Se protégé contre les menaces Active Directory

La protection de votre environnement Active Directory : une nécessité vitale

L'Active Directory (Ad-DS) est un service annuaire crucial pour la gestion de

l'authentification et de l'accès à vos ressources d'entreprise, notamment :

• Les données (accès aux partages de fichiers)

• Les applications (accès aux applications)
• Les systèmes de production (intégrés à l'AD, tels que les terminaux de vente)
• Certains équipements réseau (points d'accès Wifi, VPN, etc.)

Imaginez un scénario où un attaquant prend le contrôle de votre Annuaire Active

Directory, cela signifierait un accès complet à toute votre infrastructure.
Pour illustrer, prenons l'exemple d'un braqueur qui attaque une banque ce n’est pas
pour la beauté de la banque, mais bien pour son contenu précieux (argent, or, etc.).
De même, l'attaquant vise Active Directory, car il contrôle vos applications, données,
systèmes de production et équipements réseau.

Alors, quels sont les points d'entrée possibles pour une attaque contre Active
Directory ?

• Les identités (si un attaquant parvient à prendre le contrôle d'un compte

privilégié, il obtient le contrôle total de votre annuaire et, par extension, de vos
ressources);
• Les contrôleurs de domaine (si un attaquant accède physiquement à vos
contrôleurs de domaine, il peut compromettre les sauvegardes de votre base
de données AD, les fichiers VHDX de votre serveur AD, etc.);
• Les chemins indirects (comme les applications telles que les antivirus ou
SCCM qui installent des agents sur les contrôleurs de domaine)
• Les permissions sur les objets AD (unités d'organisation et GPO mal
configurées);
La sécurisation d'Active Directory consiste donc à protéger les identités, les
contrôleurs de domaine, les autorisations sur les objets et les vecteurs indirects.
Cette démarche est essentielle pour assurer la sécurité de votre environnement
informatique et protéger vos précieuses ressources d'entreprise.

Pour garantir une sécurité optimale de votre environnement Active Directory, il est
essentiel de vous mettre à la place d'un attaquant et de comprendre son mode
opératoire.
Les différentes étapes de l'attaque (Kill Chain) comprennent la reconnaissance,
l'exploitation, la compromission, le mouvement latéral /Pivoter, l'élévation de privilèges, la
persistance et enfin l'accès aux ressources

Maintenant que nous comprenons comment les attaquants agissent, notre objectif
est de freiner leurs avancées au maximum, afin de les décourager.
Pour y parvenir, il est crucial de mettre en place plusieurs couches de sécurité, que
l'on peut considérer comme des boucliers de protection (Deep Defender).

Un excellent exemple pour illustrer cette approche est celui d'une banque. Les biens
les plus précieux, tels que l'argent, l'or et autres trésors, sont placés dans un coffre-
fort.
Ce coffre-fort est installé dans une salle hautement sécurisée, équipée de caméras
de surveillance, et un agent de sécurité armé contrôle les accès.

C’est de cette même manière, nous devons protéger notre environnement Active
Directory de multiples couches de sécurité, telles que des pare-feu, des systèmes de
détection d'intrusion, des politiques de sécurité strictes, des mises à jour régulières,
et une surveillance constante.
Chaque couche de sécurité renforce la protection globale, rendant la tâche des
attaquants extrêmement difficile et décourageante. En adoptant cette approche, nous
pouvons réduire considérablement les risques et protéger efficacement nos
ressources et données vitales.

Pour renforcer la sécurité de votre environnement Active Directory, il est essentiel de

mettre en place certaines mesures de protection. Voici une liste de recommandations
à suivre :

Restriction des énumérations : Assurez-vous d'empêcher les énumérations LDAP,

DNS et SMB sur vos contrôleurs de domaine. Il est également recommandé de
restreindre l'énumération SAM-R sur tous les serveurs membres.
Cependant, faites une exception pour les serveurs qui nécessitent l'énumération
SAM-R pour leur fonctionnement. Il est crucial de bien identifier ces applications qui
dépendent de SAM-R pour ne pas les perturber.

NB : L'énumération ou la reconnaissance, constitue la première étape

entreprise par un attaquant, comme mentionné précédemment.
À titre d'illustration, un cambrioleur mène toujours une enquête préliminaire
sur sa cible (ses déplacements, ses arrivées, ses habitudes, etc.) avant de
passer à l'exécution de son plan.

