Académique Documents
Professionnel Documents
Culture Documents
de l’Active
Directory et
d’Azure AD
Enjeux et trajectoires de transformation
Livre Blanc
Introduction
Depuis plus de 20 ans qu’il existe, le service Active Directory
est devenu un standard du marché, présent dans quasiment
tous les systèmes d’information des organisations. Deux
importantes tendances l’ont remis sur le devant de la scène
ces dernières années.
2
Sommaire
1
Quelle est la maturité rencontrée sur le terrain ? 4
2
Quelles trajectoires pour améliorer la situation ? 19
3
Comment faire face à une cyberattaque ? 54
Conclusion 60
Quelle est la
maturité
rencontrée sur
le terrain ?
Ce chapitre vise à présenter le niveau actuel
de sécurité rencontré pour l’Active Directory
et Azure AD.
Nous reviendrons dans un premier temps sur
les grands types d’architecture rencontrés et
les enjeux de sécurité, puis nous partagerons
les enseignements tirés des attaques
rencontrées par le CERT Wavestone (CERT-
W).
Quelles architectures et quel bilan
de la maturité cybersécurité ?
Trois grands types d’architecture L’Active Directory est organisé
peuvent être rencontrées : autour de domaines regroupés en
une ou plusieurs forêts. Il n’est
Architecture AD on-premises pas rare, pour des grandes
Architecture historique de moins organisations, d’avoir plus de 100
en moins rencontrée chez les domaines ou forêts.
clients (<10%). Il s’agit Cette architecture complexe
généralement de clients ayant s’explique par le poids de
des enjeux forts de souveraineté. l’histoire et les multiples
transformations subies par
Architecture hybride AD/Azure l’entreprise : fusions, acquisitions,
AD réorganisations, etc.
Cette architecture tirée par L’Active Directory n’étant pas vu
l’essor d’Office 365 est comme une application
aujourd’hui majoritaire chez les « apportant de la valeur au
clients (80 à 95%). Des variations métier », l’intégration des
d’implémentation existent nouveaux périmètres a été
cependant, en particulier sur la réalisée en minimisant les
synchronisation ou non des hashs évolutions (moyen le moins cher
de hashs des mots de passe. et le plus rapide), sans réflexion
globale sur l’optimisation de
l’architecture. Des relations de
« Seules 25% des confiance entre domaines ou
forêts ont été ajoutées, pour
authentifications sont permettre à un utilisateur d’être
encore réalisées on- reconnu partout dans le SI.
premises »
Un faible niveau de
Architecture 100% Azure AD sécurité
Présente uniquement pour de
nouvelles entités construites avec
Dans la majorité des
un prisme 100% numérique
organisations, le maintien en
(<5%). Elle nécessite d’avoir un
condition de sécurité de l’AD
système d’information qui répond
passe souvent uniquement par
à un certain nombre de prérequis.
l’application des correctifs de
sécurité et le traitement de
Active Directory on- l’obsolescence de l’OS.
premises ou le poids de
« Le SI est compromis en
l’histoire moins de 24h dans 80%
des audits réalisés »
Wavestone, audits AD 2020
5
Les mises à jour fonctionnelles qui définit le niveau global de
sont quant à elles peu mises en sécurité !
œuvre, généralement par De la même façon, la mise en
méconnaissance ou par crainte œuvre d’Azure AD a visé à
des impacts possibles suite à répondre à des besoins
l’extension du schéma. Les fonctionnels sans considération
organisations ne profitent donc de sécurité. Rares sont les
pas des nouvelles fonctionnalités, organisations à avoir défini un
permettant de limiter les risques processus de gestion des
de sécurité (par exemple la mise comptes à privilèges adapté aux
en œuvre du groupe protected particularités d’Azure AD. Autre
users, Authentication Silos et exemple, seuls 30%(*) des
Kerberos Armoring). De la même comptes administrateur général
façon, trop rares sont les (ou Global Administrator) ont
organisations à désactiver les l’authentification multi-facteur
protocoles obsolètes. (MFA) activée, alors que la
fonctionnalité est native et
Il n’est pas rare d’avoir des gratuite.
organisations avec des centaines (*) Microsoft août 2021
de comptes Administrateurs de
domaine ou d’entreprise alors
que les bonnes pratiques et Une prise de
l’application du principe de
moindre privilège signifieraient
conscience récente des
de les limiter à moins de 5. Cette enjeux de sécurité
situation s’explique par la
difficulté à assurer la conduite du Dans le contexte actuel
changement (retirer des droits d'explosion des attaques
peut être vu comme une exploitant des défauts de
rétrogradation ou une configuration de l’AD, il n’est plus
dépossession). Mais aussi la rare de voir le COMEX interroger
demande de comptes de services le DSI ou le RSSI sur le niveau de
avec des droits excessifs pour sécurité de l’AD et valider des
faciliter l’intégration d’une enveloppes de plusieurs
nouvelle application. centaines de milliers voire
millions d’euros pour mener des
Les évolutions de l’architecture, projets de refonte et de
en particulier la mise en œuvre sécurisation.
