Glossaire de la sécurité AD

Partie d'une liste de contrôle d'accès (ACL), une entrée de contrôle d'accès (ACE) définit les personnes ayant accès à une ressource et les opérations qu'elles peuvent effectuer. Des entrées de contrôle d'accès mal configurées peuvent conduire à un accès non autorisé à des ressources ou à une escalade des privilèges.

Voir aussi : liste de contrôle d'accès (ACL)

Une liste de contrôle d'accès (ACL) est une liste d'entrées de contrôle d'accès (ACE) qui s'appliquent à un objet AD (c'est-à-dire un utilisateur, un groupe ou un objet informatique). Chaque ACE d'une ACL identifie un administrateur et spécifie les droits d'accès autorisés, refusés ou audités pour cet administrateur. Des ACL mal configurées peuvent conduire à des accès non autorisés ou à l'exposition de données.

Voir aussi : entrée de contrôle d'accès (ACE)

Un jeton d'accès est un jeton de sécurité qui contient des identifiants de sécurité (SID) d'utilisateur et de groupe. Les droits de l'utilisateur et certains identifiants de groupe du jeton peuvent être utilisés pour l'autorisation. Si les jetons d'accès sont détournés ou manipulés, un attaquant peut se faire passer pour un utilisateur ou élever ses privilèges.

Dans une attaque de persistance ACL, un adversaire manipule la liste de contrôle d'accès discrétionnaire (DACL) d'un objet Active Directory pour maintenir certains privilèges ou autorisations. Cette attaque permet à l'attaquant de persister sur le réseau même après que le vecteur d'intrusion initial a été corrigé.

Active Directory (AD) est un service d'annuaire développé par Microsoft pour les réseaux de domaines Windows. AD utilise un stockage de données hiérarchique et structuré pour les services et les composants. AD est principalement utilisé pour stocker des objets tels que des utilisateurs, des groupes et des ordinateurs, ce qui permet de gérer ces ressources, y compris leurs autorisations. AD assure l'authentification des utilisateurs et contrôle l'accès aux ressources et aux données d'une organisation. Plus de 90 % des organisations utilisent AD, Azure AD ou une combinaison des deux (AD hybride) comme solution d'identité principale. AD est souvent la cible des cyberattaquants en raison de son rôle central dans la gestion du réseau. Des paramètres AD mal configurés ont été exploités dans de nombreuses attaques très médiatisées.

Active Directory Administrative Center (ADAC) est une console de gestion de Windows Server qui utilise un modèle d'administration basé sur les tâches pour gérer les utilisateurs, les groupes, les ordinateurs et d'autres objets dans un domaine.

Les attaques sur les environnements AD suivent généralement un certain chemin : mouvement latéral entre les systèmes, escalade des privilèges, insertion de logiciels malveillants ou de ransomwares sur les contrôleurs de domaine, établissement de la persistance, exfiltration des données et (dans le cas des ransomwares) détonation/chiffrement. Par conséquent, la sécurité AD dépend de la défense à chaque étape de ce cycle de vie : avant, pendant et après une tentative de cyberattaque.

Voir aussi : chaîne d'exécution cybernétique, domination de domaine

Une sauvegarde spécifique à Active Directory sépare les composants AD (par exemple, la base de données, les journaux, les ruches de registre) des sauvegardes des lecteurs système d'une machine physique ou virtuelle, y compris les applications, les systèmes d'exploitation, etc. Les sauvegardes spécifiques à AD permettent à votre organisation de récupérer rapidement AD en toute sécurité et sans logiciels malveillants ou ransomware. En revanche, la récupération de l'état du système ou du métal nu peut réintroduire des logiciels malveillants cachés dans les sauvegardes.

Voir aussi : restauration de l'état du système

Les services de certificats Active Directory (AD CS) fournissent des solutions de contrôle d'identité et d'accès à une organisation. Si un pirate compromet AD CS, il peut émettre des certificats frauduleux, ce qui entraîne des attaques de type "man-in-the-middle" ou d'autres activités non autorisées.

Pour 90 % des entreprises, Active Directory contrôle l'accès à tous les utilisateurs, systèmes et ressources. Si AD ne fonctionne pas, rien ne fonctionne. La récupération d'AD après une cyberattaque ou un autre désastre est l'étape la plus importante pour restaurer les opérations et prouver la cyber-résilience.

Les services de domaine Active Directory (AD DS) constituent la fonction principale d'AD. AD DS fournit les méthodes de stockage des données de l'annuaire et met ces données à la disposition des utilisateurs et des administrateurs du réseau. Une compromission d'AD DS peut conduire à un accès non autorisé aux ressources du réseau.

Le module Active Directory Domain Services (ADDS) PowerShell fournit une collection de cmdlets qui vous permettent d'utiliser PowerShell pour gérer et administrer divers aspects d'AD, tels que les utilisateurs, les groupes, les ordinateurs et les unités d'organisation.

Active Directory Federation Services (ADFS) est un composant logiciel développé par Microsoft. ADFS peut fonctionner sur les systèmes d'exploitation Windows Server afin de fournir aux utilisateurs un accès unique aux systèmes et applications situés au-delà des frontières de l'organisation. S'il n'est pas correctement sécurisé, l'ADFS peut être la cible d'attaques visant à obtenir un accès non autorisé.

Semperis ADFR est une solution de sauvegarde et de récupération conçue pour restaurer Active Directory après un sinistre cybernétique. Semperis ADFR automatise entièrement le processus de récupération de la forêt AD, réduit les temps d'arrêt, élimine le risque de réinfection par des logiciels malveillants et permet l'analyse médico-légale après l'incident.

Le durcissement de l'Active Directory implique des techniques pratiques pour protéger votre environnement AD. AD joue un rôle essentiel dans l'infrastructure informatique et assure l'harmonie et la sécurité des différentes ressources du réseau dans un environnement global et interconnecté.

Aucune organisation dotée d'une infrastructure informatique n'est à l'abri d'une attaque, mais des politiques, des processus et des contrôles appropriés peuvent contribuer à protéger les segments clés de l'infrastructure informatique de votre organisation, y compris AD. Le durcissement d'AD peut contribuer à empêcher qu'une brèche ou une autre menace ne se transforme en une compromission totale de l'environnement informatique.

L'évaluation régulière des risques et de la santé de l'Active Directory de votre entreprise est une étape importante dans la réduction de la surface d'attaque de l'AD. Une solution robuste d'évaluation de la sécurité de l'AD telle que Purple Knight peut fournir une liste de recommandations prioritaires, spécifiques à votre infrastructure déployée, afin d'améliorer la santé de votre AD.

Active Directory Lightweight Directory Services (AD LDS), précédemment connu sous le nom d'Active Directory Application Mode (ADAM), est un service d'annuaire LDAP (Lightweight Directory Access Protocol) qui offre une prise en charge souple des applications compatibles avec les annuaires. AD LDS peut être utilisé pour créer un annuaire distinct pour les applications qui nécessitent une authentification et des informations sur les utilisateurs sans avoir à créer des comptes d'utilisateurs supplémentaires dans l'AD DS principal. Par exemple, une application web peut utiliser AD LDS pour stocker des profils d'utilisateurs et des informations de contrôle d'accès séparément de l'Active Directory principal, réduisant ainsi la surface d'attaque et les risques de sécurité potentiels. Les instances AD LDS fonctionnant sur un serveur peuvent entraîner des risques de sécurité supplémentaires, car elles peuvent être exploitées pour obtenir un accès non autorisé à des informations.

Active Directory Migration Tool (ADMT) est un utilitaire Microsoft qui permet aux administrateurs de migrer des objets (c'est-à-dire des comptes d'utilisateurs, des groupes de sécurité et des ordinateurs) d'un domaine Active Directory Domain Services (AD DS) vers un autre, souvent dans le cadre d'un projet de restructuration ou de consolidation.

Voir aussi : Services de domaine de l'Active Directory (AD DS)

Les cyberattaquants qui parviennent à pénétrer dans l'environnement d'une organisation cherchent généralement à obtenir des privilèges dans Active Directory afin d'accéder aux données et aux ressources. Une fois que les acteurs de la menace ont pris pied, ils l'utilisent pour augmenter leur portée, idéalement jusqu'à ce qu'ils compromettent un compte administratif. Cette augmentation de l'accès est connue sous le nom d'escalade des privilèges.

La restauration AD rétablit chaque domaine de la forêt dans l'état où il se trouvait au moment de la dernière sauvegarde fiable. La restauration d'Active Directory à partir d'une sauvegarde ou la réinstallation des services de domaine AD sur chaque contrôleur de domaine d'une forêt peut être une tâche longue et compliquée. Cependant, les ransomwares qui verrouillent ou corrompent AD rendent cette étape nécessaire. 

Associée à une sauvegarde spécifique à AD, une solution de restauration AD qui automatise les étapes du processus de restauration peut réduire de manière significative les temps d'arrêt d'AD. Par exemple, Semperis Active Directory Forest Recovery accélère la restauration des forêts AD jusqu'à 90 %.

La corbeille d'Active Directory (AD Recycle Bin) est une fonctionnalité d'AD qui permet de restaurer des objets supprimés sans redémarrage, interruption de service ou restauration à partir d'une sauvegarde. Si elle n'est pas correctement sécurisée, la corbeille AD peut être exploitée pour restaurer des comptes ou des groupes malveillants supprimés.

Active Directory Replication Status Tool (ADREPLSTATUS) est un outil de diagnostic qui fournit des informations détaillées sur l'état de la réplication pour les contrôleurs de domaine au sein d'une forêt AD. ADREPLSTATUS permet d'identifier les problèmes de réplication et de résoudre les problèmes liés à la réplication.

Active Directory Rights Management Services (AD RMS) est une technologie Microsoft qui utilise le cryptage et une forme de déni de fonctionnalité sélective pour limiter l'accès à des documents tels que les courriels d'entreprise, les documents Word et les pages web.

Une évaluation des risques de l'Active Directory recherche des indicateurs d'exposition (IOE) ou des indicateurs de compromission (IOC) afin de déterminer les risques encourus par votre organisation lors d'une cyberattaque ou d'un autre événement catastrophique. Une évaluation solide des risques fournit des conseils spécifiques exploitables pour vous aider à atténuer les risques de sécurité pour l'AD et pour votre organisation.

Voir aussi : Active Directory health check, indicateurs de compromission, indicateurs d'exposition

Parce qu'il est utilisé pour configurer les autorisations et l'accès au réseau, Active Directory est une cible de choix pour les cyberattaquants. Des années de croissance, de fusions, etc., entraînent souvent un "glissement de configuration" tentaculaire et des configurations erronées qui rendent l'AD vulnérable aux attaques. Combler les lacunes de sécurité dans AD est donc un élément important de la stratégie globale de cybersécurité d'une organisation. 

Une évaluation de l'environnement AD d'une organisation pour l'aider à identifier, quantifier et réduire les risques affectant son AD. Cette analyse génère une liste de problèmes à résoudre et peut également proposer des conseils de remédiation et des bonnes pratiques pour améliorer les performances ou la sécurité de l'infrastructure AD.

Voir aussi : Audit de sécurité Active Directory

Processus de collecte de données sur les objets et attributs AD, d'analyse et de rapport sur ces données afin de déterminer l'état général de l'annuaire, l'adéquation des contrôles du système, la conformité avec la politique et les procédures de sécurité établies, toute violation des services de sécurité et tout changement indiqué pour des contre-mesures.

L'audit de sécurité AD vous aide à détecter les menaces internes, les abus de privilèges et d'autres indicateurs d'exposition (IOE) ou de compromission (IOC) et à y répondre, renforçant ainsi votre position en matière de sécurité.

Voir aussi : Évaluation de la sécurité d'Active Directory

Les indicateurs de sécurité AD se répartissent en plusieurs catégories :

• Indicateurs d'attaque (IOA)
• Indicateurs de compromis (IOC)
• Indicateurs d'exposition (IOE)

Des solutions telles que Semperis Purple Knight et Directory Services Protector ( DSP) utilisent ces indicateurs pour aider les organisations à identifier les vecteurs d'attaque que les acteurs de la menace peuvent utiliser pour accéder à l'environnement AD. Ces vulnérabilités peuvent conduire à une escalade des privilèges et éventuellement au déploiement de logiciels malveillants.

Active Directory Service Interfaces (ADSI) est un ensemble d'interfaces COM utilisées pour accéder aux fonctionnalités des services d'annuaire de différents fournisseurs de réseau. L'ADSI est une interface programmatique de l'AD qui permet aux développeurs d'effectuer des tâches courantes telles que l'ajout de nouveaux utilisateurs. Les cyber-attaquants peuvent utiliser ADSI pour manipuler les entrées de l'annuaire.

Le snap-in Microsoft Management Console (MMC) Active Directory Service Interfaces Editor (ADSIEdit) agit comme un éditeur de bas niveau pour Active Directory. ADSIEdit permet d'accéder aux propriétés des objets qui ne sont pas exposées dans d'autres interfaces AD, offrant une vue détaillée de chaque objet et attribut dans une forêt AD.

Active Directory Sites and Services (ADSS) est un snap-in de Microsoft Management Console (MMC) utilisé pour administrer la réplication des données d'annuaire entre tous les sites d'une forêt AD. Une mauvaise configuration peut affecter les performances d'AD et entraîner la réplication de données de sécurité erronées.

Les relations de confiance Active Directory (AD trusts) permettent aux utilisateurs d'un domaine AD d'accéder aux ressources d'un autre domaine AD. Il convient de gérer soigneusement les relations de confiance afin d'éviter une escalade involontaire des privilèges ou l'exposition de ressources.

Active Directory Users and Computers (ADUC) est un snap-in de Microsoft Management Console (MMC) qui permet aux administrateurs de gérer les comptes d'utilisateurs et divers autres objets dans AD. Une utilisation incorrecte peut conduire à des attributions de privilèges involontaires ou à l'exposition de données.

Une évaluation des vulnérabilités de l'environnement Active Directory de votre organisation peut aider à identifier, quantifier et réduire les risques liés à la sécurité et à la configuration d'AD. Ces analyses génèrent une liste de problèmes à résoudre et peuvent également offrir des conseils de remédiation et des bonnes pratiques pour améliorer les performances ou la sécurité de l'infrastructure AD.

Voir aussi : Évaluation de la sécurité d'Active Directory

Active Directory Web Services (ADWS) est un service web hébergé sur des contrôleurs de domaine fonctionnant sous Windows Server 2008 R2 et versions ultérieures. ADWS fournit un protocole permettant d'accéder aux services d'annuaire et de les gérer via les protocoles web standard HTTP et HTTPS.

Add-ADComputer est une cmdlet PowerShell qui peut être utilisée pour créer un nouvel objet ordinateur dans Active Directory. Si elle est mal utilisée, cette cmdlet peut conduire à la création de comptes d'ordinateurs non autorisés, potentiellement utilisés pour la persistance ou le mouvement latéral.

Add-ADComputerServiceAccount est une cmdlet PowerShell qui peut être utilisée pour ajouter un compte de service à un objet ordinateur dans AD. Un attaquant qui compromet cette cmdlet peut associer des comptes de service à des systèmes non désirés, ce qui lui permet d'obtenir des privilèges non autorisés.

Add-ADGroupMember est une cmdlet PowerShell qui peut être utilisée pour ajouter un ou plusieurs utilisateurs, groupes, comptes de service ou ordinateurs à un groupe AD. Une mauvaise utilisation de cette cmdlet peut conduire à une escalade des privilèges non autorisée.

Add-ADPrincipalGroupMembership est une cmdlet PowerShell qui peut être utilisée pour ajouter un utilisateur, un groupe, un compte de service ou un ordinateur à un ou plusieurs groupes AD. Si elle est utilisée de manière malveillante, cette cmdlet peut permettre à un attaquant d'accéder à des ressources.

Add-ADUser est une cmdlet PowerShell qui peut être utilisée pour créer un nouvel objet utilisateur dans Active Directory.

Le protocole de résolution d'adresses (ARP) est utilisé pour faire correspondre une adresse IP à une adresse physique (MAC) sur un réseau local. Bien que cela ne soit pas spécifique à l'AD, l'usurpation des réponses ARP est un vecteur d'attaque courant dans les environnements LAN.

Faisant partie de la suite Sysinternals de Microsoft, ADExplorer est un outil légitime utilisé pour visualiser la structure et les objets d'Active Directory et les modifier. Les attaquants peuvent utiliser cet outil pour explorer les structures AD, analyser les objets, les permissions, etc.

ADfind est un outil en ligne de commande développé par Joe Richard (DS-MVP) pour interroger Active Directory.

La hiérarchisation administrative permet à une organisation de mieux sécuriser son environnement numérique en définissant trois niveaux ou plus d'accès aux ressources et aux systèmes. Cette hiérarchisation crée des zones tampons qui séparent l'administration des ressources à haut risque ou précieuses, telles que les contrôleurs de domaine Active Directory.

AdminSDHolder est un objet Active Directory qui contient le descripteur de sécurité pour les objets qui sont membres de groupes privilégiés. Le processus SDProp garantit que les listes de contrôle d'accès (ACL) des objets protégés sont toujours cohérentes avec l'objet AdminSDHolder. Un objet AdminSDHolder compromis peut conduire à une attaque SDProp.

Adprep est un outil de ligne de commande utilisé pour préparer une forêt ou un domaine à une mise à niveau de Windows Server. Adprep effectue les mises à jour de schéma et d'infrastructure nécessaires pour prendre en charge la nouvelle version de Windows Server.

ADRecon est un outil qui recueille des informations sur AD et génère un rapport qui peut fournir une image holistique de l'état actuel de l'environnement AD cible. Les cyberattaquants peuvent utiliser ADRecon à des fins de reconnaissance pour identifier les vulnérabilités potentielles.

La gestion avancée des stratégies de groupe (AGPM), une fonctionnalité de Microsoft Desktop Optimization Pack (MDOP), permet d'améliorer le contrôle et la gestion des objets de stratégie de groupe (GPO). AGPM comprend des fonctionnalités de suivi des versions, de délégation basée sur les rôles et d'approbation des modifications.

Le principe de sécurité de l'ouverture de session anonyme permet l'accès anonyme à certains services sur une machine. Dans le contexte d'AD, l'ouverture de session anonyme représente les connexions d'utilisateurs qui ne présentent pas d'informations d'identification valides. Cela peut constituer un risque pour la sécurité et est souvent limité ou désactivé.

Active Directory utilise une partition d'annuaire d'application pour contenir des données spécifiques à une certaine application ou à un certain service, comme le DNS. Si elle n'est pas correctement sécurisée, cette partition peut être exploitée par des entités malveillantes à des fins de persistance ou d'extraction de données.

Les objets Active Directory ont des attributs qui définissent les caractéristiques de l'objet (par exemple, le numéro de téléphone de l'utilisateur, le nom du groupe). La manipulation des attributs peut parfois conduire à des activités non autorisées ou à la divulgation d'informations.

Les politiques d'audit définissent les types d'événements de sécurité à enregistrer dans le journal de sécurité sur les contrôleurs de domaine et les ordinateurs. Une mauvaise politique d'audit risque de ne pas détecter les tentatives d'intrusion ou d'autres activités malveillantes.

Le processus d'authentification valide les informations d'identification d'une personne, d'un processus informatique ou d'un appareil. L'authentification Active Directory consiste à prouver l'identité d'un utilisateur qui se connecte à un environnement AD et, si elle est compromise, peut conduire à un accès non autorisé.

Une restauration faisant autorité met à jour les contrôleurs de domaine existants avec les données restaurées, qui sont ensuite répliquées sur tous les autres DC dans un environnement multi-DC.

Voir aussi : restauration non autorisée

Le processus d'autorisation, qui détermine les autorisations et les droits dont dispose un utilisateur authentifié, suit le processus d'authentification. Dans AD, l'autorisation est souvent gérée par l'appartenance à un groupe. Une mauvaise configuration des autorisations peut entraîner un accès non autorisé ou une escalade des privilèges.

Voir aussi : authentification

La classe auxiliaire est une classe facultative du schéma AD qui peut être utilisée pour étendre les attributs d'autres classes. Une mauvaise configuration des classes auxiliaires peut entraîner des failles de sécurité.

La disponibilité est l'un des trois piliers de la sécurité de l'information (avec la confidentialité et l'intégrité). La disponibilité fait référence à la capacité d'accéder aux ressources comme prévu. Dans le contexte d'Active Directory, la disponibilité peut être liée à la résilience des contrôleurs de domaine et de l'infrastructure réseau supportant AD.

Microsoft Azure Active Directory (Azure AD ou AAD, maintenant renommé Entra ID) est le service de gestion des identités et des accès (IAM) basé sur le cloud de Microsoft. Azure AD aide les organisations à gérer et à sécuriser l'accès aux applications, aux données et aux réseaux, à la fois dans le nuage et sur site. Dans le contexte de la cybersécurité, les cyberattaquants ciblent souvent Azure AD pour obtenir un accès non autorisé ou escalader les privilèges, en utilisant des tactiques telles que les attaques par pulvérisation de mot de passe, l'hameçonnage par consentement ou l'exploitation de mauvaises configurations dans les politiques de sécurité et les contrôles d'accès. Il est donc essentiel de sécuriser Azure AD.

Bien que Azure AD partage une partie de son nom avec AD sur site, son modèle de sécurité est complètement différent. Si votre organisation utilise Microsoft 365, elle utilise également Azure AD.

Azure Active Directory join (Azure AD join) est un processus qui enregistre un appareil auprès d'un locataire Azure AD spécifique, ce qui permet de gérer et de sécuriser l'appareil par le biais de politiques et de services basés sur le cloud.

Un attribut de lien retour est un type d'attribut dans le schéma d'une forêt Active Directory. Cet attribut est lié à un attribut de lien direct. Ensemble, ils permettent de créer et de gérer des attributs liés.

Le processus BackSync réplique les objets et les propriétés vers un serveur de catalogue global à partir d'un contrôleur de domaine du même domaine.

L'attribut BadPasswordTime d'un objet utilisateur AD enregistre l'heure de la dernière tentative de connexion erronée.

L'attribut BadPwdCount d'un objet utilisateur AD permet de suivre les tentatives de saisie de mots de passe incorrects. Cet attribut peut être surveillé pour détecter d'éventuelles attaques par force brute.

Un BMR restaure une sauvegarde de l'état du système ainsi que toutes les données non-utilisateurs sur les volumes critiques du serveur. Étant donné qu'il s'agit d'une version étendue d'une sauvegarde de l'état du système, une BMR est soumise aux mêmes restrictions (même matériel, résidence des logiciels malveillants) qu'une sauvegarde de l'état du système.

Voir Sauvegarde de l'Active Directory (sauvegarde AD)

Une recherche LDAP commence par le DN de base. Ce DN peut être un point de départ potentiel pour un attaquant disposant d'un accès non autorisé pour commencer à explorer la structure d'Active Directory.

Base64 est un système d'encodage binaire en texte. Dans le contexte d'Active Directory, certains attributs, comme userPhoto, sont encodés en Base64.

Best Practice Analyzer (BPA) est un outil de gestion de serveur disponible dans Windows Server. BPA peut aider un administrateur à réduire les violations des meilleures pratiques en analysant un rôle AD DS et en signalant lorsqu'un rôle n'est pas conforme aux meilleures pratiques.

Un BLOB est une collection de données binaires stockées en tant qu'entité unique dans une base de données, y compris Active Directory. Les BLOB sont généralement des images, des fichiers audio ou d'autres objets multimédias, bien que parfois un code exécutable binaire puisse également être stocké sous la forme d'un BLOB.

Dans le contexte d'Active Directory, la liaison est le processus d'établissement d'une connexion avec le service d'annuaire, qui peut ensuite être utilisé pour effectuer des opérations. Si des pirates parviennent à se connecter à votre Active Directory, ils peuvent commencer à exécuter des requêtes et éventuellement apporter des modifications si les autorisations le permettent.

BitLocker est une fonction de chiffrement de volume complet incluse dans les versions de Microsoft Windows à partir de Windows Vista. BitLocker est conçu pour protéger les données en cryptant des volumes entiers. Si un pirate accède physiquement à un serveur, BitLocker peut empêcher l'accès non autorisé aux données qui y sont stockées.

Si cette clé de récupération pour le chiffrement du lecteur BitLocker est compromise, un pirate peut déchiffrer un lecteur chiffré par BitLocker.

BitLocker To Go étend la protection des données BitLocker aux disques amovibles, tels que les disques durs externes et les clés USB. Ces disques peuvent être verrouillés et déverrouillés uniquement par un mot de passe, une carte à puce ou une clé de récupération.

BlackCat/ALPHV est le premier logiciel malveillant de grande envergure écrit en Rust, un langage de programmation moderne et multiplateforme. Capable de compromettre les systèmes d'exploitation Windows et Linux, BlackCat fonctionne comme un ransomware en tant que service (RaaS) par ALPHV, un groupe de cyberattaquants russophones. Il utilise des identifiants d'utilisateurs compromis pour obtenir un accès initial aux systèmes ciblés, puis exploite cet accès pour compromettre les comptes d'utilisateurs et d'administrateurs dans Active Directory (AD). Les attaques BlackCat utilisent souvent une tactique de triple extorsion, qui consiste à demander une rançon individuelle pour décrypter les fichiers infectés, ne pas publier les données volées et ne pas lancer d'attaques par déni de service (DoS).

Une liste noire est un contrôle de sécurité de base dans lequel une liste d'adresses IP, d'utilisateurs, d'ordinateurs, etc. est bloquée ou interdite d'accès. Dans le contexte d'Active Directory, une liste noire peut contribuer à protéger l'annuaire contre des entités malveillantes connues.

BloodHound est un outil de reconnaissance AD. BloodHound visualise les environnements AD, en mettant en évidence les relations qui peuvent être exploitées pour l'escalade des privilèges. Il est souvent utilisé dans les attaques de menaces persistantes avancées (APT).

Voir aussi : Attaques de chiens de sang

Un pirate peut utiliser BloodHound, un outil qui permet de cartographier les relations AD, pour comprendre la structure de l'environnement AD d'une organisation et planifier des attaques sur la base de ces informations.

Voir aussi : BloodHound (chien de sang)

Dans les tests de cybersécurité, l'équipe bleue est le groupe de personnes chargées d'analyser et de sécuriser un système d'information, d'identifier ses vulnérabilités et ses failles de sécurité, et de défendre l'environnement contre les attaquants potentiels (c'est-à-dire l'équipe rouge).

Voir aussi : équipe rouge

BlueKeep est une vulnérabilité d'exécution de code à distance (RME) qui se propage dans les réseaux informatiques sous la forme d'un ver. BlueKeep est apparu en 2019 comme une menace pour les anciennes versions du système d'exploitation Microsoft Windows. Microsoft a réagi en publiant des correctifs pour ses systèmes d'exploitation non pris en charge risquant d'être exploités par BlueKeep. Cependant, ce type de menace souligne l'importance de disposer d'un processus de récupération renforcé pour réagir rapidement, si Active Directory et d'autres services réseau cruciaux sont compromis.

La réplication d'amorçage est la réplication initiale des données lorsqu'un nouveau contrôleur de domaine est ajouté à un domaine.

Un serveur tête de pont est le point de contact pour la réplication entre les sites d'une forêt Active Directory. Si un pirate compromet un serveur tête de pont, il peut potentiellement manipuler les données de réplication.

Le BYOD désigne les employés qui apportent leurs propres appareils informatiques - tels que les smartphones, les ordinateurs portables et les PDA - sur le lieu de travail pour les utiliser et les connecter. Le BYOD peut poser des problèmes de sécurité pour Active Directory s'il n'est pas correctement géré et contrôlé.

Processus de visualisation des objets dans Active Directory. Un attaquant qui peut parcourir votre annuaire peut commencer à cartographier la structure et les détails de votre environnement AD.

Le terme " intégré " fait référence aux groupes et aux comptes d'utilisateurs par défaut qui sont automatiquement créés lors de l'installation des services de domaine Active Directory (AD DS). Ces groupes et comptes disposent d'autorisations et de droits attribués par défaut. Il est donc important d'examiner ces valeurs par défaut afin de s'assurer qu'elles sont conformes aux politiques de sécurité de votre organisation.

Un conteneur intégré est un conteneur Active Directory spécial qui existe dans le contexte de sécurité du contrôleur de domaine local. Ce conteneur contient des groupes locaux au contrôleur de domaine et est créé par défaut lors de l'installation d'AD.

