Active Directory est un système développé par Microsoft pour gérer ses ordinateurs, réseaux, utilisateurs et autres ressources au sein d'une organisation. Les utilisateurs peuvent ainsi abstraire des informations telles que la connexion utilisateur, l'accès aux fichiers et les paramètres de sécurité. En termes simples, AD est une plateforme centralisée grâce à laquelle les organisations peuvent gérer qui a accès à quoi.
Active Directory est l'aspect le plus important d'une organisation. Il est essentiel de s'assurer que les bonnes personnes ont accès aux ressources de l'entreprise. AD étant indispensable à une configuration informatique, il devient également l'un des vecteurs d'attaque les plus attractifs. C'est pourquoi le renforcement d'Active Directory est important. Le renforcement consiste à sécuriser davantage un système en réduisant sa surface d'attaque aux attaquants réels et en renforçant ses défenses.
Le processus de renforcement de la sécurité d'Active Directory vise à permettre aux organisations de s'assurer que leur AD est sécurisé et de ne pas les exposer à des cas d'accès non autorisés ou à d'autres types de risques liés à la cybersécurité, qui mettent en danger les informations sensibles et permettent ainsi aux processus métier de fonctionner sans interruption.
Comprendre Active Directory
Il sert de centre où l'identité et les ressources sont fournies ou gérées au sein d'une organisation (domaines, réseau) composée des ordinateurs des utilisateurs, entre autres périphériques. Grâce à AD, les administrateurs peuvent simplifier les tâches de gestion et appliquer des politiques de sécurité en se concentrant sur les besoins des utilisateurs en matière de ressources.
Différents composants d'Active Directory
Active Directory se compose de différents composants clés qui, ensemble, fournissent une infrastructure complète de gestion des identités et des accès.
- Domaine : Regroupement logique d'objets dans Active Directory qui partagent une base de données d'annuaire commune. Nom unique pour chaque domaine, qui aide à le trouver sur le réseau. Par exemple, un domaine pour une organisation, par exemple example.com.
- Arborescence : Une arborescence se compose d'un ou plusieurs domaines qui ont été regroupés car ils partagent une partie du même espace de noms. Par exemple, si example.com est un domaine, sales-example.com peut être un domaine enfant.
- Forêt : Une forêt est un ensemble d'un ou plusieurs arbres qui ne partagent pas nécessairement des espaces de noms contigus. La forêt est la limite de sécurité la plus élevée dans Active Directory et contient les paramètres de configuration et de schéma partagés entre tous les domaines. Une forêt peut inclure un ou plusieurs arbres de l'un ou l'autre type, et les arbres d'une forêt peuvent également être liés entre eux par des relations de confiance afin de permettre l'accès aux ressources entre les domaines.
- Unités organisationnelles (OU) : Les unités organisationnelles (OU) sont des conteneurs au sein d'un domaine utilisés pour organiser des objets. Les OU sont des conteneurs pour les utilisateurs, les groupes, les ordinateurs et d'autres OU. En même temps, cette structure donne aux administrateurs un certain niveau de contrôle sur les parties ou les OU qu'ils ont déléguées à diverses équipes et départements afin de créer des contraintes de politique plus granulaires basées sur les autorisations.
- Contrôleurs de domaine (DC) : Un contrôleur de domaine est un serveur qui accepte les demandes d'authentification provenant de clients appartenant au même domaine ou à d'autres domaines. Il s'agit de sa propre base de données Active Directory, également appelée partition de répertoire de domaine, qui comprend tous les objets du domaine. Les contrôleurs de domaine répliquent cette base de données entre eux afin que tous disposent de copies cohérentes.
Fonctionnement d'Active Directory
Active Directory fonctionne sur certains protocoles et fonctionnalités qui permettent l'authentification, l'autorisation et la gestion des ressources réseau. Voyons cela plus en détail.
Protocoles d'authentification
- Kerberos : Kerberos est le principal protocole d'authentification utilisé dans Active Directory. Il se concentre sur la sécurité du réseau pour une authentification forte. Lorsqu'un utilisateur se connecte au système, Kerberos émet un TGT (Ticket Granting Ticket) lui permettant de demander des tickets de session pour des services individuels. Cette procédure réduit la dépendance à la transmission de mots de passe sur le système et contribue ainsi à la sécurité.
- NTLM (NT LAN Manager) : Il s'agit d'un protocole d'authentification hérité avec lequel Kerberos doit généralement interagir, il n'a donc pas vraiment le choix. NTLM utilise l'authentification par défi-réponse, qui n'est pas vraiment sécurisée (à éviter dans la mesure du possible), et le préchauffage Kerberos ne doit pas avoir de repli vers NTLM.