de relations de confiance, ont été
définies uniquement sous le
prisme fonctionnel sans évaluer
les risques de propagation d’une
attaque entre les domaines et les « 53% des grandes
forêts. Wavestone rencontre entreprises ont un projet de
régulièrement pendant des audits
un domaine abandonné avec une sécurisation de l’AD »
Baromètre CESIN 2021
relation de confiance
bidirectionnelle. Et c’est bien lui
6
Les projets de sécurisation de utilisant une authentification
l’AD sont lancés pour la vaste NTLM (NT Lan Manager),
majorité mais les audits menés Kerberos ou LDAP (Lightweight
par Wavestone, nous montrent Directory Access Protocol),
que : création des utilisateurs dans le
cloud, etc.). L’usage d’un service
d’AD managé pourrait être une
« Moins de 10% des clients option pour assurer la
rétrocompatibilité sans avoir à
ont correctement gérer le Tier 0.
implémenté les bonnes
pratiques de sécurité » L’usage du cloud peut être vu
Wavestone, audit AD 2020 comme une délégation à
Microsoft de la maitrise des
risques, mais elle n’est que
En effet, bien que les pratiques
partielle. Les clients restent
d’administration aient pu évoluer,
responsables de la configuration
il reste bien souvent des défauts
de la plateforme, des identités et
de configuration qui permettent
des données. Malheureusement la
de remonter au Tier 0 (concept
prise de conscience reste faible.
détaillé dans le chapitre 2). Des
Pour rappel, un nouvel
chemins de compromission et
abonnement à la solution Teams
d’élévation de privilèges peuvent
s'accompagne de la création
par exemple se cacher dans des
d'une souscription Azure AD.
droits d’accès (ACL) dangereuses
configurées sur les objets du Tier
32
0, ou subsister du fait de mauvais
usages des comptes à hauts
privilèges. Le modèle de sécurité /100
AD est détaillé au chapitre 2..
Secure score moyen
34,6 score le plus élevé
pour le secteur
Une architecture 100% technologie
Azure AD, la cible pour 24 score à la création
d’une souscription Office
tous ? 365 E3
7
FOCUS
Azure AD : un annuaire cloud
8
FOCUS
NTLM, toujours le talon d'Achille
de la sécurité ?
NTLM (NT LAN Manager) est une attaque par « réflexion » : un
utilisé par les applications pour attaquant peut détourner
authentifier les utilisateurs et, l’échange d'authentification d'un
éventuellement, pour fournir une utilisateur vers un serveur
sécurité de session lorsque légitime et l'utiliser pour
l'application le demande. s’authentifier sur un autre
Les protocoles NTLM sont des ordinateur, voire sur l’ordinateur
protocoles d'authentification de l'utilisateur.
obsolètes qui utilisent une
méthode de défi et réponse pour
que les clients puissent prouver Le protocole NTLM n’est pas
mathématiquement qu'ils supporté dans Azure Active
possèdent le condensat de mot Directory.
de passe, le hash NT. Les versions
actuelles et passées de Windows
La suppression complète de
prennent en charge plusieurs
NTLM dans un environnement
versions de ce protocole, dont
améliore indéniablement la
NTLMv2, NTLM ainsi que le
sécurité en éliminant les attaques
protocole LM.
de type PtH (Pass-The-Hash).
Cependant, cela ne permet pas
NTLM
d’éliminer d’autres classes
NTLMv2 NTLMv1 LM d’attaques, comme le vol de mots
de passe en clair ou bien le vol de
Depuis Windows 2000, le tickets Kerberos, Ticket Granting
protocole Kerberos est le Ticket (TGT).
protocole d'authentification par
défaut. Cependant, si le protocole Les organisations sont
Kerberos n'est pas négocié pour encouragées à mettre en œuvre
une raison quelconque, alors les Kerberos ou à utiliser des
applications reliées à Active protocoles d’authentification
Directory tenteront d’utiliser un modernes (OpenID Connect,
des protocoles NTLM, si SAML, etc.) pour leurs
disponible. applications existantes, car
Toutes les versions de NTLM sont Microsoft ne prévoit aucune
vulnérables à des attaques amélioration du protocole NTLM.
largement documentées. Pour
cette raison, le protocole NTLM
n’est pas supporté dans Azure Pourquoi NTLM est-il
Active Directory, peut être toujours utilisé ?
désactivé dans Azure AD DS ainsi
que dans Active Directory. NTLM est encore largement
Au-delà d’un support utilisé du fait d’applications
cryptographique faible, l'absence historiques qui n’ont pas évolué,
d'authentification du serveur mais aussi en raison de
peut permettre à un attaquant mauvaises configurations
d’usurper l’identité d’un serveur. d’applications qui supportent
Ainsi, les applications utilisant pourtant Kerberos.
NTLM peuvent être vulnérables à
9
FOCUS
En finir avec NTLM – 4 étapes
1 2
Recenser les appareils et les Résoudre les problèmes de
applications liés à NTLM, les compatibilité (dont le
classifier et déterminer ce qui remplacement de matériels et de
devra potentiellement être traité logiciels), configurer les
dans une stratégie d’exception. applications pour utiliser le
package de sécurité Negociate
pour laisser l’OS utiliser le meilleur
protocole d’authentification
disponible et mettre en œuvre les
prérequis (Kerberos ou autres)
4 3
Isoler les appareils et les Bloquer l’utilisation de NTLM sauf
applications avec une logique de pour les applications et matériels
segmentation réseau. Durcir la qui ne peuvent pas évoluer et qui
configuration de NTLM et devront être traités dans une
superviser les authentifications en stratégie d’exception (étape 4).
continue.
10
Retour d’expérience sur des
attaques rencontrées par le CERT-W
des modes opératoires des
L’AD, au cœur de la attaques récentes met en
menace rançongiciel et évidence une recrudescence du
ciblage des annuaires Active
du mode opératoire Directory. Ce constat s’explique
des attaquants par le rôle central joué par l’AD
au sein des SI d’entreprise.