Processus par lequel de grandes quantités de données peuvent être importées dans l'Active Directory, souvent à l'aide d'outils tels que CSVDE. Si un pirate parvient à manipuler ce processus, il peut potentiellement créer de nombreuses entrées malveillantes dans AD.

Un plan de continuité des activités (PCA) est un document qui décrit la manière dont une entreprise continuera à fonctionner en cas d'interruption de service non planifiée. Dans le contexte d'Active Directory, un PCA peut inclure des plans sur la manière de restaurer le service après une panne ou une attaque majeure.

Cain & Abel est un outil de récupération de mots de passe pour les systèmes d'exploitation Microsoft. Cet outil permet de récupérer facilement différents types de mots de passe en reniflant le réseau, en craquant les mots de passe cryptés à l'aide d'attaques par dictionnaire, par force brute et par cryptanalyse.

Un nom canonique est le nom DNS d'un objet dans Active Directory et est utilisé pour référencer des objets dans des scripts ou d'autres tâches d'administration programmatique.

Dans Active Directory, une stratégie d'accès centrale (CAP) est un ensemble de règles que vous pouvez appliquer à plusieurs serveurs d'un domaine pour contrôler l'accès aux fichiers. Ces règles font partie du contrôle d'accès dynamique (DAC) dans Windows Server.

Une liste de révocation de certificats (CRL) est une liste de certificats numériques qui ont été révoqués par l'autorité de certification (CA) émettrice avant leur date d'expiration prévue. Il est essentiel de tenir cette liste à jour dans un environnement AD afin de maintenir l'intégrité des communications sécurisées.

Les services de certification sont un rôle de serveur qui permet à votre organisation d'émettre et de gérer des certificats numériques qui peuvent être utilisés pour des communications sécurisées et d'autres fonctions liées à la sécurité dans Active Directory.

Un domaine enfant dans une structure Active Directory multi-domaines relève d'un domaine parent. Le domaine enfant partage l'espace de noms du domaine parent et des relations de confiance sont automatiquement établies entre eux.

Le type de revendication représente un aspect de l'identité d'un utilisateur, tel que l'appartenance à un groupe, et est utilisé dans le contrôle d'accès dynamique (DAC) pour les décisions d'autorisation. Une mauvaise configuration des types de revendications peut entraîner une escalade des privilèges ou un accès non autorisé.

L'authentification basée sur les revendications est un processus dans lequel un utilisateur obtient un jeton signé numériquement par une source fiable et le présente à un système. Le système peut alors valider le jeton et utiliser les revendications qu'il contient (par exemple, le nom d'utilisateur, le rôle) pour identifier l'utilisateur.

Les utilisateurs exécutent des applications sur des postes de travail informatiques, également appelés machines clientes. Si un poste de travail est connecté à un réseau, les utilisateurs peuvent profiter des services fournis par les serveurs. Les machines clientes ne stockent généralement pas de données localement, mais reçoivent les données demandées aux serveurs en exécutant des applications client-serveur.

Les services en nuage sont disponibles sur l'internet auprès d'un fournisseur d'informatique en nuage. Bien qu'ils ne soient pas spécifiques à Active Directory, de nombreuses organisations utilisent des services en nuage tels qu'Azure Active Directory en conjonction avec ou comme alternative à leur AD sur site.

L'attaque du ransomware Colonial Pipeline en 2021 est l'une des attaques d'infrastructures critiques les plus connues de l'histoire récente. L'attaque de Colonial Pipeline a démontré l'importance de maintenir un dispositif de sécurité Active Directory robuste.

Un fichier CSV (comma separated value) stocke des données tabulaires. Des fichiers CSV mal sécurisés peuvent entraîner des fuites de données, en particulier lorsqu'ils sont utilisés pour importer ou exporter des données en masse à partir d'Active Directory.

CSVDE est un outil permettant d'importer et d'exporter des données Active Directory. Les fichiers CSV (Comma separated value) peuvent être manipulés et conduire à des importations ou exportations de données erronées s'ils ne sont pas validés correctement, ce qui peut constituer une menace pour la sécurité.

Un nom commun (CN) est le nom d'un objet dans Active Directory et doit être unique dans son conteneur. Le CN fait partie du nom distinctif (DN) de l'objet, qui identifie de manière unique un objet dans l'annuaire LDAP. Par exemple, "cn=Daniel Petri,ou=Engineering,dc=semperis,dc=com".

Cette opération de maintenance réduit la taille du fichier de base de données (NTDS.DIT). Cette opération nécessite un accès à haut privilège et, si elle est mal utilisée, peut entraîner des attaques par déni de service (DoS).

Dans Active Directory, un objet ordinateur est une représentation d'un ordinateur faisant partie du domaine. Il contient divers attributs concernant l'ordinateur, tels que son nom, ses paramètres de sécurité et son association avec des comptes d'utilisateurs ou des groupes.

Dans le contexte d'Active Directory, une expression conditionnelle peut faire référence à des déclarations conditionnelles dans un objet de stratégie de groupe (GPO) ou dans un script ou un outil utilisé pour la gestion d'AD.

Le conteneur Configuration d'Active Directory contient des informations sur la structure logique de la forêt, y compris des détails sur les sites, les services et les partitions d'annuaire. Ces données sont répliquées sur tous les contrôleurs de domaine d'une forêt. Du point de vue de la cybersécurité, des modifications non autorisées du conteneur de configuration pourraient entraîner des problèmes de réplication, avoir un impact sur les performances du réseau ou modifier le comportement des services qui s'appuient sur ces informations. Par conséquent, l'accès à la modification du conteneur de configuration doit être strictement contrôlé et surveillé.

Dans Active Directory, un conteneur est un objet qui peut stocker d'autres objets AD tels que des comptes d'utilisateurs, des groupes et même d'autres unités d'organisation (OU). Les conteneurs ne peuvent pas faire l'objet de stratégies de groupe. Les OU sont également des conteneurs et peuvent contenir les mêmes objets, ainsi que d'autres OU, et peuvent se voir appliquer des stratégies de groupe.

Dans une interface utilisateur graphique (GUI), un menu contextuel apparaît lors d'une interaction avec l'utilisateur, par exemple en cliquant sur le bouton droit de la souris. Dans Active Directory Users and Computers (ADUC), les menus contextuels offrent diverses options telles que la réinitialisation des mots de passe, le déplacement d'objets ou le lancement de la réplication.

Les opérations de création, de lecture, de mise à jour et de suppression (CRUD) sont les fonctions fondamentales de tout système de base de données, y compris Active Directory.

L'itinérance des identifiants est une fonctionnalité d'Active Directory qui permet de copier et de transférer en toute sécurité les identifiants et les certificats des utilisateurs sur plusieurs appareils. L'itinérance des données d'identification permet de gérer les identités numériques dans différents systèmes.

Les informations d'identification sont le nom d'utilisateur et le mot de passe qu'un utilisateur fournit pour s'authentifier. Si les informations d'identification ne sont pas correctement sécurisées, elles peuvent être la cible d'attaques par bourrage d'informations d'identification ou par force brute.

Une relation de confiance inter-forêts peut être créée entre deux forêts Active Directory. Cette relation permet aux utilisateurs d'une forêt d'accéder aux ressources de l'autre forêt, élargissant ainsi la collaboration tout en maintenant les limites de sécurité.

Un objet de référence croisée est un objet de la partition de configuration qui associe un contexte de dénomination à un serveur d'annuaire. Un attaquant qui compromet cet objet peut provoquer des problèmes de réplication et entraîner l'obsolescence des données de sécurité.

Le cross-site scripting est un type de faille de sécurité qui n'est pas spécifique à Active Directory mais qui peut potentiellement affecter n'importe quelle interface web utilisée pour l'administration d'AD si l'interface ne valide pas correctement les entrées.

La cryptographie est la pratique et l'étude des techniques de communication sécurisée. Dans Active Directory, la cryptographie est utilisée à plusieurs endroits, notamment pour sécuriser LDAP, l'authentification Kerberos et le système de fichiers chiffrés (EFS).

La chaîne de la mort cybernétique est un cadre qui décrit les étapes d'une cyberattaque. On considère généralement qu'elle comporte sept étapes :

1. Reconnaissance
2. Armement
3. Livraison
4. Exploitation
5. Installation
6. Commandement et contrôle
7. Action sur l'objectif

Dans les environnements hybrides et multi-cloud, Semperis assure l'intégrité et la disponibilité des services d'annuaire d'entreprise critiques à chaque étape de la chaîne de destruction cybernétique.

La cyberguerre est une série de cyberattaques visant les systèmes informatiques critiques d'un pays, d'un État ou d'une organisation. L'un des exemples les plus tristement célèbres est NotPetya, un logiciel malveillant qui a vu le jour en Russie en 2017, a ciblé l'Ukraine et s'est rapidement propagé dans le monde entier avec des effets dévastateurs.

"NotPetya a inauguré une ère entièrement nouvelle de la cyberguerre, et AD est dans sa ligne de mire ", a déclaré Mickey Bresman, PDG de Semperis. "Les programmes de cybersécurité, qu'ils soient grands ou petits, sont en première ligne d'une nouvelle guerre qui n'a pratiquement pas de frontières ni de règles d'engagement. Si l'on pense aux hôpitaux qui ne peuvent pas accéder à leurs systèmes pour sauver une vie, ou aux villes qui sont prises en otage, nous avons la responsabilité d'aider les organisations à reprendre le contrôle".

Une cyberattaque est une tentative malveillante d'accès non autorisé aux ressources d'un système d'information informatique dans le but de voler, d'altérer, d'exposer et de détruire des données ou de perturber les opérations. Les systèmes d'identité tels qu'Active Directory sont des cibles de choix pour les cyberattaquants. C'est pourquoi Gartner et d'autres cabinets d'analystes ont souligné que les organisations ont besoin de solutions de sécurité et de récupération spécifiques à AD pour protéger de manière adéquate leurs environnements AD hybrides.

L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) est une agence du ministère américain de la sécurité intérieure chargée de renforcer la cybersécurité et les infrastructures contre les menaces.

Une attaque par porte dérobée de la liste de contrôle d'accès discrétionnaire (DACL) implique qu'un pirate ajoute une entrée à la liste de contrôle d'accès discrétionnaire (DACL) d'un objet. Cela permet à l'attaquant d'obtenir certaines autorisations ou certains droits sur cet objet sans avoir à compromettre un compte possédant ces droits.

Une cyberattaque qui se produit dans le but de voler ou d'exposer des informations confidentielles, sensibles ou protégées à une personne non autorisée. 

Dans une attaque DCShadow, un adversaire modifie le schéma d'Active Directory en enregistrant un contrôleur de domaine malhonnête. L'attaquant peut alors propager des modifications de réplication malveillantes aux contrôleurs de domaine réels. 

Les attaques DCSync utilisent la fonction DCSync d'Active Directory, qui usurpe l'identité d'un contrôleur de domaine (DC) en utilisant Directory Replication Services (DRS) pour demander des données de mot de passe au DC. L'attaque peut être utilisée pour "extraire" des hachages de mots de passe du contrôleur de domaine, sans avoir besoin d'exécuter du code sur le contrôleur de domaine lui-même. Ce type d'attaque est capable de contourner les méthodes traditionnelles d'audit et de détection. 

La défense en profondeur fait appel à de multiples mesures de sécurité dans le cadre d'une approche par couches pour protéger une organisation contre les cyberattaques.

Voir aussi : défense en couches.

La délégation Kerberos est une fonctionnalité qui permet à un service d'usurper l'identité d'un utilisateur auprès d'autres services. Si elle est mal configurée, elle peut être exploitée par un attaquant pour élever ses privilèges ou se déplacer latéralement dans le réseau.

Voir aussi Kerberos

Semperis Directory Services Protector ( DSP) est la seule solution de détection et de réponse aux menaces identitaires (ITDR) qui offre une vue unique des vulnérabilités de sécurité dans les environnements hybrides Active Directory/Azure AD. Avec DSP, vous pouvez corréler les changements entre AD sur site et Azure AD, détecter les attaques avancées, automatiser la remédiation des changements suspects et minimiser la surface d'attaque AD.

Les forêts Active Directory présentent souvent de nombreux risques de sécurité, allant des erreurs de gestion aux vulnérabilités non corrigées. En accédant à AD ou Azure AD, les acteurs de la menace peuvent dominer l'ensemble de votre infrastructure. Les cyberattaquants ciblent AD pour élever leurs privilèges et persister dans l'organisation. Pour défendre AD, les administrateurs doivent savoir comment les attaquants ciblent l'environnement et quelles vulnérabilités ils peuvent exploiter.

Voir aussi : escalade des privilèges dans Active Directory, indicateurs de compromission, indicateurs d'exposition

Active Directory s'appuie fortement sur le DNS pour la résolution des noms et la localisation des services. Les attaques DNS, telles que l'usurpation ou l'empoisonnement DNS, peuvent rediriger ou manipuler les requêtes DNS, ce qui entraîne un accès non autorisé ou une perturbation des services AD.

Les membres du groupe DnsAdmins ont accès aux informations DNS du réseau. Ce groupe n'existe que si le rôle de serveur DNS est ou a été installé sur un contrôleur de domaine dans le domaine. Les attaquants qui accèdent à ce groupe peuvent utiliser cet accès pour compromettre Active Directory.

Un attaquant appartenant au groupe DNSAdmins peut charger une DLL arbitraire dans le service DNS, qui s'exécute avec des privilèges de niveau système, ce qui permet une escalade des privilèges.

Si un pirate prend le contrôle non autorisé d'un contrôleur de domaine (DC), il peut manipuler des objets Active Directory, modifier les autorisations, créer des portes dérobées ou effectuer d'autres actions malveillantes qui compromettent l'ensemble de l'infrastructure AD.

Lors d'une cyberattaque, les acteurs de la menace cherchent souvent à accéder à Active Directory. Cet accès peut permettre aux attaquants d'obtenir des privilèges administratifs et de prendre le contrôle des domaines Active Directory, et donc de toutes les applications et données qui reposent sur Active Directory.

Voir aussi : Cycle de vie d'une attaque contre Active Directory, chaîne d'exécution cybernétique

Dans un environnement comportant plusieurs domaines de confiance, un attaquant disposant d'un accès administrateur à un domaine de niveau de confiance inférieur peut tirer parti de la relation de confiance pour accéder à un domaine de niveau de confiance supérieur.

Le service LSASS (Local Security Authority Subsystem Service) stocke en mémoire des informations d'identification qui peuvent être extraites par un pirate. Des outils tels que Mimikatz sont souvent utilisés à cette fin.

Les autorisations effectives sont un ensemble d'autorisations accordées à un utilisateur ou à un groupe sur la base d'une combinaison d'autorisations explicites et héritées. La compréhension des permissions effectives est essentielle pour l'audit de sécurité et l'évaluation des risques.

Les privilèges élevés sont des autorisations de niveau supérieur, généralement des privilèges administratifs, accordés à un compte d'utilisateur. Un pirate qui obtient des privilèges élevés peut causer des dommages importants ou des violations de données.

Cadre de post-exploitation PowerShell et Python, Empire offre une gamme d'outils pour l'exploitation des systèmes Windows. Il permet notamment de collecter des informations d'identification, de créer des portes dérobées et d'établir une persistance dans un environnement AD.

Cette cmdlet PowerShell est utilisée pour activer un compte d'utilisateur désactivé dans Active Directory. Une mauvaise utilisation peut réactiver des comptes malveillants précédemment désactivés.

Cette fonction de Windows permet le cryptage et le décryptage transparents des fichiers à l'aide d'algorithmes cryptographiques standard avancés. Bien que l'EFS puisse renforcer la sécurité des données, il doit être correctement géré pour éviter tout accès non autorisé ou toute perte de données.

Le cryptage est le processus qui consiste à convertir des données en une forme codée afin d'empêcher tout accès non autorisé. AD utilise le cryptage sous diverses formes pour sécuriser les communications, comme les tickets Kerberos ou les connexions LDAPS.

La protection des terminaux consiste à sécuriser les terminaux ou les points d'entrée des appareils des utilisateurs finaux, tels que les ordinateurs de bureau, les ordinateurs portables et les appareils mobiles, afin qu'ils ne soient pas exploités par des acteurs et des campagnes malveillants. S'ils sont mal gérés, les terminaux infectés peuvent compromettre la sécurité de l'AD.

Ce groupe de haut niveau dans AD dispose d'un contrôle total sur tous les actifs de l'ensemble de la forêt. Le groupe des administrateurs d'entreprise est une cible de grande valeur pour les attaquants, car la compromission d'un compte d'administrateur d'entreprise peut conduire à une prise de contrôle complète du domaine.

Un annuaire commun, tel que Microsoft Active Directory, permet de créer un environnement plus sûr pour les utilisateurs de l'annuaire et d'avoir des attentes communes quant au rôle que l'annuaire peut jouer pour les utilisateurs et les applications. Un annuaire d'entreprise commun facilite l'accès aux ressources informatiques en fonction des rôles.

L'EMM est un ensemble de services et de technologies conçus pour sécuriser les données de l'entreprise sur les appareils mobiles des employés. L'EMM est utilisé conjointement avec AD pour la gestion des identités et des accès.

L'énumération est le processus d'extraction d'informations détaillées sur les objets dans AD. Une énumération non contrôlée peut conduire à la divulgation d'informations susceptibles d'aider un attaquant.

L'escalade des privilèges est un type d'intrusion dans un réseau qui tire parti d'erreurs de programmation ou de défauts de conception pour accorder à l'intrus un accès élevé au réseau et aux données et applications qui y sont associées. Dans un contexte AD, un attaquant qui peut tirer parti de mauvaises configurations ou de vulnérabilités pour escalader ses privilèges peut potentiellement prendre le contrôle total du domaine.

Ethernet est une famille de technologies de réseaux informatiques couramment utilisées dans les réseaux locaux (LAN), les réseaux métropolitains (MAN) et les réseaux étendus (WAN). L'Ethernet a été introduit commercialement en 1980 et a depuis été perfectionné pour prendre en charge des débits binaires plus élevés et des distances de liaison plus longues. Aujourd'hui, Ethernet est la technologie de réseau local la plus répandue. Les câbles Ethernet, tels que Cat 5e et Cat 6, sont couramment utilisés dans les réseaux câblés. Les dernières versions d'Ethernet peuvent prendre en charge des taux de transfert de données allant jusqu'à 400 gigabits par seconde.

Les journaux d'événements sont des enregistrements d'incidents significatifs dans un système d'exploitation ou un autre logiciel. Dans le contexte d'AD, la surveillance des journaux d'événements peut aider à détecter des incidents de sécurité ou des configurations problématiques. Toutefois, certaines attaques sont conçues pour échapper à la journalisation des événements.

Ce snap-in de Microsoft Management Console (MMC) permet de visualiser les journaux d'événements dans Windows. Les administrateurs utilisent l'Observateur d'événements pour surveiller, gérer et résoudre les problèmes au sein d'AD, et cet outil est essentiel pour identifier les signes de cyberattaques potentielles.

Exchange Server est la plateforme de messagerie électronique, de gestion d'agenda, de contacts, de planification et de collaboration de Microsoft, déployée sur le système d'exploitation Windows Server et destinée à être utilisée dans un environnement d'entreprise ou de grande entreprise. Exchange Server interagit avec AD pour les informations et l'authentification des utilisateurs.

On parle d'appartenance explicite à un groupe lorsqu'un utilisateur ou un groupe est directement ajouté à un groupe AD plutôt que d'en devenir membre par le biais de groupes imbriqués. Il est important de comprendre l'appartenance explicite et implicite (imbriquée) à un groupe pour gérer les autorisations et les contrôles d'accès.

Ce paramètre de stratégie de groupe permet d'exporter les paramètres de l'utilisateur et de l'ordinateur. L'activation de cette fonctionnalité peut poser un problème de sécurité si elle n'est pas correctement contrôlée, car elle peut entraîner l'exposition d'informations de configuration sensibles.

L'EPA est une fonction de sécurité qui améliore la protection et le traitement des informations d'authentification lorsqu'elles sont transmises sur le réseau. Cette technologie est conçue pour contrer les attaques de type "man-in-the-middle" (MitM), qui volent ou manipulent les informations d'identification pendant la transmission. L'activation de l'EPA peut renforcer la sécurité des protocoles utilisés pour la communication et l'échange de données. Par exemple, lorsqu'il est utilisé avec LDAP, l'EPA peut empêcher des attaques telles que le relais NTLM.

Les droits étendus sont un ensemble d'autorisations non standard qui peuvent être accordées à un principal de sécurité. Les droits étendus fournissent des droits d'accès de contrôle spécifiques à l'objet auquel ils sont appliqués. Une mauvaise configuration des droits étendus peut entraîner des failles de sécurité.

Un schéma étendu est un schéma AD modifié ou étendu avec des attributs ou des classes supplémentaires, généralement pour prendre en charge des applications tierces. Toutefois, des modifications inappropriées peuvent entraîner des problèmes de fonctionnalité ou des failles de sécurité.

XML est un langage de balisage qui définit un ensemble de règles permettant d'encoder des documents dans un format lisible à la fois par l'homme et par la machine. Dans le contexte d'Active Directory, le XML peut être utilisé de nombreuses manières, comme la création de scripts personnalisés pour des opérations spécifiques, la définition de paramètres de stratégie de groupe ou le formatage de rapports de données.

Cette technologie de stockage de données ISAM basée sur Jet (anciennement connue sous le nom de Jet Blue) est utilisée dans Active Directory et Exchange Server. Le moteur de base de données ESE permet un stockage et une récupération rapides et efficaces des données grâce à un accès indexé et séquentiel.

Une confiance externe est un type de confiance dans Active Directory qui est défini manuellement et qui ne s'étend pas au-delà de deux domaines. Des risques de sécurité peuvent découler d'une mauvaise configuration de la confiance, car elle peut permettre un accès non autorisé entre les domaines.

Un extranet est un réseau privé contrôlé qui permet à des partenaires, des vendeurs et des fournisseurs, ou à un ensemble autorisé de clients, d'accéder à un sous-ensemble d'informations accessibles à partir de l'intranet d'une organisation. En ce qui concerne l'AD, une authentification et une autorisation appropriées sont essentielles pour sécuriser les ressources de l'extranet.

Le Failback est le processus de restauration d'un système ou d'un autre composant d'un système à son état d'origine après un basculement.

Dans Active Directory, le basculement désigne le processus par lequel les services réseau sont déplacés vers un serveur de secours en cas de défaillance du serveur principal. Il s'agit d'un élément essentiel pour garantir la haute disponibilité.

Le clustering de basculement est une technologie de Windows Server qui vous permet de créer et de gérer des clusters de basculement, qui fournissent une haute disponibilité pour les services et les applications du réseau.

Cette fonction réseau permet à un ordinateur de partager des fichiers de données et des imprimantes connectées avec d'autres ordinateurs et appareils du réseau.

FRS est un service de Microsoft Windows Server permettant de distribuer des fichiers partagés et des objets de stratégie de groupe (GPO). FRS a été remplacé par Distributed File System Replication (DFSR) dans les versions plus récentes de Windows Server.

La sécurité du système de fichiers concerne les contrôles d'accès et les autorisations attribuées aux fichiers et aux répertoires. Dans un contexte Active Directory, la sécurité du système de fichiers fait souvent référence aux autorisations définies via les objets de stratégie de groupe.

Les attributs FAS ne sont pas répliqués vers les contrôleurs de domaine en lecture seule (RODC).

Dans le contexte d'Active Directory, le filtrage est utilisé pour limiter les objets ou les attributs sur lesquels une opération de réplication ou d'interrogation agit. Un mauvais filtrage peut entraîner une réplication inefficace ou des résultats de requête inexacts, ce qui affecte les performances et peut conduire à des données incorrectes.

Dans Windows Server 2008 et les versions ultérieures, ces stratégies vous permettent de spécifier plusieurs stratégies de mot de passe au sein d'un même domaine. De cette manière, vous pouvez appliquer différentes restrictions pour les stratégies de verrouillage des mots de passe et des comptes à différents groupes d'utilisateurs dans votre domaine.

L'OFAC est un outil utilisé pour trouver des métadonnées et des informations cachées dans les documents. L'OFAC peut être utilisé pour extraire des informations de fichiers publics hébergés sur le site web d'une entreprise, ce qui permet aux attaquants d'avoir un aperçu de la structure interne d'un environnement AD.

Ce dispositif de sécurité réseau surveille le trafic réseau entrant et sortant et décide d'autoriser ou de bloquer un trafic spécifique sur la base d'un ensemble défini de règles de sécurité.

Les paramètres et les règles qui déterminent comment votre pare-feu gère le trafic entrant et sortant. Une mauvaise configuration peut laisser des ports ouverts à l'exploitation par des pirates, ce qui fait du pare-feu un aspect essentiel de la sécurité du réseau.

Les exceptions de pare-feu sont des configurations qui permettent à un trafic réseau spécifique de contourner les contrôles de sécurité, ce qui est souvent nécessaire pour que certaines applications ou certains services fonctionnent correctement sur un réseau.

Les politiques qui régissent le fonctionnement d'un pare-feu. Ces règles peuvent définir les types de trafic autorisés ou bloqués par le pare-feu, ainsi que la destination de ce trafic. La configuration et la gestion correctes des règles de pare-feu sont essentielles au maintien de la sécurité du réseau.

Un nom plat est le nom NetBIOS du domaine et peut être différent du nom DNS du domaine.

Le processus de transfert forcé des rôles FSMO d'un contrôleur de domaine non opérationnel vers un contrôleur de domaine fonctionnel au sein d'un domaine Active Directory. La saisie de FSMO est un processus de récupération d'urgence au cours duquel un contrôleur de domaine Active Directory reprend de force un rôle FSMO d'un autre contrôleur de domaine qui fonctionne mal ou qui est hors ligne de façon permanente. Il s'agit généralement d'une mesure de dernier recours, car la saisie d'un rôle FSMO peut entraîner des incohérences de données dans le service d'annuaire si le détenteur initial du rôle redevient disponible.

Processus de transfert des rôles FSMO d'un contrôleur de domaine à un autre. Le transfert de rôles FSMO est généralement un processus planifié, contrairement à la saisie de rôles FSMO, qui est généralement un processus d'urgence. Le transfert de FSMO doit être géré de manière sécurisée afin d'éviter qu'un attaquant ne prenne le contrôle de ces rôles cruciaux.

Voir aussi : Saisie du rôle des opérations flexibles à maître unique (FSMO)

Les rôles FSMO sont des rôles spéciaux attribués à un ou plusieurs contrôleurs de domaine dans un environnement Active Directory. Ces rôles gèrent les opérations qui ne peuvent être effectuées que par un seul contrôleur de domaine à la fois. Ces rôles permettent d'assurer la cohérence et d'éliminer les risques de conflits de mises à jour dans un environnement Active Directory. Cependant, une mauvaise gestion ou une défaillance d'un serveur ayant l'un de ces rôles peut entraîner des perturbations dans l'environnement AD.

Il existe cinq rôles de FSMO :

• Schema Master (un par forêt)
• Maître des noms de domaine (un par forêt)
• Emulateur PDC (un par domaine)
• RID Master (un par domaine)
• Maître de l'infrastructure (un par domaine)

La redirection des dossiers est une fonction de stratégie de groupe qui modifie l'emplacement de certains dossiers tels que le Bureau, les Documents et les Images vers un nouvel emplacement sur le réseau.

Dans ce type d'attaque, un attaquant force un compte d'utilisateur ou de service à modifier son mot de passe. Le pirate capture le nouveau hachage du mot de passe lorsqu'il est transmis au contrôleur de domaine, puis l'utilise pour s'authentifier en tant qu'utilisateur ou compte de service.

Un objet qui représente un principal de sécurité (tel qu'un utilisateur ou un groupe de sécurité) situé dans un domaine de confiance externe à la forêt. Ces objets permettent aux principaux de sécurité externes de devenir membres de groupes de sécurité au sein du domaine.

Dans Active Directory, une forêt est un ensemble d'une ou plusieurs arborescences de domaines, chacune ayant un espace de noms DNS différent. Toutes les arborescences de domaines d'une forêt partagent un schéma et un conteneur de configuration communs. Lorsque vous installez Active Directory pour la première fois, la création du premier domaine entraîne également la création d'une forêt. Les forêts constituent le conteneur logique le plus élevé dans une configuration Active Directory, encapsulant les domaines.

