Meilleures pratiques en matière de renforcement d’Active Directory

Selon le dernier rapport de défense numérique de Microsoft, près de la moitié de tous les engagements de réponse aux incidents de Microsoft ont rencontré des configurations Active Directory non sécurisées. Cela corrobore un rapport similaire de Mandiant selon lequel 9 cyberattaques sur 10 exploitent un serveur Active Directory. Ces statistiques qui donnent à réfléchir nous rappellent que les entreprises qui espèrent créer un environnement informatique plus résilient doivent tout simplement donner la priorité au renforcement d’Active Directory.

Chez Semperis, nous sommes fiers de nos connaissances en matière de sécurité AD, y compris les meilleures pratiques pour renforcer vos serveurs Active Directory. Poursuivez votre lecture pour en savoir plus sur le renforcement AD ou demandez une démonstration dès aujourd’hui pour découvrir comment notre prise en charge Active Directory améliore la cybersécurité globale de votre organisation.

Peu de situations sont aussi perturbantes qu'une attaque contre Active Directory. Chaque utilisateur et chaque appareil dépendent du service d'identité. Les attaquants qui compromettent Active Directory peuvent potentiellement :

• Élever leurs permissions
• Créer et supprimer des comptes
• Accéder aux données critiques
• Persister sans être détecté dans l'environnement de la victime

L'un des objectifs de la cybersécurité est de maintenir la continuité des opérations commerciales. Construire une défense solide qui permet la cyber-résilience signifie sécuriser Active Directory contre les menaces, les faiblesses et les voies d'attaque courantes utilisées par les acteurs de la menace, ainsi que planifier une récupération rapide et sécurisée d'Active Directory.

Lecture connexe : Qu'est-ce que la sécurité Active Directory ?

Pensez comme un cyber-attaquant

Les attaques contre Active Directory commencent généralement par une reconnaissance, suivie d'un plan d'escalade des privilèges et d'une progression latérale. En tirant parti de l'ouverture d'Active Directory, les cybercriminels utilisent la reconnaissance pour tout découvrir, des comptes de service à la composition des différents groupes.

Par défaut, tout utilisateur authentifié peut facilement utiliser le protocole LDAP (Lightweight Directory Access Protocol) pour rechercher dans Active Directory des ressources telles que des applications, d'autres utilisateurs et des groupes. Grâce à des outils tels que PowerView et BloodHound, les requêtes LDAP permettent aux attaquants d'obtenir une vue d'ensemble de votre environnement.

Par conséquent, une partie du renforcement d'Active Directory contre les attaques implique la capacité de détecter les requêtes suspectes. Cette tâche peut s'avérer difficile, car les requêtes LDAP sont courantes et généralement légitimes. Néanmoins, les entreprises doivent chercher à identifier les requêtes LDAP provenant de sources inhabituelles dans l'environnement et corréler ces informations avec toute autre activité susceptible d'indiquer une attaque.

Les acteurs de la menace privilégient également certaines techniques. Examinons quelques-unes de leurs astuces préférées et la manière dont vous pouvez atténuer ces menaces pour un renforcement plus efficace de l'Active Directory.

Attaques de Kerberoasting

De nombreuses applications qui s'intègrent à Active Directory - SQL Server, par exemple - nécessitent l'utilisation de comptes de service. Ces comptes ressemblent à des comptes d'utilisateurs ordinaires, mais ils sont dédiés à une application et ne nécessitent pas de connexions interactives.

Les comptes de service peuvent être hautement privilégiés, bien qu'ils n'aient souvent pas besoin de l'être. Les comptes ont également souvent des mots de passe - parfois très, très anciens - qui ne sont pas complexes ou difficiles à craquer.

Comment fonctionne le Kerberoasting ?

Les services s'annoncent aux utilisateurs dans Active Directory par le biais de noms de principaux services (SPN). Les acteurs de la menace trouvent les comptes de service en interrogeant les SPN, puis utilisent le Kerberoasting pour craquer le mot de passe du compte de service ciblé. Comme beaucoup d'attaques furtives, Kerberoasting fonctionne en abusant d'une fonctionnalité légitime.

• Après avoir utilisé un compte d'utilisateur de domaine pour s'authentifier auprès d'Active Directory, l'auteur de la menace reçoit un ticket Kerberos (TGT) du centre de distribution de clés (KDC).
• L'attaquant demande un ticket de service pour le service ciblé.
• Le contrôleur de domaine génère un ticket TGS (Ticket Granting Service) pour ce service, chiffre le ticket avec le mot de passe du service, puis envoie le ticket à l'"utilisateur" - dans ce cas, l'acteur de la menace.
• L'attaquant déchiffre le hachage du mot de passe qui a chiffré le ticket TGS.
• À l'aide de ce hachage, l'attaquant peut se connecter au service ciblé et tirer parti de tous les privilèges qu'il possède.

Comment renforcer Active Directory contre le Kerberoasting ?

Les entreprises peuvent limiter les risques liés au Kerberoasting en imposant des mots de passe longs et complexes pour les comptes de service et en utilisant le chiffrement AES pour les tickets de service Kerberos.

