Active Directory est l'un des composants les plus importants de votre réseau. Pourtant, la protection d'Active Directory peut être l'une des tâches les plus difficiles de votre liste de tâches.
Le problème, c'est qu'AD change si souvent et à si grande échelle qu'il est en fait immunisé contre la gestion ordinaire du changement. Il s'agit également d'une étude de contraste : Vous avez besoin de flexibilité pour modifier AD rapidement, mais même un petit changement peut avoir des ramifications à l'échelle de l'organisation. Enfin, comme AD continue d'évoluer, les acteurs malveillants découvrent constamment de nouvelles voies d'attaque.
Si les attaquants savent ce qu'ils cherchent, l'AD est un livre ouvert. Une fois que les attaquants connaissent le terrain, il leur suffit d'utiliser ces informations pour se déplacer sur le réseau. Que pouvez-vous faire pour prévenir de telles attaques ?
1. Comprendre le cycle d'attaque de l'Active Directory
En cas d'attaque, Active Directory fait partie de la chaîne d'exécution. Dans certains cas, il est même la première cible des acteurs de la menace en raison de son importance dans la plupart des organisations. La majorité des moyennes et grandes entreprises utilisant actuellement AD, il est peu probable que cela change de sitôt.
Bien que les malfaiteurs puissent lancer de nombreux types d'attaques, ils utilisent généralement AD à des fins de reconnaissance. Une fois que les attaquants se sont introduits dans le système, ils recherchent tout ce qu'ils peuvent utiliser pour atteindre leurs objectifs. Personnes intéressantes, systèmes intéressants, mauvaises configurations - tout est visible, ce qui permet aux attaquants d'accélérer leur temps de transit dans le réseau.
2. Aller au-delà de l'escalade des l'escalade
De nombreuses personnes commettent l'erreur de considérer les comptes d'administrateur de domaine comme l'objectif à atteindre. Les attaquants intelligents savent cependant qu'il existe de nombreux comptes non-administratifs de grande valeur. Un utilisateur de niveau service qui a accès à une base de données contenant des informations personnelles identifiables peut être tout aussi intéressant pour un attaquant qu'un compte d'administrateur de domaine.
À cet égard, un compte d'administrateur de domaine n'est en fait qu'un anneau de cuivre permettant d'accéder à des actifs précieux. C'est le moyen le plus facile de voler des informations d'identification et d'exfiltrer des données, mais c'est loin d'être le seul.
3. Pensez comme un attaquant lorsque vous protégez Active Directory
Il existe une idée fausse selon laquelle les attaques telles que les ransomwares sont automatisées, fonctionnant sur la base d'un cahier des charges prédéfini, sans beaucoup d'intelligence humaine derrière elles. Ce point de vue est erroné. Les attaquants passent en fait beaucoup de temps à étudier l'environnement, à la recherche de certains modèles et drapeaux de configuration, tels que des groupes privilégiés ou des ressources importantes rattachées à des unités organisationnelles (OU) connues.
Ils ne se contentent pas d'essayer de créer des robots automatisés pour le plaisir de détruire. Ils exécutent activement des scripts à la recherche de vulnérabilités et font des suppositions intelligentes sur la manière dont les magasins gèrent leur environnement Active Directory. Le résultat de tous ces efforts est la prolifération d'outils qui rendent les attaques plus faciles à exécuter que jamais.
4. Rendre la vie plus difficile aux acteurs de la menace
Les histoires d'attaques très sophistiquées comme celle de SolarWinds ne manquent pas. Il est certain qu'il existe des acteurs étatiques de ce niveau de sophistication, mais la plupart des gangs de ransomwares ne sont pas aussi avancés. La probabilité que vous soyez victime d'une attaque avancée plutôt que d'être la cible d'un opportuniste est assez faible.
La plupart des gangs de ransomwares, en particulier ceux qui achètent des ransomwares en tant que service (RaaS), cherchent à gagner rapidement de l'argent. Ils utilisent des commandes de base, exploitent des vulnérabilités connues et des outils "ordinaires", et utilisent des chemins d'attaque simples pour collecter des informations. Il s'ensuit qu'ils ne veulent pas travailler dur.
C'est pourquoi vous devez les faire travailler dur. Attirez-les dans des pots de miel qui les obligent à commettre des erreurs détectables. Donnez-leur de fausses cibles et mettez en place des défenses qui les empêchent de se déplacer latéralement.