Forest Druid est un outil de sécurité gratuit de la communauté Semperis qui identifie et hiérarchise les chemins d'attaque qui mènent aux actifs de niveau 0. Cet outil aide les équipes de défense de la cybersécurité à prioriser rapidement les mauvaises configurations à haut risque qui pourraient représenter des opportunités pour les attaquants d'obtenir un accès privilégié au domaine. Plutôt que d'explorer toutes les pistes, les défenseurs peuvent utiliser Forest Druid pour identifier rapidement les voies d'attaque indésirables ou inattendues à corriger, ce qui accélère le processus de fermeture des portes dérobées dans Active Directory.

Forest Druid vous aide :

1. Identifier les groupes et les comptes ayant accès aux actifs de niveau 0
2. Définir les actifs de niveau 0 qui ne sont pas pris en compte dans les configurations par défaut
3. Recherche de violations à haut risque dans AD
4. Protéger les actifs de niveau 0 en appliquant les résultats de l'analyse pour hiérarchiser les mesures correctives et réduire les privilèges excessifs en se concentrant sur les actifs de niveau 0.

Le paramètre FFL détermine les capacités des services de domaine Active Directory (AD DS) qui peuvent être utilisées dans une forêt.

Voir aussi : Services de domaine de l'Active Directory (AD DS)

Le domaine racine de la forêt est le premier domaine créé dans la forêt. Ce domaine contient certaines caractéristiques spéciales et est crucial pour le fonctionnement de l'ensemble de la forêt AD. Le domaine racine de la forêt ne peut pas être supprimé.

Une relation de confiance est établie entre deux forêts Active Directory. Elle permet aux utilisateurs de différentes forêts d'accéder aux ressources de manière réciproque, en fonction des autorisations configurées. Une mauvaise configuration de ces relations de confiance peut exposer des ressources à des utilisateurs non autorisés, ce qui peut entraîner des violations de données.

Dans Active Directory, un lien direct est un type d'attribut de lien qui pointe d'un objet vers un autre. Lorsque le lien direct est modifié, le système met automatiquement à jour la table des liens pour l'attribut back link. Par exemple, l'attribut member d'un objet groupe est un lien direct qui pointe vers les utilisateurs membres du groupe, tandis que l'attribut memberOf est le lien retour correspondant.

Une zone de recherche avancée (forward lookup zone) est une partie du serveur DNS dans Active Directory qui est utilisée pour traduire les noms de domaine en adresses IP. Si elle n'est pas correctement sécurisée, elle peut être exploitée par des pirates pour obtenir un accès non autorisé ou pour lancer une attaque par empoisonnement du DNS.

Le transfert forcé des rôles FSMO (Flexible Single Master Operations) d'un contrôleur de domaine à un autre. Cette opération est généralement effectuée lorsque le contrôleur de domaine d'origine n'est plus disponible et ne doit être utilisée qu'en dernier recours, car elle peut entraîner des problèmes au sein du domaine. Une saisie incorrecte peut perturber le fonctionnement d'AD et poser des problèmes de sécurité.

Le processus de retour d'un système informatique à son état d'origine, généralement à l'aide d'une sauvegarde complète du système en cas de défaillance ou de corruption critique du système.

Le FQDN est le nom de domaine complet d'un ordinateur spécifique, ou hôte, sur l'internet. Le FQDN se compose de deux parties : le nom d'hôte et le nom de domaine. Dans le cas d'Active Directory, le FQDN est utilisé pour identifier précisément l'emplacement d'un objet dans l'annuaire.

Dans Active Directory, le niveau fonctionnel détermine les capacités disponibles du domaine ou de la forêt AD DS. Il détermine également les systèmes d'exploitation Windows Server que vous pouvez exécuter sur les contrôleurs de domaine dans le domaine ou la forêt. Toutefois, lorsque le niveau fonctionnel est élevé, les contrôleurs de domaine exécutant des versions antérieures de Windows Server ne peuvent pas être introduits dans le domaine ou la forêt.

Cette commande PowerShell récupère la politique de réplication des mots de passe pour un compte AD. Un attaquant peut potentiellement utiliser cette information pour comprendre quels mots de passe sont répliqués et où, ce qui l'aide à planifier son attaque.

Cette cmdlet PowerShell récupère un objet de contrôleur de domaine ou effectue une recherche pour récupérer plusieurs objets de contrôleur de domaine dans AD. Utilisée de manière inappropriée, elle peut fournir à un pirate des informations précieuses sur le contrôleur de domaine dans un environnement AD.

Cette cmdlet PowerShell récupère les politiques de mot de passe à grain fin de l'AD. Si ces politiques sont mal configurées ou fuient, cela pourrait aider un attaquant à planifier une attaque de craquage de mot de passe.

Cette cmdlet PowerShell permet de récupérer un objet de groupe ou d'effectuer une recherche pour récupérer plusieurs objets de groupe dans AD. Une mauvaise utilisation ou une exposition inappropriée peut permettre à un attaquant d'obtenir des informations précieuses sur la structure et l'appartenance des groupes dans un environnement AD.

Cette commande PowerShell permet de récupérer les membres d'un groupe AD. Un attaquant pourrait l'utiliser pour identifier les comptes à privilèges élevés à cibler.

Cette commande PowerShell permet de récupérer un objet AD ou d'effectuer une recherche pour récupérer plusieurs objets. Elle est couramment utilisée par un attaquant dans le cadre d'une reconnaissance pour comprendre les objets au sein d'AD.

Cette cmdlet PowerShell récupère les métadonnées de réplication des attributs pour les objets AD, ce qui peut être utilisé pour résoudre les problèmes de réplication. Cependant, entre les mains d'un attaquant, elle pourrait potentiellement révéler des informations sensibles.

Cette commande PowerShell permet de récupérer la racine de l'arbre des informations de répertoire (DIT) d'un domaine AD. Elle peut être utilisée par des attaquants pour recueillir des informations sur la structure du domaine.

Cette cmdlet PowerShell récupère un objet de confiance ou effectue une recherche pour récupérer plusieurs objets de confiance dans AD. Utilisée de manière inappropriée, elle peut fournir à un pirate des informations précieuses sur les relations de confiance dans un environnement AD.

Cette cmdlet PowerShell permet de récupérer un objet utilisateur ou d'effectuer une recherche pour récupérer plusieurs objets utilisateurs dans AD. Utilisée de manière inappropriée ou exposée, elle peut fournir à un attaquant des informations précieuses sur les comptes d'utilisateurs dans un environnement AD et identifier des cibles potentielles pour des attaques au sein de l'AD.

Le GAL est un répertoire accessible de tous les utilisateurs, groupes, contacts partagés et ressources enregistrés dans les services de domaine Active Directory (AD DS) d'une organisation. Un accès inapproprié ou une manipulation du GAL peut conduire à un accès non autorisé à des informations ou à des attaques par hameçonnage.

Le catalogue général est un référentiel de données distribué qui contient une représentation partielle et consultable de chaque objet de chaque domaine d'une forêt multidomaine Active Directory Domain Services (AD DS). Le CG est utilisé pour accélérer les recherches et les connexions, en particulier dans les grands environnements. Si un serveur GC devient indisponible ou compromis, cela peut entraîner des problèmes de connexion et de recherche.

Les groupes globaux peuvent avoir des membres issus de leur propre domaine, mais peuvent se voir accorder des autorisations dans n'importe quel domaine de la forêt. S'ils sont mal utilisés, ces groupes peuvent entraîner une escalade indésirable des privilèges.

Numéro de référence unique utilisé en programmation, créé par le système pour identifier de manière unique un objet AD. Dans Active Directory, un GUID est un numéro de 128 bits utilisé pour identifier les objets de manière unique. Chaque objet créé dans un Active Directory reçoit un GUID qui reste le même pendant toute la durée de vie de l'objet, même si l'objet est déplacé ou renommé. La manipulation des GUID peut potentiellement conduire à des attaques telles que l'usurpation d'identité d'un objet. 

Une attaque Golden gMSA est une cyberattaque au cours de laquelle les attaquants récupèrent les attributs de la clé racine du service de distribution de clés (KDS) et génèrent les mots de passe de tous les gMSA associés hors ligne. Ce processus en deux étapes commence par la récupération par l'attaquant de plusieurs attributs de la clé racine du KDS dans le domaine. Ensuite, à l'aide de l'outil Golden gMSA, l'attaquant génère le mot de passe de tout gMSA associé à la clé (sans disposer d'un compte privilégié).

Une attaque de type Golden Ticket permet à un pirate de falsifier un ticket Kerberos, ce qui lui donne un accès non autorisé à n'importe quel système du domaine en tant qu'utilisateur hautement privilégié, tel qu'un administrateur de domaine. Ces privilèges élevés peuvent donner à l'attaquant un accès presque illimité à Active Directory et aux ressources qui en dépendent. 

Cet outil de ligne de commande des systèmes d'exploitation Windows force une actualisation immédiate de la stratégie de groupe sur la machine locale. Cet outil peut être utile pour appliquer immédiatement les changements de stratégie, plutôt que d'attendre le cycle d'actualisation automatique.

Des politiques d'audit granulaires peuvent être configurées dans AD pour une collecte d'informations plus détaillée. Une mauvaise configuration peut entraîner des lacunes dans la surveillance et la journalisation, ce qui peut permettre aux attaquants d'éviter d'être détectés.

Cette valeur unique identifie un groupe spécifique dans un environnement AD. Dans un contexte UNIX, le GID est souvent utilisé pour faire correspondre les groupes UNIX à leurs équivalents Windows. Cette capacité peut être manipulée pour des attaques de contournement du contrôle d'accès dans des environnements à systèmes d'exploitation mixtes.

Un compte de service géré par groupe (gMSA) est un compte de domaine géré qui aide à sécuriser les services sur plusieurs serveurs. Introduit dans Windows Server 2012, le gMSA est un type spécial de compte de service dans Active Directory et comporte une rotation automatique du mot de passe tous les 30 jours. Il offre également une gestion simplifiée des noms de principaux services (SPN) et la possibilité de déléguer la gestion à d'autres administrateurs. S'ils sont compromis, les GMSA peuvent être utilisés pour escalader les privilèges ou se déplacer latéralement sur un réseau.

Voir aussi : Attaque du gMSA d'or

Les mots de passe des comptes de services gérés par le groupe (gMSA) sont gérés par AD. Ces comptes, s'ils sont compromis, peuvent permettre à un attaquant de se déplacer latéralement sur un réseau ou d'élever ses privilèges.

Voir aussi Compte de service géré de groupe (CSG)

Dans Active Directory, les utilisateurs sont regroupés afin de simplifier le processus d'octroi des autorisations ou de délégation du contrôle. Une appartenance incorrecte à un groupe peut donner à un utilisateur plus de droits d'accès que nécessaire. Le respect du principe du moindre privilège peut réduire le risque.

L'imbrication des groupes fait référence à la pratique consistant à ajouter des groupes en tant que membres d'autres groupes. Bien que l'imbrication puisse simplifier la gestion des autorisations, elle peut également créer des structures d'autorisations complexes et difficiles à suivre, ce qui peut entraîner des autorisations excessives et des problèmes de sécurité.

Ce snap-in de Microsoft Management Console (MMC) fournit une interface administrative unique pour la gestion de la stratégie de groupe au sein de l'entreprise dans un environnement Active Directory. GPMC simplifie la gestion des stratégies de groupe en facilitant la compréhension, le déploiement et la gestion des implémentations de stratégies.

Cet outil de planification et de dépannage pour les stratégies de groupe peut simuler l'impact potentiel des GPO, mais une mauvaise utilisation ou une mauvaise compréhension de ses résultats peut conduire à des configurations erronées.

Les stratégies de groupe permettent aux administrateurs informatiques de mettre en œuvre des configurations spécifiques pour les utilisateurs et les ordinateurs. Les paramètres de stratégie de groupe sont contenus dans les objets de stratégie de groupe (GPO), qui sont liés aux conteneurs des services de domaine Active Directory (AD DS). Un GPO est un composant de la stratégie de groupe, utilisé pour représenter les paramètres de stratégie appliqués aux utilisateurs ou aux ordinateurs. Les GPO peuvent devenir une cible pour les attaquants qui souhaitent modifier les paramètres de sécurité à l'échelle du système.

Voir aussi : Abus d'objets de stratégie de groupe (GPO)

Les attaquants autorisés à modifier les GPO peuvent tirer parti de cette capacité pour exécuter un code malveillant, modifier les paramètres du système ou perturber le fonctionnement du système sur les systèmes auxquels s'appliquent les GPO.

Faisant partie de la stratégie de groupe, le GPP permet une configuration plus avancée des systèmes. GPP se distingue par un problème de sécurité : Il stockait les mots de passe dans un format crypté réversible, une vulnérabilité qui a été exploitée par le passé.

Voir aussi : Attaque par mot de passe des préférences de stratégie de groupe (GPP)

Avant qu'une mise à jour de Microsoft ne supprime la fonction "Group Policy Preferences" (GPP), celle-ci permettait aux administrateurs de stocker des mots de passe dans des objets de stratégie de groupe (GPO). Les mots de passe cryptés pouvaient facilement être décryptés, et les anciens GPO pouvaient encore contenir ces entrées de mot de passe dépréciées, ce qui en faisait une cible pour les attaquants.

Rapport sur les paramètres de stratégie de groupe dans le champ d'application d'un objet (utilisateur ou ordinateur). Ce rapport peut s'avérer précieux pour le dépannage, mais il peut également révéler aux attaquants des faiblesses potentielles ou des configurations erronées dans les GPO.

La stratégie de groupe est une fonctionnalité intégrée à Microsoft Active Directory. Son objectif principal est de permettre aux administrateurs informatiques de gérer de manière centralisée les utilisateurs et les ordinateurs d'un domaine AD. Cela inclut les utilisateurs professionnels et les utilisateurs privilégiés tels que les administrateurs informatiques, ainsi que les stations de travail, les serveurs, les contrôleurs de domaine (DC) et les autres machines. La sécurité de la stratégie de groupe est une partie importante de la sécurité AD.

Les champs d'application des groupes définissent la portée des groupes AD en termes de capacité à inclure d'autres groupes ou utilisateurs en tant que membres, et la mesure dans laquelle ces groupes peuvent se voir accorder des autorisations. Une mauvaise configuration des champs d'application des groupes peut entraîner un accès non autorisé aux ressources.

Active Directory définit deux types de groupes : Sécurité et Distribution. Les groupes de sécurité sont utilisés pour les autorisations, tandis que les groupes de distribution sont utilisés pour les listes de distribution de courrier électronique.

Le durcissement d'un environnement AD consiste à sécuriser l'environnement contre les attaques en réduisant la surface de vulnérabilité. Il peut s'agir de mesures telles que la mise en place d'un accès à moindre privilège, la surveillance des activités suspectes, la mise à jour régulière des systèmes et l'application de correctifs, etc.

Dans le contexte d'Active Directory, le hachage concerne la manière dont les mots de passe sont stockés. AD utilise un algorithme de hachage pour stocker les mots de passe dans un format haché non réversible, ce qui renforce la sécurité. Toutefois, les pirates peuvent toujours utiliser des techniques telles que les attaques de type "pass-the-hash" pour exploiter ces informations d'identification hachées.

Les contrôles de santé d'Active Directory sont importants pour garantir le bon fonctionnement et les performances d'un environnement AD. Des contrôles réguliers permettent d'identifier les problèmes avant qu'ils ne deviennent majeurs. Sur le plan de la sécurité, ils permettent également d'identifier des activités inhabituelles susceptibles d'indiquer une violation ou une tentative d'attaque.

Un destinataire caché dans Active Directory est un utilisateur qui n'apparaît pas dans les listes d'adresses. Si les destinataires cachés ne sont pas correctement gérés, un pirate peut les utiliser pour exfiltrer des données sans déclencher d'alarme.

La structure d'AD est construite comme une hiérarchie, allant des forêts aux domaines, aux unités d'organisation et aux objets individuels. Il est essentiel de comprendre cette hiérarchie pour gérer AD et le sécuriser contre les attaques potentielles.

Dans AD, le répertoire personnel est un emplacement spécifique du réseau qui est automatiquement connecté chaque fois qu'un utilisateur se connecte. S'ils ne sont pas correctement sécurisés, ces répertoires peuvent être exploités par des pirates pour obtenir un accès non autorisé à des données sensibles.

Dans le domaine de la cybersécurité, un compte "pot de miel" est un compte AD leurre utilisé pour attirer et détecter les activités malveillantes. L'accès à ce compte ou sa modification peut être le signe d'une faille de sécurité.

Un hôte est un ordinateur connecté à un réseau.

Dans Active Directory, un enregistrement d'hôte (A) associe un nom de domaine à une adresse IP dans le système DNS. Si ces enregistrements ne sont pas correctement sécurisés, des pirates peuvent les manipuler et rediriger le trafic vers des sites malveillants.

Dans le contexte des services de fédération Active Directory (AD FS), un en-tête d'hôte est utilisé pour acheminer les requêtes HTTP/HTTPS entrantes qui sont envoyées à un serveur de fédération AD FS spécifique dans une ferme.

Un HIDS est un système qui surveille un système informatique, plutôt qu'un réseau, à la recherche d'activités malveillantes ou de violations de règles. La mise en œuvre d'un HIDS sur les serveurs AD critiques peut aider à détecter et à prévenir les attaques potentielles.

Un correctif est un paquet unique et cumulatif qui comprend des informations (souvent sous forme de fichiers) utilisées pour résoudre un problème dans un produit logiciel comme Active Directory. Du point de vue de la cybersécurité, l'application régulière de correctifs est essentielle pour se protéger des vulnérabilités connues.

Un environnement Active Directory hybride intègre AD sur site avec des solutions basées sur le cloud comme Azure AD (maintenant Entra ID). Cette configuration permet aux utilisateurs d'avoir une seule identité pour les deux systèmes. Du point de vue de la cybersécurité, la gestion des accès et des identités dans les environnements sur site et dans le nuage peut s'avérer complexe et nécessite une approche globale de la sécurité.

Dans le cadre d'un déploiement hybride, Active Directory peut servir à authentifier et à autoriser les utilisateurs et les ordinateurs dans un réseau qui combine une infrastructure sur site et des services en nuage. Les mesures de sécurité doivent être prises en compte dans les deux environnements.

De nombreuses organisations utilisent aujourd'hui à la fois Active Directory sur site et Azure AD dans le nuage. Cet environnement d'identité hybride permet d'utiliser une identité d'utilisateur et de système commune pour l'authentification et l'autorisation des ressources, quel que soit l'endroit où l'on se trouve. Cependant, il présente également des défis uniques en matière de cybersécurité.

En réponse, Semperis propose des solutions de détection et de réponse aux menaces identitaires (ITDR) conçues pour la protection de l'identité hybride. Nous sponsorisons également le podcast sur la protection de l'identité hybride (HIP) et la série de conférences sur la protection de l'identité hybride (hipconf.com).

Outil de force brute populaire, Hydra prend en charge de nombreux protocoles, notamment SMB et HTTP, qui sont souvent utilisés dans les environnements AD. Hydra peut être utilisé pour deviner ou craquer des mots de passe, permettant ainsi un accès non autorisé à des comptes d'utilisateurs.

HTTPS est souvent utilisé dans AD Federation Services (ADFS) pour sécuriser les communications. Il est important de maintenir les certificats à jour et d'utiliser des protocoles de cryptage puissants pour maintenir la sécurité.

La gestion des identités et des accès (IAM) est un cadre de politiques et de technologies permettant de s'assurer que les bonnes personnes au sein d'une entreprise disposent d'un accès approprié aux ressources technologiques. Les systèmes IAM peuvent être utilisés pour initier, capturer, enregistrer et gérer les identités des utilisateurs et les autorisations d'accès correspondantes.

Qu'il s'agisse de courriels d'hameçonnage ou de cyberattaques visant Active Directory, les acteurs de la menace adorent cibler les ressources d'identité. Si un cyberattaquant parvient à obtenir les informations d'identification d'un utilisateur (par exemple, par le biais d'un courriel d'hameçonnage), il n'a pas besoin de s'introduire dans votre environnement ; il peut simplement s'y connecter. Une fois dans votre environnement, le pirate peut tenter de s'approprier d'autres identités, en se frayant un chemin (par l'escalade des privilèges) jusqu'à l'accès de niveau administrateur. À ce stade, le pirate peut apporter des modifications à Active Directory afin de prendre le contrôle, de verrouiller ou d'arrêter les comptes, les ressources et les données des utilisateurs et du système.

L'IdM est un vaste domaine administratif qui implique l'identification des individus dans un système (tel qu'un pays, un réseau ou une entreprise) et le contrôle de leur accès aux ressources au sein de ce système en associant des droits d'utilisateur et des restrictions à l'identité établie.

L'IdP est un système qui crée, maintient et gère les informations d'identité pour les mandants et fournit l'authentification des mandants à d'autres fournisseurs de services au sein d'une fédération, comme avec AD Federation Services (ADFS).

Les systèmes d'identification font l'objet d'attaques soutenues. L'utilisation abusive des informations d'identification est désormais l'une des principales méthodes utilisées par les cyber-attaquants pour accéder aux systèmes et atteindre leurs objectifs.

Gartner a défini la catégorie de la détection et de la réponse aux menaces liées à l'identité (ITDR) pour évaluer les solutions qui détectent et font dérailler les attaques basées sur l'identité. L'ITDR fait référence à l'ensemble des pratiques, stratégies et technologies utilisées pour détecter et répondre aux menaces et attaques potentielles ciblant les identités et les informations d'identification des utilisateurs. Dans le contexte de l'Active Directory, il s'agit souvent de surveiller les activités suspectes telles que les schémas de connexion anormaux, le nombre excessif de tentatives de connexion infructueuses ou l'escalade inattendue des privilèges. 

L'ITDR est un élément crucial de la cybersécurité, car les informations d'identification compromises sont souvent un tremplin pour les attaquants qui veulent accéder à des ressources sensibles, effectuer des mouvements latéraux ou procéder à une escalade des privilèges au sein du réseau. Les organisations ont donc besoin d'un ensemble d'outils et de processus pour défendre les systèmes d'identité. 

Cet attribut dans AD relie un utilisateur sur site à un utilisateur Office 365. ImmutableID est souvent utilisé lors des migrations ou consolidations AD.

Impacket est une collection de classes Python développées pour travailler avec des protocoles de réseau, souvent utilisées pour créer des outils de réseau. Il fournit un cadre robuste et complet pour la création et le décodage de paquets réseau, permettant aux développeurs de construire et d'analyser le trafic réseau. Bien qu'Impacket soit un outil important pour les administrateurs de réseau légitimes et les professionnels de la cybersécurité, il peut également être exploité par des acteurs malveillants pour des attaques de réseau, telles que les attaques par relais NTLM sur Active Directory.

Voir aussi : Attaque par relais NTLM

L'usurpation d'identité désigne la capacité d'un thread à s'exécuter dans un contexte de sécurité différent de celui du processus propriétaire du thread. Dans le contexte de la cybersécurité, l'usurpation d'identité est une méthode d'attaque courante qui peut conduire à un accès non autorisé ou à une escalade des privilèges.

Identités spéciales qui représentent différents utilisateurs à différents moments, en fonction des circonstances. Par exemple : Connexion anonyme, lot, utilisateur authentifié, etc.

Méthode d'indexation des données pour une recherche rapide, utilisée par le moteur de stockage extensible (ESE) utilisé dans Active Directory.

Les indicateurs d'attaque (IOA) dans le domaine de la cybersécurité sont des indicateurs de sécurité qui démontrent l'intention d'une cyberattaque. La détection des IOA dès le début d'une attaque peut aider les défenseurs à prévenir d'autres dommages.

Voir aussi : indicateurs de sécurité, indicateurs de compromission, indicateurs d'exposition

Les indicateurs de compromission (IOC) en cybersécurité sont des indicateurs de sécurité qui démontrent que la sécurité du réseau a été violée. Les enquêteurs repèrent généralement les IOC après avoir été informés d'un incident suspect, après avoir découvert des appels inhabituels en provenance du réseau ou au cours d'une évaluation de la sécurité. Semperis Purple Knight et Directory Services Protector ( DSP) recherchent les IOC.

Voir aussi : indicateurs de sécurité, indicateurs d'attaque, indicateurs d'exposition

Les indicateurs d'exposition (IOE) sont des indicateurs de sécurité qui donnent un aperçu des vulnérabilités potentiellement exploitables avant qu'un incident de cybersécurité ne se produise. En comprenant ces risques, les équipes de sécurité peuvent mieux prioriser les efforts de gestion de la sécurité et être prêtes à contenir les attaques rapidement. Semperis Purple Knight et Directory Services Protector ( DSP) recherchent les IOE.

Voir aussi : indicateurs de sécurité, indicateurs d'attaque, indicateurs de compromission

L'IRM est une forme de technologie de sécurité informatique utilisée pour protéger les informations contre les accès non autorisés. Dans le contexte d'Active Directory, l'IRM peut contribuer à protéger les données sensibles en contrôlant les personnes qui y ont accès et ce qu'elles peuvent en faire, par exemple en empêchant l'impression ou la transmission de données.

Ensemble de politiques émises par une organisation pour s'assurer que tous les utilisateurs des technologies de l'information dans le domaine de l'organisation respectent ses règles et ses lignes directrices en matière de sécurité de l'information. Les politiques sont conçues pour protéger les données de l'organisation et gérer les risques liés à la confidentialité, à l'intégrité et à la disponibilité des informations.

L'un des cinq rôles FSMO dans AD, le maître de l'infrastructure est responsable de la mise à jour des références des objets de son domaine vers les objets d'autres domaines. Si tous les contrôleurs de domaine sont également des serveurs de catalogue global, le rôle de maître de l'infrastructure n'effectue aucune tâche.

Voir aussi : Rôles des opérations flexibles à maître unique (FSMO)

L'héritage fait référence à la transmission en cascade des autorisations des objets parents aux objets enfants dans l'arborescence d'Active Directory. Dans AD, les autorisations accordées à un niveau supérieur de la hiérarchie peuvent être héritées par les objets de niveau inférieur, à moins que l'héritage ne soit explicitement bloqué. L'héritage simplifie la gestion des autorisations, mais des configurations incorrectes peuvent exposer des ressources à des utilisateurs non autorisés. 

Les contrôleurs de domaine non autorisés ou la compromission des contrôleurs de domaine peuvent conduire à la réplication des données des services d'annuaire à un acteur malveillant, ce qui lui permet de recueillir des informations et des identifiants sensibles.

Cette fonction permet aux administrateurs d'installer un contrôleur de domaine en utilisant des fichiers de sauvegarde restaurés. En utilisant l'option Installer à partir d'un support (IFM), vous pouvez minimiser la réplication des données de l'annuaire sur le réseau. Cela vous permet d'installer plus efficacement des contrôleurs de domaine supplémentaires sur des sites distants, en particulier lorsque les liaisons WAN vers ces sites sont relativement lentes et/ou que la taille de la base de données AD existante est considérablement importante.

Cette commande PowerShell installe un nouveau contrôleur de domaine dans AD.

Cette commande PowerShell installe une nouvelle forêt AD DS. Il s'agit d'une commande hautement privilégiée qui, si elle est mal utilisée, peut conduire à la création d'une forêt malveillante, compromettant potentiellement l'ensemble de l'environnement AD.

Désigne un DNS intégré à un domaine Active Directory. Un serveur DNS intégré à AD stocke ses données dans Active Directory. Cela permet de répliquer les informations DNS sur tous les autres contrôleurs de domaine du domaine, ce qui améliore la tolérance aux pannes de votre DNS.

Une confiance établie entre deux forêts Active Directory. Une confiance inter-forêts peut être à sens unique ou à double sens et permet de contrôler l'accès aux ressources de chaque forêt. Il est essentiel de gérer et de surveiller les accords de confiance inter-forêts afin de réduire le risque d'accès non autorisé.

Dans Active Directory, le rôle ISTG est tenu par un contrôleur de domaine dans chaque site et est responsable de la création d'un arbre de recouvrement de tous les liens du site et de la construction d'une topologie de routage à moindre coût pour la réplication entre les contrôleurs de domaine au sein du site.

Ce type de connexion se produit lorsqu'un utilisateur entre ses informations d'identification directement dans le système, généralement par l'intermédiaire de la console du système. Dans Active Directory, les connexions interactives sont enregistrées comme un événement spécifique (ID d'événement 528 sur Windows Server 2003 et les versions antérieures, et ID d'événement 4624 sur Windows Server 2008 et les versions plus récentes).

