Académique Documents
Professionnel Documents
Culture Documents
contient le rend une cible privilégiée des attaquants. De plus, la complexité de l’architecture et du
schéma de l’AD rend la tâche des attaquants plus facile en leur permettant de s’infiltrer dans les
systèmes d’information par le biais de l’AD en utilisant diverses approches qui ne sont pas forcément
détectables par un simple utilisateur. On peut citer, par exemple, des attaques par élévation de
privilège, telles que Pass the Hash [3] ou Pass The Ticket [4], des attaques reposant sur l’usurpation
d’identité ou encore le vol de contrôleur de domaine (la sécurité du contrôleur de domaine est
compromise). De ce fait, il est crucial de bien sécuriser l’AD afin de minimiser ces risques.
Il est également recommandé de faire attention aux ports utilisés pour la fonction de réplication. La
réplication est la fonction qui permet de maintenir l’intégrité et la cohérence des données stockées
dans la base d’annuaire Active Directory, et de mettre à jour les modifications sur l’ensemble des
contrôleurs du domaine. Ainsi, il est conseillé de fixer les ports de réplication afin de maîtriser au mieux
les flux réseau. Ceci simplifiera la mise en œuvre d’un filtrage des flux réseau.
L’environnement logiciel : pour assurer au mieux la sécurité de l’annuaire AD, il faut veiller à :
La journalisation : pour les systèmes ayant un noyau en version 5.x et 6, afin de surveiller le
fonctionnement des DC, il faut journaliser un certain nombre d’événements pertinents pour détecter
les tentatives d’attaques, comme l’ajout de droits utilisateur, ou les problèmes liés à des services de
sécurité (p. ex. le service pare-feu qui n’a pas pu démarrer). Une liste des événements liés à la sécurité
à surveiller dans un environnement AD est donné dans la section 5.8.2. Il est aussi recommandé
d’augmenter la taille des journaux d’événements.
Pour les systèmes ayant un noyau en version 5.x, il est recommandé de fixer les valeurs suivantes :
Les niveaux fonctionnels des domaines : veillez à ce que le niveau fonctionnel des contrôleurs des
domaines soit le plus élevé possible. En effet, les nouvelles versions des systèmes d’exploitation
traitent en général les lacunes de sécurité présentes dans les anciennes versions.
Les groupes de sécurité : l’accès aux ressources se fait en se basant sur les droits définis pour les
groupes de sécurité (voir section 5.8.1). Des mécanismes de sécurité dans l’AD sont liés à ces groupes
de sécurité ayant des privilèges comme AdminSDHolder [7] et les groupes restreints. L’objet
AdminSDHolder sert de paramètre pour un descripteur de sécurité restreinte afin de protéger des
groupes et des comptes privilégiés. Il est recommandé de surveiller les ACL (Access Control List, listes
de contrôle d’accès) positionnées sur cet objet AdminSDHolder régulièrement pour détecter tout
changement. Aussi, il est nécessaire de restreindre le nombre de comptes ayant des droits
d’administration sur le domaine entier. Les stratégies de groupe (GPO, Group Policy Object) utilisent
les groupes restreints pour contrôler les membres des groupes. À chaque fois qu’une GPO ayant le
paramètre groupes restreints configuré est appliquée, la liste des membres des groupes concernés est
écrasée, permettant ainsi de garder son intégrité.
Base de registre
La base de registre regroupe toutes les informations de configuration et est utilisée par le système et
les applications. Pour accéder au registre, il faut lancer l’exécutable regedit. Mais il est recommandé
de ne pas le faire pour les non experts. Toute modification non maîtrisée de la base de registre peut
entrainer une instabilité du système d’exploitation.
Plusieurs attaques peuvent cibler et changer les valeurs des clés de la base de registre. Ainsi, l’accès
au registre doit être sécurisé. Pour ce fait, lors de la présentation de la base de registre, il est
recommandé à l’enseignant d’aborder la procédure de sécurisation de la base de registre (au niveau
de l’éditeur de registre) :
Au niveau de la base de registre, il est également recommandé de restreindre l’accès des utilisateurs
anonymes. Pour cela, il faut fixer les paramètres RestrictAnonymous et RestrictAnonymousSam (par
exemple par GPO) comme suit :
La base SAM
C’est le composant le plus important lié à la sécurité :
Pour sécuriser la base de données SAM voici les différentes recommandations suivantes :
• Il est recommandé d’utiliser l’utilitaire syskey [10], pour protéger la base SAM des attaquants
locaux, ceux ayant potentiellement accès à la machine. Syskey permet d’améliorer la sécurité
de la clé de chiffrement des mots de passe en stockant la clé de chiffrement de la base de
données SAM en dehors de l’ordinateur ;
• L’utilitaire syskey peut également être utilisé pour configurer un mot de passe initial qui doit
être entré pour déchiffrer la clé système, cela afin que Windows puisse accéder à la base de
données SAM ;
• Pour des raisons de sécurité, il est conseillé aux utilisateurs anonymes d’interdire
l’énumération de comptes et de partages dans la base SAM. Cette fonctionnalité est
paramétrée dans la base de registre par les deux valeurs RestrictAnonymous et
RestrictAnonymoussam, dans HKEY_LOCAL_MACHINE\System\CurrentControlSet\LSA (LSA
signifie ici Local Subsystem Authority, et se rapporte au démon Lsass.exe).
