Dans les six premières parties de cette série de blogs, nous avons posé les bases pour commencer à travailler avec Active Directory (AD) et à le gérer. Une fois les bases posées, il est temps d’explorer la relation entre la cybersécurité et AD.
En poussant cette série un peu plus loin, ce blog donne un aperçu des considérations de conception qui sont importantes pour sécuriser votre infrastructure AD contre les failles de sécurité potentielles. Nous allons maintenant explorer les quatre aspects d’une attaque basée sur AD : qui, quoi, quand et où dans une analyse des causes primaires.
Si vous reconnaissez l’importance de surveiller et garantir la sécurité de votre Active Directory et de garantir sa sécurité, ce blog est fait pour vous.
Les éléments de conception et les configurations d’AD qui contribuent à la posture de sécurité d’une organisation
Chaque aspect d’un environnement AD est susceptible de présenter un risque de sécurité. Le risque d’exposition aux attaquants est maximal dans les trois scénarios suivants :
- Lorsque la configuration d’un environnement AD est erronée.
- Lorsque les stratégies de groupe ont été incorrectement appliquées.
- Lorsque les terminaux connectés au domaine AD sont mal gérés.
Renforcez votre sécurité AD en vous concentrant sur les trois problèmes mis en évidence ci-dessus.
Dans les six parties précédentes de cette série de blogs, nous avons étudié divers aspects d’AD d’un point de vue théorique. Cependant, nous pouvons maintenant examiner la même liste de sujets et les discuter plus en détail du point de vue de la sécurité. Les risques associés à chacun des trois scénarios ci-dessus entreront en jeu dans notre discussion ci-dessous :
- Intégration d’AD avec le système de noms de domaine (DNS)
- Utilisateurs et ordinateurs dans AD
- Groupes et OUs AD
- Réplication AD
- Rôles FSMO dans AD
Intégration d’AD avec le système de noms de domaine (DNS)
La dépendance des services AD vis-à-vis du DNS est inévitable. Bien que le DNS soit crucial pour tout réseau interconnecté, votre configuration AD cessera de fonctionner si elle présente une intégration défectueuse avec le DNS.
Vous devrez prendre en compte les aspects suivants pour assurer le renforcement de la sécurité de la surface d’attaque AD :
- Surveillez l’infrastructure DNS et le protocole DNS pour garantir une sécurité intégrée grâce à des mesures telles que les extensions de sécurité DNS (DNSSEC), le cryptage DNS et les pare-feu DNS.
- Auditez périodiquement les fichiers de zone AD-DNS et leurs enregistrements de ressources associés.
- Configurez avec soin les demandes de transfert de zone. Veillez à surveiller étroitement et à auditer périodiquement les listes de contrôle d’accès (ACL) de transfert de zone.
- Mettez en place un LDAP sécurisé. Cela garantira que les données LDAP sont cryptées pendant le processus de liaison d’authentification LDAP lorsqu’un utilisateur ou un client communique avec le service d’annuaire.
Utilisateurs et ordinateurs AD
Si vous ne le faites pas déjà, commencez à utiliser un système de surveillance AD pour vous aider à rester à jour sur toute l’activité AD dans votre écosystème. Le suivi et la surveillance automatiques par le biais d’un système de surveillance des journaux bien conçu sont essentiels.
S’il est important de comprendre la gestion des utilisateurs et des ordinateurs AD, vous devrez appliquer ces connaissances pour sécuriser l’infrastructure AD.
Microsoft recommande de faire d’une politique d’audit robuste une partie intégrante de la gestion d’AD, qui comprend l’audit, l’alerte et le reporting de l’activité d’AD.
- Vous devrez programmer des alertes et personnaliser des rapports pour les événements de connexion, y compris les comptes d’utilisateur et les comptes d’ordinateur authentifiés sur tout domaine AD.
- Programmez et effectuez des audits de gestion des comptes d’utilisateurs pour surveiller les événements de création et de modification des utilisateurs, tels que le changement de nom, la mise à jour du mot de passe ou la modification de l’état du compte (par exemple, activé ou désactivé, ou si le compte est verrouillé), ainsi que la suppression des utilisateurs.
- Les comptes d’utilisateurs privilégiés intégrés et personnalisés, s’ils sont compromis, ont l’impact le plus néfaste d’une attaque AD. Vous devez donc surveiller les comptes privilégiés pour détecter les événements relatifs au verrouillage du compte, à l’échec de la connexion ou aux connexions et déconnexions inhabituelles.
Vous devrez également effectuer des audits de gestion des comptes informatiques pour surveiller les événements de création, de modification et de suppression des comptes informatiques.
Groupes et OUs AD
Comme pour les utilisateurs et les ordinateurs, vous devrez gérer et auditer les rapports sur les groupes et les OU pour vous assurer que toute mauvaise configuration est corrigée et que tout journal d’événement inhabituel provenant de ces objets AD est traité immédiatement.
Considérez les points suivants :
- Les rapports de gestion des groupes AD doivent être configurés et surveillés pour la création, la modification et la suppression des groupes de sécurité et de distribution.
