Active Directory (AD) est une cible de grande valeur pour les pirates, qui tentent fréquemment de le compromettre afin d'étendre leurs privilèges et d'élargir leur accès. Malheureusement, sa nécessité opérationnelle implique qu'AD doit être facilement accessible aux utilisateurs de toute l'entreprise, ce qui le rend particulièrement difficile à sécuriser. Microsoft a déclaré que plus de 95 millions de comptes AD sont attaqués chaque jour, soulignant la gravité du problème.
Bien que la protection d'AD soit un défi, elle est loin d'être impossible : elle nécessite simplement les bons outils et les bonnes tactiques. Vous trouverez ci-dessous dix conseils que les entreprises peuvent suivre pour sécuriser plus efficacement AD contre certaines des tactiques d'attaque les plus courantes aujourd'hui.
1. Prévenir et détecter l'énumération des sessions privilégiées, administratives déléguées, de service et réseau
Une fois qu'un adversaire a pénétré les défenses périmétriques et établi une présence au sein du réseau, il mène une reconnaissance afin d'identifier les actifs potentiellement précieux et la manière dont il peut y accéder. L'un des meilleurs moyens d'y parvenir consiste à cibler l'AD, car il peut alors faire passer ses actions pour des activités commerciales normales, avec peu de risques d'être détecté.
La capacité à détecter et à prévenir l'énumération des privilèges, des administrateurs délégués et des comptes de service peut alerter les défenseurs de la présence d'un adversaire dès le début du cycle d'attaque. Le déploiement de comptes de domaine et d'identifiants trompeurs sur les terminaux peut également piéger les attaquants et permettre aux défenseurs de les rediriger vers des leurres pour les engager.
2. Identifier et corriger les expositions des comptes privilégiés
Les utilisateurs stockent souvent leurs identifiants sur leur poste de travail. Parfois, ils le font accidentellement, d'autres fois volontairement, généralement pour des raisons de commodité. Les attaquants le savent et ciblent ces identifiants stockés pour accéder à l'environnement réseau. Les bonnes informations d'identification peuvent être très utiles, et les intrus chercheront toujours à étendre leurs privilèges et à accéder à d'autres ressources.
Les entreprises peuvent éviter de faciliter l'accès des pirates au réseau en identifiant les expositions des comptes privilégiés, en corrigeant les erreurs de configuration et en supprimant les informations d'identification enregistrées, les dossiers partagés et autres vulnérabilités.
3. Protéger et détecter les attaques " Golden Ticket " et " Silver Ticket "
Les attaques " Pass-the-Ticket " Les attaques PTT (Pass-the-Ticket) comptent parmi les techniques les plus puissantes utilisées par les adversaires pour se déplacer latéralement dans le réseau et augmenter leurs privilèges. La stratégie de conception sans état de Kerberos facilite les abus, ce qui signifie que les attaquants peuvent facilement falsifier des tickets au sein du système. Les attaques " Golden Ticket " et " Silver Ticket " sont deux des types d'attaques PTT les plus graves utilisées par les adversaires pour compromettre et persister dans un domaine.
Pour y remédier, il faut être capable de détecter les tickets d'accès Kerberos (TGT) et les comptes de service informatique vulnérables, d'identifier les erreurs de configuration susceptibles de conduire à des attaques PTT et de les signaler. De plus, une solution telle que Singularity Identity peut empêcher l'utilisation de tickets falsifiés au niveau des terminaux.
4. Protection contre les attaques Kerberoasting, DCSync et DCShadow
Une attaque " Kerberoasting " est un moyen facile pour les adversaires d'obtenir un accès privilégié, tandis que les attaques DCSync et DCShadow permettent de maintenir la persistance du domaine au sein d'une entreprise.
Les défenseurs doivent être en mesure d'effectuer une évaluation continue de l'AD qui fournit une analyse en temps réel des attaques AD tout en alertant sur les erreurs de configuration qui conduisent à ces attaques. En outre, une solution capable de tirer parti de la présence des terminaux pour empêcher les acteurs malveillants de découvrir les comptes à cibler peut entraver leur capacité à mener ces incursions.
5. Empêcher la collecte d'identifiants à partir des partages de domaine
Les adversaires ciblent généralement les mots de passe en clair ou réversibles stockés dans des scripts ou des fichiers de stratégie de groupe stockés dans des partages de domaine tels que Sysvol ou Netlogon.
Une solution telle que Singularity Identity Posture Management peut aider à détecter ces mots de passe, permettant ainsi aux défenseurs de remédier aux vulnérabilités avant que les attaquants ne puissent les exploiter. Des mécanismes tels que ceux de la solution Singularity Identity peuvent également déployer des objets de stratégie de groupe Sysvol trompeurs dans l'AD de production, contribuant ainsi à perturber davantage les attaquants en les détournant des actifs de production.
Singularity™ Identity
Detect and respond to attacks in real-time with holistic solutions for Active Directory and Entra ID.