• 4610 (514) : Un package d’authentification a été chargé par l’autorité de sécurité locale
• 4614 (518) : Un package de notification a été chargé par le gestionnaire de comptes de sécurité
• 4618 (522) : Un événement de sécurité surveillé est survenu
• 4649 (552) : Une attaque par rejeu a été détectée
• 4719 (612) : Une stratégie d’audit a été modifiée
• 4765 (669) : Un SID History (historique d’identifiants uniques) a été ajouté à un compte
• 4766 (670) : Une tentative d’ajout d’un SID History a échoué
• 4794 (698) : Une tentative d’activation du mode de restauration AD a échoué
• 4964 (868) : Un compte membre d’un groupe surveillé s’est authentifié
• 1102 (517) : Le journal d’audit a été effacé
• 4706 (610) : Une relation d’approbation a été créée
• 4713 (617) : La stratégie Kerberos a été modifiée
• 4716 (620) : Une relation d’approbation a été modifiée
• 4724 (628) : Une tentative de réinitialisation de mot de passe d’un compte a échoué
• 4739 (643) : La stratégie de domaine a été modifiée
• 4740 (644) : Un compte d’utilisateur a été verrouillé
• 4768 (672) : Un ticket d’authentification Kerberos (TGT) a été demandé
• 4769 (673) : Un ticket de service Kerberos a été demandé
• 4770 (674) : Un ticket de service Kerberos a été renouvelé
• 4771 (675) : La pré-authentification Kerberos a échoué
• 4772 (676) : Une demande de ticket d’authentification Kerberos a échoué
• 4773 (677) : Une demande de ticket de service Kerberos a échoué
• 4774 (678) : Un compte a été mappé pour l’ouverture de session
• 4775 (679) : Impossible de mapper un compte pour l’ouverture de session
• 4776 (680) : L’ordinateur a tenté de valider les informations d’identification d’un compte
• 4777 (681) : Le contrôleur de domaine n’a pas réussi à valider les informations d’identification
d’un compte
• 4780 (684) : Des droits ont été modifiés sur des comptes membres du groupe Administrateurs
• 4865 (769) : Une relation d’approbation de forêt a été ajoutée
• 4867 (771) : Une relation d’approbation de forêt a été modifiée
• 4907 (811) : Des paramètres d’audit ont été modifiés
• 4908 (812) : La liste des groupes spéciaux a été modifiée
• 5030 (934) : Le service Pare-feu n’a pas pu démarrer
• 5038 (942) : L’intégrité d’un fichier n’a pas pu être vérifiée
• 6145 (2049) : Des erreurs sont survenues lors de l’application d’une stratégie de groupe
• 4608 (512) : Le système démarre
• 4609 (513) : Le système s’arrête
• 4616 (520) : L’heure du système a été modifiée
• 4698 (602) : Une tâche planifiée a été créée
• 4702 (602) : Une tâche planifiée a été modifiée
• 4704 (608) : Un droit utilisateur a été ajouté
• 4782 (686) : Un accès à l’empreinte d’un mot de passe a été effectué
Références bibliographiques
[1] TechNet, Microsoft, Réduire la Surface d’attaque Active Directory, 2016.
https://technet.microsoft.com/fr-fr/library/dn535495.aspx
[3] ANSSI, Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques, 2014.
https://download.microsoft.com/download/7/7/a/77abc5bd-8320-41af-863c-
6ecfb10cb4b9/mitigating%20pass-the-
hash%20(pth)%20attacks%20and%20other%20credential%20theft%20techniques_english.pdf
[4] CERT-EU Security White Paper 2014-07, Windows Pass-the-ticket attack, 2014.
http://forensicmethods.com/wp-content/uploads/2014/07/PassTheGolden_Ticket_v1_0.pdf