Pourquoi auditer la configuration de son annuaire Active Directory.

– Cybersécurité –

Microsoft Active Directory est une brique centrale du système d’information de la plupart des entreprises. Il fournit notamment :

  • Un service d’annuaire basé sur le protocole LDAP, où sont stockées des informations relatives aux identités et ressources du SI (machines, applications) ;
  • Un mécanisme d’authentification centralisé basé sur le protocole Kerberos ;
  • Un mécanisme d’autorisation basé sur un contrôle d’accès discrétionnaire étendu ;
  • Un mécanisme de déploiement de politiques logicielles basé entre autre sur le protocole SMB ;
  • Une interconnexion avec les services de gestion des identités dans le cloud (Azure).

Un contrôleur de domaine AD constitue une cible privilégiée pour un attaquant puisque sa compromission fournira à celui-ci un accès aux ressources de l’entreprise. Que ce soit dans un contexte d’audit ou suite à une compromission avérée, l’analyse de la sécurité de l’AD est essentielle et doit être appliquée de façon récurrente. Elle permet de réduire la surface d’attaque et de prévenir les risques d’abus, notamment l’escalade de privilège et la persistance d’un attaquant au sein du système d’information. La mise en œuvre de ce type d’analyse peut s’avérer complexe.

L’ANSSI propose depuis peu un service Active Directory Security (ADS) qui propose un accompagnement dans le durcissement de la configuration Active Directory. Toutefois, ce service n’est proposé qu’aux “opérateurs règlementés” et à “la sphère publique”. L’idée est de demander au bénéficiaire de lancer un outil de collecte, ORADAD (publié sur la plateforme GitHub).

À partir des résultats fournis par ce logiciel, un autre outil (non fourni) permet d’évaluer le niveau de sécurité de l’AD analysé.

Ces derniers résultats seront indiqués de manière ludique avec les recommandations à suivre pour corriger les éventuelles vulnérabilités trouvées.

De manière générale, on cherchera à vérifier les points de configuration suivants lors d’un audit de configuration :

  • Objets abandonnés : comptes inactifs, protocoles ou OS obsolètes, etc. ;
  • Comptes à privilèges : utilisation des groupes d’administration natifs, permissions abusives, etc. ;
  • Relations d’approbation : absence de filtrage des SIDs, présence de SID History, etc. ;
  • Anomalies de sécurité : politiques de mots de passe insuffisantes, présence de mots de passe dans les GPOs, … ;
  • Sécurité des mots de passe (stockage et robustesse) ;
  • Chemins de contrôles dangereux ;
  • Cloisonnements réseau et système ;
  • Modèle d’administration ;
  • Configuration des zones DNS

Capture de l'outil Bloohound

Cet outil, souvent utilisé à des fins offensives, permet par exemple de vérifier qu’il n’y a pas eu d’oublis flagrants dans la configuration des objets du domaine.

On rappellera que ces outils ne sauraient remplacer l’approche d’audit consistant à effectuer un test d’intrusion interne sur le réseau, mais ils peuvent permettre de configurer l’annuaire en amont afin d’éviter les attaques les plus triviales. En outre, sur le produit Active Directory, expertise qui peut être fournie par Synetis dans le cadre d’un audit de configuration.