Get a Demo6. Identifier les comptes avec un SID privilégié caché
En utilisant la technique d'injection d'identifiant de sécurité Windows (SID), les adversaires peuvent tirer parti de l'attribut " historique " du SID, ce qui leur permet de se déplacer latéralement dans l'environnement AD et d'étendre davantage leurs privilèges.
Pour éviter cela, il faut détecter les comptes configurés avec des valeurs SID privilégiées connues dans l'attribut et les rapports d'historique SID.
7. Détecter les délégations de droits d'accès dangereuses sur des objets critiques
La délégation est une fonctionnalité AD qui permet à un compte utilisateur ou ordinateur d'usurper l'identité d'un autre compte. Par exemple, lorsqu'un utilisateur appelle une application web hébergée sur un serveur web, l'application peut imiter les informations d'identification de l'utilisateur pour accéder à des ressources hébergées sur un autre serveur. Tout ordinateur du domaine sur lequel la délégation sans restriction est activée peut usurper les informations d'identification d'un utilisateur pour accéder à n'importe quel autre service du domaine. Malheureusement, les attaquants peuvent exploiter cette fonctionnalité pour accéder à différentes zones du réseau.
La surveillance continue des vulnérabilités AD et des expositions de délégation peut aider les défenseurs à identifier et à corriger ces vulnérabilités avant que les adversaires ne puissent les exploiter.
8. Identifier les comptes privilégiés avec délégation activée
En parlant de délégation, les comptes privilégiés configurés avec une délégation sans restriction peuvent conduire directement à des attaques de type Kerberoasting et Silver Ticket. Les entreprises doivent être en mesure de détecter et de signaler les comptes privilégiés avec délégation activée.
Une liste complète des utilisateurs privilégiés, des administrateurs délégués et des comptes de service peut aider les défenseurs à faire le point sur les vulnérabilités potentielles. Dans ce cas, la délégation n'est pas automatiquement mauvaise. Elle est souvent nécessaire pour des raisons opérationnelles, mais les défenseurs peuvent utiliser un outil tel que Singularity Identity pour empêcher les attaquants de découvrir ces comptes.
9. Identifier les utilisateurs non privilégiés dans AdminSDHolder ACL
Les services de domaine Active Directory (AD DS) utilisent l'objet AdminSDHolder et le processus SDProp (Security Descriptor Propagator) pour sécuriser les utilisateurs et les groupes privilégiés. L'objet AdminSDHolder dispose d'une liste de contrôle d'accès (ACL) unique, qui contrôle les autorisations des entités de sécurité membres des groupes AD privilégiés intégrés. Pour permettre les mouvements latéraux, les attaquants peuvent ajouter des comptes à AdminSDHolder, leur accordant ainsi le même accès privilégié que les autres comptes protégés.
Les organisations peuvent empêcher cette activité à l'aide d'un outil tel que Singularity Identity Posture Management pour détecter et signaler la présence de comptes inhabituels dans la liste ACL AdminSDHolder.
10. Identifier les modifications récentes apportées à la stratégie de domaine par défaut ou à la stratégie des contrôleurs de domaine par défaut
Au sein d'AD, les organisations utilisent des stratégies de groupe pour gérer plusieurs configurations opérationnelles en définissant des paramètres de sécurité spécifiques à l'environnement. Ceux-ci configurent souvent des groupes administratifs et incluent des scripts de démarrage et d'arrêt. Les administrateurs les configurent pour définir les exigences de sécurité définies par l'organisation à chaque niveau, installer des logiciels et définir les autorisations d'accès aux fichiers et au registre. Malheureusement, les attaquants peuvent modifier ces stratégies pour obtenir une persistance du domaine au sein du réseau.
La surveillance des modifications apportées aux stratégies de groupe par défaut peut aider les défenseurs à repérer rapidement ces attaquants, ce qui atténue les risques de sécurité et contribue à empêcher l'accès privilégié à AD.
Réduire les risques liés à l'identité dans l'ensemble de votre organisation
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationMettre en place les bons outils
Comprendre les tactiques les plus couramment utilisées par les adversaires pour cibler AD peut aider les entreprises à se défendre. Lors du développement d'outils tels que Singularity Identity Posture Management et Singularity Identity, nous avons pris en compte de nombreux vecteurs d'attaque et identifié les meilleurs moyens de les détecter et de les contrer.
Grâce à ces outils, les entreprises d'aujourd'hui peuvent identifier efficacement les vulnérabilités, détecter rapidement les activités malveillantes et remédier aux incidents de sécurité avant que les intrus ne puissent étendre leurs privilèges et transformer une attaque à petite échelle en une violation majeure. La protection de l'AD est un défi, mais ce n'est pas un défi insurmontable grâce aux outils de protection AD actuels.