L'internet est un réseau mondial d'ordinateurs et de serveurs qui communiquent entre eux à l'aide de protocoles normalisés, principalement TCP/IP (Transmission Control Protocol/Internet Protocol). L'internet fournit divers services, notamment le World Wide Web, le courrier électronique, le transfert de fichiers et les services en nuage. En termes de cybersécurité, l'internet est souvent le principal vecteur d'un large éventail de menaces ciblant les environnements Active Directory, notamment les attaques par hameçonnage, la diffusion de logiciels malveillants et l'exploitation à distance de vulnérabilités. Par conséquent, la sécurisation des connexions internet et la surveillance des services tournés vers l'internet sont des tâches cruciales pour la sécurité des réseaux.

IAS est l'implémentation Microsoft d'un serveur et d'un proxy RADIUS (Remote Authentication Dial-In User Service) dans Windows Server 2000 et 2003. L'IAS assure l'authentification, l'autorisation et la comptabilisation centralisées des connexions pour de nombreux types d'accès au réseau, y compris les connexions sans fil et VPN. Du point de vue de la cybersécurité, la sécurisation de l'IAS est cruciale, car les attaquants qui la compromettent peuvent manipuler les processus d'authentification, obtenir un accès non autorisé au réseau ou espionner le trafic réseau. Depuis Windows Server 2008, l'IAS a été remplacé par Network Policy Server (NPS).

IIS est un logiciel de serveur web créé par Microsoft pour la famille Windows NT. IIS prend en charge les protocoles HTTP, HTTPS, FTP, FTPS, SMTP et NNTP. Dans le contexte d'AD, IIS est souvent utilisé pour héberger des services web nécessaires comme ADFS.

IPsec est une suite de protocoles qui sécurise les communications IP en authentifiant et en chiffrant chaque paquet IP dans un flux de données. Dans le cadre d'Active Directory, les règles IPsec peuvent être utilisées pour sécuriser le trafic entre les contrôleurs de domaine AD et les serveurs ou clients membres, ajoutant ainsi une couche de sécurité supplémentaire.

Un intranet est un réseau privé au sein d'une organisation. Les intranets sont souvent utilisés pour partager les informations et les ressources informatiques de l'entreprise entre les employés. Sur le plan de la sécurité, un accès non contrôlé ou non autorisé à l'intranet peut entraîner une fuite d'informations ou d'autres formes d'attaques internes.

Dispositif ou application logicielle qui surveille un réseau ou des systèmes à la recherche d'activités malveillantes ou de violations de règles. Un IDS joue un rôle crucial dans une architecture de sécurité robuste.

Un inventaire du matériel ou des logiciels fait généralement référence au processus de collecte d'informations détaillées sur l'ensemble du matériel ou des logiciels utilisés au sein d'une organisation. Un inventaire précis est essentiel pour la gestion des ressources, la planification des besoins futurs et le maintien de la sécurité.

Une adresse IP est une étiquette numérique attribuée à chaque appareil participant à un réseau informatique qui utilise le protocole Internet pour communiquer. Dans un environnement Active Directory, un adressage IP correct est crucial pour la communication réseau et l'accès aux ressources.

Cette série de règles détermine la forme d'IPsec à utiliser lors d'une transaction entre le serveur et le client. Une mauvaise configuration des règles peut entraîner des failles de sécurité dans votre environnement AD.

Section d'un réseau isolée du reste du réseau. L'utilisation de segments de réseau isolés permet de limiter les dommages potentiels si un incident de sécurité se produit dans un autre segment.

Cet ensemble de pratiques détaillées pour la gestion des services informatiques (ITSM) se concentre sur l'alignement des services informatiques sur les besoins de l'entreprise.

La base de données Active Directory est basée sur le moteur Microsoft Jet Blue et utilise le moteur de stockage extensible (ESE) pour stocker, modifier, supprimer et lire les données. La base de données Active Directory est un fichier unique nommé ntds.dit. Par défaut, cette base de données est stockée dans le dossier %SYSTEMROOT%NTDS sur chaque contrôleur de domaine et est répliquée entre eux.

Un craqueur de mots de passe rapide, utilisé pour détecter les mots de passe faibles. Les attaquants utilisent John the Ripper pour casser les mots de passe hachés, ce qui permet un accès non autorisé.

Opération par laquelle un ordinateur devient partie intégrante d'un domaine Active Directory. L'adhésion à un domaine permet au système d'utiliser l'authentification centrale fournie par AD, d'accéder aux ressources et d'adhérer aux politiques définies par le domaine. Des erreurs dans ce processus peuvent entraîner des vulnérabilités et des contrôles d'accès inappropriés.

Cette technologie de sécurité permet de déléguer l'administration de tout ce qui est géré par PowerShell. Dans un contexte AD, JEA peut contribuer à limiter les attaques par escalade de privilèges en réduisant le nombre de personnes disposant de droits d'administration complets.

Voir aussi : Administration du juste-à-temps (JIT)

Cette méthode d'attribution de privilèges aux utilisateurs est similaire à l'administration juste suffisante (Just Enough Administration - JEA). La JEA accorde aux utilisateurs les privilèges dont ils ont besoin pour effectuer une tâche, mais seulement pendant une certaine période. Cette méthode permet de minimiser le risque d'escalade des privilèges ou de vol de données d'identification.

Voir aussi : Administration juste assez (JEA)

Kerberoasting cible la faiblesse du protocole d'authentification Kerberos utilisé par Active Directory. Les attaquants demandent un ticket de service pour un compte de service ciblé, puis craquent le ticket de service crypté hors ligne pour obtenir le mot de passe du compte.

Voir aussi : Kerberos, abus de délégation Kerberos, deviner le mot de passe Kerberos

Rubeus est un outil puissant permettant d'interagir avec le protocole Microsoft Kerberos. Dans les attaques de type Kerberoasting, les attaquants utilisent Rubeus pour demander des tickets de service et craquer les tickets hors ligne afin d'obtenir les informations d'identification des comptes de service.

Kerberos est la principale méthode d'authentification utilisée dans les domaines Active Directory pour authentifier les utilisateurs et les ordinateurs. Les anciens systèmes d'exploitation prennent en charge le cryptage DES, tandis que Windows Server 2008 et les versions ultérieures prennent en charge le cryptage AES. Kerberos est sujet à plusieurs types d'attaques, telles que les attaques Golden Ticket et Silver Ticket, qui exploitent la manière dont les tickets Kerberos sont créés et utilisés dans un environnement AD.

Le protocole de sécurité du réseau informatique Kerberos gère l'authentification et l'autorisation dans Active Directory. Le Massachusetts Institute of Technology (MIT), qui a créé Kerberos, le décrit comme utilisant une cryptographie forte pour permettre à un client de prouver son identité à un serveur sur une connexion réseau non sécurisée. Une fois que le client et le serveur ont utilisé Kerberos pour prouver leur identité, ils peuvent également crypter leurs communications pour garantir la confidentialité et l'intégrité des données. Il y a vingt ans, le protocole Kerberos a changé la donne en matière de sécurité, d'unification et d'évolution de l'AD vers la gestion des identités. Mais l'évolution des méthodes d'attaque et la migration vers l'informatique en nuage ont rendu Kerberos de plus en plus vulnérable aux cybermenaces.

Voir aussi : Abus de délégation Kerberos, deviner le mot de passe Kerberos, Kerberoasting

Cette fonction de sécurité d'Active Directory permet à un service d'usurper l'identité d'un utilisateur pour accéder à un autre service. Cette fonction est conçue pour réduire le nombre d'utilisateurs disposant de privilèges excessifs. Cependant, une mauvaise configuration peut permettre à des attaquants d'élever leurs privilèges ou de contourner les systèmes d'authentification.

Voir aussi : Abus de délégation Kerberos

Les attaquants peuvent manipuler les délégations non contraintes, contraintes et contraintes basées sur les ressources pour se faire passer pour d'autres utilisateurs ou élever les privilèges dans le domaine. Cet abus tire parti de la complexité et de la confiance implicite du protocole Kerberos.

Voir aussi : Kerberoasting, Kerberos, Kerberos Constrained Delegation (KCD), deviner le mot de passe Kerberos

Dans cette attaque, un adversaire cible les comptes d'utilisateurs qui ne nécessitent pas de préauthentification Kerberos. L'attaquant tente de s'authentifier auprès du centre de distribution de clés (KDC) et reçoit en retour un ticket chiffré (TGT) contenant le mot de passe haché de l'utilisateur, qui peut alors être déchiffré hors ligne.

Voir aussi : Kerberos, abus de délégation de Kerberos, Kerberoasting

La politique Kerberos définit les propriétés des tickets pour tous les utilisateurs du domaine, telles que la durée de vie et le renouvellement des tickets. Cette politique fait partie de la stratégie de groupe et, si elle n'est pas correctement configurée, elle peut permettre aux acteurs de la menace de rejouer d'anciens tickets Kerberos pour obtenir un accès non autorisé.

Le SPN est utilisé dans Active Directory pour associer une instance de service à un compte de connexion au service. Les SPN peuvent être la cible de certains types d'attaques, comme le Kerberoasting, où un attaquant utilise un ticket Kerberos valide pour demander des données de ticket de service, qui peuvent ensuite être forcées hors ligne pour révéler le mot de passe en clair du compte de service.

Kerbrute est un outil conçu pour effectuer le forçage brutal de la préauthentification Kerberos. Il peut être utilisé pour valider l'existence de noms d'utilisateurs dans un environnement Active Directory sans risque de blocage des comptes.

Dans le protocole Kerberos, le KDC est chargé d'authentifier les utilisateurs et de fournir des tickets d'attribution de tickets (TGT), qui sont ensuite utilisés pour obtenir des tickets de service pour diverses ressources dans le réseau. Un KDC compromis peut avoir de graves conséquences, car il peut entraîner la compromission de n'importe quel utilisateur ou service dans le domaine.

Cet utilitaire de ligne de commande répertorie les tickets Kerberos de l'utilisateur qui exécute la commande. Cet outil est utile pour résoudre les problèmes d'authentification Kerberos.

Ce service Active Directory génère une topologie de réplication pour le système de réplication Active Directory. Si KCC tombe en panne ou est compromis, il peut en résulter des incohérences dans les données de l'annuaire.

Un état de sécurité connu représente l'état d'un environnement dont il est confirmé qu'il ne contient pas de logiciels malveillants ou de ransomwares. Le retour à un état de sécurité connu après une cyberattaque permet d'éviter la perte de confidentialité, d'intégrité ou de disponibilité des informations.

Cet utilitaire de ligne de commande est utilisé pour configurer un ordinateur qui n'est pas relié à un domaine afin d'utiliser les ressources du domaine. L'outil est souvent utilisé pour configurer une machine afin qu'elle utilise Kerberos pour l'authentification dans des scénarios non traditionnels.

L0phtCrack est un vérificateur de mots de passe qui permet d'automatiser la récupération des mots de passe à partir de hachages, aidant ainsi les attaquants à s'introduire dans les systèmes en craquant le mot de passe de l'utilisateur.

Cet attribut identifie le dernier emplacement connu d'un objet AD déplacé ou supprimé. S'il n'est pas correctement contrôlé, il peut faciliter le suivi du cycle de vie de l'objet et, éventuellement, la restauration de l'objet, ce qui constitue un risque pour la sécurité.

Cet attribut indique la dernière fois que l'utilisateur s'est connecté. Des irrégularités dans cet attribut peuvent indiquer un accès non autorisé potentiel ou une attaque de type "pass-the-hash".

On parle de mouvement latéral lorsqu'un cyber-attaquant utilise des comptes compromis pour accéder à d'autres clients et comptes dans le réseau d'une entreprise. Les cyberattaquants utilisent le mouvement latéral en combinaison avec l'escalade des privilèges pour identifier et accéder aux comptes et ressources sensibles qui partagent les identifiants de connexion stockés dans les comptes, les groupes et les machines. Un objectif typique d'un mouvement latéral réussi est l'accès administratif éventuel aux contrôleurs de domaine Active Directory.

Voir aussi : domination de domaine, moindre privilège, accès privilégié, escalade des privilèges

Une défense en couches est une défense qui applique plusieurs couches de protection (par exemple, la sécurité des terminaux, le SIEM et la sécurité de l'Active Directory) pour s'assurer qu'un cyber-attaquant qui pénètre une couche de défense sera arrêté par une couche suivante.

Voir aussi : défense en profondeur

Le processus de liaison entre la couche transport et la couche application, créant une unité cohésive. En ce qui concerne la liaison du canal LDAP, la couche d'application LDAP est essentiellement entrelacée avec le tunnel TLS. Cette interconnexion étroite crée un identifiant distinct et unique, ou empreinte digitale, pour la communication LDAP, de sorte que toute communication LDAP interceptée ne peut être réutilisée par des attaquants.

Connexions logiques et unidirectionnelles d'un contrôleur de domaine à un autre à des fins de réplication. S'ils sont compromis, les objets de connexion LDAP peuvent être exploités pour obtenir un contrôle non autorisé sur la réplication.

Format standard d'échange de données en texte brut. Représente le contenu de l'annuaire sous forme d'enregistrements pour les demandes de mise à jour dans Active Directory. Utilisé par l'utilitaire de ligne de commande LDIFDE.

Voir aussi LDAP Data Interchange Format Directory Exchange (LDIFDE)

Un utilitaire Microsoft qui peut être utilisé pour importer/exporter des objets AD vers/depuis des fichiers LDIF. Une mauvaise utilisation peut conduire à l'exportation/importation non autorisée de données.

Voir aussi Format d'échange de données LDAP (LDIF)

LDAP Directory Probe est un utilitaire graphique de Windows Support Tool que les administrateurs utilisent pour exécuter des opérations LDAP sur AD. Une mauvaise utilisation de cet outil peut exposer des informations sensibles ou modifier des objets AD.

Dans ce type d'attaque, un pirate manipule les champs de saisie pour insérer et exécuter des commandes LDAP (Lightweight Directory Access Protocol). Il utilise ces commandes pour interroger et manipuler les données stockées dans un serveur LDAP, souvent utilisé en conjonction avec Active Directory.

Une extension de LDAP qui crypte le trafic LDAP. S'il n'est pas correctement configuré, LDAPS peut rendre le trafic susceptible d'être intercepté.

Politiques qui définissent le comportement d'un serveur LDAP. Une mauvaise configuration de ces règles peut entraîner des problèmes de performance et des risques potentiels pour la sécurité.

Lorsqu'un serveur LDAP ne peut répondre à une requête, il renvoie le client vers un autre serveur. Dans une attaque par renvoi, un client peut être renvoyé vers un serveur malveillant.

Les filtres de recherche LDAP sont utilisés pour trouver et manipuler les objets AD. Une mauvaise utilisation peut conduire à un accès non autorisé ou à la modification d'objets de l'annuaire.

La signature LDAP désigne le processus par lequel le trafic LDAP est signé numériquement à sa source. Cette signature numérique permet de s'assurer que le contenu du trafic LDAP reste inchangé pendant le transit, préservant ainsi son authenticité et son intégrité. En outre, elle permet au destinataire de confirmer la source originale du trafic LDAP. La configuration de la signature LDAP peut être réalisée soit par des stratégies de groupe personnalisées, soit par la manipulation de clés de registre. La désactivation de la signature LDAP peut rendre le réseau vulnérable aux attaques de type "man-in-the-middle".

Cet outil est utilisé pour vider des domaines en utilisant LDAP. L'outil permet à un attaquant d'accéder facilement à toutes sortes d'informations utiles sur le domaine.

LDAPMiner est un outil utilisé pour l'extraction de données LDAP, principalement destiné aux tests de pénétration et autres audits de sécurité. Les attaquants peuvent utiliser cet outil pour interroger et recueillir des données dans l'environnement AD, ce qui facilite la reconnaissance.

Parfois appelé privilège minimum, le principe de sécurité de l'information du moindre privilège souligne que les utilisateurs et les applications devraient se voir accorder un accès privilégié uniquement aux données et aux opérations dont ils ont besoin pour effectuer leur travail. En adoptant cette approche, les équipes informatiques et de sécurité peuvent contribuer à prévenir les mouvements latéraux potentiels dans les réseaux de leur organisation.

Voir aussi : domination de domaine, mouvement latéral, accès privilégié, escalade des privilèges 

Principe consistant à limiter les droits des utilisateurs au strict minimum nécessaire pour qu'ils puissent effectuer leur travail. Le non-respect du principe LUA peut ouvrir la voie à des attaques par escalade des privilèges.

Un identifiant unique pour chaque objet dans Active Directory (AD). La manipulation de cet identifiant peut conduire à un accès non autorisé, ce qui constitue un problème majeur de cybersécurité.

LDAP est un protocole ouvert et multiplateforme basé sur la norme d'annuaire X.500 utilisée pour l'authentification des services d'annuaire. Le fournisseur LDAP permet d'accéder à la structure hiérarchique d'Active Directory ou de toute autre base de données compatible LDAP. Les injections LDAP peuvent constituer une menace pour la cybersécurité si les données d'entrée ne sont pas correctement analysées, ce qui permet aux attaquants d'exécuter des commandes arbitraires dans le serveur d'annuaire.

Des objets persistants peuvent apparaître si un contrôleur de domaine ne réplique pas pendant un intervalle de temps supérieur à la durée de vie de la pierre tombale (TSL), puis se reconnecte à la topologie de réplication. Il s'agit d'objets qui restent dans la base de données de l'annuaire après avoir été supprimés sur d'autres contrôleurs de domaine et qui provoquent des incohérences et des problèmes de sécurité potentiels s'ils ne sont pas gérés correctement.

Dans Active Directory, une table de liens est une table de base de données qui garde la trace des attributs multi-évalués liés. Il s'agit notamment des attributs qui créent une relation entre deux objets AD, comme les attributs member et memberOf qui relient les utilisateurs aux groupes.

Attribut du schéma AD qui identifie de manière unique un attribut d'objet. S'il est compromis, cet attribut peut entraîner des incohérences de données et une escalade potentielle des privilèges.

Mécanisme d'Active Directory qui permet des mises à jour incrémentales d'attributs à valeurs multiples. Si elle est compromise, cette réplication peut entraîner une incohérence des données et potentiellement propager de fausses informations au sein de l'annuaire.

Attributs dans AD qui ont un attribut correspondant dans un autre objet, tels que member et memberOf. Une mauvaise configuration peut créer des liens orphelins qui risquent de perturber le processus de réplication et d'affecter la cohérence des données AD.

Fonctionnalité d'Active Directory, introduite avec Windows Server 2003, qui permet des mises à jour individuelles d'attributs multivalués au lieu de répliquer l'ensemble des valeurs. Par exemple, l'ajout d'un nouveau membre à un grand groupe ne réplique que l'ajout du nouvel utilisateur, et non l'ensemble de la liste des membres du groupe. Lorsqu'un attribut multivalué non lié est mis à jour, l'attribut entier doit être répliqué. Requiert le mode intérimaire de Windows Server 2003 ou le niveau fonctionnel de la forêt de Windows Server 2003 ou une version plus récente. S'il est manipulé, il peut entraîner des erreurs de réplication ou des modifications non autorisées.

Un outil Microsoft qui aide les organisations à gérer les mots de passe des administrateurs locaux pour les ordinateurs reliés à un domaine. Il permet d'atténuer le risque d'une attaque de type "pass-the-hash" en générant et en stockant de manière aléatoire un mot de passe différent pour le compte d'administrateur local de chaque machine dans Active Directory. En termes de cybersécurité, la mise en œuvre de LAPS peut améliorer de manière significative la posture de sécurité d'une organisation en limitant les possibilités de mouvement latéral pour les attaquants qui ont obtenu l'accès aux informations d'identification de l'administrateur local sur une machine.

Groupes existant sur une machine locale. Si un attaquant prend le contrôle d'un groupe local, il peut modifier les autorisations et obtenir des privilèges supplémentaires.

Ensemble de règles définies sur une machine locale qui dictent le comportement de ce système spécifique. S'ils ne sont pas configurés correctement, ils peuvent constituer une faille pour les atteintes à la sécurité.

Le LSA est responsable de la politique de sécurité locale et de l'authentification des utilisateurs. Les cyberattaques ciblent souvent les secrets des LSA car ils contiennent des données de sécurité et des informations d'identification sensibles.

Dans les systèmes d'exploitation Microsoft Windows, ce processus est responsable de l'application de la politique de sécurité sur le système. LSASS est souvent la cible du tristement célèbre outil Mimikatz, qui extrait de la mémoire les mots de passe en clair, les hachages, les codes PIN et les tickets Kerberos.

Comptes d'utilisateurs qui existent spécifiquement sur une machine locale et qui ne sont pas basés sur un domaine. S'ils ne sont pas correctement sécurisés, ils peuvent être utilisés par des pirates pour prendre pied dans un réseau.

Les comptes d'utilisateurs qui ont été verrouillés en raison de nombreuses tentatives de connexion incorrectes. Un attaquant peut délibérément verrouiller des comptes pour provoquer un déni de service ou pour dissimuler ses activités.

L'attaque du ransomware LockerGoga s'appuie sur "l'infrastructure de l'organisation, en l'occurrence Active Directory et Group Policy, pour se propager" (Darren Mar-Elia, vice-président des produits chez Semperis). Les rançongiciels ne se propagent généralement pas de cette manière, et cette méthode est donc plus difficile à détecter. Mais les organisations peuvent encore minimiser les risques liés à ces menaces. "Nous savons que les attaquants ont obtenu un accès Domain Admins sur Active Directory afin d'utiliser cette infrastructure pour se propager", déclare Mar-Elia. "Durcir votre infrastructure en utilisant une approche de moindre privilège peut vous aider énormément."

Le paramètre LockoutThreshold définit le nombre de tentatives de connexion non valides autorisées avant que le compte ne soit verrouillé. Ce paramètre est essentiel pour déjouer les attaques par force brute.

Active Directory stocke localement sur le système un cache des informations de connexion des utilisateurs. Si ce cache n'est pas correctement sécurisé, il peut être exploité pour obtenir un accès non autorisé aux comptes des utilisateurs.

Définit les heures pendant lesquelles un utilisateur est autorisé à se connecter au domaine. Si elle n'est pas correctement gérée, elle peut constituer une fenêtre d'opportunité pour les attaquants en dehors des heures de travail.

Fichier attribué à un compte d'utilisateur et qui s'exécute automatiquement lorsque l'utilisateur se connecte. Un script de connexion peut ajuster les paramètres du système d'exploitation, mapper les lecteurs réseau pour différents groupes d'utilisateurs ou même afficher un message de bienvenue spécifique à chaque utilisateur. Ces scripts résident dans un dossier du partage réseau SYSVOL d'un contrôleur de domaine et sont donc disponibles dans tout le domaine. Si un contenu malveillant est inséré dans ces scripts, il peut entraîner une compromission généralisée des systèmes.

Ce paramètre spécifie les machines à partir desquelles un utilisateur peut se connecter. S'il n'est pas limité de manière appropriée, il peut conduire à des attaques par déplacement latéral.

Ce paramètre de stratégie de groupe permet au même utilisateur d'avoir des stratégies différentes lorsqu'il se connecte à des machines différentes. Une mauvaise configuration de ce paramètre peut conduire à des attaques par escalade de privilèges.

Fonctionnalité de sécurité de Windows qui empêche l'accès au processus LSASS. Elle réduit le risque d'attaques visant à extraire des informations sensibles du processus LSASS, telles que celles menées à l'aide de l'outil Mimikatz.

Objets de données stockés par LSA pour contenir des données sensibles telles que des informations d'identification. L'extraction de ces secrets est une tactique courante dans les attaques de vol d'informations d'identification.

Utilisé dans la compression des données de la base AD (NTDS.DIT). L'exploitation de ce mécanisme peut entraîner la corruption ou le vol de données.

Chaque ordinateur d'un réseau dispose d'un compte machine, qui constitue un moyen d'authentification et d'audit. Un attaquant qui contrôle un compte machine peut mener diverses attaques telles que "pass-the-ticket" ou "pass-the-hash".

Identifiant unique que Windows attribue à la base de données du gestionnaire des comptes de sécurité (SAM) de chaque machine. Si un pirate obtient le SID d'une machine, il peut se faire passer pour elle et obtenir un accès non autorisé aux ressources du réseau.

Un état dans lequel vous pouvez placer un serveur lors de l'application de mises à jour ou de l'exécution d'une autre tâche de maintenance. Le fait de ne pas sécuriser correctement un serveur pendant la maintenance peut exposer le système à des attaques potentielles.

Les malwares sont des logiciels ou des codes malveillants destinés à endommager ou à détruire des systèmes informatiques et d'autres appareils personnels par divers moyens, notamment le vol de données, l'obtention d'un accès non autorisé, le partage d'informations privées, etc. Les cyber-attaquants peuvent utiliser des logiciels malveillants pour utiliser Active Directory et déterminer les chemins d'attaque possibles. Il est donc crucial pour les organisations de se concentrer sur la sécurité et la restauration d'Active Directory. Chez Semperis, nos solutions offrent une surveillance continue et une évaluation des vulnérabilités de l'AD, ainsi que la possibilité d'annuler les modifications non autorisées sans l'intervention d'un administrateur.

Une attaque de type "man-in-the-middle" (MiTM ) est une cyberattaque dans laquelle l'attaquant se positionne entre deux parties (par exemple, deux utilisateurs, un utilisateur et une application, un poste de travail et un ordinateur serveur) dans le but d'intercepter, d'inspecter, voire de modifier les données échangées entre les parties. Cette attaque peut conduire à des violations de données, exposant des informations sensibles et fournissant un accès non autorisé aux ressources du réseau.

Un type de compte de domaine qui gère automatiquement la gestion des mots de passe, éliminant ainsi le risque d'expiration du mot de passe qui pourrait causer des interruptions de service. Ces comptes peuvent être la cible d'attaques par élévation de privilèges.

Un attribut dans AD qui spécifie l'utilisateur ou le groupe qui gère un objet. Une mauvaise utilisation peut conduire à un accès non autorisé aux ressources.

Attribut défini dans le schéma Active Directory comme obligatoire pour une classe d'objets. Par exemple, pour un objet User, 'sAMAccountName' est un attribut obligatoire.

Les lecteurs réseau mappés sur un système individuel. Si un pirate accède à un système dont les lecteurs sont mappés, il peut potentiellement accéder à des données sensibles ou propager un ransomware sur le réseau.

La variante de ransomware Maze, découverte en 2019, est considérée comme la première dans laquelle les cyberattaquants ne se contentent pas de chiffrer les données, mais menacent également de faire fuir les données confidentielles des victimes si leurs demandes ne sont pas satisfaites. Maze obtient généralement un accès via des courriels d'hameçonnage, puis utilise diverses techniques pour se déplacer latéralement dans le réseau. Il compromet et exploite Active Directory (AD) pour propager la charge utile du ransomware au plus grand nombre de systèmes possible.

Un ordinateur équipé d'un système d'exploitation Windows Server qui est membre d'un domaine Active Directory mais qui n'est pas un contrôleur de domaine.

Cet attribut contient les noms distinctifs des groupes auxquels un objet (utilisateur ou groupe) appartient. Une mauvaise configuration peut entraîner un accès non autorisé aux ressources.

Fonctionnalité d'AD qui permet de mettre en cache l'appartenance à un groupe universel pour un utilisateur sur un site afin d'améliorer les performances de connexion. Si les données du cache ne sont pas correctement sécurisées, elles peuvent être exploitées pour obtenir un accès non autorisé.

MSMQ est un protocole de messagerie qui permet aux applications fonctionnant sur des serveurs ou des processus distincts de communiquer. S'il n'est pas correctement sécurisé, il peut constituer un point d'exploitation potentiel, permettant l'envoi de messages ou de commandes non autorisés.

Une base de données AD qui stocke les métadonnées des objets dans Active Directory. Si cette base de données est compromise, un pirate peut modifier les métadonnées associées aux objets AD.

Dans le contexte d'Active Directory, il s'agit des données relatives aux données contenues dans l'annuaire. Il s'agit notamment d'informations sur le moment et la manière dont les objets de données ont été créés, modifiés, consultés ou supprimés, y compris par qui. Du point de vue de la cybersécurité, les métadonnées peuvent fournir des informations cruciales lors d'une enquête ou d'un audit de sécurité, car elles peuvent révéler des changements non autorisés, des schémas d'accès ou des indicateurs de compromission.

Metasploit est un cadre de test de pénétration qui simplifie le piratage. C'est un outil essentiel dans l'arsenal d'un attaquant, avec de nombreux exploits, y compris ceux qui ciblent les environnements AD.