Rôle des stratégies de groupe
Les stratégies de groupe sont un outil beaucoup plus puissant qui peut être utilisé pour appliquer des paramètres ou des configurations spécifiques aux utilisateurs ainsi qu'aux systèmes au sein du domaine. Elles peuvent être utilisées pour configurer presque tous les paramètres, y compris les options de sécurité ou les logiciels à installer et les paramètres qui apparaissent dans l'interface utilisateur.
Les stratégies de groupe sont appliquées via des objets de stratégie de groupe (GPO) qui peuvent être associés à des domaines, des unités d'organisation ou des sites. Les GPO peuvent être utilisés par les administrateurs pour appliquer certaines exigences de sécurité telles que la complexité des mots de passe, les politiques de verrouillage des comptes et les restrictions logicielles. Cette gestion centralisée garantit le respect uniforme de normes uniformes dans toute l'organisation.
L'importance du renforcement d'Active Directory
Un AD non sécurisé peut avoir de graves conséquences pour une entreprise. Lorsqu'il n'est pas configuré de manière sécurisée, AD est une mine d'or pour les pirates informatiques, c'est pourquoi le renforcement d'Active Directory est important. Les conséquences possibles sont les suivantes :
- Violations de données : Les pirates informatiques ayant accès à Active Directory peuvent utiliser les identifiants volés des utilisateurs pour accéder à des données privées, ce qui entraîne des violations de données massives. Dans de tels cas, les informations confidentielles des entreprises peuvent être divulguées.
- Attaque par ransomware : un Active Directory non sécurisé peut permettre à un pirate informatique de diffuser un ransomware sur le réseau. Une fois qu'il a pris pied, il peut crypter des fichiers importants et demander une rançon pour les débloquer. Cela peut avoir un impact sur les activités de toute entreprise, mais aussi entraîner directement des pertes financières et nuire à la réputation.
- Perturbation opérationnelle : Une compromission d'Active Directory peut entraîner l'interruption des activités commerciales. Les attaquants peuvent potentiellement prendre le contrôle des comptes utilisateurs ou manipuler les autorisations pour refuser l'accès aux ressources nécessaires, provoquant ainsi des temps d'arrêt et une perte de productivité pour les organisations touchées.
- Perte financière : Une faille de sécurité a pour effet direct de faire perdre de l'argent à votre organisation. Les frais liés à la réponse à l'incident, à la récupération, aux poursuites judiciaires et éventuellement aux amendes pour non-respect des réglementations en matière de protection des données peuvent être des dépenses auxquelles une organisation devra faire face en cas de compromission.
- Implications réglementaires : Plusieurs secteurs d'activité sont tenus de maintenir des environnements sécurisés pour les données sensibles. La non-conformité résultant d'une violation due à une compromission de la sécurité d'Active Directory peut entraîner de lourdes amendes et des poursuites judiciaires.
Guide du marché du CNAPP
Obtenez des informations clés sur l'état du marché CNAPP dans ce Gartner Market Guide for Cloud-Native Application Protection Platforms.
Lire le guideListe de contrôle pour le renforcement de la sécurité d'Active Directory
Au vu des faits, il est important de sécuriser l'environnement informatique d'une organisation et de renforcer la sécurité des zones d'administration d'Active Directory (AD). Voici donc une liste de contrôle détaillée pour le renforcement de la sécurité d'Active Directory, accompagnée d'explications pour chaque élément.
1. Accès avec privilèges minimaux
Réduire l'utilisation de droits d'accès trop permissifs et suivre le principe du privilège minimal devrait être une obligation en matière de sécurité AD. Ce principe stipule que les utilisateurs finaux des systèmes ne devraient avoir que les accès nécessaires à l'exercice de leurs fonctions.
Pour ce faire, les entreprises doivent commencer par identifier tous les comptes disposant de droits d'administration et réévaluer ceux qui sont nécessaires. Les comptes administratifs doivent être isolés de l'espace utilisateur normal à l'aide de connexions différentes. De plus, le contrôle d'accès basé sur les rôles (RBAC) à l'aide d'attributions peut simplifier l'attribution des autorisations aux rôles désignés au sein de l'organisation.