En savoir plus sur le renforcement d'Active Directory contre le Kerberoasting.

Attaques au ticket d'or

L'un des comptes les plus critiques à protéger dans Active Directory est le compte KRBTGT, qui existe en tant que compte de service pour le service KDC. Si un pirate prend le contrôle du compte KRBTGT, il peut créer de faux TGT et utiliser ces tickets pour causer des dommages considérables à l'organisation. Cette approche est connue sous le nom d'attaque par ticket d'or.

Comment fonctionne une attaque au moyen d'un billet d'or ?

Les attaques de type "Golden Ticket" sont très difficiles à détecter.

• L'attaque commence lorsqu'un pirate prend le contrôle d'un compte disposant de privilèges élevés et pouvant accéder à un contrôleur de domaine ; chaque contrôleur de domaine exécute une instance du KDC.
• L'auteur de la menace utilise un outil tel que Mimikatz pour voler le hachage NTLM du compte KRBTGT.
• Une fois que l'attaquant dispose du hachage du mot de passe KRBTGT, il lui suffit d'indiquer le nom de domaine complet (FQDN) du domaine, l'identifiant de sécurité du domaine et le nom d'utilisateur du compte qu'il souhaite cibler pour créer un TGT.
• L'attaquant utilise le TGT pour se faire passer pour un utilisateur légitime et obtenir potentiellement un accès illimité.

Comment renforcer Active Directory contre une attaque de type "Golden Ticket" ?

Pour lutter contre une attaque par Ticket d'Or, les organisations doivent modifier le mot de passe KRBTGT deux fois de suite. Mettre à jour le mot de passe chaque fois qu'un employé ayant le pouvoir de créer un ticket d'or quitte l'organisation. (Un expert de Semperis, Jorge de Almeida Pinto, a développé un script PowerShell pour rationaliser ce processus).

En outre, il convient d'être attentif aux signaux d'alerte tels que les tickets falsifiés, qui contiennent parfois des erreurs telles que la non-concordance des ID relatifs (RID) ou des modifications de la durée de vie du ticket. Enfin, il convient de respecter les meilleures pratiques en matière de sécurité Active Directory, notamment en limitant le nombre d'utilisateurs ayant accès aux contrôleurs de domaine.

En savoir plus sur le renforcement d'Active Directory contre les attaques de type Golden Ticket.

Attaques "Pass the Hash" et "Pass the Ticket

Les attaques "Pass the Hash" et "Pass the Ticket" sont des méthodes populaires pour réaliser des mouvements latéraux.

Comment fonctionnent les attaques "Pass the Hash" et "Pass the Ticket" ?

Dans une attaque de type "Pass the Hash", un acteur de la menace commence par voler le hachage du mot de passe NTLM d'un utilisateur. L'attaquant utilise ensuite ce hachage pour contourner les contrôles d'authentification, sans avoir besoin de déchiffrer le mot de passe réel.

L'attaque "Pass the Ticket" est similaire à l'attaque "Pass the Hash", mais elle utilise Kerberos plutôt que NTLM. Dans cette attaque, l'auteur de la menace utilise un ticket Kerberos volé pour s'authentifier en tant qu'utilisateur, là encore sans avoir besoin de connaître le mot de passe réel de la victime.

Comment renforcer Active Directory contre les attaques Pass the Hash et Pass the Ticket ?

Pour atténuer l'attaque Pass the Hash, vous pouvez désactiver l'utilisation du protocole d'authentification NTLM, que cette attaque exploite. En outre, il est possible de désactiver l'utilisation du protocole d'authentification NTLM :

• Surveillez les comportements inhabituels des utilisateurs, tels qu'un nombre élevé de tentatives d'accès aux ressources du réseau. Un tel comportement peut être le signe de l'une ou l'autre attaque.
• Minimiser la valeur des comptes compromis en appliquant le principe du moindre privilège. Veillez à ce que seules les personnes qui ont besoin de droits d'accès privilégiés les détiennent.

En savoir plus sur le renforcement d'Active Directory contre les attaques Pass the Hash et Pass the Ticket.

Se concentrer sur la sécurité des comptes pour renforcer Active Directory

La protection des mots de passe est primordiale pour le renforcement d'Active Directory. Mettez à jour les politiques traditionnelles de protection des mots de passe pour refléter les recommandations actuelles de Microsoft et du NIST.

• Examinez, supprimez ou surveillez étroitement tous les comptes autorisés à s'authentifier sans mot de passe.
• Mettez à jour les comptes de service avec des mots de passe complexes d'au moins 25 caractères.

Tout comme les attaquants profitent des fonctionnalités légitimes pour effectuer une surveillance, ils profitent également des comptes privilégiés. Les comptes disposant d'autorisations excessives peuvent exister pour de nombreuses raisons.

Souvent, le problème est dû à des pressions professionnelles. Un utilisateur peut avoir besoin d'effectuer certaines tâches de toute urgence. Déterminer comment fournir l'accès tout en respectant le principe du moindre privilège est jugé trop long. Les groupes imbriqués peuvent également donner lieu à des scénarios d'héritage compliqués.