Un protocole d'authentification créé par Microsoft, MS-CHAP, présente des vulnérabilités et peut être exploité s'il est utilisé pour l'authentification réseau.

Microsoft Defender for Identity (anciennement Azure Advanced Threat Protection) est une solution basée sur le cloud qui utilise les signaux d'Active Directory sur site pour détecter et répondre aux menaces de cybersécurité et aux identités compromises. Defender for Identity surveille et analyse les activités et les informations des utilisateurs et des clients sur le réseau, créant ainsi une base comportementale pour chaque utilisateur. MDI émet ensuite des alertes en cas d'activité inhabituelle d'un client ou d'un utilisateur, telle qu'établie par cette ligne de base.

Un service centralisé pour la gestion des identités dans plusieurs annuaires. En cas de violation de MIIS, un attaquant pourrait manipuler les données d'identité à travers les systèmes.

MIM est un service qui fournit des outils et des technologies pour la gestion des identités, des informations d'identification et des politiques d'accès basées sur l'identité dans des environnements hétérogènes. MIM comprend des fonctions de synchronisation des identités, de gestion des certificats et des mots de passe, et d'approvisionnement des utilisateurs.

La MMC héberge des outils d'administration appelés " snap-ins", dont plusieurs sont destinés à AD, comme le snap-in Utilisateurs et ordinateurs d'Active Directory. Un accès inapproprié à la MMC peut entraîner des modifications non autorisées dans AD.

Mimikatz est un outil de premier plan pour l'extraction de mots de passe en clair, de hachages, de codes PIN et de tickets Kerberos à partir de la mémoire. Il peut être utilisé pour monter des attaques de type Golden Ticket, en particulier, qui exploitent les vulnérabilités de Kerberos, permettant aux attaquants de générer un ticket d'attribution de ticket (TGT) et d'obtenir des privilèges au niveau du domaine. Il est également utilisé pour effectuer des attaques de type "pass-the-hash" qui permettent à un attaquant de s'authentifier auprès d'un serveur ou d'un service distant en utilisant le hachage NTLM ou LanMan sous-jacent du mot de passe d'un utilisateur. En outre, l'outil peut être utilisé pour lancer des attaques de type "Silver Ticket" qui impliquent la création de tickets de service frauduleux et permettent l'accès à un service spécifique sur une machine spécifique, mais qui peuvent passer inaperçues aux yeux du contrôleur de domaine.

Le cadre ATT&CK de MITRE est un outil couramment utilisé pour comprendre la couverture de sécurité actuelle et déterminer comment l'améliorer. Cette base de connaissances fournit des informations fondamentales qui peuvent être utilisées pour développer des modèles de menace et constitue un outil populaire pour l'élaboration de plans de sécurité complets. 

Ce terme désigne le niveau fonctionnel de domaine d'Active Directory lorsque des contrôleurs de domaine Windows NT 4.0 sont présents. En mode mixte, certaines fonctionnalités avancées sont désactivées, ce qui rend l'AD plus vulnérable aux risques de sécurité.

Voir aussi : Mode natif

Emplacement dans une hiérarchie de répertoires où un volume est attaché, fournissant des emplacements supplémentaires pour le système de fichiers. Si un point de montage n'est pas correctement sécurisé, un pirate peut obtenir un accès non autorisé à des données sensibles.

Cette cmdlet PowerShell est utilisée pour déplacer un serveur d'annuaire vers un nouveau site. Elle est utile dans les grandes organisations pour gérer la topologie d'Active Directory.

Cette commande PowerShell transfère un ou plusieurs rôles de maître des opérations (FSMO) vers un contrôleur de domaine spécifié.

Voir aussi : Rôles des opérations flexibles à maître unique (FSMO)

Cette cmdlet PowerShell est utilisée pour déplacer un objet ou un conteneur d'objets vers un autre conteneur ou domaine. 

Cet outil de ligne de commande est utilisé pour déplacer des objets AD entre les domaines. Une mauvaise utilisation peut conduire à une relocalisation accidentelle ou malveillante d'objets, entraînant des incohérences et des violations potentielles.

Cet attribut définit les services qu'un compte peut représenter dans une délégation Kerberos. Une mauvaise configuration peut conduire à une escalade des privilèges et à des attaques par délégation Kerberos.

Cet attribut détermine le niveau fonctionnel du domaine et de la forêt de l'AD. Un niveau fonctionnel inférieur peut exposer l'AD à des vulnérabilités, car certaines améliorations en matière de sécurité ne sont disponibles qu'à des niveaux supérieurs.

Cet attribut est utilisé comme attribut d'ancrage de la source dans Azure AD Connect. Une mauvaise configuration peut entraîner des problèmes de synchronisation entre AD sur site et Azure AD, ce qui peut entraîner des problèmes d'authentification.

Cet attribut stocke l'horodatage de la dernière connexion interactive réussie pour l'utilisateur. Des temps de connexion inhabituels peuvent indiquer une violation potentielle de la sécurité.

Cet attribut détermine la durée pendant laquelle un compte reste verrouillé après avoir dépassé le seuil de verrouillage du compte. S'il est trop court, il risque de ne pas empêcher efficacement les attaques par force brute.

Fonctionnalités optionnelles qui ont été activées ou désactivées dans une forêt Active Directory. Une mauvaise configuration de ces fonctionnalités peut exposer la forêt à des risques de sécurité.

Cet attribut contient les stratégies de mot de passe à granularité fine qui sont appliquées aux objets utilisateurs ou groupes. Si ces paramètres sont laxistes ou mal configurés, les comptes d'utilisateurs peuvent être vulnérables à des attaques par force brute ou par pulvérisation de mot de passe.

Cet attribut stocke l'horodatage de l'avant-dernière connexion réussie de l'utilisateur. Des temps de connexion anormaux peuvent indiquer une violation potentielle de la sécurité.

Cet attribut représente l'ordinateur principal d'un utilisateur. S'il est manipulé, cet attribut peut permettre à un pirate d'usurper l'identité de la machine d'un utilisateur, ce qui peut entraîner un accès non autorisé.

Cet attribut contient des métadonnées de réplication pour les attributs liés, tels que les membres d'un groupe. Un acteur de la menace ayant accès à cet attribut peut potentiellement modifier les membres d'un groupe, ce qui conduit à une escalade des privilèges.

Cet attribut indique les types de cryptage que le compte utilisateur prend en charge pour la préauthentification Kerberos. Des types de chiffrement faibles peuvent rendre le compte vulnérable aux attaques basées sur Kerberos.

Cet attribut stocke des drapeaux qui déterminent l'état du compte utilisateur, par exemple s'il est désactivé, verrouillé ou si son mot de passe a expiré. La manipulation non autorisée de ces indicateurs peut entraîner une escalade des privilèges ou un accès non autorisé.

Cet attribut indique l'heure précise à laquelle le mot de passe d'un utilisateur expirera. S'il n'est pas correctement géré, il peut offrir aux pirates une fenêtre d'opportunité pour tenter des attaques basées sur les informations d'identification.

Utilitaire d'interface en ligne de commande pour l'installateur Microsoft Windows, utilisé pour l'installation, la maintenance et la suppression de logiciels.

Ce paquet d'authentification dans Windows traite les hachages NTLM. La célèbre attaque "pass-the-hash" vise souvent ce paquet, car les hachages NTLM peuvent être réutilisés pour l'authentification sans craquage.

Fonctionnalité qui permet aux clusters de s'étendre sur plusieurs sites Active Directory afin d'améliorer la disponibilité. S'il n'est pas correctement configuré et sécurisé, ce type de clustering peut devenir un vecteur d'attaque potentiel.

Attribut d'un objet pouvant contenir plus d'une valeur. Les attributs multi-valeurs peuvent n'avoir aucune valeur, une valeur ou plusieurs valeurs. Par exemple, l'attribut memberOf d'un objet utilisateur, qui contient une liste de tous les groupes auxquels l'utilisateur appartient.

Les solutions de sécurité multicloud permettent de protéger votre infrastructure, vos applications et vos données dans les systèmes en nuage de plusieurs fournisseurs.

L'AMF est un mécanisme de sécurité qui exige des utilisateurs qu'ils prouvent leur identité à l'aide d'au moins deux méthodes indépendantes, ou facteurs, avant que l'accès ne leur soit accordé. Ces facteurs peuvent inclure quelque chose que vous connaissez (comme un mot de passe), quelque chose que vous avez (comme un jeton matériel ou un téléphone portable), et quelque chose que vous êtes (comme une empreinte digitale ou un autre facteur biométrique). Dans le contexte d'Active Directory, la mise en œuvre de l'AMF peut considérablement accroître la sécurité en rendant plus difficile l'accès des attaquants, même s'ils ont compromis le mot de passe d'un utilisateur, réduisant ainsi le risque de réussite d'une attaque par phishing, par pulvérisation de mot de passe ou par force brute.

La capacité d'Active Directory à permettre des modifications à n'importe quel centre de données, qui réplique ensuite les modifications à d'autres centres de données. Si un pirate compromet un seul DC, il peut propager des modifications malveillantes à d'autres DC.

Identifiant unique utilisé par Microsoft pour un objet dans un répertoire. Des modifications non autorisées peuvent entraîner une perte d'accès ou des incohérences dans le répertoire.

Il s'agit d'une fonction de sécurité dans laquelle le client et le serveur valident l'identité de l'autre avant d'établir une connexion. Sans cela, il est plus facile pour un attaquant de mener des attaques de type "man-in-the-middle" (MitM).

Le processus de résolution d'un nom d'hôte en une adresse IP au sein d'un réseau. Des attaques telles que le DNS spoofing peuvent manipuler ce processus pour rediriger le trafic du réseau.

Dans le contexte d'AD, les Named Pipes sont une méthode de communication inter-processus (IPC). Ils sont sujets à des vulnérabilités liées à l'IPC telles que le détournement de DLL ou l'usurpation d'identité de Named Pipes.

Dans Active Directory, un espace de noms est un conteneur qui contient des objets tels que des utilisateurs, des ordinateurs et d'autres unités organisationnelles. Un espace de noms bien conçu permet d'éviter de nombreux problèmes de sécurité, tels que les conflits de noms et les erreurs de réplication.

Également connu sous le nom de partition d'annuaire dans Active Directory, un NC est une partie de l'annuaire qui peut être répliquée sur les contrôleurs de domaine. Il existe trois types de NC :

• Schéma
• Configuration
• Domaine

Un niveau fonctionnel de domaine (DFL) qui s'applique uniquement au serveur Windows 2000 et qui ne prend pas en charge les contrôleurs de domaine Windows NT. Une fois en mode natif, le domaine prend en charge les groupes imbriqués. L'alternative est le mode mixte.

Voir aussi Mode mixte

Un utilitaire de ligne de commande pour rapporter les statistiques NetBIOS sur TCP/IP.

Dans Active Directory, les groupes peuvent contenir d'autres groupes, ce qui permet une organisation hiérarchique. Cependant, l'imbrication peut conduire à une escalade involontaire des autorisations et à l'accès aux ressources si elle n'est pas gérée avec soin.

Outil de ligne de commande utilisé pour connecter, déconnecter et configurer les connexions aux ressources partagées, telles que les lecteurs réseau et les imprimantes. S'il est mal utilisé, cet outil peut conduire à un accès non autorisé aux ressources.

Acronyme de Network Basic Input/Output System, il s'agit d'un protocole de réseau utilisé par les systèmes Windows pour la communication sur un réseau local. Le nom NetBIOS d'un ordinateur est généralement constitué des 15 premiers caractères du nom d'hôte, suivis du caractère "$". La résolution des noms NetBIOS en adresses IP est assurée par des diffusions locales et le service WINS.

Connu comme le "couteau suisse" de TCP/IP, Netcat peut lire et écrire des données à travers des connexions réseau. Les attaquants peuvent utiliser Netcat pour créer des portes dérobées, transférer des fichiers ou explorer le réseau.

Service Windows utilisé pour l'authentification des utilisateurs et des ordinateurs dans les anciens systèmes d'exploitation. Un partage appelé Netlogon est automatiquement créé sur tous les contrôleurs de domaine à des fins de rétrocompatibilité et peut contenir des scripts de connexion. Le récent exploit ZeroLogon a permis aux attaquants de prendre le contrôle du contrôleur de domaine utilisant ce service.

Un utilitaire de script en ligne de commande qui permet, entre autres, de modifier les configurations du réseau. Les attaquants peuvent utiliser cet outil à mauvais escient pour manipuler le trafic réseau ou exfiltrer des données.

Cet outil de ligne de commande est utilisé pour afficher les connexions réseau actives et les ports d'écoute. Les attaquants peuvent l'utiliser à des fins de reconnaissance interne après avoir obtenu un accès initial.

NAP est une technologie Microsoft permettant de contrôler l'accès au réseau d'un ordinateur en fonction de son état de santé. S'il est compromis, le NAP peut permettre à des systèmes non autorisés d'accéder au réseau.

La NAT est une méthode de mappage d'un espace d'adresses IP dans un autre en modifiant les informations d'adresse réseau dans l'en-tête IP des paquets pendant qu'ils sont en transit. Dans le contexte d'Active Directory, des règles NAT mal configurées pourraient potentiellement exposer des services internes à l'extérieur, ce qui constituerait un risque pour la sécurité.

Il s'agit du processus d'identification de tous les appareils d'un réseau. Dans le contexte d'Active Directory, il faut s'assurer que seules les personnes autorisées peuvent procéder à la découverte du réseau afin d'empêcher toute reconnaissance non désirée.

NFS est un protocole de système de fichiers distribués permettant à un utilisateur sur un ordinateur client d'accéder à des fichiers sur un réseau d'une manière similaire à l'accès au stockage local. Des partages NFS mal configurés peuvent permettre un accès non autorisé à des fichiers sensibles.

Point d'interconnexion entre un ordinateur et un réseau privé ou public. Une interface réseau compromise sur un contrôleur de domaine peut permettre à un pirate d'intercepter ou de manipuler le trafic.

NLA est une fonction de sécurité pour les connexions RDP qui exige que l'utilisateur qui se connecte s'authentifie avant qu'une session ne soit établie avec le serveur. La désactivation de NLA peut rendre le serveur vulnérable aux attaques basées sur RDP.

Un Network Listener est un service ou un composant réseau qui écoute les connexions réseau ou les paquets entrants sur un port ou un protocole spécifique. Il attend les demandes de communication entrantes et y répond de manière appropriée en fonction des règles ou des configurations prédéfinies.

NPS est l'implémentation Microsoft d'un serveur RADIUS et d'un proxy. Comme pour tout système d'authentification, il s'agit d'un composant de sécurité critique, et toute compromission peut conduire à un accès non autorisé au réseau.

Une pratique de sécurité qui consiste à séparer les différentes parties d'un réseau. Cela permet de limiter la propagation des mouvements latéraux en cas de compromission de l'Active Directory.

Les services (par exemple, DNS, DHCP) qui sont mis à la disposition d'un réseau privé ou public à partir d'un serveur. Si ces services sont compromis, cela peut avoir un impact direct sur la sécurité de l'environnement Active Directory.

Le reniflage de réseau fait référence à l'utilisation d'analyseurs de protocole réseau ou d'outils similaires pour capturer et analyser le trafic réseau. Dans le contexte de l'AD, cela pourrait potentiellement exposer des données sensibles non cryptées.

Protocole de réseau pour la synchronisation de l'horloge entre les systèmes informatiques sur des réseaux de données à commutation de paquets et à latence variable. Dans Active Directory, la précision de l'heure est essentielle pour l'authentification Kerberos, car il existe une différence de temps maximale (5 minutes par défaut) entre l'heure du client et l'heure du serveur. Si un pirate peut manipuler les réponses NTP sur un réseau, il peut potentiellement l'exploiter pour des attaques par rejeu ou même pour provoquer des échecs d'authentification sur le réseau. Il est donc essentiel de sécuriser les communications NTP.

Le système de fichiers NTFS (New Technology File System) est le système de fichiers utilisé par le système d'exploitation Windows NT pour stocker et récupérer des fichiers sur un disque dur. NTFS est le système de fichiers principal des versions récentes de Windows et de Windows Server.

Cette cmdlet PowerShell est utilisée pour créer une nouvelle unité d'organisation AD (OU). Si elle est mal utilisée, elle peut conduire à la création d'OU inutiles, perturbant la structure d'AD et masquant potentiellement des changements non autorisés.

Une cmdlet PowerShell utilisée pour créer un nouvel objet utilisateur dans Active Directory. Son utilisation par un attaquant pourrait conduire à la création de comptes de porte dérobée pour un accès persistant.

Le National Institute of Standards and Technology (NIST) est une agence du ministère américain du commerce. L'élaboration du cadre de cybersécurité du NIST est un exemple de la manière dont le NIST s'acquitte de sa mission, à savoir "promouvoir l'innovation et la compétitivité industrielle des États-Unis en faisant progresser les sciences, les normes et les technologies de la mesure de manière à renforcer la sécurité économique et à améliorer notre qualité de vie". Cette approche populaire de l'identification et de la résolution des risques hautement prioritaires pour Active Directory (AD) et d'autres systèmes cruciaux comprend cinq phases :

• Identifier
• Protéger
• Détecter
• Répondre
• Récupérer

Nmap est un scanner de sécurité utilisé pour découvrir les hôtes et les services sur un réseau informatique, créant ainsi une "carte" du réseau. Les attaquants peuvent utiliser ce scanner pour la découverte du réseau et l'audit de sécurité.

Une restauration non autoritaire restaure un contrôleur de domaine AD à un moment donné. Cependant, comme ce type de restauration n'est pas marqué comme faisant autorité, si un autre contrôleur de domaine a mis à jour des objets ou des attributs depuis la date et l'heure de restauration du contrôleur de domaine cible, ces mises à jour sont répliquées dans le contrôleur de domaine restauré, ce qui rend ses données actuelles.

Voir aussi : restauration faisant autorité

Un NDR indique qu'un élément de communication particulier (tel qu'un courriel ou un paquet) n'a pas été livré. Les cyberattaquants peuvent utiliser les NDR pour obtenir des informations sur la structure interne du système de messagerie d'une organisation afin de mener une attaque ciblée.

Dans le contexte d'Active Directory, la non-répudiation fait référence à la capacité de garantir qu'une partie à un litige ne puisse pas nier la validité des preuves (comme un utilisateur qui nie ses activités). Une politique d'audit faible peut conduire à une non-répudiation médiocre.

Le processus de modification des données pour les adapter à un format désiré. Les attaquants peuvent contourner les contrôles de validation des entrées par des incohérences de normalisation.

Le logiciel malveillant "wiper" NotPetya agit comme un ransomware mais n'a pas de moyen d'annuler son chiffrement. NotPetya affecte particulièrement Active Directory (AD), entraînant l'arrêt des opérations. NotPetya est tristement célèbre pour ses attaques dévastatrices de 2017 qui ont commencé en Ukraine et ont causé des dommages estimés - et sans précédent - à 10 milliards de dollars dans le monde entier.

Un utilitaire de ligne de commande pour diagnostiquer les problèmes d'infrastructure du service de noms de domaine (DNS).

Comptes de service intégrés dans les systèmes Windows. Si ces comptes sont compromis, ils peuvent souvent fournir des niveaux élevés d'accès au système.

Le durcissement des services NT empêche les services Windows d'effectuer des activités anormales dans le système de fichiers, le registre, le réseau ou d'autres ressources qui pourraient être utilisées pour permettre aux logiciels malveillants de persister ou de se propager.

Un utilitaire de sauvegarde intégré à Windows. Si un pirate peut manipuler ou accéder à ces sauvegardes, il peut accéder à des données sensibles.

Il s'agit d'un fichier système Windows utilisé dans le processus de démarrage. L'altération ou la compromission de ce fichier peut permettre à un attaquant d'avoir un accès permanent au niveau du système.

Les quotas NTDS limitent le nombre d'objets qu'un principal de sécurité peut posséder dans l'annuaire. Si cette limite n'est pas correctement définie, elle peut être utilisée pour une attaque par déni de service (DoS).

La base de données AD stockée sur les contrôleurs de domaine, qui contient toutes les informations sur les objets des utilisateurs, y compris les mots de passe hachés. Les attaquants ciblent souvent ce fichier pour en extraire des données sensibles.

Outil en ligne de commande qui permet de gérer les services de domaine Active Directory (AD DS) et les services d'annuaire légers Active Directory (AD LDS). S'il est utilisé de manière malveillante, il peut causer des dommages importants aux services AD.

Voir aussi : Active Directory Domain Services (AD DS), Active Directory Lightweight Directory Services (AD LDS)

Un outil pour extraire les données AD des fichiers ntds.dit (la base de données AD). NTDSXtract peut être utilisé pour découvrir des noms d'utilisateurs, des appartenances à des groupes, des politiques de mots de passe, etc. Ces données peuvent aider un pirate à planifier et à mener des attaques.

Permissions sur les objets du système de fichiers sur les volumes NTFS, gérés par Active Directory. Une mauvaise configuration peut entraîner un accès non autorisé aux données ou un déni de service.

NTLM est un ensemble de protocoles de sécurité utilisés pour authentifier, assurer l'intégrité et la confidentialité des utilisateurs. Bien que Kerberos soit le protocole d'authentification préféré et qu'il soit utilisé dans les versions modernes de Windows, NTLM est toujours disponible pour les clients plus anciens et les systèmes d'un groupe de travail. NTLM présente plusieurs failles de sécurité, sujettes à diverses attaques telles que pass-the-hash et pass-the-ticket, qui permettent aux attaquants d'accéder aux mots de passe des utilisateurs, et doit donc être évité.

Dans une attaque par relais NTLM, un pirate intercepte les sessions d'authentification NT LAN Manager (NTLM) entre les ordinateurs d'un réseau, puis transmet (relaie) les informations d'identification à un autre hôte du réseau. Cela permet à l'attaquant d'exécuter des commandes ou d'accéder à des ressources sur le second hôte en utilisant les informations d'identification interceptées.

Un outil conçu dans le but de rendre la reconnaissance basée sur le protocole NTLM rapide et facile. Il peut être utilisé pour identifier les domaines et les services qui supportent les sessions Null.

Type de liaison anonyme dans LDAP. Lorsque null bind est activé, il peut permettre à un utilisateur anonyme de se connecter à l'annuaire et d'accéder potentiellement à des informations sensibles.

Les sessions nulles dans Windows sont des sessions NetBIOS non authentifiées, qui peuvent permettre à un pirate de recueillir une foule d'informations sur le système.

OAuth est une norme ouverte pour la délégation d'accès, couramment utilisée pour l'authentification et l'autorisation basées sur des jetons. La protection des jetons OAuth est essentielle ; les attaquants peuvent utiliser des jetons volés pour se faire passer pour des utilisateurs légitimes.

Dans Active Directory, un objet est un ensemble d'attributs distincts et nommés représentant un élément du réseau, tel qu'un utilisateur, un ordinateur ou un groupe. Il est essentiel de sécuriser ces objets, car leur compromission peut permettre à des attaquants d'obtenir un accès non autorisé ou d'élever leurs privilèges.

Cette fonction vous permet de collecter des informations chaque fois qu'un type d'objet spécifique est consulté. L'absence d'audit approprié peut permettre à des activités malveillantes de passer inaperçues.

Cet événement Active Directory se produit lorsqu'un objet, tel qu'un utilisateur ou un groupe, est supprimé. Il est important de surveiller les suppressions d'objets inattendues pour détecter les activités malveillantes potentielles.

Cette valeur unique au monde est utilisée pour identifier un grand nombre de choses, notamment les attributs et les classes du schéma, les mécanismes de sécurité et les formes de noms. Les OID sont essentiels pour l'interopérabilité et l'extensibilité du service d'annuaire. Dans de nombreuses implémentations d'annuaires LDAP, un OID est la représentation interne standard d'un attribut. Chaque attribut du schéma Active Directory possède un OID X.500 unique. Toutes les valeurs OID créées par Microsoft commencent par 1.2.840.113556.

L'héritage d'objets est une propriété des objets Active Directory dans laquelle les objets enfants héritent des autorisations de leurs objets parents. Des paramètres incorrects peuvent entraîner l'octroi accidentel d'autorisations excessives.

Cet attribut est utilisé pour regrouper des classes similaires. Une mauvaise configuration peut entraîner des erreurs de classification et des failles de sécurité potentielles.

Cet attribut détermine le type d'objets (par exemple, utilisateur, ordinateur, groupe) qui sont stockés dans Active Directory. Il spécifie également l'ensemble des attributs obligatoires (c'est-à-dire que chaque objet de la classe doit avoir au moins une valeur de chaque attribut) et des attributs autorisés (c'est-à-dire que chaque objet de la classe peut avoir une valeur de chaque attribut). ObjectClass est défini dans un objet classSchema. La manipulation de cet attribut peut permettre à un attaquant de masquer une activité malveillante.

Identifiant unique d'un objet dans Active Directory, qui reste constant. Les attaquants peuvent utiliser les ObjectGUID pour maintenir la persistance dans l'environnement.

Cet identifiant unique est attribué à chaque objet d'un domaine Active Directory. Si un pirate peut manipuler ces identifiants, il peut obtenir un accès non autorisé.

Ce processus permet à un ordinateur de rejoindre un domaine sans avoir besoin d'une connectivité réseau. Un vecteur d'attaque potentiel pourrait forcer un appareil à rejoindre un domaine contrôlé par un attaquant.

Cet outil peut être utilisé pour modifier le mot de passe de tout utilisateur disposant d'un compte local valide sur un système Windows. Si un attaquant obtient un accès physique à un système, il peut utiliser ces outils pour accéder à un compte local et potentiellement élever ses privilèges.

Cette plateforme de gestion des identités et des accès (IAM) populaire fournit un logiciel en nuage pour aider les entreprises à gérer et à sécuriser l'authentification des utilisateurs dans les applications modernes et pour permettre aux développeurs d'intégrer des contrôles d'identité dans les applications, les services web des sites et les appareils. Elle peut être intégrée à Active Directory pour gérer l'accès des utilisateurs dans des environnements sur site et en nuage. S'il est compromis, il peut conduire à un accès non autorisé généralisé.

Cet outil en ligne de commande, développé par Joe Richard (DS-MVP) pour interroger Active Directory à la recherche de comptes d'ordinateur ou d'utilisateur inutilisés, peut également nettoyer des comptes.

Cet outil est utilisé pour répliquer les informations de l'Active Directory sur site vers les services cloud de Microsoft. Une compromission de DirSync pourrait exposer les données sensibles d'Active Directory sur site à un attaquant.

Un mot de passe qui n'est valable que pour une seule session de connexion ou une seule transaction. Il est couramment utilisé dans les systèmes d'authentification à deux facteurs pour fournir une couche de sécurité supplémentaire au-delà du nom d'utilisateur et du mot de passe.

Dans Active Directory, une confiance à sens unique est un chemin d'authentification unidirectionnel créé entre deux domaines. Si un pirate compromet ce chemin, il peut obtenir un accès non autorisé aux ressources d'un domaine tout en provenant de l'autre.

Il s'agit d'un protocole internet utilisé pour obtenir l'état de révocation d'un certificat numérique X.509. Un pirate peut effectuer une attaque par usurpation d'OCSP pour imiter une autorité de certification et émettre des certificats frauduleux.

Logiciel sous-jacent qui contrôle un ordinateur ou un serveur. Le renforcement du système d'exploitation des contrôleurs de domaine est essentiel pour la sécurité d'Active Directory.

Attributs fournis automatiquement par l'annuaire, tels que creationTimeStamp. Ces attributs sont calculés par un contrôleur de domaine sur demande. Ils peuvent être utilisés pour suivre les actions et les modifications apportées aux objets. Une recherche LDAP demandant "tous les attributs" ne renvoie pas les attributs opérationnels et leurs valeurs. Les attaquants peuvent tenter de manipuler ou d'effacer ces attributs pour dissimuler leurs activités.

Attribut défini dans le schéma comme optionnel pour une classe d'objets. Contrairement aux attributs obligatoires, les attributs facultatifs ne sont pas tenus d'avoir une valeur.

Dans le cadre d'Active Directory, l'identité organisationnelle désigne les informations d'identification et les identifiants qui appartiennent à une entreprise ou à une organisation. La protection de ces identifiants est cruciale pour empêcher les attaquants de se faire passer pour une entité légitime au sein de l'organisation.

