À propos L’équipe Blog Recrutement Contact Espace Client
Contact
Sécurité

Sécurité et gestion : Optimiser l’Active Directory pour votre entreprise

Écrit le par Martial LILLO

Nous connaissons les vecteurs d’attaque cyber, mais comment les cyberattaquants font-ils pour évoluer dans nos systèmes ? Et pourquoi ditons qu’ils se déplacent latéralement ?

C’est ce que nous allons comprendre ci-dessous mais tout d’abord commençons par définir Active Directory.

Qu’est-ce qu’Active Directory ?

Active Directory (AD) est un service d’annuaire créé par Microsoft pour les réseaux Windows qui a principalement deux fonctions :

1/ Concentrer et gèrer les droits des groupes, des comptes utilisateurs ainsi que ceux des objets informatiques liés, le tout dans un ensemble cohérent.

2/ L’autre fonction de valeur est la sécurité de la gestion de l’authentification unique des accès (Single Sign On local).

Active Directory est par défaut dans la version serveur de Microsoft Windows.

Il faut bien avoir à l’esprit que le groupe utilisateurs contient aussi des utilisateurs (humains et machines) à privilèges extrêmement élevés implicites.

Donc nous avons ici un morceau de choix pour qui sait l’exploiter, bien qu’invisible AD est un élément central et crucial à l’exploitation quotidienne de votre entreprise.

En effet, après avoir contourné les protections périmétriques et s’être implanté dans le réseau, le cyberattaquant effectue une reconnaissance de son environnement afin de lister les ressources de l’environnement à sa disposition et susceptibles de présenter de la valeur afin de déterminer chemin pour les atteindre.

Il a donc, intérêt à rechercher votre AD, car sa corruption est aisée et lui permettra de se fondre dans les échanges naturels de votre réseau pour réaliser ses opérations malveillantes avec l’originalité d’être quasiment invisible.

pourquoi sa corruption est-elle si aisée ?

Cela s’explique principalement par deux facteurs :

Le temps : En effet lors de sa création par Microsoft les attaques cyber étaient rares ;

La facilité fonctionnelle : la nécessité opérationnelle intrinsèque de cet élément, il doit être aisément accessible aux utilisateurs – raison pour laquelle il est notoirement difficile à sécuriser ;

Bien que Microsoft travail à son durcissement, plus de 95 millions de comptes Active Directory sont attaqués chaque jour, preuve de l’importance de l’attention qui doit être portée à cet élément crucial.

Ainsi, protéger l’AD est un défi, ce dernier n’est pas impossible à relever : il faut opter pour des outils et tactiques chirurgicaux, pour atteindre son durcissement.

Les conseils ci-dessous vous aideront à comprendre les voies du durcissement répondant aux tactiques d’attaque les plus courantes et connues.

Ainsi, compte tenu de l’évolution rapide et silencieuse des tactiques des cyberattaquants, cet article n’est pas un guide utilisateur ou une assurance.

En effet, il est un exercice d’éveil destiné aux DSI, RSI, RSSI, aux Administrateurs réseau ainsi qu’à la Direction Générale et Top Management.

Ce point est important et vous indique l’importance croissante que revêt la maintenance, l’attention autour de l’AD et plus généralement sur la réalité de votre besoin en hygiène digitale.

1. énumération des comptes à privilèges.

Un script ou un outil pour énumération des comptes à privilèges, des comptes d’administrateur, administrateur délégué ainsi que les comptes de service et pouvant avertir l’équipe de sécurité de la présence anormal dès le début de l’attaque.

Par ailleurs, il serait intéressant d’envisager le déploiement de comptes leurres de domaines, de services qui joueraient le rôle ‘pot de miel’ afin d’attirer le cyberattaquant d’une part et s’octroyer du temps dans la réponse à apporter d’autre part.

Ces ‘pots de miel’ peuvent être déployés sur les ordinateurs et serveurs du domaine AD également.

Il faut rationaliser les comptes à pouvoirs afin d’en maîtriser les populations.

2. Se prémunir des attaques de type « Golden Ticket » et « Silver Ticket »

Les attaques de type Pass-TheTicket (PTT) comptent parmi les techniques les plus avancées auxquelles les cybercriminels ont recours pour élever leurs privilèges et évoluer dans un réseau étant par nature sans état (stateless), il est facile à exploiter et permet aux cyberattaquants de falsifier sans grande difficulté des jetons de sécurité d’utilisateurs dans les échanges au sein même d’AD.