L’obtention de privilèges AD
Au cœur de la sécurité des
élevés permet bien souvent à un
systèmes d’information, l’AD est
attaquant de prendre le contrôle
aujourd’hui la cible privilégiée
de l’ensemble de l’écosystème
des attaquants lors d’attaques
Windows, voire de rebondir sur
informatiques d’envergure.
d’autres environnements au
Le benchmark 2020 du CERT travers des postes de travail de
Wavestone est sans équivoque. développeurs et
d’administrateurs. Suite à cette
compromission, des données
« L’AD a été compromis sensibles peuvent être exfiltrées
dans 95% des crises cyber ou les activités et services
traitées par le CERT-W » métiers perturbés durablement,
au travers d’attaques par
rançongiciels notamment.
Ce constat est par ailleurs Les années 2019 et 2020 ont de
partagé par l’Agence Nationale fait été marquées par un
de la Sécurité des Systèmes accroissement sans précédent
d’Information (ANSSI): L'analyse des attaques par rançongiciel.
11
La grande majorité des paiement de rançons est
interventions de crise du CERT- aujourd’hui doublement axée sur
W sur l’année 2020, tous la restauration des données
secteurs confondus, visait à chiffrées et la non-divulgation de
répondre à des déploiements de données exfiltrées. Cette
rançongiciels. combinaison de blocage du SI et
de la fuite de données s'est
développée progressivement du
192
fait des actions du groupe Maze
en Amérique du Nord.
S'il est encore rare que les infrastructures de sauvegarde soient ciblées
spécifiquement, elles peuvent faire partie des dommages collatéraux des
attaques. En l’absence d’une infrastructure de sauvegarde dédiée et non
intégrée à la forêt AD de production, le déploiement de la charge
chiffrante à l’échelle du parc entraîne un chiffrement des systèmes de
sauvegarde.
13
Schéma de principe de l’attaque
étudiée
14
Accès initial
L’attaquant s’introduit sur le SI, représentent près de 1 cas sur 5
suite à la compromission initiale des compromissions initiales
d’un compte de domaine, via une investiguées par le CERT-W. On
infrastructure de bureaux virtuels peut notamment citer le cas des
exposée sur Internet. Une attaques par force brute sur les
réutilisation des identifiants services Remote Desktop
compromis est de fait possible en Protocol (RDP) exposés sur
l’absence d’authentification multi- Internet.
facteurs. Suite à cet accès, un
échappement du bureau restreint
(via un interpréteur de
L’exposition de service d’accès commandes exécuté au travers
sur Internet sans MFA expose le d’un logiciel autorisé) permet à
SI à des accès illégitimes par l’attaquant d’obtenir un accès au
système et d’entamer une phase
rejeux d’identifiants de reconnaissance active. Fait
courant, un délai a été constaté
entre le premier accès malveillant
Si le hameçonnage et et le début de la phase de
l’exploitation de vulnérabilités reconnaissance active. Ce délai
critiques se maintiennent comme peut s’expliquer par la revente de
les principaux vecteurs l’accès, obtenu par un groupe
d’infection, les rejeux d’attaquants spécialisés dans le
d’identifiants sur des services domaine, à l’opérateur de
d’accès distants exposés sans rançongiciel.
authentification multi-facteurs
15
L’exploitation d'une vulnérabilité
critique sur un serveur Windows
2003 (en fin de support et ne L’absence de déploiement de
recevant plus de correctifs de la solution LAPS1 facilite les
sécurité) permet à l’attaquant de mouvements latéraux
prendre le contrôle du serveur à
distance et d’établir un camp de base
sur le serveur.
16
Bien qu'une solution antivirale
(par signatures) était déployée
sur les systèmes ciblés, des
utilitaires présents nativement
sur les systèmes Windows
permettent d'exfiltrer la mémoire
du processus LSASS (qui
contient les secrets
d’authentification des utilisateurs
connectés).
L’usage de comptes disposant
des privilèges d’administrateur
du domaine pour des tâches
courantes rend possible une
élévation de privilèges via des
mouvements latéraux successifs.
17
Une tendance émergente : les attaques par supply-
chain
Au-delà des vecteurs de aux attaquants dotés de
compromission plus communs, capacités techniques les plus
les attaques dites par supply- avancées, ces attaques ont aussi
chain représentent un vecteur bien été employées par les
d'infection en croissance. Bien opérateurs de rançongiciels, à
que documentées depuis des fins de gains financiers, que
plusieurs années déjà, les par les groupes étatiques, dans
attaques réalisées via des une optique d'espionnage.
fournisseurs et prestataires de
services se sont multipliées, en En 2020, l'attaque SolarWinds a
nombre et en ampleur ces deux marqué les esprits. Cette attaque
dernières années. Cette démontre l’ampleur que peuvent
croissance peut notamment prendre les attaques par supply-
s'expliquer par l'amélioration du chain, avec 18 000 des clients de
niveau de sécurité informatique SolarWinds impactés. Très
des infrastructures d’entreprise, sophistiquée dans son mode
obligeant ainsi les attaquants à opératoire d’intrusion (injection
compromettre des tiers pour d’une charge à la compilation,
atteindre leurs cibles finales. déploiement d’infrastructures
dédiées pour chaque cible finale,
etc.), cette attaque fait aussi état
de techniques de latéralisation
Les privilèges accordés sur classiques et repose, en partie,
l’annuaire AD aux solutions sur des vulnérabilités ordinaires.
tierces, souvent requis trop
élevés par les éditeurs par L’attaquant a créé très
rapidement des portes dérobées,
soucis de simplicité, peuvent se a ouvert discrètement des
révéler désastreux en cas canaux de communication, a
d’attaque par supply-chain. camouflé et caché ses traces
alors qu'il cherchait des moyens
d'obtenir des privilèges élevés.
