Active Directory, le saint Graal des hackeurs
Active Directory, le saint Graal des hackeurs
Il est reconnu dans le milieu du Pentest, du Hacking, que d’arriver à prendre la main sur l’Active Directory (AD) d’une entreprise est le résultat d’une attaque réussie, une compromission totale. En effet, depuis l’Active Directory vous pouvez devenir le maître du système d’information. On y trouve de nombreuses informations sur les différents comptes utilisateurs, mais aussi sur les comptes à privilèges. Et comme souvent les mots de passe sont identiques, on peut rebondir d’application en application pour obtenir un black-out complet du système d’information (anéantir les sauvegardes, modifier des bases de données, falsifier des données …). L’AD a survécu aux multiples mises à jour du système d’exploitation, son schéma d’annuaire a évolué avec le temps et continue d’intégrer des ressources qui ne sont plus utilisées, des utilisateurs fantômes voire des comptes à privilèges oubliés….
Il est souvent impacté par les services installés sur le même serveur qui, eux aussi, présentent des vulnérabilités ou des mauvaises configurations introduites par le syndrome du clickodrome.
Malgré les risques élevés sur ce composant du SI, il est souvent peu encadré par des exigences de sécurité.
C’est d’ailleurs à ce sujet que le CERT de l’ANSSI a produit un document il y a quelques mois sur des points de contrôles à effectuer sur l’annuaire Windows. On peut se poser la question de pourquoi un tel document ne sort qu’en 2020 alors que les annuaires informatiques d’entreprise existent depuis plusieurs décennies.
Faut-il y voir un mauvais pressentiment de l’ANSSI ? Pour vous aider à gérer cette situation, à la fin de cet article je vous propose des solutions commerciales et open source pour évaluer votre AD et corriger rapidement les différentes vulnérabilités.
Ce document de l’ANSSI permet d’auto évaluer la sécurité et les exigences de sécurité à travers 57 points de contrôles très précis sur la configuration de l’annuaire. Une notation de 1 à 5 est prévue pour permettre de voir rapidement les points à améliorer et bâtir un plan de remédiation avec des objectifs précis.
Des outils pour aider les CISO et RSSI
Dérouler les 57 points de contrôle de l’ANSSI peut être un long travail, surtout si le schéma de l’annuaire existe depuis longtemps et a évolué au fil du temps avec l’arrivée, le départ de collaborateurs et l’intégration de filiales. Plusieurs outils existent sur le marché dans le but d’auditer votre AD avec des objectifs plus ou moins différents.
Dérouler les 57 points de contrôle de l’ANSSI peut être un long travail, surtout si le schéma de l’annuaire existe depuis longtemps et a évolué au fil du temps avec l’arrivée, le départ de collaborateurs et l’intégration de filiales. Plusieurs outils existent sur le marché dans le but d’auditer votre AD avec des objectifs plus ou moins différents.
Voici une sélection d’outils commerciaux et open source
Isars : logiciel d’audit dédié à l’évaluation des risques en parcourant votre réseau à la recherche de vulnérabilités sur les environnements Windows.
Ping Castle : logiciel d’audit en profondeur de l’annuaire Windows Active Directory.
Isassy : un outil d’extraction de comptes à distance.
BloodHound : un outil graphique qui permet de voir rapidement les relations entre les différents comptes et groupes d’un Active Directory.
ADCollector : permet de parcourir rapidement l’arborescence d’un annuaire dans le but de voir rapidement des problèmes de sécurité.
ADRecon : permet d’extraire toutes les informations d’un annuaire et de les exporter dans une feuille Excel dans le but de rechercher des failles de sécurité potentielles.
Pypykatz-mimikatz est l’implémentation en python du célèbre logiciel mimikatz qui permet d’extraire les noms d’utilisateurs et mot de passe/hast NT.
En plus d’auditer son AD il est recommandé de suivre les bonnes pratiques de construction, d’implémentation et d’usage.
10 bonnes pratiques pour une meilleur sécurité de votre AD
- Avoir un AD pour les comptes à privilèges
- Avoir son AD dans une zone sécurisée
- Journaliser les accès et montée de privilèges
- Avoir le minimum de services activés
- Auditer les configurations des services installés sur le même serveur
- Parcourir régulièrement les partages réseau pour détecter des données sensibles accessibles
- Parcourir les applications installées avec des droits à privilèges et détecter des mots de passe en clair dans les fichiers de configuration
- Changer régulièrement les mots de passe à privilèges
- Arrêter les services inutiles sur le serveur supportant l’annuaire
- Suivre les mises à jour et avoir un plan de patching établi
Vous voilà désormais armés pour auditer et sécuriser l’un des points névralgiques de votre infrastructure informatique ! Aujourd’hui, la protection de l’AD est essentielle face aux menaces ciblant particulièrement cette brique du SI. Une attention particulière doit être portée à cet actif et, de fait, sa criticité en fait un indispensable dans le plan de protection de l’entreprise.
- Avoir un AD pour les comptes à privilèges
- Avoir son AD dans une zone sécurisée
- Journaliser les accès et montée de privilèges
- Avoir le minimum de services activés
- Auditer les configurations des services installés sur le même serveur
- Parcourir régulièrement les partages réseau pour détecter des données sensibles accessibles
- Parcourir les applications installées avec des droits à privilèges et détecter des mots de passe en clair dans les fichiers de configuration
- Changer régulièrement les mots de passe à privilèges
- Arrêter les services inutiles sur le serveur supportant l’annuaire
- Suivre les mises à jour et avoir un plan de patching établi
Vous voilà désormais armés pour auditer et sécuriser l’un des points névralgiques de votre infrastructure informatique ! Aujourd’hui, la protection de l’AD est essentielle face aux menaces ciblant particulièrement cette brique du SI. Une attention particulière doit être portée à cet actif et, de fait, sa criticité en fait un indispensable dans le plan de protection de l’entreprise.
Ressources Agaetis