Particulièrement redoutables, aussi appelées « Golden Ticket » et « Silver Ticket » ces attaques sont utilisées pour compromettre un domaine AD et s’y installer de manière persistante.

Pour les contrer, il est nécessaire de disposer d’un audit des comptes de service et des comptes TGT (Ticket Granting Ticket) vulnérables (clés kerberos à long terme), afin d’énumérer et corriger les erreurs de configuration susceptibles de permettre ce type d’attaque.

Une liste complète des comptes d’utilisateur à privilèges, des comptes d’administrateurs délégués et des comptes de service peut contribuer au recensement des vulnérabilités par les équipes en charge.

Objectif : créer des silos stratégiques d’authentification des comptes protégés.

3. Se prémunir des attaques Kerberoasting, DCSync et DCShadow

L’attaque Kerberoasting offre aux cybercriminels une méthode simple et furtive pour obtenir un accès à des privilèges, le principe est de capturer et prélever un maximum de réponse au retour des demandes utilisateurs légitimes.

Puis de les déchiffrer hors réseau, ainsi l’attaquant a en sa possession des comptes légitimes.

Désormais, l’attaquant peut accéder aux ressources auxquels les privilèges du(es) compte(s) lui permettent d’accéder.

Tandis que les techniques DCSync et DCShadow lui permettent d’établir sa persistance sur le domaine ciblé.

Si les comptes utilisateur privilégiés n’ont pas vocation à être utilisés en dehors de l’AD, il est préférable d’utiliser la fonction MSA, garantissant des cycles réguliers de renouvellement ainsi que des mots de passe plus robustes.

S’il est utilisé au sein de l’entreprise, des mots de passe de plus de 32 caractères sont à définir sur ces comptes.

Enfin, l’algorithme AES est préférable au protocole RC4 natif a Kerberos.

Par ailleurs et afin de compléter l’arsenal, un EPP dans la protection de nouvelles menaces pour protéger le réseau dès la source, un EDR sur les postes de travail et tablette est à envisager en complément.

4. Prévenir la collecte d’identifiants à partir des partages du domaine

Les cyberattaquants ciblent généralement les mots de passe stockés en clair ou de manière réversible dans des scripts ou fichiers de stratégie de groupe (GPO) enregistrés dans des partages de domaine tels que Sysvol ou Netlogon.

Un audit sur des systèmes à jour permettra de repérer les ID d’évènements indiquant des manifestations de présence inopportune.

Solution : avoir un parc serveur et postes de travail à jour, maintenu et suivi. Doublé d’un EPP (Endpoint Protection Platform) et EDR (Endpoint Detection and Response).

Et pourquoi pas des outils servant de leurre pour alerter les équipes CyberSecurité ?

5. Identifier les comptes à privilèges avec l’attribut d’historique SID non sécurisé

La technique d’injection de valeurs SID (identifiant de sécurité) Windows permet aux cyberattaquants d’exploiter l’attribut d’historique du SID pour se déplacer dans l’environnement Active Directory et se doter de privilèges plus élevés.

Une mesure de prévention consiste à détecter et à signaler les comptes comportant des valeurs SID à privilèges déjà connus ou absent.

6. Détecter les pratiques dangereuses de délégation de droits d’accès sur les objets critiques

La délégation est une fonctionnalité très pratique de l’AD qui consiste à autoriser un compte d’utilisateur ou d’ordinateur à agir au nom d’un autre compte.

Par exemple, lorsqu’un utilisateur appelle une application Web hébergée sur un serveur Web, l’application peut reproduire les identifiants de l’utilisateur pour accéder à des ressources hébergées sur un autre serveur.

Tout ordinateur de domaine bénéficiant d’une délégation sans contraintes peut emprunter l’identité d’un utilisateur pour communiquer avec tout autre service de ce même domaine.

Les cyberattaquants exploitent cette fonctionnalité pour accéder aisément à différentes zones du réseau.

La surveillance permanente des vulnérabilités de votre AD et des expositions en matière de délégation peut aider les équipes de sécurité à identifier et à corriger ces failles avant les cyberattaquants.