Mais il a également utilisé des
Les attaques par supply-chain techniques connues telles que la
présentent de plus un retour sur réutilisation de mots de passe
investissement particulièrement compromis ou le déplacement
attractif pour les groupes latéral avec des comptes
d’attaquants : la compromission administrateurs identiques sur
d'une première entité mène l’ensemble de machines.
potentiellement à l’obtention d’un
point d’accès chez un grand
nombre de ses clients. Réservées
18
Quelles
trajectoires
pour améliorer
la situation ?
Ce chapitre vise à expliquer le nouveau
modèle de sécurité AD Enterprise Access
Model puis à proposer des recommandations
de sécurisation pour l’AD on-premises et
Azure AD, ainsi qu’une trajectoire pour une
modernisation vers Azure AD.
Enterprise Access Model
Microsoft a introduit en 2012, le l’entreprise, ici l’Active Directory.
modèle d’administration en tiers Les documents Mitigating Pass-
dont l’objectif est de partitionner the-Hash and Other Credential
les secrets d’authentification au Theft, version 1 and 2 détaillent
sein d’un environnement Active ce modèle d'administration
Directory. associé à un Environnement
d'administration à sécurité
Le principe d’implémentation est renforcée (Enhanced Security
de créer un cloisonnement entre Admin Environment - ESAE)
les administrateurs en fonction communément appelé « forêt
des ressources qu'ils gèrent. Cela d’administration » ou bien encore
aide à protéger les secrets « hardened forest ».
d’authentification et éviter qu'une
compromission d'un niveau de En décembre 2020, Microsoft à
moindre confiance ne se propage fait évoluer ce modèle
à un niveau de plus grande d’administration pour prendre en
confiance. compte les environnements cloud
et hybride. Ce nouveau modèle
d’accès entreprise (Enterprise
Access Model) est une évolution
Ce concept se fonde sur le du précédent modèle : le concept
modèle de Bell LaPadula, de modèle en tiers demeure, bien
introduit dans les années 1970. qu'il soit remanié avec une
terminologie qui évolue.
20
Comprendre le modèle précédent, en tiers
21
Un nouveau modèle pour l’entreprise hybride
22
Securing Privileged Access « mode d'emploi »
23
On restreint ici explicitement Sur les profils de postes «
l'utilisation des comptes à spécialisé » et « administration »,
privilèges (qui sont marqués l’utilisateur de l’appareil n’est plus
comme sensibles) à des appareils administrateur de son poste.
spécifiques avec le contrôle De plus, la liste des applications
d’accès conditionnels avec Azure autorisées à s’exécuter est
AD Premium. restreinte.
24
Sécuriser le Tier 0 et mettre en
œuvre le plan de contrôle
Quelle que soit la raison qui qui ont conduit à la création de
amène à lancer un projet de relations d’approbation entre de
renforcement de la sécurité de très nombreuses forêts, les
l’AD (plan d’action consécutif à enjeux de chaque projet sont
un incident de sécurité majeur, uniques.
résultats de tests d’intrusion ou
d’exercice de red team, etc.), une
importante phase préparatoire
est nécessaire avant le lancement
La sécurisation du Tier 0 est
d’un aussi vaste programme. Il nécessaire, le travail mené ne sera
apparaît prioritaire de se focaliser en rien perdu, même en cas de
sur le Tier 0 et tenir compte au transformation cloud
vu des transformations du SI sur
les autres Tiers (utilisation du
cloud et Azure AD).
Les trois principaux objectifs de
Étape 1 : se préparer la phase de cadrage sont :
25
C’est également dans ces phases décommissionner ou à migrer) et
que l’on prend en compte les les relations d’approbation
plans d’action préexistants lorsque cela est possible.
(rapports de l’Inspection
Générale, audits réalisés, bilan de Durcir et corriger les
red team, etc.) pour les réintégrer vulnérabilités identifiées : mise à
dans ce projet désormais global. jour des actifs dont l’OS n’est
plus supporté, durcissement
Pour établir la cartographie, système et AD, application
l’approche repose sur : régulière des correctifs de
/ des outils reconnus du marché
sécurité, etc.
(e.g. PingCastle, BloodHound,
OAADS, etc.) ou des frameworks Mettre en œuvre le modèle en
(e.g. points de contrôle de Tiers (prioritairement le Tier 0),
l’ANSSI) ; et déploiement des modifications
/ des entretiens avec les relais dans d’architecture à apporter
les métiers ou les géographies, (cloisonnement, déploiement
permettant d’identifier des d’actifs dédiés au Tier 0,
infrastructures Active Directory implémentation de postes
autonomes et potentiellement non d’administration dédiés, recours à
repérées par les outils. des silos d’administration…).
27
Ensuite, viennent les étapes la connexion à l’aide d’un compte
centrales : application de la d’un Tier donné, sur un actif d’un
structure en Tiers dans l’Active Tier inférieur (comme illustré sur
Directory, création des comptes le schéma ci-dessous). Cela peut
d’administration propres à être mis en place, dans un
chaque Tier, déplacement des premier temps, grâce à des GPO
objets dans les bonnes dites de « deny logon », puis de
Organizational Units (OU). manière plus pérenne au travers
L’étape finale consiste à interdire d'Authentication Policy Silos.