"FAQ sur les meilleures pratiques en matière de sécurité Active Directory
La sécurité Active Directory est l'ensemble des mesures et pratiques que vous pouvez utiliser pour protéger votre environnement Microsoft Active Directory contre les cybermenaces. Elle contrôle qui peut accéder à quelles ressources sur votre réseau en gérant les comptes utilisateurs, les ordinateurs et les autorisations à partir d'un emplacement central. En gros, c'est le gardien qui vérifie que les utilisateurs sont bien ceux qu'ils prétendent être et qui décide de ce qu'ils peuvent faire une fois qu'ils sont entrés.
Cela comprend l'authentification, l'autorisation, les contrôles d'accès et la surveillance afin d'empêcher les utilisateurs non autorisés de perturber vos systèmes et vos données.
La sécurité Active Directory est essentielle, car si des pirates parviennent à s'introduire dans votre AD, ils détiennent alors les clés de tout votre royaume. Votre AD contrôle l'accès à tous les systèmes, applications et données sensibles de votre réseau. Un AD compromis peut entraîner des violations de données massives, la corruption du système et même l'arrêt complet du réseau.
Il y a actuellement 25 milliards d'attaques Azure AD par an, et si vous ne parvenez pas à sécuriser ce hub central, les acteurs malveillants peuvent escalader les privilèges, se déplacer latéralement sur votre réseau et déployer des ransomwares ou voler des identifiants. Les dommages peuvent paralyser vos opérations commerciales et entraîner des pertes financières considérables.
Vous devez limiter au minimum le nombre d'utilisateurs privilégiés et utiliser des groupes pour attribuer des accès plutôt que des autorisations individuelles. Appliquez des politiques de mots de passe forts conformes aux exigences modernes et imposez l'authentification multifactorielle sur tous les comptes administrateurs. Désactivez les services inutiles tels que Print Spooler, désactivez SMBv1 et limitez NTLM dans la mesure du possible. Effectuez régulièrement des évaluations de sécurité afin d'identifier les comptes inactifs et supprimez-les avant qu'ils ne deviennent des vecteurs d'attaque.
Surveillez en permanence votre AD afin de détecter toute activité suspecte, en particulier les modifications apportées aux groupes privilégiés et les tentatives de connexion infructueuses. Assurez la sécurité physique des contrôleurs de domaine et maintenez des plans de sauvegarde et de restauration appropriés.
La MFA rend votre AD beaucoup plus sécurisé en ajoutant des étapes de vérification supplémentaires au-delà des simples mots de passe. Même si des pirates volent vos identifiants par hameçonnage ou par des attaques par force brute, ils ne peuvent pas accéder à votre compte sans le deuxième facteur, comme une application mobile ou un jeton matériel. La MFA bloque plus de 99,9 % des attaques automatisées et réduit le risque de violation de 98,56 %, même en cas de fuite des identifiants.
Vous pouvez utiliser diverses méthodes telles que Microsoft Authenticator, les clés FIDO2, la biométrie et des plateformes telles que SentinelOne pour compliquer la tâche des acteurs malveillants qui cherchent à compromettre des comptes. L'authentification multifactorielle fournit également de meilleures pistes d'audit pour l'analyse médico-légale en cas de problème.
Votre liste de contrôle de sécurité AD doit commencer par un audit de l'état actuel de la sécurité et l'identification des comptes obsolètes qui doivent être supprimés. Elle permettra de revoir et de renforcer les politiques en matière de mots de passe, puis de mettre en œuvre des politiques de verrouillage des comptes afin d'empêcher les tentatives d'attaques par force brute. Un autre élément consiste à déployer l'authentification multifactorielle pour tous les comptes privilégiés et à établir des politiques de contrôle d'accès sécurisées basées sur le principe du moindre privilège. Mettez en place une gestion régulière des correctifs, effectuez des évaluations de vulnérabilité et réalisez des audits AD pour détecter les problèmes de configuration.
Activez la journalisation et la surveillance appropriées des événements critiques, en particulier ceux liés aux modifications du groupe d'administrateurs de domaine et aux authentifications échouées. Documentez vos politiques de sécurité, formez votre personnel aux meilleures pratiques et testez régulièrement vos processus de récupération AD.
Vous devez surveiller certains identifiants d'événements spécifiques dans vos journaux de sécurité, en particulier les échecs de connexion (4625), les verrouillages de compte (4740) et les tentatives d'élévation de privilèges (4672). Surveillez les modifications non autorisées apportées aux groupes privilégiés tels que les administrateurs de domaine et les administrateurs d'entreprise, car celles-ci sont souvent le signe de failles de sécurité. Configurez des alertes en temps réel pour les schémas de connexion inhabituels, tels que les multiples tentatives infructueuses à partir d'une seule adresse IP ou les connexions en dehors des heures de travail normales.
Surveillez les modifications apportées à la stratégie de groupe, les réinitialisations de mot de passe sur les comptes administrateurs et toute modification des paramètres du contrôleur de domaine. SentinelOne peut vous aider à suivre ces activités et vous assister dans la détection et l'alerte automatisées
