Dans les dernières parties de cette série consacrée aux services de domaine Active Directory, Nous avons couvert de nombreux sujets relatifs à l’AD. Cette dernière partie portera sur un autre volet fondamental de l’AD, qui concerne les stratégies de groupe et les objets de stratégie de groupe (GPO). Nous étudierons en quoi consistent les stratégies de groupe et le rôle que jouent les GPO dans la mise en place effective de tout environnement AD.
Que représentent les stratégies de groupe et les GPO ?
Les stratégies de groupe constituent l’outil central permettant aux gestionnaires d’AD de gérer et de contrôler les paramètres et les configurations appliqués aux utilisateurs et comptes d’ordinateur au sein du système AD. Cet outil représente les modes opératoires permettant la gestion et l’amélioration du niveau de sécurité des données AD.
Les GPO constituent une série de paramètres de stratégie de groupe. Dans une configuration AD, chaque groupe de réglages apparentés est défini comme un GPO. Cette approche simplifie la gestion des stratégies de groupe.
La console de gestion des stratégies de groupe (GPMC) est un outil disponible sur le tableau de bord du gestionnaire de serveur. La console GPMC aide à la création, la gestion et la suppression des GPO, ce qui ressemble aux fonctionnalités offertes par d’autres outils tels que le Centre d’administration Active Directory (ADAC) qui facilitent la gestion du cycle de vie des comptes utilisateur et ordinateur.
Les GPO sont généralement utilisées séparément sur les comptes d’ordinateur et les comptes d’utilisateur. En étudiant attentivement le mode d’application des GPO, vous constaterez que les politiques et les préférences sont deux catégories sous lesquelles sont configurés les paramètres de ces derniers pour les utilisateurs et les ordinateurs. Cette sous-catégorie de configurations forme finalement chaque GPO.
L’illustration 1 ci-dessous présente une capture d’écran du GPMC. Elle affiche les différents paramètres classés sous les rubriques Politiques et Préférences.
Image 1 : Cette capture d’écran présente la console GPMC avec les différents paramètres sous les stratégies et préférences. Ceux-ci s’appliquent à la fois aux configurations des utilisateurs et des ordinateurs.
Les stratégies
Les stratégies correspondent aux paramètres de Windows et aux autres configurations de livraison de logiciels que les administrateurs utilisent pour gérer les installations de ceux-ci. Ils se servent également de ces stratégies pour contrôler celles locales ainsi que les journaux d’événements.
- Ces paramètres sont soumis à un contrôle centralisé ; et les utilisateurs particuliers ont rarement la possibilité de les modifier.
- Citons par exemple les stratégies de gestion des mots de passe, de verrouillage des comptes, ou encore les configurations avancées des stratégies d’audit.
Préférences
Les préférences correspondent à des configurations de type administratif, comme la gestion des documents et des dossiers, les paramètres de partage du réseau, et ainsi de suite, que les utilisateurs particuliers connectés au domaine peuvent modifier.
- En principe, ces paramètres sont plus modulables par nature.
- Parmi les exemples de préférences, figurent la configuration du panneau de commande, l’accès à un aperçu de diverses applications actives et le mappage du disque de stockage partagé.
Les stratégies et les préférences relatives à la fois aux objets utilisateur et ordinateur doivent être examinées séparément par l’administrateur de l’AD. À travers la GPMC, celles-ci doivent être activées ou désactivées, et liées à toute GPO nouvellement créée ou déjà existante. Ce n’est qu’ensuite que ces dernières peuvent être associées à des domaines AD, des unités organisationnelles ou des sites AD spécifiques. Tout cela constitue le modèle de topologie architecturale d’AD.
L’illustration 2 ci-dessous montre les étapes à suivre pour la configuration des GPO.
La sécurité AD et son lien avec les stratégies de groupe
Depuis la septième partie de cette série d’articles, nous avons abordé divers sujets liés à la cybersécurité. Comprenons maintenant davantage comment la sécurité d’AD est liée aux stratégies de groupe. Nous allons d’abord analyser comment les GPO sont exploités par les cybercriminels pour contrôler l’environnement AD.
Alors que les GPO assurent incontestablement une gestion efficace de l’environnement AD, leur classification détaillée et la description de tous les paramètres de ces GPO dans la GPMC les rendent une cible attrayante pour les pirates d’AD, y compris les plus débutants.
Dès que les cyberpirates réussissent à pénétrer illégalement dans l’AD, ils procèdent à des mouvements latéraux et à des élévations des privilèges. La plupart de ces techniques impliquent l’accès et le contrôle des protocoles de sécurité définis par les GPO.
Il existe des outils de reconnaissance tels que BloodHound et d’autres outils de script open-source tels que Mimikatz que les attaquants peuvent utiliser pour obtenir une liste des GPO dans n’importe quel réseau AD. Ces outils dévoilent la voie la plus courte qu’un attaquant peut suivre pour réussir, y compris l’élévation de privilèges. Cela leur permet d’accéder à presque tous les groupes restreints et confidentiels, y compris celui des administrateurs de domaine, extrêmement désiré. Et c’est ainsi qu’ils mettent la main sur l’ensemble du système.
Une fois exploitées, les GPO permettraient aux attaquants de poursuivre plusieurs autres activités depuis le réseau AD piraté. Ainsi, ils peuvent :
- Accéder aux données AD et les exploiter en hors ligne pour planifier des attaques secondaires et customisées.
- Falsifier les différentes stratégies de mot de passe, les paramètres de verrouillage des comptes et d’autres configurations pour lancer des attaques par déni de service.
- Compromettre les listes de contrôle d’accès aux fichiers (ACL) pour accéder à des données très sensibles.
- Exploiter les ACL de sécurité afin de modifier les affiliations des groupes de l’environnement AD.
- Le déploiement du ransomware après la violation des paramètres de sécurité du GPO. Le cryptage des fichiers commence peu de temps après, ce qui représente le cœur du problème des attaques par ransomware.
Il est maintenant évident que les GPO fournissent aux attaquants des outils pour avoir accès aux contrôleurs de domaine, aux périphériques réseau partagés et aux terminaux connectés à l’AD. Les données stockées dans l’AD constituent une véritable mine d’or pour les pirates. Les GPO forment un excellent point de départ pour ceux qui souhaitent pénétrer le système d’AD. De ce fait, les GPO ne doivent en aucun cas être négligés.
Nous concluons ainsi la série de 10 blogs sur les services de domaine Active Directory. L’AD joue un rôle fondamental dans la protection des entreprises contre les cybermenaces, et dans leur bon fonctionnement. À travers cette série de blogs, nous espérons que vous disposez des connaissances nécessaires pour maîtriser les différents concepts d’AD. Nous souhaitons également que vous soyez en mesure de vous servir d’AD le plus efficacement possible.
En fait, dans le domaine de l’AD, il n’y a aucune limite à l’apprentissage. La série de blogs s’achève sans doute sur cette note, mais pour vous le voyage vers la gestion des des AD ne sera qu’un début.