Une OU est un type de conteneur au sein d'un Active Directory dans lequel vous pouvez placer des utilisateurs, des groupes, des ordinateurs et d'autres unités organisationnelles. Les OU peuvent être utilisés pour attribuer des stratégies de groupe et gérer des ressources, et une mauvaise configuration peut entraîner un accès inapproprié.

Un objet orphelin reste dans la base de données de l'annuaire mais a été supprimé dans tous les sens du terme parce que son objet parent a été supprimé. Ces objets peuvent être exploités par un attaquant pour dissimuler ses activités ou maintenir la persistance dans un environnement.

L'approvisionnement en systèmes d'exploitation (OS) consiste à installer un système d'exploitation donné sur plusieurs hôtes. 

Ce type de correctif est publié à un moment imprévu, généralement pour remédier à une vulnérabilité spécifique. Appliquez ces correctifs rapidement pour éviter qu'ils ne soient exploités.

Les paramètres et la configuration par défaut d'un système ou d'un logiciel lors de sa première installation. Ces configurations peuvent parfois être peu sûres, il est donc important de les renforcer en se basant sur les meilleures pratiques afin d'éviter une exploitation facile.

La réplication sortante est le processus par lequel un contrôleur de domaine réplique des modifications à d'autres contrôleurs de domaine. Si un pirate parvient à manipuler ce processus, il peut propager des modifications malveillantes à travers le domaine.

Une relation de confiance entre deux domaines à des fins d'authentification. La confiance sortante est du point de vue du domaine qui fait confiance à un autre domaine.

Outlook Anywhere permet d'accéder à votre serveur Exchange à partir de votre client Outlook sans utiliser de VPN. Cela peut constituer un point d'entrée potentiel pour les attaquants s'il n'est pas correctement sécurisé.

OWA permet d'accéder au courrier électronique via un navigateur Web. S'il n'est pas correctement sécurisé, cela peut constituer un point d'entrée pour les attaquants.

Dans cette configuration, deux liens de site ont des sites en commun. Cette configuration peut entraîner un trafic de réplication inefficace si elle n'est pas gérée correctement, offrant ainsi à un pirate la possibilité d'intercepter des données sensibles.

Une attaque de type "overpass-the-hash" est similaire à une attaque de type "pass-the-hash", mais elle implique Kerberos plutôt que NTLM. L'attaquant utilise le hachage du mot de passe d'un utilisateur pour générer un hachage de pré-authentification Kerberos, qui est ensuite utilisé pour demander un ticket d'octroi de ticket (TGT) au contrôleur de domaine.

Voir aussi : Kerberos, Attaque de type "Pass-the-hash

Dans Active Directory, chaque objet a un propriétaire, qui dispose de certains droits sur l'objet. Un pirate qui s'approprie un objet peut potentiellement abuser de ces droits.

Ce principal de sécurité représente le propriétaire actuel d'un objet. Un attaquant qui obtient des droits de propriétaire peut modifier des attributs importants de l'objet, ce qui entraîne des failles de sécurité.

Dans Active Directory, le conteneur parent fait référence à l'objet conteneur de niveau supérieur qui contient d'autres objets.

Un objet est soit la racine d'une arborescence d'objets, soit un objet parent situé au-dessus de lui dans la hiérarchie de l'arborescence. Si deux objets ont le même parent, ils doivent avoir des noms distinctifs relatifs (RDN) différents.

Une relation hiérarchique entre deux domaines dans Active Directory, où un domaine est le parent et l'autre est l'enfant. Les domaines enfants héritent des stratégies de leur domaine parent.

Sous-ensemble d'attributs répliqués sur des répliques partielles de contexte de nommage (NC). Spécifie quels attributs doivent être répliqués sur les serveurs du catalogue global.

Division logique de la base de données Active Directory qui stocke les objets et les attributs. Les partitions comprennent la partition de schéma, la partition de configuration et les partitions de domaine. Une bonne gestion des partitions est essentielle pour maintenir l'intégrité et l'évolutivité de l'annuaire.

Dans une attaque de type "pass-the-hash", un pirate accède au hachage du mot de passe d'un compte d'utilisateur dans Active Directory et l'utilise pour s'authentifier et usurper l'identité de l'utilisateur sans connaître le mot de passe réel. Cette attaque tire parti d'algorithmes de hachage faibles ou de hachages de mots de passe volés.

Dans une attaque de type "pass-the-ticket", un attaquant vole un ticket Kerberos (TGT) sur la machine d'un utilisateur et utilise ce TGT pour obtenir un accès non autorisé à des ressources, sans avoir besoin de s'authentifier.

Ce type d'authentification permet aux utilisateurs d'utiliser le même nom d'utilisateur et le même mot de passe sur site et dans le nuage, sans avoir besoin d'un système de fédération tiers.

Cette fonction permet de synchroniser les changements de mot de passe dans Active Directory avec d'autres systèmes. Par exemple, lorsqu'un utilisateur modifie son mot de passe dans Active Directory, le PCNS veille à ce que cette modification soit répercutée dans les autres systèmes auxquels l'utilisateur a accès.

Une exigence dans la politique de mot de passe qui impose l'utilisation de mots de passe forts contenant une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. L'application de la complexité des mots de passe rend plus difficile pour les attaquants de deviner ou de craquer les mots de passe. Si les exigences en matière de complexité des mots de passe sont importantes, il est tout aussi crucial de sensibiliser les utilisateurs à l'importance de l'hygiène des mots de passe, d'éviter la réutilisation des mots de passe sur plusieurs comptes et d'adopter des mesures de sécurité supplémentaires telles que l'authentification multifactorielle pour une protection renforcée.

Une politique qui exige que les utilisateurs changent leurs mots de passe après un intervalle de temps spécifié. L'expiration des mots de passe permet d'imposer des mises à jour régulières des mots de passe et de réduire le risque que des informations d'identification compromises soient utilisées pendant une période prolongée.

Un composant d'Active Directory qui intercepte et valide les changements de mot de passe afin d'appliquer des stratégies de mot de passe personnalisées ou d'effectuer des vérifications supplémentaires. Les filtres de mots de passe sont utilisés pour renforcer la sécurité des mots de passe et empêcher la définition de mots de passe faibles ou faciles à deviner.

Représentation mathématique du mot de passe d'un utilisateur stocké dans Active Directory. Les attaquants ciblent les hachages de mots de passe car ils peuvent être déchiffrés hors ligne, ce qui permet un accès non autorisé aux comptes d'utilisateurs. Des techniques telles que les attaques de type "Pass-the-Hash" exploitent les hachages de mots de passe.

Fonctionnalité d'Azure AD Connect qui synchronise les hachages de mots de passe des comptes utilisateurs Active Directory sur site avec Azure AD (Entra ID), ce qui permet aux utilisateurs d'utiliser leurs mots de passe sur site pour se connecter à des services en nuage. La protection de la synchronisation des hachages de mots de passe est essentielle pour empêcher la compromission des informations d'identification des utilisateurs.

Ce mécanisme d'Active Directory empêche les utilisateurs de réutiliser des mots de passe déjà utilisés en conservant un historique de leurs changements de mot de passe. Les politiques relatives à l'historique des mots de passe renforcent la sécurité en décourageant la réutilisation d'anciens mots de passe.

Cette fonction de sécurité d'Active Directory verrouille temporairement un compte d'utilisateur après un certain nombre de tentatives de connexion infructueuses. Les stratégies de verrouillage des mots de passe permettent d'éviter les attaques par force brute et les tentatives d'accès non autorisées.

Ensemble de règles et d'exigences qui dictent la complexité, la longueur, l'expiration et d'autres caractéristiques des mots de passe des utilisateurs dans Active Directory. Des politiques de mots de passe faibles peuvent rendre les comptes d'utilisateurs vulnérables aux attaques par force brute et à la devinette d'informations d'identification.

Le processus consistant à s'assurer que les politiques de mot de passe définies sont appliquées et respectées par tous les utilisateurs au sein d'Active Directory. L'application correcte de la politique de mot de passe permet d'atténuer le risque de mots de passe faibles et d'améliorer la sécurité globale.

Le processus de modification du mot de passe oublié ou expiré d'un utilisateur dans Active Directory. La mise en œuvre correcte des procédures de réinitialisation des mots de passe garantit un rétablissement sécurisé et autorisé de l'accès tout en minimisant le risque d'ingénierie sociale ou de changements de mots de passe non autorisés.

Objets du conteneur Système d'Active Directory qui mettent en œuvre des stratégies de mot de passe à granularité fine (FGPP).

Technique utilisée par les attaquants pour deviner des mots de passe communs ou faibles pour un grand nombre de comptes d'utilisateurs dans Active Directory, dans le but d'éviter le blocage des comptes et d'augmenter les chances de réussite de l'authentification. Plutôt que d'essayer plusieurs mots de passe pour un seul utilisateur, ce qui peut entraîner le blocage des comptes, un pirate essaie un mot de passe courant pour plusieurs comptes, ce qui réduit le risque de détection et augmente les chances de réussite de l'authentification.

Méthode d'authentification qui élimine le besoin de mots de passe traditionnels, souvent remplacés par des facteurs biométriques (par exemple, empreintes digitales ou reconnaissance faciale), des jetons matériels ou d'autres méthodes d'authentification sécurisées. L'authentification sans mot de passe réduit le risque d'attaques liées au mot de passe et peut améliorer le confort de l'utilisateur.

Le processus d'application régulière de mises à jour logicielles (patches) pour corriger les vulnérabilités et les bogues dans les composants d'Active Directory et les systèmes associés. Le fait de ne pas appliquer de correctifs aux systèmes peut les exposer à des exploits et à des attaques connus.

L'émulateur PDC est l'un des cinq rôles FSMO (Flexible Single Master Operations) d'AD. Il joue le rôle de contrôleur de domaine primaire (PDC) de Windows NT à des fins de rétrocompatibilité. L'émulateur PDC est responsable de la gestion des changements de mot de passe, du verrouillage des utilisateurs et de la stratégie de groupe. Il sert également de source de temps primaire pour le domaine. L'émulateur PDC est ciblé par la plupart des outils de stratégie de groupe. Un contrôleur de domaine dans chaque domaine doit jouer ce rôle.

Voir aussi : Rôles des opérations flexibles à maître unique (FSMO)

Le processus par lequel les objets dans Active Directory héritent des autorisations de leurs conteneurs parents ou de leurs unités d'organisation (OU). Il est important de comprendre et de gérer correctement l'héritage des autorisations afin de garantir un contrôle d'accès cohérent et d'empêcher l'accès involontaire à des ressources sensibles.

Voir aussi : Héritage

Droits d'accès accordés aux utilisateurs, aux groupes ou aux comptes d'ordinateur qui déterminent les actions qu'ils peuvent effectuer sur les objets Active Directory. Des autorisations mal configurées peuvent entraîner un accès non autorisé, une élévation des privilèges ou l'exposition d'informations sensibles.

Un attaquant utilise un compte valide pour générer un jeton d'accès et modifie le jeton pour élever les privilèges, ce qui lui permet d'exécuter des commandes ou d'accéder à des ressources qui seraient normalement hors de sa portée.

PetitPotam est une méthode d'attaque dans laquelle les cyber-attaquants forcent un client victime à s'authentifier sur une machine arbitraire sans aucune interaction de la part de l'utilisateur. Lorsque PetitPotam est exploité et que les informations d'identification Windows NT LAN Manager (NTLM) sont envoyées aux services de certification Active Directory, un cyber-attaquant peut obtenir des privilèges d'administrateur de domaine sans authentification préalable au domaine.

Technique trompeuse utilisée par les attaquants pour inciter les utilisateurs à révéler leurs identifiants ou des informations sensibles par le biais de courriels, de sites web ou d'autres canaux de communication frauduleux. Les attaques par hameçonnage ciblent souvent les utilisateurs d'Active Directory pour obtenir un accès non autorisé au réseau. Une fois qu'ils ont obtenu les informations d'identification des utilisateurs, ils commencent à recueillir des informations sur les ressources du système et tentent de se déplacer latéralement dans le réseau. En outre, ces informations d'identification peuvent être utilisées pour créer des attaques plus précises, personnalisées et dédiées à des utilisateurs spécifiques de grande valeur de l'entreprise.

PingCastle est un outil d'évaluation de l'Active Directory écrit en C#. Sur la base de modèles et de règles intégrés, cet outil évalue les sous-processus AD et génère un rapport de risque qui comprend un score pour les comptes privilégiés, les relations de confiance entre les domaines AD, des informations sur les objets périmés et les anomalies de sécurité. Pour les environnements hybrides, il permet également de savoir si la relation de confiance avec Azure AD est sécurisée. Les attaquants peuvent utiliser cet outil pour analyser l'état de l'environnement AD et identifier les vulnérabilités potentielles.

Voir aussi Purple Knight

PowerSploit, un cadre PowerShell de post-exploitation, est largement utilisé par les attaquants pour diverses tâches telles que l'exécution de charges utiles, l'exfiltration, l'escalade des privilèges, etc. dans un environnement AD.

Ce groupe intégré dans Active Directory comprend tous les comptes d'utilisateurs et d'ordinateurs qui doivent être compatibles avec les anciens systèmes basés sur Windows NT 4.0.

Utilisé à des fins de compatibilité avec les anciens systèmes d'exploitation. Pour les objets utilisateurs et groupes, ce nom est la valeur de l'attribut sAMAccountName. Pour les objets ordinateurs, il s'agit du nom NetBIOS de la machine avec le caractère "$" ajouté à la fin.

Dans les domaines basés sur Windows NT, le contrôleur de domaine primaire (PDC) était le premier contrôleur de domaine dans le domaine, et il avait zéro ou plusieurs contrôleurs de domaine de secours (BDC). Un contrôleur de domaine (DC) était désigné pour suivre les modifications apportées aux comptes de tous les ordinateurs d'un domaine. Bien qu'utilisé par de nombreuses personnes, le concept de PDC ne s'applique plus à l'Active Directory de Windows 2000 et des versions ultérieures, car tous les contrôleurs de domaine sont essentiellement égaux du point de vue de la réplication, étant donné qu'il utilise un modèle de réplication multi-maître. À ne pas confondre avec l'émulateur PDC.

Groupe attribué à chaque utilisateur dans Active Directory, représentant son affiliation principale au sein du domaine. Utilisé principalement pour la conformité POSIX. Les groupes primaires sont utilisés pour le contrôle d'accès et sont associés à des autorisations sur les ressources.

L'adresse électronique associée à un utilisateur ou à une boîte aux lettres qui est considérée comme l'adresse principale pour la communication. Active Directory utilise l'adresse SMTP principale comme identifiant unique pour les opérations liées au courrier électronique.

Le droit d'un utilisateur d'effectuer des opérations liées au système, telles que le débogage du système. Les droits et les privilèges sont en fait identiques et sont accordés à des principes de sécurité tels que les utilisateurs, les services, les ordinateurs ou les groupes. Certains (tels que Activer les comptes d'ordinateur et d'utilisateur pour la délégation) s'appliquent à Active Directory, tandis que d'autres (tels que Modifier l'heure du système) s'appliquent au système d'exploitation Windows. L'utilisateur est considéré comme un membre de son groupe principal. Le contexte d'autorisation d'un utilisateur spécifie les privilèges détenus par cet utilisateur.

Le processus d'attribution de privilèges ou de droits administratifs spécifiques à des utilisateurs ou groupes non administrateurs au sein d'Active Directory. La délégation de privilèges permet aux utilisateurs d'effectuer des tâches spécifiques sans leur accorder un accès administratif complet, ce qui minimise le risque d'abus de privilèges ou de modifications non autorisées.

Le processus d'obtention de niveaux d'accès et de permissions plus élevés que ceux attribués à l'origine. Les attaques par escalade de privilèges dans Active Directory peuvent permettre aux attaquants de contourner les contrôles de sécurité et d'obtenir des privilèges administratifs. Une fois dans votre environnement, les cyber-attaquants cherchent généralement à escalader les privilèges, en passant de comptes à privilèges inférieurs à des comptes à privilèges supérieurs, dans le but d'obtenir des privilèges administratifs et d'accéder à Active Directory.

Voir aussi : Domination de domaine, Mouvement latéral, Accès privilégié

Pratique consistant à répartir les privilèges administratifs entre plusieurs comptes d'utilisateurs dans Active Directory, afin de s'assurer qu'aucun compte ne dispose d'un accès excessif ou illimité. La séparation des privilèges permet de minimiser l'impact des comptes compromis et de réduire le risque d'actions non autorisées.

L'accès privilégié accorde des droits et un contrôle supérieurs à la norme sur les ressources d'un environnement. Ce type d'accès doit être accordé avec parcimonie, car la prise de contrôle d'un compte d'accès privilégié peut permettre à des cyberattaquants d'arrêter ou de désactiver Active Directory et de prendre le contrôle de votre réseau.

Voir aussi : Domination de domaine, Mouvement latéral, Escalade de privilèges

Une solution dans Microsoft Identity Manager (MIM) qui aide à atténuer les problèmes de sécurité liés à l'escalade ou à l'utilisation abusive des privilèges administratifs.

Compte disposant d'autorisations et de droits d'accès élevés et pouvant effectuer des tâches administratives au sein d'Active Directory. Les comptes privilégiés compromis sont une cible de choix pour les attaquants, car ils permettent d'exercer un contrôle étendu sur le domaine.

PsExec est un substitut léger de telnet qui vous permet d'exécuter des processus sur d'autres systèmes. Les attaquants l'utilisent comme outil de déplacement latéral dans un environnement AD.

PsTools est un ensemble d'outils de ligne de commande largement utilisés qui vous permettent de gérer des systèmes locaux et distants. Ces outils peuvent être utilisés par des attaquants pour diverses tâches telles que l'exécution de processus à distance, l'arrêt de systèmes ou la visualisation d'informations système.

PTH-Winexe, qui fait partie de la boîte à outils "pass-the-hash", permet d'exécuter des commandes sur des systèmes Windows en transmettant des hachages NTLM au lieu d'informations d'identification en clair, ce qui permet des mouvements latéraux et l'exécution de commandes à distance.

Clé cryptographique utilisée dans les algorithmes de cryptage asymétrique, composée d'une paire de clés publique et privée. Les clés publiques sont largement distribuées et utilisées pour chiffrer les données ou vérifier les signatures numériques dans les communications Active Directory.

Document signé numériquement qui lie une clé publique à l'identité d'une entité, validant l'authenticité et l'intégrité de la clé publique. Les certificats de clé publique sont utilisés dans Active Directory pour sécuriser la communication, l'authentification et le cryptage.

Cadre de services, de technologies et de protocoles cryptographiques utilisés pour établir et gérer des certificats numériques, des paires de clés publiques-privées et des communications sécurisées dans Active Directory. L'infrastructure à clé publique est essentielle pour garantir l'authentification, l'intégrité et la confidentialité des données.

Lorsqu'il s'agit de protéger votre entreprise contre les cyberattaques, la protection de votre infrastructure d'identité est essentielle. Les infiltrations dans les systèmes d'identité exposent non seulement vos actifs les plus importants et vos opérations commerciales à des attaques, mais peuvent également passer inaperçues pendant de longues périodes, causant ainsi des dommages considérables. Le renforcement de la sécurité de l'identité est donc une étape importante. Pour au moins 90 % des entreprises, cela signifie donner la priorité à la sécurité d'Active Directory et d'Azure AD.

Les vulnérabilités d'Active Directory et d'Azure AD peuvent donner aux attaquants un accès pratiquement illimité au réseau et aux ressources de votre organisation. Semperis a conçu Purple Knight- un outil gratuit d'évaluation de la sécurité d'Active Directory et d'Azure AD - pour vous aider à découvrir les indicateurs d'exposition (IoE) et les indicateurs de compromission (IoC) dans votre environnement AD hybride.

Purple Knight permet d'identifier les failles de sécurité dans votre environnement AD qui peuvent laisser la porte ouverte aux cyber-attaquants. L'outil fournit également des rapports d'évaluation avec une notation basée sur les catégories suivantes : Délégation AD, sécurité de l'infrastructure AD, sécurité des comptes, Kerberos et sécurité des stratégies de groupe.

Pwdump est un outil qui extrait les hachages de mots de passe NTLM et LanMan du gestionnaire de comptes de sécurité (SAM) de Windows, qui peuvent ensuite être craqués hors ligne. Cela peut conduire à un accès non autorisé si des politiques de mot de passe strictes ne sont pas en place.

Une requête dans Active Directory fait référence à une demande faite au service d'annuaire pour récupérer des informations spécifiques, telles que les détails d'un utilisateur ou d'un ordinateur. Les requêtes AD sont essentielles pour gérer et contrôler l'accès aux ressources. Le protocole LDAP (Lightweight Directory Access Protocol) est couramment utilisé pour effectuer des requêtes dans la base de données AD. Par exemple, un administrateur peut lancer une requête pour trouver tous les utilisateurs d'un département spécifique.

Les quotas dans Active Directory font référence aux limites imposées au nombre d'objets qu'un principal de sécurité (tel qu'un utilisateur ou un groupe) peut posséder dans une partition d'annuaire. Ceci est particulièrement important dans un environnement distribué de grande taille, afin d'éviter qu'un utilisateur ou un groupe ne crée un nombre d'objets tel qu'il affecte les performances ou le stockage de l'AD.

Tableau textuel précalculé utilisé pour inverser les fonctions de hachage cryptographiques, principalement pour casser les hachages de mots de passe. Chaque table arc-en-ciel est spécifique à une fonction de hachage, un jeu de caractères et une longueur de mot de passe donnés. Les tables arc-en-ciel contiennent des millions, voire des milliards, de hachages précalculés pour des mots de passe potentiels. Un pirate qui obtient la version hachée d'un mot de passe (peut-être à la suite d'une violation de données ou en pénétrant dans un système Active Directory insuffisamment sécurisé) peut utiliser une table arc-en-ciel pour rechercher ce hachage et potentiellement trouver le mot de passe original.

Un outil qui tente de déchiffrer les mots de passe à l'aide de tables arc-en-ciel.

Un type de logiciel malveillant qui crypte les données d'une victime jusqu'à ce qu'un paiement soit effectué au cyber-attaquant. Les victimes sont informées que si le paiement est effectué, elles recevront une clé de décryptage pour restaurer l'accès à leurs fichiers, bien qu'il s'agisse souvent d'une ruse. Dans le cas d'une double extorsion, non seulement la clé de décryptage est retenue, mais l'acteur malveillant menace également de publier les données sur des sites de fuites de données (DLS).

Les groupes de ransomware sont souvent liés à des organisations criminelles ou terroristes ou à des États-nations hostiles. Le paiement de la rançon permet généralement de financer d'autres activités criminelles.

Voir aussi : logiciels malveillants, ranswomware as a service

Modèle commercial dans lequel les acteurs de la menace louent ou achètent des variantes de ransomware à des développeurs de ransomware, de la même manière que les organisations louent des produits SaaS à des développeurs de logiciels légitimes. Le modèle RaaS a gagné en popularité ces dernières années.

Voir aussi : malware, ransomware

Les serveurs RODC sont des contrôleurs de domaine qui détiennent une copie en lecture seule de la base de données Active Directory et ne permettent pas de modifier AD. Un RODC est généralement déployé dans des lieux qui nécessitent un accès rapide aux services AD, mais qui ne sont pas suffisamment sûrs physiquement pour héberger un contrôleur de domaine inscriptible. Bien qu'un RODC puisse authentifier les connexions des utilisateurs, les modifications ne sont pas écrites directement sur le RODC, mais plutôt sur un contrôleur de domaine inscriptible, qui est ensuite répliqué sur le RODC.

Les contrôleurs de domaine inscriptibles peuvent être utilisés pour mettre à jour des objets dans Active Directory. Dans Active Directory, tous les contrôleurs de domaine sont accessibles en écriture, sauf s'il s'agit d'un contrôleur de domaine en lecture seule (RODC).

Un objectif de point de récupération (RPO) fixe une limite à l'ancienneté des données avant qu'elles ne soient sauvegardées (par exemple, 24 heures). 

Voir aussi : objectif de délai de récupération

Un objectif de délai de rétablissement (RTO) fixe une limite à la durée pendant laquelle une application, un système ou un processus peut être indisponible (par exemple, pas plus de 2 heures).

Voir aussi : objectif de point de récupération

Une requête DNS récursive est un type de requête DNS dans lequel le résolveur ou serveur DNS tente de résoudre la requête en interrogeant itérativement d'autres serveurs DNS jusqu'à ce qu'il obtienne la réponse finale. Les clients utilisent généralement ce type de requête pour résoudre des noms d'hôtes en adresses IP.

Introduite pour la première fois en tant que fonction optionnelle dans Windows Server 2008 R2, cette fonction crée un nouveau conteneur caché dans l'arborescence du domaine et stocke les objets supprimés pendant un nombre de jours spécifié avant de les supprimer définitivement, ce qui permet de les restaurer sans perdre les valeurs des attributs de l'objet. Cette fonctionnalité peut être activée et accessible via la console ADAC (Active Directory Administrative Center).

Lorsqu'un objet a été supprimé, il reste dans un conteneur caché dans l'arborescence du domaine jusqu'à ce qu'une durée configurée (c'est-à-dire la durée de vie de la pierre tombale) se soit écoulée, après quoi l'objet est définitivement supprimé du stockage. Ces objets n'existent que lorsque la fonction optionnelle Corbeille est activée.

Red Forest, également connu sous le nom de Enhanced Security Admin Environment (ESAE), était un concept de sécurité de Microsoft dans lequel toutes les informations d'identification administratives résidaient dans une forêt AD distincte, approuvée par les forêts AD de production. Cette approche visait à supprimer les informations d'identification des administrateurs des forêts AD et à améliorer ainsi la sécurité. Ce concept a été abandonné.

Dans les tests de cybersécurité, l'équipe rouge est le groupe de personnes chargées d'attaquer les défenses de cybersécurité d'une organisation, d'exploiter les vulnérabilités du système et d'aider à identifier les méthodes de contre-attaque pour les défenseurs (c'est-à-dire l'équipe bleue).

Voir aussi : équipe bleue

Le registre Windows stocke les paramètres de configuration et les options des systèmes d'exploitation Microsoft Windows, y compris ceux liés à AD. Un pirate qui accède au registre peut modifier ces paramètres afin de perturber le fonctionnement d'AD ou d'accroître ses privilèges.

Le nom d'un objet par rapport à son parent. Il s'agit de la paire attribut-valeur la plus à gauche du nom distinctif (DN) d'un objet. Par exemple, dans le DN "cn=Daniel Petri, ou=Company Users, dc=semperis, dc=com", le RDN est "cn=Daniel Petri".

Un RID est un identifiant unique attribué à chaque objet d'un domaine AD. Il est combiné à un identifiant de domaine pour former un identifiant de sécurité (SID) pour l'objet. Le maître RID, l'un des rôles FSMO, est responsable du traitement des demandes de pool RID provenant de tous les contrôleurs de domaine d'un domaine particulier.

L'accès à distance fait référence aux méthodes qui permettent aux utilisateurs d'accéder à un réseau AD à partir d'un emplacement distant. Les points d'accès à distance non sécurisés peuvent être exploités par des pirates pour obtenir un accès non autorisé au réseau.

RDS, anciennement connu sous le nom de Terminal Services, permet à un utilisateur de prendre le contrôle d'un ordinateur distant ou d'une machine virtuelle par le biais d'une connexion réseau.

Voir aussi : Terminal Services

La gestion à distance consiste à gérer des systèmes informatiques à partir d'un emplacement distant. Elle est particulièrement utile pour administrer des contrôleurs de domaine répartis sur plusieurs sites géographiques. Dans le contexte d'Active Directory, des outils tels que Remote Server Administration Tools (RSAT) permettent aux administrateurs de gérer les rôles et les fonctionnalités à distance.

Il s'agit d'un protocole de communication utilisé par les programmes clients pour demander un service à un programme situé sur un autre ordinateur du réseau. Il est largement utilisé pour la réplication et l'administration d'AD. Cependant, il peut être exploité pour des mouvements latéraux s'il n'est pas correctement sécurisé.

Ensemble d'outils et d'applications permettant aux administrateurs informatiques de gérer à distance les rôles et les fonctionnalités de Windows Server 2008 et des versions ultérieures à partir d'un poste de travail fonctionnant sous Windows 7 et des versions ultérieures. Similaire à l'installation du fichier adminpak.msi sur les ordinateurs clients Windows 2000 ou Windows XP.

