Académique Documents
Professionnel Documents
Culture Documents
Se Protégé Contre Les Menaces Active Directory
Se Protégé Contre Les Menaces Active Directory
Alors, quels sont les points d'entrée possibles pour une attaque contre Active
Directory ?
Pour garantir une sécurité optimale de votre environnement Active Directory, il est
essentiel de vous mettre à la place d'un attaquant et de comprendre son mode
opératoire.
Les différentes étapes de l'attaque (Kill Chain) comprennent la reconnaissance,
l'exploitation, la compromission, le mouvement latéral /Pivoter, l'élévation de privilèges, la
persistance et enfin l'accès aux ressources
Maintenant que nous comprenons comment les attaquants agissent, notre objectif
est de freiner leurs avancées au maximum, afin de les décourager.
Pour y parvenir, il est crucial de mettre en place plusieurs couches de sécurité, que
l'on peut considérer comme des boucliers de protection (Deep Defender).
Un excellent exemple pour illustrer cette approche est celui d'une banque. Les biens
les plus précieux, tels que l'argent, l'or et autres trésors, sont placés dans un coffre-
fort.
Ce coffre-fort est installé dans une salle hautement sécurisée, équipée de caméras
de surveillance, et un agent de sécurité armé contrôle les accès.
C’est de cette même manière, nous devons protéger notre environnement Active
Directory de multiples couches de sécurité, telles que des pare-feu, des systèmes de
détection d'intrusion, des politiques de sécurité strictes, des mises à jour régulières,
et une surveillance constante.
Chaque couche de sécurité renforce la protection globale, rendant la tâche des
attaquants extrêmement difficile et décourageante. En adoptant cette approche, nous
pouvons réduire considérablement les risques et protéger efficacement nos
ressources et données vitales.
Afin de garantir une protection efficace contre ces menaces, il revêt une importance
capitale de mettre en œuvre des stratégies de gestion de mots de passe complexes
et de restreindre l'accès de manière segmentée (Modèle trois tiers).
L'adoption de solutions sans mot de passe, telles que "Windows Hello" ou "Fido,"
peut s'avérer encore plus avantageuse. Ceci est dû au fait que même les systèmes
d'authentification à multiples facteurs (MFA) peuvent être compromis par des
attaques de type "MFA fatigue" et "MFA Attack". Néanmoins, il est essentiel de
sensibiliser les utilisateurs, car ils demeurent les maillons faibles les plus exposés
dans cette chaîne de sécurité
Cette politique de mots de passe doit être différenciée pour les administrateurs, les
utilisateurs, et les comptes de services (avec l'utilisation du "Password Settings
Container"). Les administrateurs devraient avoir deux comptes distincts : l'un pour
leurs tâches quotidiennes (telles que la consultation des emails), et un autre pour les
activités administratives.
Utilisez les comptes gMSA par défaut pour les comptes de services. Vérifiez si des
utilisateurs ont l'option "la pré-authentification Kerberos est désactivée" cochée et
déterminez leur utilisation. Si nécessaire, décochez cette option.
Pour les connexions via RDP à des serveurs, activez les deux méthodes suivantes :
"RestrictedAdmin et RemoteGuard". Cela empêchera le stockage des mots de passe
en cache.
Notez que RemoteGuard fonctionne à partir de Windows Server 2016.
Lorsqu'il y a des relations d'approbation entre domaines, nous évitons d'ajouter des
comptes ou des groupes provenant d'autres domaines approuvés à nos groupes
d'administrateurs, car l'AdminSDHolder ne peut pas protéger un compte d'un autre
domaine.
Pour minimiser les risques, nous désactivons l'historique des SID (Security
Identifiers), ce qui renforce notre posture de sécurité en limitant la traçabilité des
comptes.
En ce qui concerne les mots de passe Kerberos, nous les modifions au moins tous
les six mois, en suivant un processus à deux reprises, espacées de dix (10) heures,
pour maximiser leur robustesse.
Nous n'oublions pas la surveillance et l'analyse des activités. Nous mettons en place
des stratégies d'audit détaillées et nous utilisons des solutions SIEM (Security
Information and Event Management) pour collecter et analyser nos journaux, dans le
but de détecter toute activité suspecte et d'améliorer constamment notre sécurité.