7. Identifier les utilisateurs sans privilèges présents dans la liste de contrôle d’accès d’AdminSDHolder

Les Services de domaine Active Directory (AD DS) utilisent l’objet AdminSDHolder et le processus de propagateur de descripteurs de sécurité (SDProp) pour sécuriser les comptes d’utilisateur et de groupe à privilèges.

L’objet AdminSDHolder dispose d’une liste de contrôle d’accès (ACL) unique qui contrôle les autorisations de sécurité des membres des groupes à privilèges prédéfinis dans l’AD.

Pour pouvoir se déplacer latéralement, les cybercriminels peuvent ajouter des comptes à l’objet AdminSDHolder et leur accorder les mêmes privilèges d’accès que ceux des autres comptes protégés.

Énumérez puis comparez pour cibler les comptes dont la présence est inhabituelle dans la liste AdminSDHolder.

8. Identifier et SUIVRE les modifications des GPO par défaut et celles personnalisées

Dans AD, les stratégies de groupe permettent l’automatisation de configurations typiques pour chaque environnement d’exploitation.

Souvent, ces stratégies servent à configurer des groupes d’administration et contiennent des scripts de démarrage et d’arrêt.

Les administrateurs y définissent les exigences de sécurité fixées par l’organisation à chaque niveau, les modalités d’installation des logiciels ainsi que les autorisations sur les fichiers et le registre.

Les cyberattaquants peuvent modifier ces stratégies de sorte à maintenir leur persistance au sein du réseau compromis.

Ainsi, le contrôle régulier des modifications apportées aux stratégies de groupe est une réponse pyramidale pour aider les équipes de sécurité à repérer et atténuer les conséquences des cyberattaques en jugulant l’automatisation de l’élévation des privilèges cibles.

9. former VOS USAGERS AUX expositions de comptES

Ici, nous allons sortir de la technique pour ne pas oublier un facteur essentiel, le facteur humain ! Dans un souci de facilité, les utilisateurs enregistrent souvent leurs identifiants sur leur poste de travail, bien inconscients des conséquences que cela permet.

Les cyberattaquants jouent de ce travers de facilité pour cibler les zones contenant ces identifiants stockés afin d’infiltrer votre environnement.

En effet, le bon couple d’identifiants est une carte maîtresse pour un attaquant dans sa recherche à élever ses propres privilèges utilisateur.

L’une des 42 règles de l’hygiène digitale conseil des zones de stockage sécurisée des identifiants.

En ce sens qu’ils soient gratuits ou payant, les produits pour le travail individuel, le travail collectif sont désormais matures et en constante évolution.

Éduquer par des explications simples, sincères et claires, sur le pourquoi il y a des privilèges différents entre utilisateurs, ayez à l’esprit que froisser un ego ne mettra pas le SI en danger, se tromper sur des privilèges de compte pourrait conduire au péril de votre SI.

Vous pouvez aussi vous appuyer sur certaines ressources mis à disposition par l’ANSSI pour renforcer le crédit de l’éveil utilisateur que vous réalisez.

N’hésitez pas à désactiver les comptes qui n’ont plus de raison d’être ou pour des besoins intermittents.

Avez-vous pensé à la segmentation de type trois tiers ? et a des formation d’éveil périodiques des usagers non technique ?

Pour conclure

Bien conscient du risque encouru mais aussi de l’apport fonctionnel de l’AD, Microsoft accompagne à durcir l’accès à l’AD.

Nous l’avons vu ci-dessus, il existe des protocoles pour réduire la surface d’exposition d’une attaque mais les techniques d’exploitation ne cessent d’évoluer.

Cela nécessite d’abord les bons outils adossés au suivi périodique des équipes techniques en charge.

Ensuite, la sécurité digitale étant l’affaire de tous, il est essentiel de penser « hygiène digitale » depuis les usagers.

N’oublions pas que les systèmes de résilience sont de plus en plus performants obligeant le cyberattaquant à concentrer ses efforts à l’exploitation de l’humain par les techniques de l’ingénierie sociale, il est donc nécessaire d’éveiller et conditionner les populations d’usagers de vos services digitaux.

Si vous le souhaitez nous pouvons vous accompagner.