Commande PowerShell qui supprime une unité d'organisation AD (OU). Si elle est utilisée de manière malveillante, elle peut entraîner une perturbation de la structure AD et la perte potentielle d'objets au sein de l'OU.

Commande PowerShell qui supprime un utilisateur AD. Si elle est utilisée de manière malveillante, elle peut conduire à la suppression de comptes d'utilisateurs légitimes, ce qui peut entraîner des perturbations opérationnelles ou des pertes de données.

Un utilitaire de ligne de commande pour diagnostiquer la réplication d'Active Directory entre les contrôleurs de domaine.

Copie d'un espace de noms Active Directory (NC ou contexte de nommage) sur un contrôleur de domaine qui se réplique avec d'autres contrôleurs de domaine au sein de la forêt AD.

La réplication dans Active Directory fait référence au processus de copie des données d'un contrôleur de domaine à un autre. Ce processus garantit que chaque contrôleur de domaine dispose des mêmes informations que les autres contrôleurs de domaine et permet la distribution de la base de données AD sur plusieurs serveurs. Si la réplication échoue ou est retardée, elle peut entraîner des incohérences, connues sous le nom d'erreurs de réplication.

Un serveur de tête de pont de réplication est un contrôleur de domaine désigné pour gérer le trafic de réplication au sein d'un site dans Active Directory. Il sert de point central pour la réception et l'envoi des données de réplication entre les sites, réduisant ainsi le trafic de réplication sur les réseaux étendus (WAN).

L'intervalle de réplication dans Active Directory définit la durée entre deux cycles de réplication consécutifs entre les contrôleurs de domaine. Il garantit que les modifications sont propagées efficacement sur le réseau sans provoquer un trafic de réplication excessif.

La latence de réplication est le délai qui s'écoule entre la dernière mise à jour d'un objet AD et celle de toutes les répliques.

Les métadonnées de réplication dans AD sont utilisées pour résoudre les conflits qui peuvent survenir lors de la réplication. Les métadonnées permettent de savoir quelles modifications ont déjà été appliquées afin d'éviter que d'anciennes modifications n'écrasent les plus récentes.

La topologie de réplication fait référence à la structure des connexions entre les contrôleurs de domaine pour la réplication des données dans Active Directory. Elle définit la manière dont les modifications sont propagées sur le réseau afin de garantir la cohérence des données.

Commande PowerShell qui réinitialise le mot de passe du compte machine de l'ordinateur. Si elle est mal utilisée, elle peut perturber le canal sécurisé entre l'ordinateur et son domaine, ce qui peut entraîner un déni de service ou un accès non autorisé.

ReFS est un système de fichiers développé par Microsoft pour les systèmes d'exploitation Windows et conçu pour surmonter certaines des limitations de NTFS.

Outil réseau capable de manipuler les communications réseau et de répondre aux demandes de diffusion réseau, Responder est souvent utilisé dans les attaques de type "man-in-the-middle", permettant aux attaquants d'intercepter et de manipuler le trafic.

Outil de Windows que les administrateurs utilisent pour déterminer l'effet combiné des stratégies de groupe appliquées à un système et/ou à un utilisateur. Essentiellement, il fournit une vue cumulative de toutes les stratégies provenant de diverses sources et s'appliquant à un utilisateur ou à un système spécifique. Cet outil peut être particulièrement utile dans les scénarios de dépannage, lorsqu'un administrateur a besoin de comprendre pourquoi une certaine politique prend ou ne prend pas effet.

Une opération privée de ransomware en tant que service (RaaS) basée en Russie ou russophone. Le ransomware REvil (également connu sous le nom de Sodinokibi) se propage souvent par le biais d'attaques par force brute et d'exploitations de serveurs, mais il peut également se propager par le biais de liens malveillants et d'hameçonnage. Les cyberattaquants peuvent utiliser REvil pour exploiter les mauvaises configurations de l'Active Directory (AD) ou les mots de passe faibles afin de se propager à travers le réseau.

Il s'agit du processus d'invalidation d'un certificat, qui peut être géré par les services de certificats d'AD. La révocation correcte d'un certificat est importante pour empêcher l'utilisation non autorisée d'un certificat dans le cadre d'une attaque de type Man-in-the-Middle ou d'autres types de cyberattaques.

Dans ce type d'attaque, l'identifiant relatif (RID) d'un compte de domaine standard est modifié pour correspondre au RID d'un compte d'administrateur de domaine, promouvant ainsi le compte standard au statut d'administrateur de domaine.

L'un des cinq rôles FSMO (Flexible Single Master Operations) dans AD, le maître RID est responsable du traitement des demandes de pool RID provenant de tous les DC du domaine. Lorsque des objets tels que des utilisateurs et des ordinateurs sont créés dans Active Directory, ils se voient attribuer un identifiant de sécurité unique (SID) et un identifiant relatif (RID). Le rôle de maître RID garantit qu'aucun objet dans AD ne se voit attribuer les mêmes SID et RID. Toute défaillance du rôle de maître RID peut avoir un impact sur la création de nouveaux objets dans le domaine. Un contrôleur de domaine dans chaque domaine doit jouer ce rôle.

Voir aussi : Rôles des opérations flexibles à maître unique (FSMO)

Un système de cryptographie à clé publique.

RBAC est un principe clé utilisé dans la gestion du contrôle d'accès. Il attribue des autorisations en fonction du rôle d'un utilisateur au sein de l'organisation plutôt qu'en fonction de l'utilisateur individuel. Cette approche simplifie la gestion des autorisations et peut réduire le risque d'attaques par escalade des privilèges.

Un objet qui expose un ensemble de propriétés caractéristiques de l'annuaire.

Le domaine racine est le domaine le plus élevé d'une forêt Active Directory. Le domaine racine est le premier domaine créé dans une nouvelle forêt AD et devient le parent de tous les domaines enfants suivants. La sécurité et la stabilité du domaine racine sont cruciales pour la structure AD dans son ensemble, car la compromission du domaine racine peut entraîner une violation complète de la forêt.

RRAS est une API Microsoft et un logiciel serveur qui permet de créer des applications pour administrer les capacités de routage et de service d'accès à distance du système d'exploitation, afin de fonctionner comme un routeur de réseau. Cependant, les serveurs RRAS, s'ils font partie du domaine et ne sont pas correctement sécurisés, peuvent devenir un point d'entrée pour les attaquants.

Un type de ransomware connu pour cibler les grands systèmes Windows d'entités publiques. Ryuk crypte les fichiers, l'accès au système et les données d'un ordinateur, ce qui empêche les utilisateurs de récupérer des informations ou d'accéder à des programmes. Cette attaque présente un aspect inhabituel pour Active Directory (AD) : le ransomware est transmis à des utilisateurs peu méfiants par le biais d'objets de stratégie de groupe AD (GPO).

Pour se défendre contre les attaques par table arc-en-ciel, il est courant d'utiliser une méthode appelée salage des hachages, qui consiste à ajouter une valeur aléatoire au mot de passe avant de le hacher. Cette méthode rend les tables arc-en-ciel beaucoup moins efficaces, car même une petite modification de l'entrée (comme l'ajout d'un "sel") entraîne un hachage radicalement différent. Il convient de noter que la protection des hachages de mots de passe est un aspect crucial de la sécurisation d'un environnement Active Directory.

Nom de connexion de l'utilisateur utilisé pour prendre en charge les clients et les serveurs fonctionnant avec des versions antérieures de Windows. Également appelé "nom de connexion pré-Windows 2000".

Dans une attaque de type SaveTheQueen, les cyberattaquants ciblent AD par le biais d'une souche de ransomware utilisant le partage SYSVOL sur les contrôleurs de domaine AD pour se propager dans l'environnement. L'accès au partage SYSVOL - qui est utilisé pour fournir des scripts de stratégie et de connexion aux membres du domaine - nécessite généralement des privilèges élevés et indique une compromission sérieuse d'AD.

Le schéma Active Directory définit toutes les classes d'objets qui peuvent être créées et utilisées dans la forêt Active Directory. Par défaut, le schéma définit tous les attributs qui peuvent exister dans un objet, les relations entre les différents attributs, ceux qui sont obligatoires, les autorisations dont chacun dispose et bien d'autres paramètres. Le schéma est essentiellement un plan ou un modèle de la manière dont les données et le type de données peuvent être stockés dans Active Directory. Du point de vue de la cybersécurité, les modifications non autorisées du schéma peuvent être dangereuses car elles ne peuvent être annulées et peuvent avoir un effet destructeur sur les données d'Active Directory.

Le groupe Schema Admins d'Active Directory est un groupe hautement privilégié qui a un contrôle total sur le schéma d'Active Directory. Les membres de ce groupe peuvent modifier le schéma, notamment en ajoutant ou en supprimant des définitions d'attributs et de classes d'objets. Par exemple, le groupe Schema Admins Le groupe Schema Admins comprend généralement des administrateurs informatiques chargés de gérer le schéma Active Directory, notamment d'implémenter des extensions de schéma ou d'effectuer des mises à jour du schéma.

Du point de vue de la cybersécurité, la compromission du groupe Schema Admins peut avoir de graves conséquences, car elle permet aux attaquants d'apporter des modifications non autorisées au schéma Active Directory. Cela peut entraîner une corruption des données, un déni de service ou un accès non autorisé à des systèmes critiques et à des informations sensibles.

Les extensions de schéma dans Active Directory font référence au processus de modification ou d'ajout de nouvelles définitions d'attributs et de classes d'objets au schéma Active Directory existant. Cela permet aux organisations de personnaliser le schéma afin de répondre aux exigences d'applications spécifiques ou de stocker des attributs supplémentaires pour les objets. Par exemple : Une organisation peut étendre le schéma Active Directory pour inclure des attributs personnalisés pour les objets utilisateurs afin de stocker des informations supplémentaires telles que les numéros d'identification des employés ou les noms des services.

Il s'agit de l'un des cinq rôles FSMO (Flexible Single Master Operations) dans AD, responsable de la gestion de toutes les modifications apportées au schéma d'Active Directory. Un accès non autorisé au maître des schémas peut entraîner des modifications critiques de la structure AD et permettre des attaques graves. Un contrôleur de domaine dans l'ensemble de la forêt doit jouer ce rôle.

Voir aussi : Rôles des opérations flexibles à maître unique (FSMO)

Un objet qui définit un attribut ou une classe d'objets.

Version du protocole LDAP qui établit une connexion sécurisée avec le serveur LDAP en appliquant le protocole SSL/TLS. Il est essentiel de protéger l'échange d'informations entre les clients et les contrôleurs de domaine contre l'écoute ou la manipulation.

Protocole standard utilisé dans divers protocoles tels que HTTPS, LDAPS et autres, qui prend en charge la confidentialité et l'intégrité des messages dans les applications client et serveur qui communiquent sur des réseaux ouverts. SSL prend en charge l'authentification du serveur et, éventuellement, du client à l'aide de certificats X.509. SSL est remplacé par Transport Layer Security (TLS). La version 1.0 de TLS est basée sur la version 3.0 de SSL.

Le SAM est une base de données qui stocke les utilisateurs et les objets de groupe utilisés par les systèmes d'exploitation Windows clients pour authentifier les utilisateurs locaux. Les mots de passe des utilisateurs sont stockés dans un format haché. SAM utilise des mesures cryptographiques pour empêcher les utilisateurs non authentifiés d'accéder au système. Si un pirate accède à cette base de données, il peut tenter d'extraire des informations sur les comptes d'utilisateurs et leurs mots de passe.

Norme ouverte basée sur XML pour l'échange de données d'authentification et d'autorisation entre parties, en particulier entre un fournisseur d'identité et un fournisseur de services. SAML est essentiel dans les scénarios où une authentification unique (SSO) sécurisée et transparente est nécessaire dans différents domaines. Il aide les organisations à offrir une expérience utilisateur fluide, en réduisant le besoin de mots de passe et de connexions multiples, tout en maintenant des niveaux élevés de sécurité et de contrôle sur l'accès des utilisateurs.

Dans Active Directory, un descripteur de sécurité est une structure de données qui contient les informations de sécurité associées à un objet sécurisé comme les utilisateurs, les groupes ou les ordinateurs. Il comprend le SID du propriétaire, le SID du groupe principal, le DACL et le SACL. Un descripteur de sécurité définit qui a quel type d'accès à l'objet. Une mauvaise configuration d'un descripteur de sécurité peut entraîner un accès non autorisé ou une escalade des privilèges.

Processus au sein d'Active Directory qui maintient la cohérence des listes de contrôle d'accès (ACL) dans l'ensemble de l'annuaire. Il opère au niveau du domaine et veille à ce que les modifications de permissions apportées à un objet parent soient correctement propagées à tous les objets enfants de la hiérarchie. Il joue donc un rôle essentiel dans l'application des politiques de sécurité et de contrôle d'accès dans l'infrastructure AD.

Ensemble de journaux Windows qui enregistrent une série d'informations liées à la sécurité, notamment les tentatives de connexion et l'accès aux ressources, ce qui peut s'avérer très utile pour détecter des activités suspectes. Si elles ne sont pas surveillées régulièrement, les activités malveillantes peuvent passer inaperçues et entraîner des violations.

Les groupes de sécurité peuvent contenir plusieurs comptes tels que des objets utilisateurs, des objets ordinateurs ou même d'autres objets groupes, qui peuvent être utilisés pour attribuer facilement des autorisations à une ressource ou demander des autorisations. Les groupes de sécurité jouent un rôle crucial dans la sécurisation des ressources et la gestion des droits d'accès dans un environnement Active Directory, car ils permettent d'appliquer les autorisations à un dossier ou à un objet au groupe plutôt qu'à chaque compte individuel.

Un SID est une valeur unique utilisée pour identifier les comptes d'utilisateurs, de groupes et d'ordinateurs dans Windows. Ils jouent un rôle essentiel dans la gestion des autorisations et le contrôle de l'accès aux ressources dans un environnement Active Directory. Si un pirate parvient à falsifier un SID, il peut se faire passer pour un autre utilisateur ou obtenir des privilèges non autorisés. La valeur du SID est identique pour tous les objets d'un domaine. Pour créer une valeur unique pour les responsables de la sécurité, la valeur SID est combinée avec une valeur RID unique qui est contrôlée par le pool RID attribué aux DC par le FSMO détenteur du rôle de maître RID dans le domaine.

Les indicateurs de sécurité sont des valeurs basées sur des métriques obtenues en comparant des attributs logiquement liés au comportement d'une activité, d'un processus ou d'un contrôle dans un laps de temps donné. Ces indicateurs critiques sont dérivés de critères prédéfinis et peuvent être prédictifs de la posture de sécurité globale d'une organisation. Les indicateurs de sécurité comprennent les indicateurs d'attaque (IOA), les indicateurs de compromission (IOC) et les indicateurs d'exposition (IOE).

Voir aussi : Indicateurs d'attaque, Indicateurs de compromission, Indicateurs d'exposition

Technologie qui regroupe et analyse les données des journaux et des événements générés par diverses sources dans l'infrastructure informatique d'une organisation. Les organisations utilisent le SIEM pour rassembler, centraliser et stocker les journaux provenant de diverses sources, en temps réel.

Vous pouvez utiliser le SIEM pour surveiller les activités suspectes et analyser les événements passés en collectant les journaux des réseaux, des systèmes, des infrastructures, des applications ou des actifs spécifiques. Le SIEM peut également obtenir des flux de menaces externes et utiliser des analyses avancées pour vous informer des événements malveillants dans votre environnement Active Directory. Cependant, certaines attaques sont conçues pour échapper à la détection du SIEM.

Un SOC est une unité qui fonctionne comme le centre de cybersécurité d'une organisation, chargé de renforcer les mesures de sécurité et de traiter les menaces en temps réel. Il surveille différents systèmes, notamment les identités, les terminaux, les serveurs et les bases de données, tout en s'appuyant sur des informations actualisées sur les menaces pour identifier et corriger les vulnérabilités avant qu'elles ne puissent être exploitées par des cyberattaquants.

Une suite de solutions conçues pour rationaliser les opérations de sécurité en automatisant la détection et la réponse aux menaces. SOAR intègre divers outils et systèmes de sécurité, fournissant une plate-forme unifiée pour collecter des données et exécuter des réponses appropriées aux menaces. Cela permet aux équipes de sécurité de gérer et de répondre à un plus grand volume de menaces de manière plus efficace, améliorant ainsi la posture de sécurité globale d'une organisation.

Vous pouvez utiliser cette technologie de sécurité pour réduire le temps de réponse aux incidents - ce qui affecte directement la productivité et l'efficacité - et accéder aux alertes antérieures à des fins de recherche. Cependant, certaines attaques sont conçues pour échapper à la détection SOAR.

Avec l'avènement des services en nuage, des appareils mobiles et du travail à distance, les périmètres de sécurité des organisations sont passés des serveurs sur site qui composent un réseau à une nouvelle frontière : l'identité. 

Entité unique, également appelée "principal", qui peut être authentifiée par Active Directory. Il s'agit généralement d'un objet utilisateur, d'un objet groupe de sécurité ou d'un objet ordinateur. Tous les principaux de sécurité dans Active Directory ont un Security ID (SID).

SSPI permet aux applications d'utiliser divers modèles de sécurité disponibles sur un ordinateur ou un réseau sans modifier l'interface avec le système de sécurité. Son utilisation abusive peut conduire à des attaques par manipulation de jetons.

Le STS est un fournisseur d'identité basé sur un logiciel, qui émet des jetons de sécurité dans le cadre d'un système d'identité basé sur les revendications. Il est couramment utilisé dans les scénarios de fédération, jouant un rôle essentiel dans la garantie de la sécurité. S'il est compromis, il peut conduire à un accès non autorisé à de multiples services.

Server Core est une option d'installation de serveur minimale pour Windows Server qui fournit un environnement de serveur à faible maintenance avec des fonctionnalités limitées. Il est principalement utilisé pour les rôles d'infrastructure, y compris un rôle de services de domaine Active Directory. Du point de vue de la cybersécurité, la surface d'attaque réduite du Server Core peut réduire le risque potentiel de failles de sécurité.

SMB est un protocole de partage de fichiers, d'imprimantes, de ports série et d'abstractions de communication telles que les tuyaux nommés et les fentes de courrier entre ordinateurs. Un exemple de problème de cybersécurité est l'attaque SMB Relay, dans laquelle un pirate met en place un serveur SMB et obtient de la machine cible qu'elle s'authentifie auprès de lui, ce qui permet de voler des informations d'identification ou d'exécuter un code arbitraire.

Compte d'utilisateur créé explicitement pour fournir un contexte de sécurité aux services fonctionnant sur les serveurs Windows. Une mauvaise gestion des comptes de service peut les exposer à des attaquants, permettant un mouvement latéral ou une escalade des privilèges.

L'objet Service Connection Point (SCP) dans Active Directory est utilisé pour définir les informations de configuration dont les clients ou les services ont besoin pour trouver et se connecter à des services ou des ressources spécifiques au sein de l'infrastructure de l'organisation. Par exemple, Microsoft Exchange crée des objets SCP pour spécifier l'Autodiscipline de l'entreprise : Microsoft Exchange crée des objets SCP pour spécifier le point de terminaison du service Autodiscover dans Active Directory. Cela permet aux clients Outlook de découvrir automatiquement les paramètres Exchange et de se connecter au serveur Exchange approprié.

Un SPN est un identifiant unique lié à chaque instance d'un service Windows. Les SPN sont utilisés en conjonction avec le protocole d'authentification Kerberos pour associer une instance de service à un compte de connexion au service. Dans une cyberattaque connue sous le nom de Kerberoasting, un attaquant peut demander des tickets Kerberos pour les SPN afin de craquer leurs mots de passe hors ligne.

Voir aussi : Kerberoasting, Service Principal Name (SPN) scanning (balayage du nom du principal de service)

Méthode souvent utilisée dans les attaques pour découvrir les comptes de service dans un environnement Active Directory. Les attaquants énumèrent les services fonctionnant sous des comptes de domaine par l'intermédiaire des noms de principaux services (SPN) exposés. Ces comptes ont souvent des privilèges élevés et des mots de passe faibles, ce qui en fait des cibles de choix pour la compromission.

Attaque au cours de laquelle une session d'utilisateur est prise en charge par un attaquant. Dans le contexte d'Active Directory, il peut s'agir de la prise en charge d'une session d'octroi de tickets Kerberos, par exemple.

Cette cmdlet PowerShell définit la date d'expiration d'un compte AD. Si elle n'est pas utilisée correctement, elle peut entraîner un déni de service en fixant une expiration immédiate pour des comptes d'utilisateurs valides.

Cette commande PowerShell définit la protection contre le verrouillage des comptes pour un utilisateur AD.

Cette commande PowerShell restreint l'accès d'un utilisateur à des postes de travail spécifiques. Si elle est utilisée de manière malveillante, elle peut conduire à un accès non autorisé ou à un déni de service potentiel.

Cette cmdlet PowerShell est utilisée pour modifier les propriétés d'un objet informatique. Si elle est utilisée de manière malveillante, elle peut entraîner des modifications non autorisées des propriétés de l'ordinateur, ce qui peut conduire à des perturbations opérationnelles ou à des violations.

Cette cmdlet PowerShell est utilisée pour modifier la politique de mot de passe par défaut pour un domaine AD. Si elle est mal utilisée, elle peut affaiblir la politique de mot de passe de l'organisation, ce qui permet à un attaquant de deviner ou de craquer plus facilement les mots de passe.

Cette cmdlet PowerShell est utilisée pour modifier les attributs d'un objet utilisateur dans Active Directory. Entre de mauvaises mains, cette commande pourrait être utilisée de manière malveillante pour modifier les propriétés d'un compte d'utilisateur, telles que le champ de description, à des fins de persistance furtive ou d'élévation des privilèges.

Shadow Copy est une technologie des systèmes Windows qui permet de prendre des copies de sauvegarde manuelles ou automatiques ou des instantanés de données, même si elles sont en cours d'utilisation. Elle peut être utilisée pour restaurer des versions antérieures de fichiers et de répertoires.

Lorsque les utilisateurs partagent un nom d'utilisateur et un mot de passe entre plusieurs systèmes (y compris des systèmes non DA), un pirate peut utiliser des informations d'identification non vérifiées ou faibles d'un système pour obtenir un accès non autorisé à un autre système.

Les groupes fantômes dans Active Directory sont utilisés pour refléter la composition d'un groupe de distribution dynamique donné. Cela peut s'avérer particulièrement utile lorsque des autorisations doivent être attribuées à un groupe de distribution dynamique. Toutefois, s'ils ne sont pas correctement gérés, les groupes fantômes peuvent présenter un risque pour la sécurité en raison de l'octroi involontaire d'autorisations.

Mécanisme de sécurité dans Active Directory qui élimine les SID étrangers du jeton d'accès d'un utilisateur lorsqu'il accède à des ressources par le biais de Forest Trust. Cette fonctionnalité, qui est activée par défaut entre les forêts, permet d'éviter que des utilisateurs malveillants disposant de privilèges administratifs dans une forêt de confiance ne prennent le contrôle d'une forêt de confiance. Lorsque le filtrage des SID est actif, seuls les SID du domaine de confiance sont utilisés dans le jeton d'un utilisateur, tandis que les SID des autres domaines de confiance sont exclus.

L'historique des SID est un attribut d'un objet utilisateur qui facilite la migration des ressources d'un domaine à l'autre. Il stocke les anciens SID d'un compte utilisateur, ce qui permet d'accéder aux ressources qui reconnaissent l'ancien SID. Cette fonctionnalité peut être utilisée de manière abusive par des attaquants dans le cadre d'une méthode appelée injection de l'historique SID, afin d'élever les privilèges.

L'attribut historique de l'identifiant de sécurité (SID) peut être manipulé pour élever les privilèges d'un utilisateur. Un attaquant peut ajouter le SID d'un groupe privilégié dans l'attribut historique SID de son compte, lui accordant ainsi les privilèges correspondants.

Une attaque par ticket d'argent consiste à falsifier un ticket de session (ST). Cette attaque permet au pirate de se faire passer pour un utilisateur légitime et d'obtenir un accès non autorisé aux ressources du domaine. Dans ce type d'attaque, un attaquant obtient un accès non autorisé à un service en falsifiant un ticket Kerberos pour ce service. En obtenant le hachage NTLM du compte de service et d'autres informations requises, l'attaquant peut créer un ticket malveillant, lui permettant d'accéder au service sans avoir besoin de s'authentifier ou de connaître le mot de passe de l'utilisateur réel.

Un cadre qui fournit un mécanisme d'authentification et des services de sécurité optionnels dans les protocoles Internet. Dans le contexte d'Active Directory (AD), SASL est utilisé pour garantir l'intégrité et la sécurité des données pendant la transmission. Lorsqu'un client AD souhaite s'authentifier auprès d'un serveur, il peut utiliser SASL pour spécifier la méthode d'authentification qu'il préfère. SASL prend en charge plusieurs méthodes d'authentification, telles que Kerberos, NTLM et Digest-MD5, et est souvent utilisé dans des protocoles tels que LDAP. Certains mécanismes SASL fournissent également des services de sécurité au-delà de l'authentification, tels que les contrôles d'intégrité des données et le cryptage, afin de protéger les données lors de leur transmission.

Le SSO est un processus d'authentification qui permet à un utilisateur d'accéder à plusieurs ressources à l'aide d'un seul jeu d'identifiants de connexion. Le SSO peut être utilisé pour fournir aux utilisateurs un accès transparent aux ressources du réseau, améliorant ainsi l'expérience de l'utilisateur en réduisant le nombre de mots de passe qu'il doit retenir. Le SSO peut accroître l'efficacité de l'entreprise, mais présente également un problème de sécurité potentiel si le point d'authentification unique est compromis.

Ensemble d'un ou de plusieurs sous-réseaux TCP/IP bien connectés (fiables et rapides) représentés sous forme d'objets dans la base de données AD. Les sites aident les administrateurs à optimiser le trafic de connexion à Active Directory et la réplication d'Active Directory en fonction du réseau physique et de la vitesse des connexions WAN. Lorsque les utilisateurs se connectent, les machines membres du domaine trouvent les contrôleurs de domaine (DC) qui se trouvent dans le même site que l'utilisateur, ou à proximité du même site s'il n'y a pas de DC dans le site. Lorsque les DC se répliquent, ils effectuent une réplication quasi immédiate entre tous les DC d'un site et reportent le trafic de réplication vers d'autres sites en fonction de la fenêtre et de l'intervalle de réplication. Une mauvaise configuration des sites et des services peut entraîner des inefficacités dans la réplication et avoir un impact sur la disponibilité des services AD.

Les liens de site dans Active Directory représentent des chemins IP fiables entre les sites. Ils sont utilisés par le Knowledge Consistency Checker (KCC) pour construire la topologie de réplication.

Un objet de la classe site, représentant un site.

Dans une attaque de type "skeleton key", un adversaire déploie un logiciel malveillant sur un contrôleur de domaine. Ce logiciel malveillant permet à l'attaquant de se connecter à n'importe quel compte du domaine à l'aide d'un mot de passe qu'il est le seul à connaître, sans perturber les opérations normales ni modifier les mots de passe réels.

Il s'agit d'une forme forte d'authentification à deux facteurs utilisée pour se connecter à un domaine AD. Une carte à puce contient un certificat associé à un compte d'utilisateur, ce qui constitue une défense solide contre le vol de données d'identification.

Une attaque rapide de type psexec avec l'avantage supplémentaire de la capacité "pass-the-hash". Elle exécute des commandes sur des ordinateurs distants en utilisant le protocole SMB.

Un outil qui permet aux utilisateurs d'énumérer les lecteurs partagés samba dans un domaine entier. Les attaquants peuvent l'utiliser pour connaître les permissions au niveau des fichiers, des répertoires et des partages.

Il s'agit d'une "photo" ou d'un état stocké de la base de données Active Directory à un moment donné, qui peut être utilisé à des fins de sauvegarde. Un accès non autorisé aux snapshots peut révéler des données sensibles, et les snapshots périmés peuvent contenir des vulnérabilités qui ont été corrigées dans l'environnement réel.

Les SRP identifient les programmes logiciels exécutés sur les ordinateurs d'un domaine et contrôlent la capacité de ces programmes à s'exécuter. Il s'agit d'une méthode efficace pour empêcher l'exécution de logiciels malveillants ou non fiables. Les SRP peuvent être utilisés pour établir une configuration hautement sécurisée pour les systèmes en autorisant uniquement l'exécution d'applications pré-approuvées. Intégrés à Microsoft Active Directory et à la stratégie de groupe, les SRP peuvent être créés à la fois dans des environnements de réseau et sur des ordinateurs indépendants.

