des causes des redémarrages
7. Sécurisez l’interaction des comptes administrateurs
– Cachez le groupe administrateurs
– Ne mettez uniquement des personnes de confiance dans les groupes
d’administrateurs
– Sécurisez le trafic LDAP entre les stations de travail appartenant aux
administrateurs et les contrôleurs de domaine
– Installez un anti-virus sur les stations de travail des administrateurs
– Interdisez l’exécution d’applications tierce partie en étant connecté en tant
qu’administrateur
8. Sécurisez la délégation de contrôle
– Déléguez l’autorité d’administration sur le principe de limiter les privilèges
– Ne déléguez uniquement une partie de votre arborescence Active Directory,
uniquement si vous êtes assuré de la fiabilité de l’administrateur délégué 
– Limitez la création de groupes uniquement aux personnes de confiance NE PAS
DELEGUER LES ENTITES SUIVANTES :- Installation d’un serveur de certificat
– Modification de la stratégie de sécurité LDAP de la forêt
– Modification du schéma
– Modification des rôles FSMO
– Modification de la topologie des sites
– Installation et suppression d’Active Directory
– Installation de logiciels sur les contrôleurs de domaine
– Gestion de la réplication – Gestion des paramètres de sécurité locale
– Gestion des opérations de sauvegarde de restauration
9. Sécurisez votre infrastructure DNS
-Utilisez une zone intégrée Active Directory car les mises à jour sécurisées sont
implémentées, l’intégration Windows également – Vous pouvez à présent établir un
quota d’enregistrements de noms dans votre zone DNS depuis la version Windows
2003 serveur – Activez la protection du cache DNS – Fermez tous les ports non
utilisés – Préconisez l’utilisation séparée pour vos noms DNS externe et interne –
Déléguez l’administration de la zone DNS uniquement aux personnes de confiance
10. Restreindre l’accès anonyme
– Déterminez quels sont les services qui ont besoin d’avoir recours au compte
anonyme – Déterminez quels sont les programmes nécessitant l’utilisation du compte
anonyme – Dans la mesure du possible, fait en sorte de désactiver l’utilisation du
compte anonyme pour ces applications – Procédez à la restriction des données
d’Active Directory par l’utilisateur anonyme seulement après avoir supprimer toutes
les interactions avec ce compte – Configurez les options de stratégie de sécurité
locale du contrôleur de domaine pour restreindre l’utilisation du compte anonyme

Conclusion

Active Directory joue un rôle critique dans votre infrastructure basé sur
l’environnement Microsoft, vous devrez donc préserver cette entité des différentes
attaques, et cela durant toute la durée de vie de votre Active Directory, des pré-
requis de déploiement jusqu’à la désintallation ou migration, touts les mesures de
sécurité doivent être prises et appliquée de façon rigoureuses.
Une faille de sécurité peut avoir des conséquences graves et irréversibles.Cet article
est basé sur une présentation jouée au TechEd Amsterdam, seul les principales idées
sont retenues et mise en avant dans cet article; nous sommes conscient que la
sécurité n’est pas un sujet qui se traite à la légère, Microsoft en fait d’ailleurs son
cheval de Troie (sans jeu de mot :o)) depuis 2 ans avec la stratégie d’informatique de
confiance.Voici un article qui vous permettra de comprendre la nouvelle stratégie
sécurité adoptée par Microsoft. LIRE L’ARTICLE
En ce qui concerne la sécurité d’Active Directory voici un lien vers la base de
connaissance Microsoft qui vous permettra d’affiner vos
recherches : support.microsoft.com
Au quel cas je vous conseille vivement d’utiliser le forum du Laboratoire Microsoft où
de nombreux experts prendront la peine de vous répondre rapidement.