29
par l’ANSSI, afin de rehausser le Détection
niveau de sécurité par paliers. Une fois le modèle en Tiers en
place, les modes d’administration
Les sujets épineux : les comptes étant connus et normés, l’on peut
de services de certaines solutions mettre en place des scénarios de
qui exigent, souvent par détection pour identifier les
simplicité, d’être membre des pratiques qui s’écartent du
groupes Domain Administrators modèle (e.g. ajout de compte
ou Enterprise Administrators. Les dans les groupes built-in,
comptes dont on ne connaît pas modification de configurations
l’appartenance et dont on a du sensibles et normalement stables
mal à estimer l’impact en cas de de l’AD, utilisation de comptes
coupure. La mise en œuvre d’un d’urgences, etc.). Enfin, la mise en
processus fiable de traitement œuvre de scénarios de détection
des comptes inactifs, au-delà du de techniques d’attaque (e.g.
traitement manuel et en masse récupération de hashs, nombre
au moment du projet. important de demandes de
tickets Kerberos dans un laps de
Sauvegarde temps court, etc.). Microsoft
La sauvegarde et la restauration fournit une liste de base
des machines est un sujet d’évènements AD à collecter.
globalement maîtrisé dans les Évidemment, des processus de
organisations. Pourtant, il est traitement des alertes et des
nécessaire de réétudier cette incidents doivent être décrits et
question à la lumière de la opérationnels.
menace actuelle et du scénario
du pire : la compromission et Les sujets épineux : la méthode
destruction totale de l’Active de collecte (utilisation de WEF)
Directory et de ses sauvegardes. qui peut être différente du
Bien souvent, l’infrastructure de standard défini par le SOC
sauvegarde est elle-même liée au (collecte par agent installé sur
domaine AD qu’elle sauvegarde. l’actif) et nécessiter des
Malgré ce programme de adaptations.
sécurisation, il est important de
rester modeste et de toujours Rationalisation
envisager qu’une compromission En parallèle de ces actions de
est possible (« Assume breach »). sécurisation, il convient de suivre
Ainsi, il s’agit de compléter le le bon déroulement du plan de
dispositif de sauvegarde en décommissionnement ou de
place, que l’on conservera pour migration défini dans la phase de
sa performance de son temps de cadrage.
restauration, par un dispositif de
sauvegarde externalisé et
décorrélé de l’AD.
30
Un décalage de planning se programme soient suffisamment
traduirait immédiatement en un simplifiés et expliqués pour éviter
risque important, dans la mesure de susciter des frustrations et des
où aucune action de sécurisation incompréhensions au sujet des
ne serait menée sur ces inévitables points de blocages et
périmètres. Et d’autant plus s’ils demandes d'arbitrages.
possèdent des relations
d’approbation avec les autres Les sujets épineux : la difficulté
forêts. de faire le lien entre la réalisation
d’actions techniques et la
Les sujets épineux : l’incertitude couverture des risques,
des impacts précis lors la l’importante mobilisation qui est
coupure des relations demandée aux équipes en charge
d’approbation et du du run de l’AD pour mettre en
décommissionnement. œuvre les actions techniques.
Pilotage du programme,
conduite du changement et
Etape 3 : garantir la
reporting. pérennité – 1 à 3
Pour être exhaustif, il apparaît
indispensable de mentionner
mois
toutes les activités transverses Plus que n’importe quel autre
inhérentes au pilotage du composant du SI, la sécurité de
programme. La planification, la l’AD ne peut se réduire à un
synchronisation des équipes et la programme limité dans le temps,
communication aux parties mais doit se transformer en un
prenantes sont des éléments clés, processus régulier de contrôle du
compte tenu du nombre niveau de sécurité global. Celui-ci
important d’actions techniques à doit être exécuté régulièrement,
mettre en œuvre, de leur et les écarts identifiés doivent se
interdépendance et de leur traduire par des actions
impact potentiel. correctrices à court terme et de
prévention à moyen terme.
Par ailleurs, le changement
important dans les pratiques
d’administration (e.g. utilisation
de comptes d’administration
distincts par Tier, utilisation d’un
PAW) imposé par la mise en
place du modèle en Tiers, induit
d’apporter une attention toute
particulière à la conduite du
changement, pour éviter de
perturber les activités.
31
Ce plan de contrôle peut Active Directory réussissent
s’appuyer sur diverses sources : systématiquement, il convient,
des scripts, des outils du marché comme dans toute approche de
complémentaires , le service ADS continuité, de tester la
(Active Directory Security) de restauration complète depuis une
l’ANSSI, des vérifications sauvegarde.
manuelles (lorsqu’elles ne Ces tests réguliers permettront
peuvent pas facilement être aussi de mesurer le délai
automatisées). Aussi, l’on pourra nécessaire à la restauration
aussi s’appuyer sur des audits et complète. Celui-ci pourra être
des exercices de red team communiqué aux responsables
annuels, pour vérifier que le Tier de la continuité et constituera
0 ne peut plus être compromis. également un indicateur que l’on
cherchera à optimiser, test après
Enfin, en plus de vérifier que les test.
sauvegardes de l’infrastructure
32
Sécuriser sa souscription Azure AD
Gratuite (P1 ou P2) : Besoin d’avoir une licence premium pour personnaliser les mesures de sécurité
33
Aller plus loin que le Secure Score
Applications Azure AD :
/ Personnes habilitées à Appareils :
enregistrer une application / Conformité des appareils
/ Gestion des propriétaires, / Nombre d’appareils
secrets et des permissions par utilisateur
pour chaque application
34
Comprendre les rôles dans Azure AD
Exchange
Exchange
Admin
Security
Admin
Security Azure AD
Reader App Admin,
User Admin,
Groups Admin,
MCAS
Auth Admin, ...