2. Auditer régulièrement les autorisations
Il est essentiel pour la sécurité d'Active Directory que les autorisations soient régulièrement auditées. Les entreprises doivent effectuer des audits des autorisations afin d'examiner les autorisations actuelles, par exemple les comptes d'utilisateurs et leur appartenance à des groupes, ainsi que les droits d'accès, afin que seuls les utilisateurs autorisés disposent des autorisations appropriées.
Les organisations doivent également effectuer des audits réguliers, non seulement des titulaires de comptes accédant aux données de votre organisation, mais aussi un suivi des actions administratives. Il peut s'agir, par exemple, de vérifier les journaux pour détecter les modifications apportées par les personnes disposant de droits élevés, etc. Les organisations peuvent détecter suffisamment tôt les comportements frauduleux potentiels afin d'atténuer les risques en surveillant l'activité administrative.
3. Garantir une authentification sécurisée
Les mécanismes d'authentification sécurisés sont donc essentiels à la protection d'Active Directory. Une façon d'y parvenir est de garantir l'authentification multifactorielle (MFA) pour tous les utilisateurs, en particulier les administrateurs. La MFA nécessite deux formes ou plus de vérification d'identité pour accéder aux comptes d'un utilisateur, ce qui crée une couche de sécurité supplémentaire. Outre la MFA, les entreprises doivent disposer d'une bonne politique d'application des mots de passe. Les entreprises peuvent également souhaiter appliquer des politiques de verrouillage des comptes afin de se protéger contre les attaques par force brute. Obligez les utilisateurs à renforcer la sécurité de leurs mots de passe et fixez des seuils pour les tentatives de connexion infructueuses, ce qui peut bloquer temporairement les comptes (empêchant ainsi les pirates informatiques qui tentent d'accéder à un compte en passant en revue une liste de mots de passe potentiels). Bien sûr, cette mesure doit être adaptée aux besoins, afin de ne pas bloquer par inadvertance les utilisateurs légitimes.
4. Sécuriser les contrôleurs de domaine
Les contrôleurs de domaine (DC) sont importants dans Active Directory et doivent être protégés par une barrière de protection plus importante. La priorité absolue doit être de réduire au minimum le nombre de personnes qui accèdent physiquement aux DC, et les organisations doivent indiquer clairement que les serveurs en question se trouvent dans ces centres de données spécifiques. Le périmètre sécurisé met en place des contrôles physiques, administratifs et techniques, notamment des systèmes de surveillance permettant d'utiliser les données pour contrôler la disponibilité, ce qui agit comme un contrôle d'accès.
Il est également important de mettre régulièrement à jour les DC avec des correctifs de sécurité afin de se prémunir contre les vulnérabilités. Les correctifs et mises à jour importants qui permettraient de remédier à ces vulnérabilités doivent être testés de manière approfondie avant leur mise en œuvre, mais les tests prennent du temps. Il est donc recommandé de gérer cela à l'aide d'un processus de gestion des correctifs robuste.
5. Segmentation du réseau
La segmentation du réseau est un moyen important d'améliorer la sécurité avec Active Directory. Les organisations peuvent également réduire davantage la surface d'attaque et empêcher tout mouvement latéral en isolant les contrôleurs de domaine en tant que systèmes critiques. Dans le cas des réseaux sur site, les réseaux locaux virtuels (VLAN) peuvent être utilisés pour délimiter des segments dans le réseau et permettre uniquement aux entités de confiance d'accéder aux contrôleurs de domaine.
Les pare-feu sont nécessaires pour empêcher le trafic entre les différents segments du réseau. Les journaux des pare-feu doivent toujours être vérifiés afin de détecter toute activité suspecte ou tout accès non autorisé, ce qui permet de prendre les mesures nécessaires.
De plus, l'utilisation de la technologie de micro-segmentation est fortement recommandée, car elle permet à une organisation de définir avec plus de précision les flux de trafic sur ce même réseau. Cela vous permet d'appliquer des politiques de sécurité à un niveau granulaire, ce qui permet de cartographier plus précisément les systèmes qui se connectent les uns aux autres.
6. Surveillance et journalisation
Il est essentiel de détecter et de réagir aux incidents de sécurité potentiels dans Active Directory, c'est pourquoi vous avez besoin d'une bonne surveillance/journalisation. Les organisations peuvent assurer une surveillance complète en activant la journalisation détaillée de tous les événements AD, y compris les activités de connexion/déconnexion et les modifications apportées aux comptes ou aux appartenances à des groupes.
