92 est la moitié de 99

Réduire la surface d'attaque pour Active Directory

Comment protéger votre Active Directory – AKA «Réduire la surface d’attaque»

Conseils pour Windows Server 2025, 2022, 2019 et « grand-père » 2016 aussi!

L'Active Directory (AD) est au cœur de nombreux réseaux d'entreprise. Mais justement parce qu'il est si central, c'est aussi une cible populaire pour les attaquants. Pour renforcer la sécurité, vous devez Surface d'attaque garder aussi petit que possible. Vous y parvenez en mettant en œuvre des mécanismes de contrôle techniques cohérents. Voici les approches les plus importantes pour renforcer votre AD.

Les trois piliers pour réduire la surface d'attaque

La réduction de la surface d'attaque se concentre sur trois domaines principaux:

  1. Modèles de gouvernance avec le moins de droits (principe du moindre privilège): Ce modèle vise à minimiser les risques liés à l'utilisation excessive de comptes assortis de droits étendus.
  2. Hôtes administratifs sécurisés: La mise en place de systèmes dédiés et isolés pour les tâches administratives empêche les identifiants privilégiés d'atterrir sur des postes de travail standard non sécurisés.
  3. Durcissement des contrôleurs de domaine: Des politiques et des paramètres spécifiques protègent les DC en tant que pièce maîtresse de l'AD contre les compromissions.

Ensuite, nous examinerons les meilleures pratiques ci-dessous, car (alerte spoiler) il y a encore plus à faire!

Comptes et groupes dans Active Directory

Comprendre quels comptes et groupes possèdent les droits les plus élevés est essentiel pour les protéger. Par défaut, il y a quatre groupes très puissants à garder à l'esprit:

  • Administrateurs d'entreprise (EA): Ce groupe n'existe que dans le domaine racine et possède les droits les plus élevés dans l'ensemble du Structure générale (Forêt). Votre adhésion ne devrait être accordée que temporairement pour des modifications spécifiques à l'échelle de l'ensemble de la structure.
  • Administrateurs de domaine (DA): Chaque domaine a son propre groupe DA. Les membres de ce groupe sont «tout-puissants» au sein de leurs Domaine et ont des droits d'administrateur local sur tous les ordinateurs de domaine. L'adhésion ne doit être utilisée que dans les scénarios d'urgence.
  • Administrateurs (administrateurs, BA): Ce groupe de domaines local, dans lequel DA et EA sont imbriqués, possède de nombreux droits directs dans le répertoire et sur les contrôleurs de domaine. (Le B dans BA signifie Built-In), mais il n'a pas de droits sur les serveurs membres ou les stations de travail.
  • Schéma Admins (Schéma Admins, SA): Ce groupe peut modifier le schéma d'Active Directory. L'adhésion est rarement nécessaire et seulement pour une courte période, ce qui facilite la gestion.

Comptes protégés et processus AdminSDHolder

Active Directory dispose d'un mécanisme de protection intégré pour les comptes et groupes privilégiés, ce qui réduit encore la surface d'attaque.

  • Comptes protégés: Si un compte est membre d’un groupe protégé, il est marqué comme «compte protégé». L'héritage des autorisations est désactivé pour ces comptes, de sorte qu'ils ne peuvent pas hériter des droits des unités organisationnelles parentes (OU). Cela permet d'éviter une extension involontaire des droits.
  • AdminSDHolder et SDProp: Dans le système-Conteneur de chaque domaine est l'objet AdminSDHolder. Toutes les 60 minutes, le processus est le même Propagateur de descripteur de sécurité (SDProp) Désactive les autorisations de tous les comptes et groupes protégés avec ceux de l'objet AdminSDHolder et les réinitialise si nécessaire. Cela garantit que les paramètres de sécurité des comptes privilégiés restent cohérents. Un compte supprimé d'un groupe protégé n'hérite pas automatiquement des autorisations de son OU, ce qui nécessite une personnalisation manuelle.

Meilleures pratiques de mise en œuvre

Pour utiliser efficacement ces mécanismes de protection, vous devez vous concentrer sur les points suivants:

  • Attribution ciblée des droits: Implémente une délégation granulaire pour limiter l'utilisation des groupes les plus puissants au strict minimum.
  • Gestion des patchs: Veillez à ce que vos contrôleurs de domaine et autres systèmes critiques soient toujours dotés des derniers correctifs de sécurité. Une bonne solution de gestion des correctifs est essentielle.
  • Surveillance: Utilise des outils de surveillance pour suivre les modifications apportées aux groupes critiques (DA, EA) et aux mots de passe LAPS (Local Administrator Password Solution). Ainsi, vous détectez immédiatement les activités non autorisées.
  • Formation: Sensibilisez vos utilisateurs aux risques de l'ingénierie sociale et du phishing. Un employé qualifié est l'une de vos principales lignes de défense.

En réduisant la surface d'attaque grâce à ces mesures techniques et organisationnelles, vous rendez beaucoup plus difficile pour les attaquants d'infiltrer et de nuire à votre Active Directory.

Comptes et groupes privilégiés dans Active Directory

Un principe de sécurité fondamental est de minimiser les droits. Active Directory est conçu pour permettre une délégation granulaire très fine. Néanmoins, il existe des groupes intégrés avec des privilèges très élevés. Si vous comprenez ces groupes, vous pouvez également les sécuriser correctement.

Les trois groupes les plus puissants

Il existe trois groupes principaux qui possèdent les droits les plus élevés dans Active Directory:

  • Administrateurs d'entreprise (Enterprise Admins): Ce groupe n'existe que dans le domaine racine de la forêt. Les membres peuvent: Modifications à l'échelle de la structure globale qui affectent tous les domaines. Leurs droits sont si étendus que l'adhésion ne devrait être requise que dans de rares cas exceptionnels (par exemple, lors de l'ajout d'un nouveau domaine).
  • Administrateurs de domaine (Domain Admins): Chaque domaine a son propre groupe d'administrateurs de domaine. Ils sont les «gouverneurs tout-puissants» au sein de leur domaine et sont, par défaut, des administrateurs locaux sur chaque ordinateur du domaine. Vous ne devriez les utiliser que dans des scénarios d'urgence.
  • Administrateurs (administrateurs): Le troisième groupe est le groupe administrateur local du domaine. Elle accorde de nombreux droits directs sur les contrôleurs d'annuaire et de domaine, mais pas sur les serveurs membres ou les stations de travail. Par défaut, les administrateurs de domaine et d'organisation sont membres de ce groupe.

Remarque importante: Bien que ces groupes aient des autorisations par défaut différentes, un membre de l'un des trois groupes peut modifier les autorisations dans le répertoire pour devenir membre des autres groupes. Du point de vue de la sécurité, vous devez donc tous les trois Équivalent risqué regarder.

Les admins de Schéma: Un groupe spécial

Les Administrateurs de schémas (Schema Admins) C'est un quatrième groupe privilégié. Ils n'existent que dans le domaine racine de la forêt et ont l'autorisation exclusive de modifier le schéma Active Directory, la structure sous-jacente du répertoire. Cette adhésion est extrêmement rare et n'est nécessaire que pour une très courte période.

AdminSDHolder et SDProp: Le mécanisme de protection

Pour éviter que les autorisations des comptes privilégiés ne soient modifiées par inadvertance ou par malveillance, Active Directory dispose d'un mécanisme de protection spécial: AdminSDHolder et SDProp.

Comment ça marche?

  1. L'objet AdminSDHolder: Dans chaque domaine Active Directory, il existe un objet spécial appelé AdminSDHolder. Il sert de modèle pour les autorisations de tous les Comptes et groupes protégés.
  2. Le processus SDProp: Toutes les 60 minutes (par défaut), un processus appelé Security Descriptor Propagator (SDProp) s'exécute sur le contrôleur de domaine avec le rôle d'émulateur PDC.
  3. Mise en correspondance et correction: SDProp compare les autorisations des comptes protégés (par exemple, les administrateurs de domaine ou les administrateurs d'entreprise) aux autorisations de l'objet AdminSDHolder. Si les autorisations ne correspondent pas, SDProp réinitialise les autorisations des comptes protégés afin qu'elles correspondent exactement à celles d'AdminSDHolder.

Cela signifie que: Peu importe où vous déplacez un compte protégé dans le répertoire, il n'héritera jamais des autorisations de son nouvel objet parent. L'héritage est désactivé pour ces comptes, ce qui augmente considérablement leur sécurité.

Le adminCountattribut

Lorsqu'un utilisateur devient membre d'un groupe protégé, la valeur de son adminCount-Attributs sur 1 mis en place. Si vous supprimez le compte du groupe plus tard, l'attribut s'arrête à 1. Cela signifie que l'objet n'hérite toujours pas des autorisations de son objet parent, même s'il n'est plus protégé. Un script peut aider à trouver ces anciens objets protégés et à réinitialiser l'attribut.

Stratégies de réduction de la surface d'attaque

Pour réduire efficacement la surface d'attaque d'Active Directory, vous devez absolument prendre les mesures suivantes:

Modèles de gouvernance avec le moins de droits

Utilisé aucune Comptes hautement privilégiés pour la gestion quotidienne. Mise en œuvre d'un Modèle de délégation, qui ne donne au personnel informatique que les autorisations dont il a besoin pour accomplir ses tâches spécifiques, et non plus.

Specopssoft.com décrit six façons courantes de le faire:
Contrôle d'accès basé sur les rôles, objets de stratégie de groupe, stratégies de mot de passe, autorisations utilisateur, ajout d'utilisateurs à des groupes appropriés et audit et reporting.

Hôtes administratifs sécurisés

Gérez votre Active Directory uniquement à partir de Systèmes d'administration dédiés et sécurisés à partir de. Ces «hôtes d’administration sécurisés» sont des ordinateurs spécialement durcis qui ne sont pas utilisés pour le courrier électronique, la navigation ou d’autres tâches quotidiennes. Ainsi, vous minimisez le risque de keyloggers ou de logiciels malveillants qui interceptent les informations d'identification.

Sur Frankysweb.de, vous trouverez un bon guide détaillé à ce sujet. Certainement digne d'être lu! L’article suivant «Admin Tiers vaut le coup d’un clic». Sinon, c'est aussi Microsoft Security Compliance Toolkit utile.

Durcissement des contrôleurs de domaine

Les contrôleurs de domaine sont le joyau de votre infrastructure informatique. Ils doivent être extrêmement bien protégés. Définit des paramètres spécifiques Politiques et paramètres pour les endurcir contre les attaques. Cela inclut la limitation des accès physiques et logiques, ainsi qu'une surveillance cohérente.

En combinant ces contrôles techniques, vous pouvez réduire considérablement les risques pour votre Active Directory et créer une infrastructure plus robuste et plus sécurisée.

Le moyen le plus simple pour le durcissement est de «regarder le problème de l’autre côté». Dans l'article de security-insider.de Il s'agit des outils utilisés pour les attaques. Aussi cet article sur le durcissement et les meilleures pratiques Vous devriez jeter un coup d'œil. Là aussi, c'est Microsoft Security Compliance Toolkit classe.

Utiliser les ressources de Microsoft:

Cette section traite de la mise en œuvre de mécanismes de contrôle technique permettant de réduire la surface d'attaque d'une installation Active Directory.
Tout d'abord, il devrait L'aide de Microsoft est une lecture obligatoire!
Tous les exemples de bonnes pratiques ne sont pas seulement expliqués en détail, mais sont également enregistrés en conséquence avec des instructions étape par étape.

Cette section contient donc les informations suivantes:

  • Mise en œuvre de modèles de gestion avec les droits les plus faibles: Se concentre sur l'identification du risque que représente l'utilisation de comptes avec des droits étendus pour la gestion quotidienne et fournit des recommandations pour la mise en œuvre afin de réduire le risque que représentent les comptes avec des droits étendus.
  • Mise en œuvre d'hôtes administratifs sécurisés:
    Décrit les principes de déploiement de systèmes d'administration dédiés et sécurisés, ainsi que quelques exemples de déploiement d'un hôte d'administration sécurisé.
  • Sécurisation des contrôleurs de domaine contre les attaques:
    Discute des stratégies et des paramètres qui, bien que similaires aux recommandations pour la mise en œuvre d'hôtes d'administration sécurisés, contiennent également des recommandations spécifiques aux contrôleurs de domaine qui aident à bien protéger les contrôleurs de domaine et les systèmes utilisés pour les gérer.
  • Surveillance de l'Active Directory:
    Un système solide de surveillance des journaux d'événements fait partie intégrante de votre conception Active Directory sécurisée! Les compromissions peuvent ainsi être détectées à un stade précoce si une surveillance appropriée des journaux d'événements et des alertes est effectuée. 
  • Maintenance et KVP de votre Active Directory:
    Vous vous en sortez sans doute déjà, mais ici aussi, la sécurité n'est pas un sprint, mais toujours un marathon. Ceux qui ont créé un environnement gérable et sécurisé pour les ressources critiques de l'entreprise devraient ensuite se concentrer sur la maintenance fiable et l'amélioration continue.

Comptes et groupes privilégiés

Cette section fournit des informations générales sur les comptes et les groupes disposant de droits étendus dans Active Directory afin d'expliquer les similitudes et les différences entre les comptes et les groupes disposant de droits étendus dans Active Directory.

Indépendamment du fait que les recommandations Mise en œuvre de modèles de gestion avec les droits les plus faibles En les mettant en œuvre littéralement ou en les adaptant à votre organisation, en comprenant ces distinctions, vous disposez des outils nécessaires pour protéger correctement chaque groupe et chaque compte.

Notes supplémentaires directement à partir de learn.microsoft.com

Un attribut pour l’objet AdminSDHolder, «dSHeuristics», permet une adaptation limitée (suppression) des groupes considérés comme des groupes protégés et affectés par AdminSDHolder et SDProp. Cette adaptation doit être soigneusement examinée lorsqu’elle est mise en œuvre, bien qu’il existe des circonstances valables dans lesquelles les modifications apportées à «dSHeuristics» dans AdminSDHolder sont utiles.

Pour plus d’informations sur la modification de l’attribut «dSHeuristics» pour un objet AdminSDHolder, consultez les articles du support Microsoft 817433 et en Annexe C: Comptes et groupes protégés dans Active Directory.

Bien qu'il décrit les groupes avec les droits les plus complets dans Active Directory, il existe un certain nombre d'autres groupes auxquels des niveaux d'autorisation plus élevés ont été accordés. Pour plus d'informations sur tous les groupes par défaut et intégrés dans Active Directory et leurs droits d'utilisateur respectifs, voir Annexe B: Comptes et groupes privilégiés dans Active Directory.

Stephan
|
| | | |
vers le haut | accueil | pour la recherche