[Mise à jour le 21 février 2024 ; initialement publiée le 14 décembre 2017] Active Directory est le système d'identité le plus critique pour la plupart des entreprises. Le problème est qu'au cours des deux décennies qui se sont écoulées depuis la création d'Active Directory, le paysage de la sécurité des entreprises a radicalement changé. De ce fait, de nombreuses organisations sont devenues vulnérables aux attaques contre Active Directory.
Pourtant, peu d'entreprises ont adapté leur environnement Active Directory pour mieux se protéger contre les cyberattaques potentielles. Les délégations sont gérées au hasard. Les autorisations par défaut sur les objets sont généralement optimisées pour la découverte, et non pour la sécurité. Et dans les environnements suffisamment vastes, il peut s'avérer difficile de déterminer exactement comment empêcher un acteur malveillant d'attaquer Active Directory.
En outre, les cybermenaces sont devenues plus sophistiquées. Leur objectif n'est plus de compromettre un seul système. Désormais, les attaquants cherchent à trouver les chemins les plus rapides vers vos ressources de niveau 0, y compris le système d'identité. Que pouvez-vous faire pour protéger un actif aussi essentiel ?
Points faibles communs
La gestion des accès privilégiés dans Active Directory est un problème évident depuis un certain temps. Il y a 23 ans, construire Active Directory avec un accès en lecture pour tous les utilisateurs authentifiés était peut-être une bonne idée, mais aujourd'hui, c'est la porte ouverte à une cyberattaque.
De nombreuses entreprises ont amélioré la mise en œuvre de politiques rigides pour les administrateurs de domaine. Mais le niveau suivant d'utilisateurs est encore plus intéressant pour un attaquant.
Ce groupe d'utilisateurs a également accès à des informations sensibles. La plupart des membres des groupes privilégiés sont lisibles par les utilisateurs authentifiés, ce qui permet à un acteur de la menace de découvrir facilement leurs membres et de les cibler. Si un attaquant peut accéder à un compte privilégié et explorer Active Directory, il peut obtenir des informations utiles sur le contenu d'AD du point de vue de l'accès privilégié.
C'est pourquoi la gestion des accès privilégiés est un élément essentiel de la protection contre les attaques de l'Active Directory.
Une autre vulnérabilité réside dans le fait que des utilisateurs non administratifs peuvent se voir accorder des droits leur permettant d'effectuer des actions privilégiées. Réfléchissez : qui a le droit de réinitialiser les mots de passe de vos comptes d'administrateur ? S'agit-il de l'administrateur du domaine ou d'un autre groupe d'utilisateurs ?
Les attaquants peuvent consulter les listes de contrôle d'accès (ACL), voir qui a accès à quels objets et utiliser ces informations pour compromettre Active Directory. Si un membre du service d'assistance peut réinitialiser les mots de passe de vos utilisateurs les plus privilégiés et qu'un pirate accède au compte de ce membre du service d'assistance, vous vous exposez à une escalade des privilèges du domaine par le pirate.
Méthodes courantes d'attaque d'Active Directory
La plupart des attaquants accèdent à Active Directory par le biais d'informations d'identification volées. Il existe une multitude de méthodes pour compromettre un mot de passe Active Directory.
Le vol de données d'identification est un moyen courant de faciliter le mouvement latéral. L'attaque "Pass the Hash", par exemple, est un exemple de vol de données d'identification spécifique à Windows dans lequel un attaquant obtient l'accès à un serveur ou à un service en utilisant le hachage du mot de passe d'un utilisateur plutôt que le mot de passe en clair. Cette méthode consiste à voler le hachage du gestionnaire de réseau local (LM) ou les clés Kerberos d'un utilisateur dans la mémoire LSASS d'un système Windows.
Les attaquants peuvent également utiliser d'autres outils pour pénétrer et compromettre Active Directory :
- Mimikatz, décrit comme "un petit outil pour jouer avec la sécurité de Windows", est probablement l'outil d'exploitation d'Active Directory le plus polyvalent et le plus largement utilisé. Il propose diverses méthodes pour s'emparer des hachages LM, des tickets Kerberos, etc.