- Comme pour les utilisateurs privilégiés intégrés et personnalisés, surveillez les activités des utilisateurs dans les groupes AD privilégiés et sensibles.
- Vous devrez étudier de près les couches physiques et logiques de votre modèle architectural AD. Examinez la conception des groupes AD pour comprendre dans quelle mesure l’imbrication est bien réalisée, et configurez des alertes pour les modifications apportées aux GPO et à l’appartenance aux groupes. Toute activité qui s’écarte de la norme doit vous alerter.
- Les ACL de sécurité fournissent une sécurité intégrée à la conception des groupes AD et à la manière dont les paramètres de stratégie de groupe sont appliqués aux objets AD. Vous devez surveiller ces ACL dans le cadre d’un processus obligatoire de protection de votre AD.
- Surveillez toute modification apportée à la stratégie de groupe, aux privilèges des utilisateurs, aux autorisations d’accès et aux droits des utilisateurs, en particulier dans le cas de groupes d’utilisateurs bénéficiant d’un accès hautement privilégié. Travaillez continuellement à l’établissement d’un environnement de moindre privilège.
- Assurez et auditez la délégation basée sur les rôles afin de maintenir un contrôle granulaire sur les autorisations et les privilèges accordés aux utilisateurs qui font partie de groupes sensibles, tels que les administrateurs de domaine.
Réplication AD
Le modèle de réplication AD est conçu en tenant compte au maximum de trois composants essentiels. Le premier est le contrôleur de domaine (DC) source, qui autorise toute demande de modification sur un site AD. Le deuxième est l’ensemble des autres partenaires de réplication, et le troisième, les serveurs de tête de pont désignés dans chaque site. Ces trois composants sont jugés cruciaux pour la conception de votre configuration AD et placés au premier plan pour que la réplication soit exempte d’erreurs.
La configuration et la conception de la topologie de réplication de votre environnement AD jouent un rôle important pour garantir la sécurité AD dans une infrastructure AD résiliente. Pour y parvenir, vous devrez vous pencher sur les points suivants :
- Séparez et protégez vos DC, y compris les serveurs physiques et virtuels.
- Assurez-vous que vos DCs fonctionnent avec les dernières versions du système d’exploitation pour des fonctionnalités et des correctifs de sécurité à jour.
- Limitez la disponibilité de l’accès à Internet et les capacités de navigation sur le Web sur les DC pour fournir une autre couche de sécurité implicite et intégrée contre les vecteurs d’attaque externes.
- Effectuez un audit et un contrôle minutieux des appartenances aux groupes des DC afin de surveiller les administrateurs de domaine en particulier, ainsi que toute modification inhabituelle des appartenances à des comptes disposant d’une élévation de privilèges.
- Tenez compte du rôle essentiel que joue la gestion des terminaux des ressources réseau connectées au domaine dans la sécurisation de la réplication AD. Votre rôle consiste à tenir à jour une liste de contrôle de sécurité et de conformité axée sur l’évaluation des risques en temps réel et prenant en compte l’intégralité des journaux AD.
Rôles de la FSMO dans AD
L’établissement d’une base de référence de toute l’activité dans votre environnement Active Directory peut vous aider à détecter tout écart ou comportement anormal. Cela est particulièrement nécessaire pour les rôles FSMO en raison de leur accès privilégié.
À cet égard, vous devez surveiller les transferts injustifiés de rôles FSMO, les modifications inattendues du schéma AD, les cas de verrouillage de comptes, les comptes hyperactifs, le pourcentage élevé d’échecs de connexion et d’autres activités inhabituelles.
Prêtez attention aux considérations de conception suivantes concernant les rôles FSMO :
- Surveillez de près et auditez en permanence tous les événements relatifs au transfert des rôles FSMO entre les DC d’un domaine AD.
- Enregistrez les journaux où les rôles FSMO ont été saisis en raison de DCs inopérants ou morts.
- Mettez en place des alertes lorsque des DCs sont rétrogradés ou lorsque des DCs connaissent des défaillances ou des arrêts.
- Étudiez toute modification apportée au schéma AD.
- Établissez des alertes pour les règles et les politiques sur une console de surveillance et d’audit AD en temps réel pour suivre et analyser votre posture de sécurité AD globale.
- Envisagez d’intégrer votre collecte de journaux AD à une solution SIEM pour transmettre les journaux AD et rendre votre surveillance plus complète.
Vous savez maintenant ce qu’il faut examiner lorsque vous commencez à surveiller votre service AD pour garantir une sécurité maximale dès la conception.
En gardant ces concepts à l’esprit, dans la prochaine partie de cette série de blogs, nous nous pencherons sur l’exposition de certaines des vulnérabilités de sécurité les plus cruciales d’Active Directory à travers des cas d’utilisation et certaines attaques AD courantes.
L’objectif ultime de tous les administrateurs AD devrait être de parvenir à la cyber-résilience et à un environnement Active Directory inattaquable. Le véritable défi consiste à y parvenir malgré la nature dynamique d’AD et, ne l’oublions pas, l’état d’esprit sophistiqué des cybercriminels d’aujourd’hui.
Source : A practical approach to Active Directory Domain Services, Part 7: Cybersecurity and AD