Exchange
Admin
Teams
Teams Admin, Intune
Teams Devices
Admin, Teams
Comm Admin, ...
35
Comprendre les applications dans Azure
AD
Parmi les identités gérées dans administrateur du tenant dans
Azure AD, les applications lequel est inscrite l’application
représentent un point essentiel à peut ajouter des authentifiants
appréhender et sont très (secrets ou certificats).
différentes de ce qui existait on-
premises. Une personne en possession des
authentifiants pourra utiliser les
Inscription d’une application permissions de l’application.
Une application qui souhaite
externaliser l'authentification vers Une application est représentée
Azure AD doit être déclarée dans dans Azure AD par 2 classes
Azure AD (via application d'objets :
registration), qui enregistre et / Objet d’application : stocke les
identifie de manière unique informations relatives à
l'application (AppId) dans l'application
l'annuaire à travers la notion / Objet Service Principal :
d’objet d’application (ou représente une instance de
application object). l'application.
36
Il est important de noter qu’un
Application et principal de service
1
Application RH Clés de
Service principal l’application RH
Contient un
Adatum tenant
ensemble de clés
Application RH (objet
utilisées par
d’application)
l’application RH
Service principal
3
Application RH
Contoso
Service principal
Application RH
Fabrikam
Service principal
37
Sécuriser les comptes de services
38
FOCUS
Comprendre les licences Azure
AD et leurs apports sécurité
Il n’est pas possible de parler de la sécurité des identités dans un
environnement Microsoft sans évoquer les différents niveaux de licences.
Security defaults
Protection des
identités (2)
Gouvernance des
identités (3)
39
FOCUS
Security Defaults : un niveau de
sécurité minimal accessible à
tous
Il est à noter que les Security Defaults ne peuvent pas être activés en
même temps que des politiques d’accès conditionnel.
40
FOCUS
Quelle gouvernance pour Azure
Active Directory ?
Dans un certain nombre d’organisations, la responsabilité de l’Azure
Active Directory tombe dans un no man’s land. Cela est en grande
partie dû à l’absence de cible :
/ Simple annuaire technique pour Office 365/Teams ou futur
référentiel d’identité pour les applications de l’organisation ?
/ Référentiel d’identité pour les applications cloud uniquement ou
également pour les applications hébergées en interne ?
Dès que l’on parle administration d’Azure AD, trois acteurs sont
généralement présents :
41
FOCUS
Quelles possibilités de délégation ?
Une équipe centrale devra être définie avec les droits d’administrateur
général. Elle aura pour mission de réaliser toutes les tâches
d’administration à très hauts privilèges, qui pourront sortir du
périmètre strict de l’identité.
/ Cette équipe devra être dimensionnée et formée
/ Des processus avec des SLAs devront être mis en place
L’équipe centrale n’étant pas en mesure de définir toutes les
fonctionnalités accessibles par tel niveau d’administration, la
responsabilisation des bonnes équipes sera clé (e.g. la communication
pour la charte graphique).
Etant donné que ces droits ne seront utilisés que rarement, il est
essentiel de maîtriser qui peut y accéder et quand (via un bastion ou
Azure AD PIM).
Un scénario pourrait être de confier cette responsabilité à l’équipe
identité afin de maintenir une cohérence avec la gestion des identités
et la qualité des données. Un autre pourrait être de former une équipe
centrale garante des applications à portée Groupe.
42
Migrer d’Active Directory vers
Azure Active Directory
Dans une stratégie de conditionnel en se basant sur
modernisation, la l’état de santé de l’appareil ou
recommandation de Microsoft l’emplacement géographique ;
est, à terme, de réduire Active / Accéder de manière simple et
Directory au fur et à mesure que sécurisée aux applications cloud
les applications et les ressources avec une expérience SSO à
internes seront disponibles travers l’obtention d’un PRT
depuis le cloud, que ce soit sous (Primary Refresh Token) ;
la forme d’applications SaaS ou / Gérer les appareils à l’aide
bien tout simplement d’une solution de MDM ;
d’applications existantes. / Déployer l’authentification
sans mot de passe de type
Alors que les identités vont Windows Hello for Business ou
migrer dans Azure AD, les postes FIDO2.
de travail vont quitter Active
Directory pour être gérés depuis
un service MDM dans le cloud. Qu’est-ce qu’Azure AD
Cette bascule va avoir pour effet
de progressivement limiter son
DS ?
exposition aux attaques.
Azure AD DS (Azure Active
Directory Domain Services) est
La gestion des identités avec un
l’annuaire AD sous la forme d’un
service cloud comme Azure AD
service cloud proposé par
est plus simple à appréhender
Microsoft comme il peut exister
(moins de concepts à maîtriser et
chez d’autres fournisseurs cloud.
pas de composants
De manière simplifiée, le Tier 0
d’infrastructure à mettre à jour).
est ici géré par Microsoft, tandis
que les autres tiers sont gérés
En migrant vers Azure Active par l’organisation. Azure AD DS
Directory, il est plus simple de fournit un sous-ensemble de
bénéficier de l'analyse centralisée fonctionnalités Active Directory
des événements de connexion, comme la jonction de domaine,
facilitant ainsi la détection des les stratégies de groupe (GPO),
attaques à faibles volumes et le protocole LDAP et
également des anomalies de l’authentification
connexion. Kerberos/NTLM.