- PowerSploit/PowerView est une boîte à outils basée sur PowerShell pour la reconnaissance, l'exfiltration, la persistance, etc.
- Bloodhound est un outil graphique qui permet de trouver les relations dans les environnements Active Directory qui aident à accélérer le chemin vers l'accès privilégié.
- ADFind est un simple outil de ligne de commande pour la recherche dans Active Directory et est devenu très populaire en tant qu'outil de reconnaissance d'AD.
Mesures de protection d'Active Directory
La bonne nouvelle, c'est que, malgré son potentiel d'exploitation, vous pouvez faire beaucoup pour compliquer la tâche des attaquants qui veulent se déplacer dans Active Directory.
- Réduire l'exposition aux informations par le biais d'utilisateurs et de groupes AD privilégiés, de GPO, etc. Utilisez la délégation restreinte basée sur les ressources et les technologies intégrées telles que Credential Guard et Remote Credential Guard dans Win11 Pro & Enterprise.
- Surveillez, surveillez, surveillez votre environnement informatique à l'aide d'un outil d'audit Active Directory. (Cet excellent livre blanc documente les identifiants d'événements latéraux liés aux mouvements qui peuvent être utiles à surveiller).
- Renforcer les groupes privilégiés. Par exemple, l'attribut membre ne doit pas être lisible par le monde entier ; seuls les consommateurs de ce groupe doivent y avoir accès. La délégation du contrôle total ou de l'écriture de l'attribut membre du groupe doit être limitée à d'autres utilisateurs privilégiés du même niveau de privilège ou d'un niveau supérieur.
- Renforcer les utilisateurs privilégiés. Les autorisations de réinitialisation du mot de passe, de prise de possession ou de contrôle total doivent être étroitement contrôlées par les autres utilisateurs du même niveau de privilège.
- Renforcer les GPO qui accordent un accès privilégié . Ces GPO ne doivent pas être lisibles par le monde entier. Les GPOs qui contiennent des paramètres de sécurité doivent être limitées en lecture.
- Envisagez de restreindre les informations d'identification à l'aide du modèle d'administration à plusieurs niveaux présenté dans le livre blanc Pass-the-Hash de Microsoft ou dans le document plus récent intitulé Stratégie d'accès privilégié.
Outils pour lutter contre les menaces qui pèsent sur Active Directory
En prenant ces mesures préventives, il est plus difficile pour les attaquants de compromettre Active Directory. Mais une fois qu'un attaquant se cache dans votre environnement, il n'y a aucun moyen de l'empêcher d'attaquer Active Directory et d'anéantir votre environnement.
C'est pourquoi la mise en œuvre d'une solution de reprise après sinistre pour Active Directory est la mesure la plus importante que vous puissiez prendre pour protéger votre infrastructure d'identité.
- Semperis Purple Knight et Forest Druid sont des outils communautaires gratuits qui permettent d'évaluer la posture de sécurité et d'analyser le chemin d'attaque pour Active Directory, Entra ID et Okta.
- Semperis Directory Services Protector vous donne une visibilité sur votre posture de sécurité Active Directory afin de vous aider à renforcer Active Directory avant qu'un attaquant ne puisse y pénétrer. Cet outil surveille également tous les changements qui se produisent dans votre AD afin que vous puissiez repérer plus rapidement toute activité suspecte.
- La solution entièrement automatisée de Semperis Active Directory Forest Recovery La solution entièrement automatisée de Semperis rend la récupération après une attaque AD aussi simple que trois clics de souris, réduisant ainsi le temps de restauration de plusieurs semaines à quelques heures.
Avec toutes les nouvelles techniques qui existent pour attaquer Active Directory, la sécurité AD est primordiale. La modernisation de votre infrastructure d'identité peut également vous aider. Néanmoins, il convient d'adopter un état d'esprit fondé sur l'hypothèse d'une violation, de préparer un plan de reprise après sinistre pour l'Active Directory et de garder une ressource fiable de réponse aux incidents en numérotation rapide.