Installation minimale : Évitez d'installer d'autres rôles ou fonctionnalités sur vos

serveurs Active Directory. Cela permet de réduire la surface d'attaque, en limitant les
points d'entrée potentiels pour les attaquants.

Désactivation du service d'impression : Désactivez le service de spooler

d'impression sur tous vos contrôleurs de domaine. Cela contribue à minimiser les
vulnérabilités associées aux services d'impression et réduit les risques liés aux
attaques.

Mises à jour régulières : Assurez-vous de maintenir à jour vos contrôleurs de

domaine en suivant un processus de validation des mises à jour dans un
environnement de test. Utilisez la documentation de changement pour garantir que
les mises à jour ne perturbent pas le fonctionnement de votre environnement.

Désactivation des protocoles obsolètes : Désactivez les protocoles obsolètes tels

que SMBv1 et NTLMv1. Avant de le faire, effectuez un audit approfondi pour vous
assurer qu'aucune application ou système crucial ne dépend de ces protocoles. La
sécurité est essentielle, mais il est important de ne pas affecter la continuité de vos
opérations.

Les attaquants recourent à diverses méthodes pour compromettre la sécurité des

systèmes informatiques, notamment en utilisant des attaques de type bruteforce ou
password spray afin de découvrir les mots de passe des utilisateurs.
Dans certains cas, ils peuvent même acquérir les mots de passe de leurs victimes
sur le Dark Web, si les membres de votre organisation utilisent les mêmes mots de
passe que leur adresse mail professionnelle, pour s'authentifier sur des sites internet
compromis.

Afin de garantir une protection efficace contre ces menaces, il revêt une importance
capitale de mettre en œuvre des stratégies de gestion de mots de passe complexes
et de restreindre l'accès de manière segmentée (Modèle trois tiers).

L'architecture N-tier (Modèle trois tiers)

Tiering Model – Source Microsoft

L'adoption de solutions sans mot de passe, telles que "Windows Hello" ou "Fido,"
peut s'avérer encore plus avantageuse. Ceci est dû au fait que même les systèmes
d'authentification à multiples facteurs (MFA) peuvent être compromis par des
attaques de type "MFA fatigue" et "MFA Attack". Néanmoins, il est essentiel de
sensibiliser les utilisateurs, car ils demeurent les maillons faibles les plus exposés
dans cette chaîne de sécurité
Cette politique de mots de passe doit être différenciée pour les administrateurs, les
utilisateurs, et les comptes de services (avec l'utilisation du "Password Settings
Container"). Les administrateurs devraient avoir deux comptes distincts : l'un pour
leurs tâches quotidiennes (telles que la consultation des emails), et un autre pour les
activités administratives.

La surveillance du conteneur "AdminSDHolder," qui protège les comptes privilégiés,

permettra de détecter toute tentative d'usurpation de droits administratifs.
En outre, il est recommandé de maintenir les groupes à privilèges (opérateur de
compte, opérateur de service, administrateur de schéma et d'entreprise) toujours
vides, et d'ajouter des comptes de manière ponctuelle, uniquement si nécessaire.

Pour accéder aux données de l'annuaire, exigez la signature du serveur LDAP.

Cependant, soyez prudent avec les anciennes applications qui utilisent des
protocoles d'authentification via LDAP.

Chiffrez la communication LDAP en utilisant TLS ou activez LDAPS. Désactivez

certains anciens protocoles tels que LM, SMBv1, NTLMv1, Kerberos 3DES et
Wdigest pour les systèmes antérieurs à Windows Server 2012 R2. Assurez-vous
d'auditer pour détecter d'éventuelles applications ou systèmes utilisant NTLMv1.

Protégez vos comptes et groupes à privilèges en les plaçant dans le groupe

"Protected Users". Notez que les comptes à privilège protégés par ce groupe ne
pourront pas accéder au VPN. Pour le RDP, utilisez le nom FQDN du serveur et
l'adresse IP, et n'incluez pas de comptes de services dans le groupe "Protected
Users". Il ne prend pas en charge le protocole NTLM.