43
FOCUS
Protéger le cloud d’une
compromission de l’AD
Isoler complètement les Aucun compte Active
1 comptes administrateurs 3
2 Directory ne doit disposer
Microsoft 365 et Azure AD de privilèges élevés sur le cloud
Les comptes administrateurs doivent Assurez-vous que ces comptes, y
être : compris les comptes de service, ne
/ Créés depuis Azure AD; sont pas inclus dans les rôles ou
/ Authentifiés avec l'authentification groupes privilégiés du cloud et que les
multi-facteurs (MFA); modifications apportées à ces comptes
/ Contrôlés par l'accès conditionnel ne peuvent pas avoir d'impact sur
d'Azure AD; l'intégrité de votre environnement
/ Accessibles uniquement en utilisant cloud. Les éléments on-premises du
des postes de travail gérés dans Tier 0 ne doivent pas être en mesure
Azure; d'avoir un impact sur les comptes ou
/ Activés sur une plage de temps rôles privilégiés de Microsoft 365.
limitée avec Azure AD PIM.
44
Le voyage vers Azure AD
Pour ne pas tomber dans le piège ces trois éléments, afin de les
d’attendre qu’une solution déplacer au fur et à mesure dans
parfaite soit disponible (couvrant Azure AD.
tous les cas de figure), le mieux
est d’aborder ce voyage vers Les organisations ayant un
Azure AD dès maintenant, et de existant fort avec Active
façon pragmatique sans chercher Directory auront une trajectoire
à couvrir tous les cas. de migration vers Azure AD qui
sera plus ou moins rapide, en
Schématiquement, un annuaire fonction du nombre d’objets à
Active Directory contient des migrer mais également de la
appareils, des applications et des complexité de l’environnement
utilisateurs. La trajectoire de AD comme le nombre de forêts
migration va prendre en compte existantes.
45
FOCUS
Se moderniser sur trois piliers
46
Quelle trajectoire de modernisation ?
47
Les étapes en détails
La progression d’un projet de utilisateurs qui sont créés dans
transformation Active Directory l’AD à partir de systèmes RH puis
vers Azure AD peut se mesurer à sont synchronisés d’AD vers
l’aide des étapes suivantes : Azure AD à l’aide de l’outil Azure
1. Premiers pas vers le cloud AD Connect.
et utilisation d’Azure AD
2. Généralisation du mode
hybride
Mode Hybride
3. Investissements centrés
sur le cloud
4. AD isolé et réduit au
minimum
5. 100% cloud – Azure AD
Premiers pas
49
Isolement de l’AD
50
Enfin, l'étape 5 est celle du
Full Cloud « 100% Cloud Azure AD », où
l’organisation n’a plus aucune
empreinte Active Directory. A ce
stade, il n’y a plus de contrôleurs
de domaine Active Directory et
Azure AD fournit tous les outils
de gestion des identités.
Kerberos /
CIBLE Stratégie MDM Azure AD join
OpenID Connect
COMPLEXITÉ
51
Améliorer sa posture de sécurité
L’autorité de référence signant le
Vous avez dit « Zero vérificateur des secrets
Trust » ? d’authentification sur l’appareil,
pour ouvrir une session en mode
Aborder la cybersécurité sous déconnecté, est Active Directory.
Si le cache des crédentités est
l’angle de l’identité est une des
vidé ou désynchronisé pour avoir
tendances de fond que les
de nouvelles crédentités en
organisations tentent d’adresser cache, l’appareil doit dialoguer
à travers l’approche « Zero Trust avec un contrôleur domaine. Cela
». Le principe ? ne jamais faire doit se faire à l'aide d'une
confiance, toujours vérifier. connexion VPN ou sur le réseau
de l’organisation.
A chaque demande de
connexion, le contexte d’accès
Autre exemple: lorsque
est analysé pour évaluer le niveau
l’utilisateur oublie son mot de
de confiance que l’on peut
passe et demande à le réinitialiser
accorder à l’utilisateur, à son
ou le fait lui-même à travers un
appareil mais également aux service de type libre-service, son
applications. appareil doit pouvoir joindre un
Cette approche de la sécurité contrôleur de domaine Active
protège les organisations en Directory pour utiliser le nouveau
mot de passe et déverrouiller
accordant l'accès sur la base
l’ordinateur.
d'une vérification continue des
identités et de la posture de
La même exigence de
sécurité des appareils.
connectivité on-premises est
valable lors de la première
La fin du VPN avec le configuration de Windows Hello
Zero Trust ? for Business sur un appareil
Hybrid Azure AD Join : l’appareil
doit avoir une connectivité vers
Une idée fausse et très répandue
un contrôleur de domaine pour
est que le passage à une
finaliser la configuration de
architecture « Zero Trust »
Windows Hello for Business
signifie qu’il est possible de
(définition du code PIN, première
supprimer tous les accès VPN
ouverture de session avec
pour l’accès à distance aux
Windows Hello for Business).
ressources de l’entreprise.
Ces contraintes n’existent pas
La réponse n’est pas aussi simple.
avec un appareil Azure AD Join
Par exemple, si les postes de
qui ne nécessite pas de
travail sont Hybrid Azure AD Join,
connectivité vers Active
alors ces appareils doivent avoir
Directory contrairement aux
de temps à autre une
scénarios précédents.
connectivité vers un contrôleur
de domaine, car ils sont joints à
Active Directory et Azure AD.