De plus, des solutions de gestion des informations et des événements de sécurité (SIEM) peuvent être intégrées pour améliorer la surveillance en agrégeant les journaux provenant d'AD et d'autres systèmes à des fins d'analyse, ce qui permet d'établir des corrélations. La capacité de détection des menaces en temps réel, qui repère les éléments suspects et alerte l'entreprise afin qu'elle réagisse de manière proactive.
7. Configuration des stratégies de groupe
Les stratégies de groupe constituent un moyen très puissant d'appliquer des paramètres de sécurité à l'ensemble de l'entreprise AD. Les paramètres organisationnels doivent être mis en œuvre via des GPO afin d'appliquer des bases de référence de sécurité qui correspondent aux politiques de l'organisation.
Par exemple, les GPO peuvent être utilisées pour appliquer des exigences de complexité des mots de passe, des politiques de verrouillage de compte et des restrictions logicielles. Il est également important de revoir et de mettre à jour régulièrement les GPO, car ils peuvent devenir obsolètes au fil du temps, voire entrer en conflit avec d'autres politiques. Les audits GPO permettent de garantir la conformité aux normes de sécurité et de détecter les erreurs de configuration susceptibles d'augmenter les risques pour l'environnement.
Comment améliorer la sécurité d'Active Directory
Le renforcement de la sécurité dans Active Directory (AD) est une étape essentielle pour la sécurité d'un réseau d'entreprise et peut-être même d'informations très sensibles.
1. Segmentation du réseau
Dans le cadre de la segmentation du réseau, nous divisons le réseau en segments plus petits et isolés qui permettent de restreindre l'accès et de minimiser votre exposition. La segmentation du réseau permet aux organisations de filtrer les personnes qui ont accès à leurs ressources les plus critiques, telles que les contrôleurs de domaine. Cela réduit le risque qu'un pirate qui pénètre dans un seul environnement puisse se déplacer latéralement vers d'autres parties de votre réseau.
L'ajout de contrôles d'accès rigoureux et de pare-feu entre les segments peut également contribuer à renforcer la sécurité, en empêchant les utilisateurs malveillants d'accéder facilement aux parties critiques du réseau.
2. Utilisation d'applications et de logiciels de sécurité
La sécurité d'Active Directory est largement renforcée par des outils et des logiciels spécialisés qui améliorent la sécurité des bases de données. Les outils de surveillance et d'audit AD sont importants pour détecter tout changement en temps réel, par exemple lorsqu'un utilisateur tente d'accéder sans autorisation ou adopte un comportement étrange dans l'environnement AD.
Ils peuvent même exiger une politique de mots de passe forts et imposer des audits réguliers des mots de passe, ce qui est particulièrement utile lorsque votre organisation compte des centaines, voire des milliers de services différents.
Les solutions qui offrent une visibilité sur la configuration et les autorisations AD peuvent également révéler des vulnérabilités, des faiblesses ou des erreurs de configuration, permettant ainsi une correction immédiate.3. Planification de la réponse aux incidents
Un solide plan de réponse aux incidents est essentiel pour gérer correctement les incidents de sécurité pouvant impliquer Active Directory. Il doit détailler l'objectif final, qui sera chargé de le gérer et comment (par exemple, en identifiant l'origine de la violation — triage dans ce cas ; ou si vous avez été victime d'une violation, votre entreprise peut-elle fournir une solution de sortie avant que celle-ci n'affecte d'autres systèmes).
De plus, vérifier et réviser fréquemment le plan d'intervention en cas d'incident vous permet d'être toujours prêt à faire face à tout problème éventuel avec une réponse rapide et systématique.
Stratégies de renforcement d'Active Directory
Il est nécessaire d'adopter des pratiques de renforcement d'Active Directory pour protéger et défendre un environnement Active Directory. Cette section répertorie cinq éléments essentiels pour renforcer votre infrastructure AD.
1. Mettre en œuvre des postes de travail administratifs sécurisés (SAW)
Les SAW sont des machines avec une faible empreinte logicielle, des listes de contrôle d'accès minimales et aucune connectivité réseau directe. Ils disposent également d'un système d'exploitation en lecture seule et d'un chiffrement complet du disque afin que les logiciels malveillants ne puissent pas se propager de manière persistante. Les SAW empêchent l'exécution de logiciels, sauf s'ils sont explicitement approuvés à l'aide d'une liste d'autorisation d'applications.