Avec le temps, ces situations peuvent devenir incontrôlables. Il en résulte un environnement Active Directory rempli de comptes à privilèges excessifs.

La surface d'attaque d'Active Directory augmente avec le nombre de comptes d'utilisateurs et de services disposant de privilèges excessifs. Pour la réduire, les entreprises doivent s'assurer que les autorisations sont correctement déléguées.

D'un point de vue stratégique, cela implique que l'équipe Active Directory comprenne réellement les besoins professionnels des utilisateurs et des groupes dans l'environnement.

• Lorsque vous créez votre environnement, placez les ressources similaires dans la même unité d'organisation (OU) et les mêmes sous-OU.
• Déléguer des autorisations à des groupes plutôt qu'à des utilisateurs spécifiques.
• Déterminez la portée de chaque groupe que vous souhaitez créer et attribuez des privilèges en fonction des rôles.
• Examiner fréquemment les autorisations des utilisateurs et des groupes.
• Surveiller en permanence les modifications non autorisées susceptibles d'entraîner une élévation des privilèges ou un vol d'informations d'identification, et les annuler.

Ces étapes rendent le processus d'audit des autorisations plus efficace et moins fastidieux.

Le renforcement d'Active Directory comprend la sécurité des contrôleurs de domaine

Les contrôleurs de domaine sont sans doute la partie la plus critique de votre infrastructure Active Directory. Un contrôleur de domaine compromis peut faire tomber la maison, permettant aux acteurs de la menace de.. :

• Modifier tous les comptes de votre environnement
• Créer de nouveaux comptes
• Diffusion de logiciels malveillants
• Prendre d'autres mesures pour perturber votre environnement

En raison de leur sensibilité, les contrôleurs de domaine doivent être une priorité pour l'application des correctifs. Mais cette étape n'est qu'un début.

• Contrôler étroitement l'accès aux contrôleurs de domaine. Seuls les administrateurs qui ont absolument besoin d'un tel accès doivent en disposer. Examinez les objets de stratégie de groupe (GPO) liés à l'OU du contrôleur de domaine dans Active Directory et vérifiez que seul le groupe Domain Admins dispose des autorisations Allow Log on Through Remote Desktop Services et Allow Log on Locally.
• Désactiver la navigation web sur les contrôleurs de domaine. Toute ouverture d'un contrôleur de domaine présente un risque important. L'impact d'une compromission potentielle due à un téléchargement par drive-by ou à une autre attaque est tout simplement trop important pour justifier le risque. Vos pare-feu doivent également jouer un rôle, en bloquant les connexions sortantes des contrôleurs de domaine vers l'internet, à moins que cela ne soit nécessaire.
• Respectez les meilleures pratiques en matière de sécurité physique. Microsoft recommande d'installer les contrôleurs de domaine physiques dans des baies ou des cages sécurisées dédiées, séparées de l'ensemble des serveurs. Microsoft recommande également de configurer les contrôleurs de domaine avec des puces TPM (Trusted Platform Module).
• Utiliser le cryptage. Protégez tous les volumes des serveurs de contrôleurs de domaine en utilisant BitLocker Drive Encryption.
• Renforcer les contrôleurs de domaine virtuels. Exécutez les contrôleurs de domaine virtuels sur des hôtes physiques distincts des autres machines virtuelles. Les administrateurs de ces hôtes peuvent contrôler les contrôleurs de domaine virtuels, donc gardez ces comptes d'administrateur séparés des autres administrateurs de virtualisation.

Le renforcement d'Active Directory est indispensable

Le renforcement d'Active Directory nécessite une combinaison de vigilance et de proactivité. Chez Semperis, nous proposons des outils pour aider les organisations à identifier et à combler les lacunes de sécurité dans leurs environnements Active Directory.

• Évaluez la surface d'attaque de votre identité hybride et fermez les voies d'accès à vos ressources d'identité de niveau 0 à l'aide d'outils gratuits tels que Purple Knight et Forest Druid.
• Analysez votre architecture de sécurité et développez des plans de remédiation et de récupération - ou si le pire se produit, obtenez l'aide d'un expert pour une attaque active - avec les services de préparation et de réponse aux brèches.
• Mettre en œuvre le retour automatique des modifications suspectes apportées à Active Directory avec Directory Services Protector ( DSP).
• Accélérer et simplifier le processus de récupération d'Active Directory avec Active Directory Forest Recovery ( ADFR).
• La modernisation et la migration d'Active Directory sont sécurisées grâce à l'aide d'experts de Semperis.

Ces solutions peuvent vous aider à identifier les cyberattaques, à vous en remettre et à y répondre en garantissant l'intégrité et la disponibilité d'Active Directory sur site ainsi que d'Entra ID et d'Okta. Pour commencer, il n'est pas nécessaire de dépenser beaucoup d'argent ou de temps ; des outils gratuits sont disponibles pour identifier les lacunes critiques en matière de sécurité. Quelle que soit l'approche choisie, commencez par faire du renforcement d'Active Directory une partie documentée de votre plan de cybersécurité.