52
La technologie « Always On L’utilisation d’Azure AD, permet
VPN » , nativement présente à de détecter les modèles
partir de Windows 10, est très d’attaque de type password
utile pour établir un tunnel VPN spraying en examinant les
avant même que l’utilisateur tentatives de connexion
n’ouvre une session et assurer échouées pour des millions
ainsi cette exigence de d’organisations dans le monde
connectivité interne. entier. Cette protection peut être
La modernisation du VPN vers étendue à Active Directory à
une approche plus flexible de travers un agent à installer sur les
type Split-Tunneling augmente contrôleurs de domaine et en
les chances de succès à long suivant les instructions du guide
terme lors de la mise en œuvre de déploiement.
d’une architecture Zero Trust.
Se diriger vers
Encadrer les mots de l’authentification sans
passe mot de passe
Le password spraying
On observe un engouement
(pulvérisation de mots de passe),
important pour l’authentification
une attaque qui donne lieu à un
sans mot de passe. Rien
tiers des compromissions de
d’étonnant quand on sait que les
comptes, consiste à tester
mots de passe sont responsables
quelques mots de passe faibles
de 80% des portes d’entrée pour
sur un très grand nombre de
les pirates et qu’on estime que le
comptes utilisateurs, plutôt que
déploiement de l’authentification
de nombreux mots de passe
multi-facteur réduit le risque de
courants. La dangerosité de cette
compromission de 99,9%.
attaque est liée au fait que les
mesures de sécurité habituelles
(blocage des comptes ou L’authentification s’appuie sur
temporisation entre des essais une caractéristique biométrique
successifs) sont inefficaces. telle qu’un visage, une empreinte
digitale, ou un code confidentiel
propre à un appareil et qui n’est
pas transmis sur le réseau. Vous
aurez le choix entre l’utilisation
Selon une enquête de votre ordinateur Windows
réalisée par Microsoft avec biométrie et/ou code PIN, la
auprès de responsables connexion par clé de sécurité
informatiques de FIDO2 ou l’application Microsoft
plusieurs pays ayant Authenticator pour les appareils
entamé leur voyage mobiles.
Zero Trust, il ressort que
76% ont implémenté en
premier lieu une
authentification forte et
60% l’accès
conditionnel basé sur
des politiques.
53
Comment faire
face à une
cyberattaque ?
56
Ces différents éléments, / La grande majorité des
composant le cœur de confiance applications utilisées dans les
du SI, doivent faire l’objet d’un organisations sont liées à l’AD.
plan d’action adapté selon la Les autorisations sont
connaissance de l’attaque généralement attribuées sur
apportée par les investigations des comptes basés sur l'Active
numériques. Directory on-premises et les
applications ne savent même
pas ce qu'est Azure AD
Azure AD peut-il aider / Les organisations ne peuvent
lors de la joindre (nativement) que les
postes de travail (Windows
reconstruction? 10/Windows 11) à Azure AD
mais pas les serveurs
Certainement, en mettant en
service des solutions SaaS pour C’est pourquoi, il reste essentiel
rétablir certains services de d’avoir une sauvegarde régulière
productivité. et déconnectée d’Active
Directory, pour être en mesure
Néanmoins, Azure AD ne sera d’être résilient après une attaque
pas utile dans les cas suivants : de type ransomware.
57
FOCUS
Préparer la reconstruction
de l’Active Directory
Incontournables
Recommandés
À étudier
58
Ne pas se contenter d’une simple
reconstruction de l’AD
La reconstruction d’un SI suite à par exemple, pas possible
une Cyberattaque est un sprint pendant la gestion de crise de
nécessitant la mobilisation de quelques semaines, de
tous. Le risque est cependant de transformer son modèle de
penser que la course s’arrête là. sécurité ni de traiter toutes les
Dans ce cas, il n’est pas rare de obsolescences : le chemin de
subir quelques mois ou années crète doit être défini pour rendre
après une nouvelle attaque. au plus vite le service au Métier.
59
Conclusion
60
Remerciements
AUTEURS
Photo
CONTRIBUTEURS
PIERRE AUDONNET BENOÎT MARION
Principal Customer Engineer, Senior Manager, Wavestone
Microsoft Canada
GREGORY SCHIRO
FLORENT BENOIT Compromise Recovery Security
Partner Technology Strategist, Practice, Microsoft
Microsoft France
JULIEN ROUSSON
RÉMI ESCOURROU Manager, Wavestone
Manager, Wavestone
JEAN-YVES GRASSET
Chief Security Advisor, Microsoft
France
61
Liens utiles
ANSSI - ACTIVE DIRECTORY CONTROL PATHS
https://github.com/ANSSI-FR/AD-control-paths
62
MICROSOFT – OBJETS D’APPLICATION ET PRINCIPAL de SERVICE
https://docs.microsoft.com/en-us/azure/active-directory/develop/app-objects-and-
service-principals
63
Microsoft s’engage en faveur d’un numérique de confiance,
inclusif et durable. Sa mission est de donner à chaque
individu et chaque organisation les moyens de réaliser ses
ambitions, à l’ère du Cloud intelligent et de l’intelligent
edge.
64
Dans un monde où savoir se transformer est la clé du
succès, Wavestone s’est donné pour mission d’éclairer et
guider les grandes entreprises et organisations dans leurs
transformations les plus critiques avec l’ambition de les
rendre positives pour toutes les parties prenantes. C’est ce
que nous appelons « The Positive Way ».
www.microsoft.com www.wavestone.com