Sécurisez votre Active Directory

Ne laissez pas vos empreintes n'importe où !

Pour se protéger du Pass The Hash, la première solution n'est pas de mettre en œuvre
des dispositifs techniques compliquées ! Il faut d'abord éviter de laissez ses empreintes
n'importe où, tout particulièrement pour les comptes privilégiés.

Réduisez les comptes d'administration locale

Vous ne devez pas utiliser de compte local d'administration. Sur chaque serveur ou poste de
travail, utilisez des comptes du domaine pour les actions d'administration. Évitez d'ajouter
un compte local pour gérer les sauvegardes, un compte de secours ou tout autre raison.

Finalement, vous ne pouvez conserver que le compte administrateur local de Windows. Ce

dernier ne sera utile que dans des cas particulier où un compte de domaine ne pourra pas être
utilisé pour les actions d'administration, par exemple en cas de défaut matériel de la carte
réseau.

Les version récentes de Windows interdisent la connexion réseau avec l'administrateur local.
Pour les versions plus anciennes, vous devez l'interdire explicitement par GPO ou politique
locale, à la fois pour les connexions réseau et pour l'accès avec le bureau à distance.

Restriction d'accès par le réseau

Vous pouvez aussi utiliser l'outil LAPS de Microsoft, Local Administrator Password
Solution. LAPS génère un mot de passe unique pour chaque système. Vous pouvez ensuite
gérer l'accès de certains groupes du domaine aux mots de passe en clair.

Évitez les comptes de services fonctionnant sous une identité du domaine

Vous avez vu comment récupérer en mémoire les empreintes de mots de passe des
utilisateurs. C'est vrai aussi pour les services Windows qui fonctionnent avec une identité du
domaine. Aujourd'hui, tous les services Windows doivent tourner en tant que
« NetworkService », « LocalService » ou bien quand ils ont besoin d'un haut niveau de
privilèges, « LocalSystem ».

L'empreinte de mot de passe de ces identités ne se retrouve pas en mémoire. Par contre, si
un compte de service du domaine est utilisé pour lancer un service Windows ou un vieux
progiciel, l'empreinte du mot de passe se retrouvera immanquablement en mémoire et pourra
être récupéré par un attaquant.

Vous devrez alors imposer aux éditeurs de respecter les bonnes pratiques et utiliser l'identité
adéquate prévue par Microsoft.
N'utilisez pas de compte administrateur de domaine
L'utilisation d'un compte administrateur de domaine doit être exceptionnelle. C'est le cas par
exemple lorsque vous devez faire une extension du schéma Active Directory, par exemple à
l'installation d'une nouvelle version d'Exchange. Mais trop souvent, vous pourriez être tenté
de vous connecté en tant qu'administrateur de domaine par facilité. C'est bien sûr à éviter !
Vous avez vu pourquoi, vous risqueriez d'exposer l'empreinte du mot de passe là où vous
vous connectez.

Alors comment faire au quotidien pour administrer le système d'information sans être
administrateur de domaine ?
C'est simple :

 Pour créer ou gérer des comptes, définissez des utilisateurs dans le groupe

« opérateurs de comptes »,
 Pour administrer des ressources, utiliser des comptes qui ne sont pas administrateur
des contrôleurs de domaine, mais juste dans le groupe administrateur local des
ressources (postes de travail ou serveurs) administrées.
Bien sûr, les compte d'administrateur de domaine ne doivent jamais ouvrir de session sur des
systèmes de moindre confiance.

Ces mesures vont de paire avec un cloisonnement réseau spécifique des postes des
administrateurs, comme nous l'avons vu dans la partie 2.

En résumé
 Soyez organisé et consciencieux dans la gestion de vos comptes d'administration.
 Réduisez à néant l'utilisation des comptes d'administration locale.
 Assurez vous que les services Windows ne fonctionnent pas avec des comptes du
domaine, mais avec les identités NetworkService,
LocalService et LocalSystem prévues par Microsoft.
 Réduisez drastiquement l'usage de comptes administrateur de domaine et privilégiez
des opérateurs de comptes ou de ressources.