Le b.a.-ba de la sécurité AD : Sécurité des contrôleurs de domaine

Pour les organisations qui utilisent Active Directory (AD), la sécurisation des contrôleurs de domaine (DC) est un élément essentiel de la sécurité AD. Les DC sont des composants critiques de l'infrastructure informatique. Ces serveurs contiennent des données sensibles et liées à la sécurité, notamment des informations sur les comptes d'utilisateurs, des informations d'authentification et des objets de stratégie de groupe (GPO). Il va donc de soi que la sécurité des DC est un élément important de la sécurité AD et de l'ensemble de la stratégie de cybersécurité de votre organisation.

Qu'est-ce qui fait d'un serveur un contrôleur de domaine ?

Pour faire d'un serveur Windows un DC, vous installez le rôle Active Directory Domain Services (AD DS) sur le serveur. Vous pouvez ensuite promouvoir le serveur à partir du Gestionnaire de serveur.

Lorsque vous promouvez le serveur, un grand nombre de ses paramètres d'origine sont modifiés. Par exemple, seuls les membres du groupe Administrateurs dans AD sont autorisés à se connecter au DC localement ou via le protocole Remote Desktop Protocol (RDP).

Contrairement à un serveur Windows non DC, un DC n'utilise pas d'utilisateurs et de groupes locaux. Il n'utilise que des utilisateurs et des groupes basés sur AD. Toutefois, par défaut, les membres du groupe Admins de domaine dans AD sont également membres du groupe Administrateurs. Par conséquent, tout compte membre du groupe Admin de domaine a le droit de se connecter localement et via RDP à n'importe quel DC de l'organisation. 

Pour des raisons de sécurité, Microsoft recommande de ne pas installer le rôle AD DS et le rôle RDS (Remote Desktop Service), ou serveur de terminal, sur le même serveur.

Qui peut accéder aux contrôleurs de domaine ?

Vous pouvez accorder des droits d'ouverture de session DC à des utilisateurs ou à des groupes en modifiant l'objet de stratégie de groupe (GPO) Contrôleurs de domaine par défaut dans AD ou en créant et en appliquant un GPO à l'unité d'organisation (OU) Contrôleurs de domaine. Cependant, vous devez limiter ces droits aux seuls utilisateurs ou groupes qui en ont besoin.

Évitez d'accorder des droits de connexion à des comptes d'utilisateurs standard. Bien qu'il puisse exister des situations dans lesquelles des utilisateurs non administrateurs doivent se connecter à un DC, de telles autorisations peuvent augmenter le risque d'accès non autorisé et de failles de sécurité potentielles.

Tous les DC sont membres de l'OU contrôleurs de domaine par défaut. Par conséquent, les modifications apportées aux GPO liées à cette OU affectent tous les DC de l'OU. Accorder à un compte d'utilisateur standard des droits sur l'OU peut essentiellement permettre à cet utilisateur d'accéder à tous les DC de l'organisation, ce qui n'est pas une bonne idée du point de vue de la sécurité.

Les grandes entreprises créent souvent des rôles dédiés pour les utilisateurs qui doivent assurer la maintenance ou la mise à niveau des applications fonctionnant sur les DC. Dans les petites entreprises ou les succursales où les rôles dédiés ne sont pas disponibles, la tentation d'autoriser des utilisateurs non administrateurs à accéder aux DC peut être plus grande. Mais il faut résister !

Le danger d'une mauvaise configuration du DC

Lorsque le nombre de DC augmente et que les membres de l'équipe informatique et de sécurité changent au fil du temps, le risque de mauvaises configurations et de vulnérabilités en matière de sécurité augmente également. Dans certains cas, ce glissement de configuration peut passer inaperçu ou ne pas être pris en compte, ce qui rend les centres de données vulnérables aux failles de sécurité.

Il est donc important de mettre en place des contrôles de sécurité appropriés. Limitez l'accès au DC aux utilisateurs qui en ont besoin pour accomplir leurs tâches. Cela permet de réduire le risque d'accès non autorisé et de failles de sécurité potentielles, et de renforcer la sécurité et l'intégrité des systèmes informatiques et des données de votre organisation.

Menaces pour la sécurité des contrôleurs de domaine

Vous savez ce qu'on dit pour décrire ce qui se passe lorsqu'un attaquant accède à n'importe quel DC de votre organisation : fin de la partie.

En compromettant un DC, les attaquants peuvent accéder aux informations sensibles qui s'y trouvent. Ils peuvent également accéder à d'autres systèmes et données au sein de votre organisation. Les acteurs de la menace ayant accès à un DC peuvent potentiellement :

• Voler des informations sensibles telles que les identifiants des utilisateurs, ce qui leur permet d'accéder à d'autres systèmes et données au sein de l'organisation et d'effectuer des mouvements latéraux.
• Créer de nouveaux comptes d'utilisateurs avec des privilèges administratifs, ce qui leur donne un plus grand contrôle sur les systèmes informatiques et les données de l'organisation.
• Élever les privilèges, ce qui leur permet de contourner les contrôles de sécurité et d'accéder à des données sensibles.
• Diffuser des logiciels malveillants ou des virus à d'autres systèmes au sein de l'organisation.
• Perturber les opérations en supprimant ou en modifiant des données critiques, en arrêtant les systèmes ou en créant des attaques par déni de service (DoS).

Comment améliorer la sécurité des contrôleurs de domaine

Pour remédier à ce problème et réduire le risque potentiel pour la sécurité du DC, effectuez les actions suivantes :

1. Vérifiez que les objets du Tier 0, tels que le groupe admins de domaine dans AD, ne contiennent que des objets utilisateurs pertinents et nécessaires.
2. Déterminer quels GPO sont liés à l'OU contrôleurs de domaine dans AD.
3. Pour chaque GPO lié :
   • Ouvrez Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits d'utilisateur.
   • Allez dans la section GPO.
   • Confirmez que seul le groupe Administrateurs (Admins de domaine) dispose du droit Autoriser la connexion via les services de bureau à distance.
   • Confirmez que seul le groupe Administrateurs (Admins de domaine) dispose du droit Autoriser la connexion localement.

Évaluer en permanence la sécurité des contrôleurs de domaine

En plus des étapes précédentes, assurez-vous de surveiller de près vos journaux d'événements pour détecter les échecs et les réussites des connexions à tous vos DC. Mais ne vous arrêtez pas là.

Vous pouvez utiliser des outils communautaires gratuits tels que Purple Knight et Forest Druid pour évaluer en permanence votre niveau de sécurité AD. Pour en savoir plus sur la sécurité AD et les meilleures pratiques telles que le moindre privilège et la stratégie Zero Trust, consultez les autres articles de notre série Le b.a.-ba de la sécurité AD.

En savoir plus sur la sécurité des contrôleurs de domaine et la sécurité AD

• Le b.a.-ba de la sécurité AD : Surveillance des modifications malveillantes dans AD
• Pourquoi les instantanés DC ne remplacent pas les sauvegardes Active Directory ?
• Comment les attaquants peuvent utiliser l'appartenance à un groupe principal d'Active Directory pour contourner les mesures de défense