À un moment donné, beaucoup décideront que vous n'en valez pas la peine et passeront à autre chose.
5. Contourner la nature "livre ouvert" d'AD
Un conseil de sécurité courant pour Active Directory est d'interdire l'accès en lecture à certains groupes privilégiés. Malheureusement, cela ne fonctionne pas vraiment pour la plupart des organisations. AD a été conçu il y a de nombreuses années pour être un livre ouvert aux utilisateurs légitimes, et chaque unité installée dispose d'un accès en lecture à pratiquement tout ce qui se trouve dans la boîte.
Il est extrêmement difficile de désactiver cela sans casser quelque chose. Il faut se rendre à l'évidence : si un pirate s'introduit dans votre réseau et imite un utilisateur légitime, il sera en mesure de voir ce qui se passe. Au lieu d'essayer de restreindre la visibilité et d'empêcher la reconnaissance, il faut donc obscurcir le réseau grâce à un provisionnement juste à temps et à des OU renommées.
6. Envisager d'utiliser autre chose que la stratégie de groupe (parfois)
Dans Active Directory, les objets de stratégie de groupe (GPO) sont généralement utilisés pour renforcer la sécurité. En réalité, seuls les ordinateurs du domaine ont besoin de lire les GPO. Les utilisateurs authentifiés n'ont généralement pas besoin d'y accéder. En limitant l'accès des utilisateurs, vous pouvez réduire la visibilité de votre dispositif de renforcement de la sécurité pour les attaquants.
Une autre option consiste à utiliser des technologies non standard au lieu des GPO. Tous les attaquants consultent la stratégie de domaine par défaut pour déterminer comment vous définissez votre stratégie de mot de passe. Si vous utilisez plutôt une stratégie de mot de passe finement définie, le pirate ne saura pas où chercher.
7. Nettoyez votre hygiène d'accès
Tous les conseils habituels concernant les mots de passe s'appliquent à Active Directory. Créez des mots de passe complexes, stockez-les dans un coffre-fort à l'abri de l'air et faites une rotation régulière de ces mots de passe. Si votre objectif est la sécurité, intégrez également quelques autres bonnes pratiques :
- Les mots de passe des préférences de la stratégie de groupe ne doivent figurer nulle part dans votre SYSVOL. Ils ne servent qu'à aider les attaquants.
- Traitez tout compte dont les noms de principal de service sont définis comme hautement privilégiés et sécurisez-le en conséquence.
- Passez au groupe des comptes gérés par le service. Si ce n'est pas possible, assurez-vous que les comptes de service ne sont pas privilégiés.
8. Utiliser la hiérarchisation et le moindre privilège
Le principe du moindre privilège est l'un des plus importants dans le cadre d'Active Directory. Aucun compte ne doit avoir accès à quoi que ce soit qui ne soit pas absolument nécessaire à son fonctionnement. À cette fin, il faut savoir que les fournisseurs ne savent pas toujours ce dont leurs comptes ont besoin.
En outre, je conseille vivement de mettre en œuvre un modèle rigide de "niveau zéro" dans lequel toute personne qui est administrateur d'un contrôleur de domaine peut se connecter aux machines du contrôleur de domaine. Il va sans dire que cela nécessite de désactiver la délégation sans contrainte et de limiter la création de comptes. Idéalement, utilisez uniquement Kerberos pour la délégation dans ce modèle.
9. Désactiver NTLM
D'une manière générale, New Technology Lan Manager (NTLM) est la racine de tous les maux dans Windows et Active Directory. Par exemple, l'attaque DFSCoerce récemment découverte est une attaque Windows NTLM.
La désactivation de NTLM ne vous débarrassera pas de tous tous vos problèmes, mais elle en résoudra un grand nombre. Cependant, la ma plupart des organisations hésitent à désactiver NTLM, car elles ont peur de ce qu'elles pourraient casser. Vous pouvez commencer par activer l'audit dans la stratégie de groupe sur vos contrôleurs de domaine pour avoir une idée de la quantité d'activité NTLM dans l'environnement du domaine.
Plus vous pouvez en désactiver, plus vous vous rapprochez de la protection d'Active Directory.
Protéger Active Directory de manière pratique
Si vous souhaitez explorer ces conseils plus en détail, plongez-vous dans ma présentation à la conférence HIP, Conseils pratiques pour la protection d'Active Directorydisponible à la demande. Ensuite, mettez ces stratégies en pratique - le plus tôt sera le mieux.