Forcez l'utilisation du chiffrement AES et éventuellement RC4 pour assurer la

compatibilité des authentifications Kerberos sur les contrôleurs de domaine. Cochez
également l'option "ce compte prend en charge le chiffrement AES 256 + RC4 bits
via Kerberos" pour les comptes de services.

Utilisez les comptes gMSA par défaut pour les comptes de services. Vérifiez si des
utilisateurs ont l'option "la pré-authentification Kerberos est désactivée" cochée et
déterminez leur utilisation. Si nécessaire, décochez cette option.

Pour les connexions via RDP à des serveurs, activez les deux méthodes suivantes :
"RestrictedAdmin et RemoteGuard". Cela empêchera le stockage des mots de passe
en cache.
Notez que RemoteGuard fonctionne à partir de Windows Server 2016.

Par défaut, le groupe "Admins du Domaine" est membre du groupe local

"Administrateurs" sur les machines ajoutées au domaine. Assurez-vous de les
retirer."
Pour garantir une protection robuste de nos ressources informatiques, nous mettons
en œuvre des stratégies d'authentification en silos, qui fonctionnent comme des
conteneurs isolés sur nos contrôleurs de domaines et nos serveurs critiques, abritant
les comptes à privilège chargés de leur gestion.

Nous adoptons également la solution LAPS (Local Administrator Password Solution),

qui permet la gestion centralisée des mots de passe administrateurs locaux. Cette
approche renforce considérablement notre posture de sécurité.

Pour les administrateurs, nous introduisons l'utilisation de machines de rebond,

également appelées bastions ou PAW (Privileged Access Workstations). Ces
machines dédiées sont soigneusement sécurisées, dépourvues d'accès à Internet, et
elles bénéficient de la stratégie Microsoft Baseline pour restreindre les comptes
d'accès, limiter les accès réseau, etc.

Lorsqu'il y a des relations d'approbation entre domaines, nous évitons d'ajouter des
comptes ou des groupes provenant d'autres domaines approuvés à nos groupes
d'administrateurs, car l'AdminSDHolder ne peut pas protéger un compte d'un autre
domaine.

Nous renforçons également la sécurité en activant le chiffrement AES sur les

comptes de relation d'approbation, présents dans le conteneur système. Cette
mesure protège efficacement nos communications.

Pour minimiser les risques, nous désactivons l'historique des SID (Security
Identifiers), ce qui renforce notre posture de sécurité en limitant la traçabilité des
comptes.

En ce qui concerne les mots de passe Kerberos, nous les modifions au moins tous
les six mois, en suivant un processus à deux reprises, espacées de dix (10) heures,
pour maximiser leur robustesse.

Nous n'oublions pas la surveillance et l'analyse des activités. Nous mettons en place
des stratégies d'audit détaillées et nous utilisons des solutions SIEM (Security
Information and Event Management) pour collecter et analyser nos journaux, dans le
but de détecter toute activité suspecte et d'améliorer constamment notre sécurité.

L'utilisation conjointe d'outils tels que « PING CASTLE », « PURPLE NIGHT » et «

BLOODHOUND », largement reconnus dans le domaine de la cybersécurité, est
essentielle pour renforcer notre posture de sécurité Active Directory.
Ces outils complémentaires jouent un rôle crucial en permettant à notre entreprise
d'identifier et de résoudre efficacement les vulnérabilités au sein de notre
environnement AD.
En tirant parti des fonctionnalités spécifiques de chaque solution, nous pouvons non
seulement renforcer la défense de nos systèmes, mais également détecter
rapidement les menaces potentielles, renforcer nos contrôles d'accès, et améliorer
globalement notre résilience face aux attaques.
En adoptant ces pratiques de sécurité, votre organisation sera mieux préparée pour
faire face aux menaces en ligne et protéger les informations confidentielles de ses
utilisateurs.
Vous renforcez considérablement la sécurité de votre environnement Active Directory
tout en minimisant les risques potentiels.
N'oubliez pas de surveiller régulièrement votre environnement pour détecter toute
nouvelle menace et ajuster vos mesures de sécurité en conséquence.

Mon Mot de FIN

Adopter la politique ZERO TRUST « Ne jamais faire
a) Une vérification explicite confiance et
b) Accorder le moindre privilège
c) Supposer une violation
toujours vérifier »