Au début de l'année 2020, des cyberattaquants se sont introduits secrètement dans les systèmes de la société SolarWind, basée au Texas, et ont ajouté un code malveillant dans le système logiciel de l'entreprise. Ce système, appelé "Orion", est largement utilisé par les entreprises pour gérer leurs ressources informatiques. SolarWinds comptait 33 000 clients utilisant Orion, selon les documents de la SEC. Cependant, vers mars 2020, jusqu'à 18 000 clients de SolarWinds ont installé des mises à jour qui les ont rendus vulnérables aux cyberattaquants. Parmi eux se trouvaient plusieurs clients importants de SolarWinds, dont des entreprises du Fortune 500 et plusieurs agences du gouvernement américain, y compris des parties du Pentagone, du Département de la sécurité intérieure et du Trésor.

Les identités spéciales (également appelées identités implicites) sont des groupes prédéfinis qui remplissent des rôles uniques et souvent dynamiques au sein de l'infrastructure. Contrairement aux groupes classiques, ces identités n'ont pas de liste statique de membres. Au contraire, elles représentent différents utilisateurs dans différentes circonstances. Quelques exemples de ces identités spéciales sont la connexion anonyme, le lot et l'utilisateur authentifié.

Lors d'une attaque de type SPN-jacking, les cyber-attaquants manipulent le SPN des comptes d'ordinateur/service pour rediriger la délégation contrainte préconfigurée vers des cibles non souhaitées, même sans obtenir les privilèges SeEnableDelegation.

Dans le contexte d'Active Directory, l'usurpation d'identité fait généralement référence à une situation dans laquelle une entité malveillante se fait passer pour un autre appareil ou utilisateur sur le réseau. Par exemple, l'usurpation d'identité DNS peut être utilisée pour détourner le trafic vers un serveur malveillant.

Dans le DNS, un type d'enregistrement d'information stocké dans la base de données de zone du DNS, qui fait correspondre le nom d'un service particulier au nom DNS d'un serveur qui offre ce service. Active Directory utilise fortement les enregistrements SRV pour permettre aux clients et aux autres centres de données de localiser des services tels que Global Catalog, LDAP et Kerberos, et les centres de données annoncent automatiquement leurs capacités en publiant des enregistrements SRV dans le DNS.

Processus de négociation et d'établissement d'une connexion protégée par Secure Sockets Layer (SSL) ou Transport Layer Security (TLS).

Également appelées attaques de tiers ou attaques de la chaîne de valeur, elles se produisent lorsqu'un pirate s'infiltre dans votre système par l'intermédiaire d'un partenaire ou d'un fournisseur extérieur ayant accès à vos systèmes et à vos données. En fait, au lieu d'attaquer directement la cible principale, l'auteur de la menace s'attaque à des éléments moins sûrs de la chaîne d'approvisionnement du réseau. Parmi les exemples notoires, on peut citer l'attaque de SolarWinds, où un code malveillant a été inséré dans des mises à jour logicielles, affectant des milliers de clients dans le monde entier.

Dans le contexte d'Active Directory, la synchronisation est le processus qui garantit que les copies multiples d'un objet de données, tel qu'un compte d'utilisateur ou un groupe, sont identiques sur tous les contrôleurs de domaine. Si la synchronisation échoue, elle peut entraîner des incohérences susceptibles d'être exploitées par un pirate.

Liste de contrôle d'accès (ACL) qui contrôle la génération de messages d'audit pour les tentatives d'accès à un objet sécurisé dans AD. Les messages d'audit qui en résultent peuvent être consultés dans le journal de sécurité de l'observateur d'événements Windows. Ignorer les SACL peut rendre un système vulnérable en n'enregistrant pas les activités suspectes et en ne donnant pas l'alerte.

Le partage SYSVOL est un dossier très important qui est partagé sur chaque contrôleur de domaine dans le domaine AD. L'emplacement par défaut est %SYSTEMROOT%SYSVOLSYSVOL et il contient généralement des objets de stratégie de groupe, des dossiers, des scripts, des points de jonction, etc. Chaque contrôleur de domaine reçoit une réplique du partage SYSVOL. S'il n'est pas correctement sécurisé, les attaquants peuvent accéder à ce partage et tout ce qui y est placé est répliqué par défaut dans l'ensemble de la forêt AD. Des modifications non autorisées dans SYSVOL peuvent également entraîner des problèmes de sécurité liés aux GPO.

Un utilitaire graphique de surveillance du réseau Sysinternals qui affiche une représentation de tous les points d'extrémité TCP et UDP actuellement actifs sur un système.

TACACS est un protocole d'authentification à distance couramment utilisé dans les réseaux UNIX. TACACS permet à un serveur d'accès à distance de transmettre le mot de passe de connexion d'un utilisateur à un serveur d'authentification afin de déterminer si l'accès à un système donné peut être autorisé. Bien qu'il ne fasse pas directement partie d'Active Directory, il est souvent utilisé en conjonction avec AD dans les environnements mixtes.

Terminal Services, désormais connu sous le nom de Remote Desktop Services, permet aux utilisateurs d'accéder à distance à des programmes Windows ou à l'ensemble du bureau Windows. Bien qu'il soit pratique et flexible, il peut également présenter un risque pour la sécurité s'il n'est pas correctement sécurisé, car il peut être exploité par des pirates pour obtenir un accès à distance non autorisé.

Voir aussi : Services de bureau à distance (RDS)

Cette commande PowerShell vérifie le canal sécurisé entre l'ordinateur local et son domaine. Si elle montre une connexion non sécurisée, cela peut indiquer des attaques MiTM potentielles ou d'autres compromissions du réseau.

La chasse aux menaces est un processus de cybersécurité proactif qui consiste à parcourir les réseaux pour détecter et isoler les menaces avancées qui échappent aux solutions de sécurité existantes. Elle est essentielle dans les environnements Active Directory pour identifier les intrusions potentielles ou les activités malveillantes qui ont contourné les mesures de sécurité traditionnelles. Un exemple bien connu de chasse aux menaces dans AD serait la recherche de signes d'attaques par "Golden Ticket", où les attaquants falsifient un TGT.

Terme générique décrivant les types de vulnérabilités, d'attaques et d'acteurs de la menace qui existent à un moment donné, dans un certain contexte. Les technologies de l'informatique et de l'information progressent à une vitesse fulgurante. Cependant, les cyberattaquants suivent le rythme en évoluant constamment dans leurs méthodes d'exploitation des vulnérabilités des systèmes. La volatilité du paysage actuel des cybermenaces rend critique l'utilisation d'une approche de sécurité à plusieurs niveaux et de solutions conçues spécifiquement pour protéger et restaurer rapidement Active Directory.

Le TGS est un élément essentiel du protocole d'authentification Kerberos utilisé dans Active Directory. Après l'authentification initiale, un Ticket Granting Ticket (TGT) est émis par le Key Distribution Center (KDC). Le TGS utilise ce TGT pour émettre des tickets de service permettant d'accéder à d'autres ressources au sein du domaine. Si un pirate accède à un TGT valide, il peut demander des tickets d'accès à n'importe quel service du réseau, ce qui peut entraîner un accès non autorisé.

Voir aussi : Billet d'entrée (TGT)

Dans le protocole d'authentification Kerberos, les options de ticket sont un champ du ticket qui spécifie des indicateurs tels que le fait que le ticket soit renouvelable ou qu'il soit valide pour l'utilisation d'un proxy. Une mauvaise configuration de ces options, ou leur exploitation par un pirate, peut entraîner des problèmes de sécurité, tels que le renouvellement non autorisé du ticket.

Dans le cadre du protocole d'authentification Kerberos, un TGT est délivré par le Centre de distribution de clés (KDC) lors de l'authentification initiale de l'utilisateur. Ce ticket est ensuite utilisé pour demander des tickets de service au service d'octroi de tickets (TGS) pour des ressources réseau spécifiques. Le TGT contient la clé de session, la date d'expiration et l'adresse IP de l'utilisateur. Le TGT est une cible de grande valeur pour les attaquants, car la possession d'un TGT valide leur permet d'usurper l'identité des utilisateurs et d'obtenir un accès non autorisé aux ressources.

Voir aussi : Service d'émission de billets (TGS)

Les actifs de niveau 0 sont ceux qui sont essentiels au fonctionnement de votre environnement informatique. Il s'agit notamment d'Active Directory et des contrôleurs de domaine AD, qui contrôlent à leur tour l'accès et les privilèges de chaque utilisateur, système et ressource de l'organisation.

Ce modèle de sécurité pour l'accès administratif sépare les privilèges en plusieurs niveaux afin d'empêcher le vol de données d'identification et l'accès non autorisé. Par exemple, les administrateurs ayant accès au contrôleur de domaine (niveau 0) ne doivent pas utiliser les mêmes comptes ou machines pour gérer des actifs moins fiables tels que les postes de travail des utilisateurs (niveau 2). Ce modèle est essentiel pour minimiser le risque d'escalade des privilèges ou d'attaques par déplacement latéral.

Active Directory utilise le protocole Kerberos pour l'authentification, qui repose sur des tickets sensibles au temps. Il est essentiel de maintenir une heure précise et synchronisée dans tous les systèmes d'un environnement AD afin d'éviter les problèmes d'authentification. Un mauvais réglage de l'heure peut même conduire à des attaques basées sur Kerberos, telles que les attaques par rejeu.

Le TTL n'est pas propre à Active Directory, mais il joue un rôle essentiel dans le DNS, qui est un composant important d'AD. Dans le contexte du DNS intégré à AD, le TTL est une valeur dans un enregistrement DNS qui indique la durée de validité de l'enregistrement avant qu'il ne doive être actualisé. Un TTL trop long peut entraîner l'utilisation d'informations DNS obsolètes, ce qui pourrait perturber les services AD.

Dans Active Directory, un jeton est une représentation des droits et des autorisations de l'utilisateur. Chaque fois qu'un utilisateur se connecte, un jeton est généré qui identifie l'utilisateur et les groupes auxquels il appartient. Les tokens peuvent être ciblés par des cybercriminels pour effectuer des attaques d'usurpation d'identité, en dérobant le token pour obtenir un accès non autorisé.

Le "token bloat" est une situation dans laquelle un utilisateur accumule tellement d'identifiants de sécurité (SID) dans son jeton d'accès en raison de son appartenance à de nombreux groupes qu'il rencontre des problèmes d'ouverture de session ou d'accès aux ressources. Du point de vue de la cybersécurité, le gonflement des jetons peut à la fois avoir un impact sur la productivité de l'utilisateur et servir de signe d'autorisations excessives qui pourraient être exploitées par un pirate si le compte de l'utilisateur était compromis.

Lorsqu'un objet est supprimé d'Active Directory, il est placé dans le conteneur des objets supprimés. L'objet conserve la plupart de ses attributs. Les objets restent dans ce conteneur pendant la période de référence (par défaut 180 jours), après quoi ils sont définitivement supprimés. Si cette période n'est pas encore écoulée, les objets supprimés peuvent être réanimés. La restauration d'objets incorrectement supprimés peut entraîner des incohérences et éventuellement des objets orphelins.

Nombre de jours avant qu'un objet supprimé ne soit retiré des services d'annuaire. La valeur par défaut est de 60 jours si aucune valeur n'est saisie. Dans les systèmes d'exploitation modernes, la valeur est de 180 jours.

Une relation bidirectionnelle qui est automatiquement créée entre les domaines parents et enfants dans une forêt Microsoft Active Directory, et qui peut permettre aux utilisateurs d'un domaine de la forêt de se connecter aux ressources de n'importe quel autre domaine de cette forêt. Cela signifie que si le domaine A fait confiance au domaine B et que le domaine B fait confiance au domaine C, alors le domaine A fait automatiquement confiance au domaine C. Les attaquants peuvent exploiter cette transitivité pour obtenir un accès non autorisé aux ressources.

TCP/IP est la suite de protocoles de communication utilisés pour interconnecter les périphériques de réseau sur l'internet ou dans un réseau privé. Dans le contexte de l'Active Directory, il est essentiel car il constitue l'épine dorsale des communications réseau. Il est important de veiller à ce que des mesures de sécurité appropriées, telles que IPsec, soient mises en œuvre afin de protéger le trafic réseau contre les attaques de type "sniffing" ou "spoofing".

TLS est un protocole qui garantit la confidentialité entre les applications et les utilisateurs qui communiquent sur l'internet. Lorsqu'un serveur et un client communiquent, le protocole TLS garantit qu'aucun tiers ne peut écouter ou falsifier un message. S'il n'est pas correctement mis en œuvre, les attaquants peuvent exploiter les vulnérabilités du protocole ou utiliser des attaques dégradées pour affaiblir la sécurité de la connexion.

Une arborescence est une collection de domaines Active Directory dans un ordre hiérarchique et avec un espace de noms contigu.

Une confiance de racine d'arbre est une relation de confiance transitive automatique qui est établie entre les domaines racines de deux arbres dans la même forêt Active Directory. Cette confiance permet à tous les domaines d'une arborescence de faire confiance à tous les domaines de l'autre arborescence. Toutefois, à l'instar des relations de confiance transitives, les relations de confiance arborescentes peuvent être exploitées par des attaquants pour effectuer des mouvements latéraux au sein de la forêt.

TrickBot est un malware de type cheval de Troie qui a été identifié pour la première fois en 2016. Son objectif initial était de cibler les banques et de voler des données financières, mais TrickBot a évolué pour devenir un malware modulaire à plusieurs étapes. Le vecteur d'infection initial le plus courant est le malspam qui contient des documents bureautiques malveillants, chargés de macros, tels que des factures, des cartes de vœux de vacances, des infractions au code de la route, etc.

Une confiance est une relation entre domaines qui permet aux objets d'un domaine d'accéder aux ressources d'un autre domaine. Elle est établie entre deux arborescences de domaines ou deux forêts pour permettre aux utilisateurs d'un domaine d'accéder aux ressources de l'autre domaine. Par exemple, un utilisateur d'un domaine peut se connecter et accéder aux ressources d'un autre domaine.

Ils définissent le type d'accès accordé à un domaine de confiance. Les attributs de confiance comprennent des paramètres tels que l'authentification sélective, qui restreint l'accès à certaines ressources d'un domaine. Une mauvaise configuration des attributs de confiance peut entraîner un accès non autorisé aux ressources.

Dans Active Directory, une limite de confiance est une limite logique qui sépare différents domaines de sécurité. Elle représente la mesure dans laquelle des relations de confiance peuvent être établies entre des entités situées à l'intérieur et à l'extérieur de la limite. L'établissement d'une relation de confiance à travers cette limite permet aux principaux responsables de la sécurité (tels que les utilisateurs ou les ordinateurs) d'un domaine d'accéder aux ressources d'un autre domaine.

Le 2FA ajoute une couche de sécurité supplémentaire au processus d'authentification en demandant aux utilisateurs de vérifier leur identité à l'aide de deux facteurs différents : quelque chose qu'ils connaissent (comme un mot de passe) et quelque chose qu'ils possèdent (comme un jeton ou un appareil mobile). Il est ainsi plus difficile pour les pirates d'obtenir un accès, même s'ils parviennent à compromettre l'un des deux facteurs.

Les groupes universels dans Active Directory sont des groupes qui peuvent inclure des utilisateurs, des groupes et des ordinateurs de n'importe quel domaine de la forêt AD. Cet attribut les rend idéaux pour la gestion des accès à grande échelle dans plusieurs domaines, mais une mauvaise configuration ou une utilisation excessive peut augmenter le trafic de réplication au sein de la forêt, ce qui risque d'affecter les performances.

Cette commande PowerShell déverrouille un compte AD qui a été bloqué. Une mauvaise utilisation pourrait conduire un attaquant à déverrouiller des comptes qui ont été verrouillés en raison d'activités suspectes.

Un USN est un numéro de 64 bits dans Active Directory qui s'incrémente au fur et à mesure que des modifications sont apportées aux objets ou aux attributs. Il est utilisé pour contrôler la réplication de ces modifications dans l'ensemble de la forêt AD.

Bien qu'il ne s'agisse pas à proprement parler d'un terme AD, l'UAC est une fonction de sécurité de Windows qui peut interagir avec AD. Il contrôle les privilèges d'un compte d'utilisateur et demande une confirmation chaque fois qu'une modification nécessite des droits d'administration. Si les paramètres de l'UAC ne sont pas correctement configurés, il peut permettre des modifications non autorisées ou la propagation de logiciels malveillants.

Dans Active Directory Services Interface (ADSI), chaque objet possède un identifiant unique appelé UID. Il est souvent utilisé lors de l'interaction avec AD via des scripts ou des langages de programmation, servant de pointeur distinct à un objet dans l'annuaire.

Dans Active Directory, un objet utilisateur est un ensemble distinct d'attributs représentant un utilisateur du réseau. Il comprend des informations telles que le nom d'utilisateur, le mot de passe et divers autres détails sur l'utilisateur. La sécurité des objets utilisateur est primordiale pour garantir la confidentialité des données et empêcher tout accès non autorisé.

Nom de connexion de type Internet pour un objet utilisateur, basé sur la norme Internet RFC 822. L'UPN est plus court que le nom distinctif et plus facile à retenir. Il simplifie le processus de connexion, en particulier dans les environnements où il existe des relations de confiance. Par convention, il doit correspondre à l'adresse électronique de l'utilisateur, ce qui le rend plus facile à mémoriser.

Un répertoire virtuel est un nom de répertoire, également connu sous le nom de chemin d'accès, qui est utilisé pour référencer le répertoire physique (ou les répertoires) où les fichiers sont réellement stockés. Ce concept est important dans AD car il permet de localiser et de gérer efficacement les ressources sans avoir à gérer directement les complexités sous-jacentes de leurs emplacements physiques.

Un VLAN est une division logique d'un réseau, regroupant un ensemble d'appareils qui peuvent communiquer comme s'ils se trouvaient sur le même réseau physique, même si ce n'est pas le cas. Du point de vue d'AD, les VLAN peuvent influencer la conception et les performances de la réplication d'AD, ainsi que l'application des politiques.

Un VPN est une connexion réseau sécurisée qui utilise le cryptage et d'autres mécanismes de sécurité pour garantir que seuls les utilisateurs autorisés peuvent accéder au réseau et que les données ne peuvent pas être interceptées. Cela a des implications pour Active Directory, car il permet un accès distant et sécurisé au réseau d'une organisation où résident les ressources AD.

Le processus de création d'une version virtuelle de quelque chose, y compris, mais sans s'y limiter, une plate-forme matérielle, un système d'exploitation, un périphérique de stockage ou des ressources réseau. Dans les contextes AD, les contrôleurs de domaine peuvent être virtualisés pour économiser sur les coûts de matériel ou à des fins de reprise après sinistre. Cependant, la virtualisation des composants AD doit être gérée avec soin, car des configurations incorrectes (comme le fait qu'un contrôleur de domaine virtuel conserve sa propre heure) peuvent entraîner des problèmes importants.

Un virus est un programme malveillant qui se réplique pour se propager à d'autres ordinateurs. Il peut avoir un impact sur Active Directory s'il infecte des systèmes qui interagissent avec AD ou s'il cible spécifiquement des composants d'AD. La protection contre les virus et l'intervention rapide sont essentielles pour maintenir l'intégrité et la disponibilité de l'environnement AD.

VBScript est un langage de script léger, développé par Microsoft, qui est souvent utilisé pour les scripts côté serveur dans les environnements Active Directory. Malgré son ancienneté, de nombreux administrateurs AD ont des scripts VBS dans leur environnement, ou peuvent utiliser VBScript pour des tâches simples et rapides.

Il s'agit d'un service Windows qui permet la sauvegarde manuelle ou automatique des fichiers et des volumes de l'ordinateur. Il s'agit essentiellement de l'outil de sauvegarde natif de Windows, capable de créer des copies "fantômes" à des intervalles spécifiés ou lorsqu'il est déclenché par un événement système. VSS peut être utilisé pour sauvegarder une base de données Active Directory en cours d'exécution et joue un rôle essentiel dans les opérations de restauration du système et de récupération des données.

Cette technique de sécurité est utilisée pour identifier les faiblesses de sécurité d'un système informatique. Dans le contexte d'Active Directory, l'analyse des vulnérabilités peut révéler des problèmes tels que des logiciels non corrigés, des erreurs de configuration de la sécurité ou l'utilisation de mots de passe faibles. L'analyse régulière des vulnérabilités est un élément essentiel du maintien de la sécurité d'un environnement Active Directory.

Le ver ransomware Wannacry a exploité la vulnérabilité EternalBlue et a ciblé les ordinateurs fonctionnant sous Windows en 2017. Microsoft a publié un correctif de sécurité pour EternalBlue peu avant le début des attaques, mais de nombreux utilisateurs de Windows n'ont pas immédiatement mis à jour leurs systèmes ou utilisaient des versions obsolètes de Windows. En conséquence, Wannacry a infecté plus de 200 000 ordinateurs à travers 150 pays et a causé 8 milliards de dollars de dommages.

Un utilitaire d'invite de commande qui permet aux administrateurs ou aux opérateurs de sauvegarde de sauvegarder et de restaurer un système d'exploitation (OS), un volume, un fichier, un dossier ou une application. Wbadmin a remplacé NT backup, l'outil utilisé pour créer des sauvegardes dans les systèmes antérieurs à Windows Server 2008.

Dans le domaine du SSL/TLS, un certificat wildcard est un certificat qui peut sécuriser n'importe quel sous-domaine d'un domaine. Par exemple, un seul certificat wildcard pour *.semperis.com peut sécuriser www.semperis.com, mail.semperis.com, etc. Dans AD, un certificat wildcard peut être utilisé pour sécuriser plusieurs services sans qu'il soit nécessaire d'utiliser plusieurs certificats.

Également connu sous le nom d'Azure Active Directory (AAD). Il s'agit des services de domaine Active Directory dans le nuage Windows Azure.

Windows Defender est le système de sécurité intégré en temps réel de Windows qui offre une protection contre un large éventail de menaces telles que les logiciels malveillants, les logiciels espions et les virus. Il joue un rôle essentiel dans la sécurisation des appareils qui font partie de l'Active Directory.

Une application Windows qui permet aux administrateurs de voir les enregistrements détaillés du système d'exploitation, de la sécurité et des notifications d'application. Utilisée par les administrateurs pour diagnostiquer les problèmes du système et prévoir les problèmes futurs.

Service basé sur Windows qui résout les noms NetBIOS des ordinateurs en adresses IP. WINS a été conçu pour résoudre les problèmes liés à la résolution des noms NetBIOS dans les environnements routés.

Une infrastructure intégrée aux systèmes d'exploitation Microsoft Windows qui permet d'extraire des données de gestion et des paramètres opérationnels et de les configurer sur n'importe quel appareil "branché" au système. Elle offre aux logiciels un moyen unifié de demander des informations sur le système et de gérer ses composants localement ou à distance. WMI peut être utilisé pour des tâches telles que l'interrogation des paramètres du système, la définition des propriétés du système ou le déclenchement d'actions spécifiques sur les systèmes.

Windows PowerShell est un shell de ligne de commande basé sur des tâches et un langage de script conçu spécialement pour l'administration de systèmes. Basé sur le cadre .NET, PowerShell aide les professionnels de l'informatique à contrôler et à automatiser l'administration du système d'exploitation Windows et des applications qui tournent sous Windows. Par exemple, les administrateurs peuvent utiliser PowerShell pour automatiser le processus de création d'utilisateurs dans Active Directory.

Un hôte de script indépendant du langage pour les moteurs de script compatibles avec Windows Script. Il fournit un ensemble d'objets et de services qui permettent l'écriture de scripts au niveau du système, permettant aux scripts écrits en JScript ou VBScript, par exemple, d'automatiser des tâches administratives ou d'interagir directement avec le système d'exploitation Windows. Les scripts WSH peuvent être exécutés directement à partir du bureau ou de l'invite de commande, ou ils peuvent être intégrés dans une page web, ce qui constitue une plateforme polyvalente pour l'automatisation des tâches de routine.

Windows Server est un groupe de systèmes d'exploitation conçus par Microsoft qui prend en charge la gestion, le stockage des données, les applications et les communications au niveau de l'entreprise. Active Directory est l'un des services critiques fonctionnant sur Windows Server, fournissant une variété de services d'annuaire.

WSUS est un rôle de serveur Windows qui peut planifier, gérer et déployer des mises à jour, des correctifs et des hotfixes pour les systèmes d'exploitation Windows et d'autres logiciels Microsoft.

Le service Windows Time veille à ce que tous les ordinateurs d'un domaine Active Directory partagent la même heure. Ce point est essentiel, car un décalage horaire supérieur au seuil autorisé (5 minutes par défaut) peut entraîner des échecs d'authentification en raison de la sensibilité au temps du protocole Kerberos.

Le fournisseur d'espace de noms de Windows NT, qui prend en charge la base de données de comptes SAM de Windows NT.

Largement utilisé pour le dépannage des réseaux et l'analyse des protocoles, Wireshark est un outil légitime de capture de réseau qui peut être utilisé par des pirates pour capturer et analyser le trafic réseau, ce qui peut permettre de découvrir des données sensibles transmises en clair.

Langage de type SQL utilisé pour filtrer et interroger les informations provenant de la structure Windows Management Instrumentation (WMI). Il est utilisé pour écrire des requêtes qui renvoient des informations spécifiques à partir de la grande quantité de données que WMI peut fournir, comme la recherche d'événements ou d'objets de données, l'appel de méthodes, ou l'accès ou la modification de propriétés du système. WQL offre aux administrateurs un ensemble d'outils robustes pour automatiser les tâches, dépanner ou recueillir des informations sur le système dans un environnement Windows.

Dans le contexte d'Active Directory, un poste de travail désigne généralement un ordinateur connecté au réseau et placé sous le contrôle d'AD. Des stratégies peuvent être appliquées aux postes de travail, les utilisateurs peuvent s'y connecter à l'aide de leurs identifiants AD et ils peuvent accéder aux ressources en fonction de leurs droits et autorisations d'utilisateur AD.

Un contrôleur de domaine inscriptible est un serveur qui héberge une copie inscriptible de la base de données AD. Il s'agit d'une différence par rapport à un contrôleur de domaine en lecture seule (RODC). Les WDC permettent d'apporter des modifications à la base de données, qui sont ensuite répliquées sur d'autres DC. Toute compromission d'un WDC peut avoir un impact significatif en raison de sa capacité à modifier les données de l'annuaire.

Une série de normes de réseaux informatiques qui définissent un service d'annuaire pour les systèmes informatiques distribués. Il sert de carnet d'adresses global, facilitant le partage d'informations sur les utilisateurs, les systèmes, les réseaux, les services et les applications dans l'ensemble du réseau. Le protocole LDAP est basé sur un sous-ensemble de ces normes, ce qui fait de X.500 un élément important de la base des services d'annuaire modernes tels que l'Active Directory de Microsoft.

La confiance zéro est un concept de sécurité qui suppose qu'il n'y a pas de confiance implicite accordée aux biens ou aux comptes d'utilisateurs sur la seule base de leur emplacement physique ou de leur emplacement sur le réseau. La confiance zéro exige que tous les utilisateurs soient authentifiés et autorisés avant de pouvoir accéder aux applications et aux données. La sécurité de l'identité est au cœur des initiatives de confiance zéro réussies. 

Une vulnérabilité dans la cryptographie du processus Microsoft Netlogon peut permettre une attaque contre Active Directory (AD). Zerologon permet aux cyberattaquants de se faire passer pour n'importe quel ordinateur et de prendre le contrôle d'un contrôleur de domaine, y compris le contrôleur de domaine racine. Pour ce faire, les cyberattaquants modifient ou suppriment le mot de passe d'un compte de service sur le contrôleur, puis provoquent un déni de service (DoS) ou prennent le contrôle de l'ensemble du réseau.

Les transferts de zone se produisent dans les protocoles du système de noms de domaine (DNS) lorsqu'un serveur DNS transmet une copie d'une partie de sa base de données (une zone) à un autre serveur DNS. Dans un contexte Active Directory, il s'agit d'un composant essentiel du processus de réplication des zones DNS intégré à AD. Du point de vue de la sécurité, les transferts de zone non sécurisés peuvent exposer des informations sensibles sur les ressources du réseau, il est donc important de s'assurer qu'ils sont configurés de manière à ne permettre que des transferts vers des serveurs autorisés.