Skip to content

Les recommandations sur la sécurité de l’Active Directory de l’ANSSI

L’ANSSI a récemment publié un nouvel article de recommandations, j’aime beaucoup lire ces guides de bonnes pratiques, car même s’ils ne sont pas forcément exhaustifs, ils permettent d’avoir une base de réflexion et de travail sur la sécurité du système d’information.

Le document s’adresse donc tout naturellement aux administrateurs systèmes et RSSI d’environnements utilisant des systèmes Windows, même en partie (une énorme majorité donc). L’Active Directory de Windows est en effet un élément très présent dans les systèmes d’information et cela grâce à l’efficacité de ce produit en ce qui concerne la gestion des postes de travail Windows (entre autre).

L’introduction du document nous rappelle donc la place de l’Active Directory au sein des SI ainsi que les risques de sécurité associés à cette forte présence et cette place centrale :

  • L’AD contient des informations sensibles concernant les utilisateurs;
  • C’est un élément qui permet aux attaquants d’effectuer une élévation de privilèges (« privileges escalation ») de par les droits et les comptes qu’il traite;
  • C’est un élément d’interconnexion avec d’autres applications (Exchange ou SharePoint par exemple, via les extensions de schéma).

LOGO_ANSSIOn souligne également la complexité de l’AD qui rend la détection de manipulations malveillantes difficile et longue.

Nous pourrons trouver dans ce document un système de priorisation des recommandations qui permet de sectoriser chaque conseil. Par exemple la priorité 1 concerne les protections contre l’exploitation de vulnérabilités pouvant engendrer une compromission de l’AD, la priorité 2 concerne les protections contre les accès non autorisés, etc.

Après un rappel technique de ce qu’est l’annuaire Active Directory, de ses composants, ses partitions de stockage des données (domaine, configuration, schéma et application) mais également de la forêt et du domaine, les rédacteurs nous rappellent quelques notions de « secure-by-design ». En effet, la sécurité se doit maintenant d’être présente dès la conception (physique, architecturale et logique) de tout élément, Active Directory compris.

Parmi les sujets abordés autour de la sécurité de l’Active Directory,  nous pourront trouver des recommandations sur :

  • Combien de catalogue global doit on avoir, selon la taille de notre SI et où les placer;
  • Conseil sur l’architecture réseau faisant transiter les informations de l’AD (DNS par exemple);
  • Les détails des activités à surveiller dans les journaux d’évènement (ID d’alerte + description);
  • La réduction de la surface d’attaque d’un DC via l’applicatif, la bonne gestion du pare-feu et des éléments de protection;
  • Gestion des relations d’approbations et l’architecture logique entre différents DC;
  • La bonne gestion des Unités Organisationnelles (OU) , des différents rôles de maître d’opération, des GPO, des SID et des règles/groupes de sécurité;
  • Les protocoles d’authentification à favoriser (entre LM,NTLM, NTLMv2 et Kerberos) & authentification multi-facteurs utilisant l’AD.

Au delà des sujets abordés et développés, on trouve également de vraies règles qui peuvent être facilement utilisées au sein d’une organisation afin d’effectuer son propre check-up ou audit d’Active Directory, parmi ces 53 points de contrôle, on peut trouver :

  • Si la sécurité physique d’un DC n’est pas assurée, il faut le configurer en un RODC (Read only), ainsi que prévoir de faire tourner l’OS en mode Server Core avec des disques durs chiffrés;
  • Recommandations quant à la taille des journaux d’événements et leurs gestions via les GPO;
  • Assurer la mise en place et le suivi d’une politique de gestion des objets de l’annuaire comme les comptes utilisateurs obsolètes, les groupes inutilisés, les comptes et accès temporaires de migration, les mots de passe sans date d’expiration …

La documentation se fini par des mesures préventives techniques et organisationnelles comme la sensibilisation des ressources humaines et des acteurs du SI, la protection du SI face aux individus internes (les insiders comme les employés), veille technologique de sécurité, l’audit et la gestion des processus métiers. A ce titre je vous ai parlé il y a quelques semaines de l’outil BTA qui permet d’effectuer un Audit de l’Active Directory

Pour ceux qui souhaitent lire le document, c’est par ici : Recommandations relatives à Active Directory par l’ANSSI

Je n’ai bien entendu pas tout dévoilé dans ce petit résumé afin de laisser l’intérêt de la lecture aux intéressés  😉

Bonne lecture !

 

Partager :
Published inRessources

3 Comments

  1. David

    Le lien vers l’outil BTA ne fonctionne pas. Pourriez-vous le corriger svp ?

    • Ogma_Sec

      C’est fait, merci pour votre remarque 🙂

  2. Moustapha

    Merci pour votre article 🙂

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *