Plus de 20 ans après son lancement, la sécurité de Microsoft Active Directory reste essentielle pour que les entreprises restent disponibles et se concentrent sur leurs résultats. Dans cet article, vous découvrirez ce qu'exige la sécurité d'Active Directory et quelles sont les meilleures pratiques qui peuvent vous aider à garder une longueur d'avance sur les attaquants.
Qu'est-ce que la sécurité de l'Active Directory ?
À la base, la sécurité d'Active Directory consiste à permettre aux utilisateurs légitimes de s'authentifier sur le réseau et d'accéder aux applications et aux données dont ils ont besoin, tout en les protégeant contre toute personne essayant d'accéder à des ressources ou d'élever des privilèges pour lesquels elle n'est pas autorisée.
Active Directory détient effectivement les "clés du royaume" en contrôlant l'authentification et l'autorisation de la plupart des applications et des données sur site d'une organisation. La sécurité d'Active Directory est donc une priorité essentielle pour votre entreprise.
Quels sont les principaux risques, vulnérabilités, expositions et menaces pour la sécurité d'Active Directory ?
La gestion d'Active Directory peut être complexe. Pourtant, compte tenu de l'objectif d'Active Directory, la sécurité est primordiale. Les erreurs de configuration, les utilisateurs disposant d'autorisations excessives et les vulnérabilités non corrigées sont autant de facteurs qui permettent aux cyber-attaquants d'exploiter Active Directory.
Active Directory est souvent une cible pour les cybercriminels qui cherchent à élever les privilèges pour pénétrer dans un réseau compromis. Un exemple de ce type d'activité peut être trouvé avec le gang de ransomware CL0P, qui a été observé en utilisant Cobalt Strike pour étendre l'accès au réseau après avoir obtenu l'accès à un serveur Active Directory.
Tout comme la compromission d'Active Directory est une priorité absolue pour les attaquants lorsqu'ils pénètrent dans votre réseau, sa sécurisation doit être une priorité pour les entreprises. Le renforcement d'Active Directory commence par la compréhension de votre environnement et de la façon dont les acteurs de la menace le ciblent. Voici quelques problèmes importants de configuration et de sécurité qui ont un impact négatif sur Active Directory et augmentent le risque de cyberattaque.
Délégation Kerberos sans contrainte
Les acteurs de la menace exploitent la délégation sans contrainte pour renforcer leur emprise sur l'environnement ciblé. L'utilisation abusive de ce paramètre est un autre exemple d'utilisation de fonctionnalités légitimes à des fins malveillantes. Dans Active Directory, la délégation permet à un ordinateur d'enregistrer les tickets d'authentification Kerberos d'un utilisateur, puis d'utiliser ces tickets pour se faire passer pour cet utilisateur et agir en son nom. Lorsque la délégation sans contrainte est activée, un acteur de la menace peut se faire passer pour un utilisateur légitime et accéder à des ressources non détectées.
Un nombre élevé d'utilisateurs dans les groupes privilégiés
Il n'est pas rare que des comptes aient des privilèges qui dépassent ce qui est nécessaire. Par exemple, un utilisateur peut changer de rôle professionnel et se voir ajouter un nouvel ensemble d'autorisations, sans que les anciennes dont il n'a plus besoin soient révoquées. Il se peut également que l'octroi de privilèges excessifs à un utilisateur soit considéré comme un moyen rapide de faire fonctionner une application. Cette situation est un signal d'alarme : lorsque ces utilisateurs sont ajoutés à des groupes privilégiés, le risque qu'ils représentent pour l'organisation en cas de compromission augmente, car chaque compte représente une voie potentielle d'escalade des privilèges pour les attaquants qui cherchent à se déplacer latéralement dans l'environnement. Il est également possible qu'un utilisateur légitime apporte accidentellement des modifications non autorisées à Active Directory, ce qui aurait un impact sur les efforts de sécurité et de conformité.
Comptes de service avec des privilèges élevés
Les comptes de service sont essentiellement des comptes d'utilisateurs auxquels sont attribuées des autorisations spécifiques dans les applications qui leur permettent d'exécuter ces services ou applications. Parfois, cependant, ces comptes se voient attribuer des droits d'administrateur qui ne sont pas nécessaires pour des problèmes opérationnels potentiels, car il s'agit d'un moyen rapide de résoudre des problèmes de configuration qui prendraient autrement beaucoup de temps. Le fait que les comptes de service aient souvent des mots de passe faibles qui n'expirent jamais ne fait qu'accroître les risques. En utilisant la technique de Kerberoasting, un acteur menaçant peut obtenir le mot de passe faible d'un compte de service en quelques minutes et, si ce compte dispose de privilèges élevés, prendre le contrôle d'Active Directory.
Mauvaises pratiques en matière de mots de passe et d'authentification
Le fait de ne pas mettre en œuvre des politiques et des pratiques de sécurisation des mots de passe peut réduire à néant les meilleures technologies. Les mots de passe faibles peuvent être déchiffrés en utilisant la force brute et les attaques par dictionnaire. Les mots de passe courants peuvent être devinés à l'aide d'attaques par pulvérisation de mot de passe. Sur la base des preuves fournies par les grands fournisseurs d'identité en nuage, le NIST et d'autres organisations ont recommandé des changements aux politiques de mots de passe usés par le temps, tels que la non expiration des mots de passe, la diminution de la complexité et l'augmentation de la longueur, et l'interdiction des mots de passe communs.
Les erreurs de configuration peuvent également exacerber les problèmes. Par exemple, le paramètre Stocker le mot de passe à l'aide d'un cryptage réversible est nécessaire pour prendre en charge les applications héritées qui ont besoin de mots de passe en clair pour fonctionner normalement. Toutefois, étant donné que ces mots de passe sont réversibles au lieu d'être hachés, un pirate qui déchiffre le cryptage peut détourner le compte. Toute application qui nécessite encore ce paramètre devrait être retirée depuis longtemps, surtout si l'on tient compte du risque accru qu'elle représente pour Active Directory.
Utilisateurs ayant le droit d'ajouter des ordinateurs à un domaine
Si un utilisateur a activé le paramètre de sécurité "Ajouter des postes de travail au domaine", il pourra, par défaut, ajouter jusqu'à 10 ordinateurs au domaine. Le problème est qu'un pirate peut utiliser cette possibilité pour contourner les contrôles de sécurité des postes de travail. Toute personne qui ajoute un compte machine devient automatiquement propriétaire de cet objet machine.
Une vulnérabilité courante est causée par les opérateurs qui joignent de futurs contrôleurs de domaine à leur domaine Active Directory avant la promotion. Si la propriété de l'objet informatique n'est pas transférée, cet opérateur aura le contrôle administratif du contrôleur de domaine une fois qu'il aura été promu. Cette capacité doit être limitée à des comptes spécifiques qui en ont besoin.
Exemples de violations récentes de l'Active Directory
Il n'est pas nécessaire de chercher bien loin pour trouver des exemples de violations de l'Active Directory qui ont causé des dégâts considérables et de graves répercussions pour les organisations qui en ont été victimes.
- Les villes de Dallas, au Texas, et d'Oakland, en Californie, travaillent toutes deux depuis des mois pour se remettre des cyberattaques qui ont affecté leurs services municipaux.
- Le Barts Health NHS Trust de Londres, qui dessert plus de 2 millions de patients, a été victime d'une attaque BlackCat/ALPHV.
- Des attaques de districts scolaires dans tout le pays, notamment dans le Minnesota, le Colorado et la Californie, ont exposé des données privées d'élèves à des acteurs menaçants.
- SolarWinds, victime de l'une des cyberattaques les plus connues de l'histoire récente, a récemment annoncé que ses dirigeants risquaient d'être inculpés par la SEC des États-Unis pour leur gestion de l'incident.
- Dish Network a signalé en mars une attaque par ransomware qui a compromis Active Directory, puis son infrastructure VMware, affectant des millions d'abonnés pendant plus d'un mois.
Les attaquants savent que la compromission d'Active Directory ouvre la porte à toutes sortes d'activités malveillantes, du vol de données au ransomware. Lors de l'attaque du Barts Health NHS Trust, des téraoctets de données auraient été volés. Une attaque réussie peut entraîner des temps d'arrêt, une couverture médiatique défavorable et des conséquences négatives pour les clients dont les données ont été compromises. Une fois que les attaquants sont à l'intérieur de votre réseau, la limitation des dommages qu'ils peuvent causer repose en partie sur votre capacité à les empêcher d'accéder aux ressources critiques. La sécurité de l'Active Directory est au cœur de ces efforts.
Sécurité de l'Active Directory et gouvernance, risque et conformité
La surveillance et la sécurisation d'Active Directory ne sont pas seulement importantes pour la cyberdéfense. Active Directory est une source d'information vitale pour les réglementations de conformité qui exigent des pistes d'audit et des preuves des contrôles d'accès et des politiques concernant les données sensibles. Des audits réguliers et une visibilité complète sont nécessaires pour répondre aux exigences de réglementations et de normes telles que HIPAA et PCI DSS. Une stratégie robuste de surveillance de la sécurité de l'Active Directory fournit des informations importantes à des fins de conformité.
Quelles sont les meilleures pratiques pour protéger votre Active Directory ?
La clé de la prévention de bon nombre de ces problèmes réside dans votre capacité à détecter les configurations à risque et à surveiller toute modification accidentelle ou malveillante. Fondamentalement, la réduction des risques consiste à élever la barrière d'entrée pour les attaquants, c'est-à-dire à combler les failles de sécurité avant que les attaquants ne puissent les franchir.
En procédant à des évaluations régulières de la sécurité, vous pouvez détecter les menaces potentielles avant qu'elles ne soient exploitées. Un changement de permission sur l'objet AdminSDHolder ou une modification récente du schéma du descripteur de sécurité par défaut peuvent être des signes d'une attaque en cours. Si ces modifications n'ont pas été approuvées, une alarme immédiate doit être déclenchée.
La bonne nouvelle, c'est que les organisations peuvent suivre plusieurs conseils pour limiter la surface d'attaque de l'Active Directory.
Mettre en œuvre des politiques efficaces en matière de mots de passe
La protection des mots de passe et l'application de la complexité des mots de passe sont essentielles en tant que première ligne de défense. Les mots de passe complexes doivent comporter au moins sept caractères et inclure des chiffres, des majuscules et des minuscules, ainsi que des caractères non alphanumériques, tels que des points d'exclamation et des signes de dollar. Les entreprises devraient envisager d'utiliser la fonction de stratégies de mot de passe à grain fin plutôt que les objets de stratégie de groupe (GPO) pour mettre en œuvre des règles plus strictes. Par exemple, des stratégies peuvent être créées pour appliquer différentes règles de verrouillage des comptes à des groupes d'utilisateurs spécifiques sur un même domaine.
Suivez les lignes directrices du NIST concernant la politique des mots de passe, résumées plus haut. Les mots de passe doivent être stockés dans un coffre-fort à air comprimé. En outre, les organisations doivent s'assurer que les mots de passe de la stratégie de groupe ne sont stockés nulle part dans le SYSVOL, qui est un répertoire résidant sur chaque contrôleur de domaine (DC) au sein d'un domaine. SYSVOL contient les GPO et les scripts de connexion dont les clients ont besoin pour accéder aux DC et les synchroniser entre eux. Si les administrateurs stockent des informations d'identification dans les dossiers SYSVOL, ces informations peuvent être volées par un attaquant contrôlant un compte compromis.
Appliquer le principe du moindre privilège
Le respect du principe du moindre privilège est essentiel pour réduire la surface d'attaque de votre Active Directory, c'est-à-dire les différents vecteurs d'attaque contre lesquels votre organisation doit se prémunir. Cette approche exige que tous les utilisateurs, appareils et applications ne reçoivent que le nombre et le niveau minimum d'autorisations dont ils ont besoin pour fonctionner.
Qu'elles aient été héritées de manière inappropriée, qu'elles aient été accordées par accident ou par malveillance, ou qu'elles aient simplement été accordées pour des raisons de commodité, les autorisations excessives accordées aux utilisateurs constituent une menace directe pour la sécurité de votre environnement. Il peut également y avoir des implications liées à la conformité réglementaire dans certains secteurs d'activité. Dès le départ, votre environnement doit être conçu de manière à n'accorder aux comptes que les droits minimums nécessaires. Les groupes privilégiés doivent avoir un nombre limité de membres, et certains, tels que les opérateurs d'imprimantes, ne doivent pas en avoir ou doivent être limités à des membres temporaires.
Pour gérer correctement cette situation, il faut bien comprendre les rôles des utilisateurs, savoir qui, dans l'organisation, a le pouvoir d'ajouter des utilisateurs à des groupes et quand il peut le faire. Auditez régulièrement votre environnement afin de réduire les risques et d'éliminer les comptes à privilèges excessifs.