2. Activer et configurer la stratégie d'audit avancée
La stratégie d'audit avancée dans AD vous permet d'entrer dans les détails les plus fins concernant ce que les journaux d'événements enregistrent. Configurez l'audit pour les événements de connexion aux comptes, l'accès aux objets, les modifications de stratégie et l'utilisation des privilèges sur les contrôleurs de domaine et les serveurs membres. Utilisez le transfert d'événements Windows pour collecter les journaux dans un emplacement centralisé afin de les examiner.
3. Utilisez la solution Microsoft Local Administrator Password Solution (LAPS)
LAPS est une solution sur site qui consiste en une extension côté client de la stratégie de groupe qui se charge de la gestion et de la randomisation des stratégies de mot de passe. Elle stocke les mots de passe dans un attribut AD sécurisé, auquel seuls les utilisateurs autorisés peuvent accéder (mais votre compte de service doit le déchiffrer), et les fait tourner en fonction de stratégies configurables. LAPS permet de personnaliser les stratégies de complexité des mots de passe et peut être surveillé via des systèmes SIEM préexistants.
4. Déployer des contrôleurs de domaine en lecture seule (RODC)
Conservez toujours une copie en lecture seule de la base de données AD et utilisez la réplication unidirectionnelle via les RODC. Pour empêcher vos RODC d'accéder à des informations sensibles, définissez un ensemble d'attributs filtrés (FAS). La mise en cache des informations d'identification permet aux RODC de mettre en cache les informations d'identification spécifiques des utilisateurs à des fins d'authentification.
Conclusion
Il est important pour les organisations de renforcer la sécurité de leur Active Directory (AD). L'AD étant en effet le noyau de toutes les identités utilisateur et de tous les privilèges d'accès, toute faille de sécurité aura des implications considérables, allant des violations de données à la paralysie opérationnelle.
Une liste de contrôle robuste pour le renforcement de la sécurité d'Active Directory aide les organisations à minimiser leur surface d'attaque et à faire face efficacement aux cybermenaces. Les stratégies clés comprennent la révision des accès avec le moins de privilèges possible, la vérification régulière de l'attribution des autorisations, l'authentification sécurisée et la gestion de la configuration de vos contrôleurs de domaine.
En faisant de la sécurité AD l'une de leurs principales priorités, les organisations renforcent non seulement leur posture cybernétique, mais se préparent également à se conformer aux exigences réglementaires, en mettant en place une infrastructure informatique beaucoup plus sûre.
FAQs
Le renforcement d'Active Directory est un processus visant à garantir la sécurité de votre environnement AD contre les menaces et les attaques. Cela implique la mise en œuvre de la liste de contrôle de renforcement d'Active Directory, qui comprend des contrôles de sécurité de base et des bonnes pratiques visant à éliminer les possibilités d'attaque, telles que ne pas accorder à l'utilisateur final plus d'autorisations que nécessaire (en appliquant le principe du moindre privilège), appliquer des politiques de mot de passe complexes et auditer en permanence les comptes.
Les menaces Active Directory désignent la série d'attaques ou de vulnérabilités qui peuvent être exécutées contre AD et ainsi le mettre en danger. Ces menaces comprennent l'abus d'accès aux comptes connectés, l'escalade des privilèges et la reconnaissance du contrôleur de domaine (DC). Par exemple, en s'introduisant dans un contrôleur de domaine, un intrus pourrait modifier des comptes d'utilisateurs et manipuler des données sensibles.
D'autres menaces peuvent être le phishing visant à obtenir des identifiants ou des logiciels malveillants exploitant les vulnérabilités de l'infrastructure AD.
Une sécurité multicouche peut être utilisée pour protéger un Active Directory. Cela inclut l'application de politiques de mots de passe forts, l'utilisation d'une authentification multifactorielle et la vérification fréquente des autorisations des utilisateurs.
Au niveau de base, il est essentiel de maintenir les systèmes à jour avec les correctifs de sécurité et de surveiller les activités suspectes dans AD.
RAID signifie Redundant Array of Independent Disks (matrice redondante de disques indépendants). Le RAID améliore les performances de stockage et apporte une structure supplémentaire aux disques individuels. Dans le contexte d'Active Directory, le RAID est utilisé pour sécuriser les données du contrôleur de domaine.
La configuration RAID est utilisée par la plupart des organisations pour s'assurer que la défaillance d'un disque n'entraîne pas la perte ou la corruption des données, c'est-à-dire que l'organisation peut facilement récupérer la même pièce à partir de n'importe quel autre disque actif en bon état. Il s'agit d'une fonctionnalité importante pour protéger la base de données AD contre la perte d'informations ou de journaux, car sa disponibilité et son intégrité sont essentielles.