Compliquer la reconnaissance d'Active Directory
Les attaquants effectuent souvent une reconnaissance de l'Active Directory Lightweight Directory Access Protocol (LDAP) afin de mieux connaître l'environnement et de poursuivre leur attaque. Active Directory a été conçu pour être un livre ouvert, ce qui rend difficile la prévention de cette reconnaissance. Toutefois, en supprimant les droits d'administrateur local et en surveillant les requêtes LDAP suspectes, les entreprises peuvent compliquer la tâche des attaquants. En outre, en tirant parti du provisionnement juste à temps et en renommant les unités organisationnelles (OU), vous pouvez limiter la visibilité d'un attaquant armé d'un compte légitime.
Retirer les anciens protocoles
Les meilleures pratiques préconisent l'élimination des anciens protocoles tels que TLS 1.0 & 1.1, Server Message Block v1 (SMBv1), Digest Authentication, et Lan Manager (LM) / NTLMv1 et NTLMv2. Ces protocoles n'ont pas été conçus en tenant compte des menaces et des besoins de sécurité actuels et peuvent constituer un point faible dans la défense de votre organisation. NTLMv1 et NTLMv2, par exemple, sont vulnérables aux menaces telles que les attaques par force brute et les attaques de type "man-in-the-middle", et il est conseillé aux organisations de passer à Kerberos. Avant de retirer ces protocoles, l'équipe Active Directory doit toutefois s'assurer qu'elle comprend parfaitement comment ces protocoles sont utilisés dans l'environnement afin d'éviter d'interrompre la fonctionnalité des applications utilisées.
Corriger les vulnérabilités d'Active Directory et les configurations non sécurisées
Les vulnérabilités telles que Zerologon (CVE-2020-1472) représentent un risque important pour Active Directory si les entreprises sont en retard dans l'application des correctifs. Compte tenu de la criticité d'Active Directory dans votre environnement informatique, les correctifs doivent être classés par ordre de priorité, testés et déployés le plus rapidement possible. Les attaquants cherchent d'abord à exploiter les vulnérabilités connues. Pour réduire les risques, les entreprises doivent analyser régulièrement leurs systèmes et classer les vulnérabilités par ordre de priorité en fonction de leur gravité et de l'impact potentiel sur les activités de l'entreprise si elles sont exploitées. En outre, les logiciels obsolètes doivent être identifiés et mis à jour le plus rapidement possible.
S'attaquer aux fruits les plus faciles à cueillir ne se limite pas à corriger les vulnérabilités. Il s'agit également d'identifier les paramètres non sécurisés qui accordent aux utilisateurs des autorisations inutiles ou facilitent l'escalade des privilèges. Que ces erreurs de configuration soient dues à la négligence, à des modifications accidentelles ou à des actions malveillantes, il est indispensable de procéder à des évaluations périodiques de la sécurité.
En prenant ces mesures, votre organisation peut construire des murs autour des utilisateurs, des données sensibles et des systèmes qui réduiront les risques et rendront l'environnement Active Directory plus résistant face aux attaques.
Comment Semperis peut-elle vous aider à assurer la sécurité de l'Active Directory ?
Chez Semperis, nous aidons les entreprises à garantir l'intégrité et la disponibilité d'Active Directory et d'Entra ID sur site grâce à des solutions qui leur permettent d'identifier les attaques, de s'en remettre et d'y répondre.
- Évaluez la surface d'attaque de votre Active Directory hybride à l'aide d'outils gratuits tels que Purple Knight et Forest Druid.
- Mettre en œuvre le retour automatique des modifications suspectes apportées à Active Directory avec Directory Services Protector ( DSP).
- Accélérer et simplifier le processus de récupération d'Active Directory avec Active Directory Forest Recovery ( ADFR).
- Moderniser et migrer Active Directory en toute sécurité avec l'aide des experts de Semperis.
- Optimisez votre architecture et vos configurations de sécurité, vos procédures opérationnelles et vos plans de remédiation et de récupération avec l'aide des services de préparation et de réponse aux brèches de Semperis.
Découvrez des solutions expertes en matière de détection et de réponse aux menaces liées à l'identité (ITDR) et de sécurité et de récupération d'Active Directory.