Spécifier des exigences pour sécuriser Active Directory Domain Services (AD DS)
Le tableau suivant résume les recommandations formulées dans ce document pour la sécurisation d’une installation AD DS. Certaines meilleures pratiques sont de nature stratégique et nécessitent des projets de planification et de mise en œuvre complets ; d’autres sont tactiques et se concentrent sur des composants spécifiques d’Active Directory et de l’infrastructure associée.
Les pratiques sont répertoriées selon l’ordre de priorité estimé, c’est-à-dire que les nombres inférieurs indiquent une priorité plus élevée. Le cas échéant, les meilleures pratiques sont identifiées comme étant de nature préventive ou détective. Toutes ces recommandations doivent être minutieusement testées et modifiées si nécessaire en fonction des caractéristiques et des exigences de votre organisation.
| Bonne pratique | Tactique ou stratégique | Prévention ou détection |
|---|---|---|
| Applications de correctifs. | Tactique | Préventive |
| Correctifs de systèmes d’exploitation. | Tactique | Préventive |
| Déployez et mettez rapidement à jour les logiciels antivirus et anti-programme malveillant sur tous les systèmes et surveillez les tentatives de suppression ou de désactivation de ces logiciels. | Tactique | Les deux |
| Surveillez les objets Active Directory sensibles pour détecter les tentatives de modification et Windows pour détecter les événements susceptibles d’indiquer une tentative de compromission. | Tactique | Détectrice |
| Protéger et surveiller les comptes des utilisateurs qui ont accès à des données sensibles | Tactique | Les deux |
| Empêchez l’utilisation de comptes puissants sur des systèmes non autorisés. | Tactique | Préventive |
| Éliminez l’appartenance permanente aux groupes à privilèges élevés. | Tactique | Préventive |
| Implémentez des contrôles pour accorder une appartenance temporaire à des groupes privilégiés si nécessaire. | Tactique | Préventive |
| Implémentez des hôtes d’administration sécurisés. | Tactique | Préventive |
| Utilisez des listes d’autorisations d’applications sur des contrôleurs de domaine, des hôtes d’administration et d’autres systèmes sensibles. | Tactique | Préventive |
| Identifiez les biens critiques et hiérarchisez leur sécurité et leur surveillance. | Tactique | Les deux |
| Implémentez des contrôles d’accès en fonction du rôle selon le principe de privilèges minimum pour l’administration de l’annuaire, de son infrastructure de prise en charge et des systèmes joints à un domaine. | Strategic | Préventive |
| Isolez les applications et les systèmes hérités. | Tactique | Préventive |
| Désactivez les applications et les systèmes hérités. | Strategic | Préventive |
| Implémentez des programmes de cycle de vie de développement sécurisés pour les applications personnalisées. | Strategic | Préventive |
| Implémentez la gestion de la configuration, vérifiez régulièrement la conformité et évaluez les paramètres à chaque nouvelle version matérielle ou logicielle. | Strategic | Préventive |
| Migrez des biens critiques vers des forêts vierges avec des exigences strictes en matière de sécurité et de surveillance. | Strategic | Les deux |
| Simplifiez la sécurité pour les utilisateurs finaux. | Strategic | Préventive |
| Utilisez des pare-feu basés sur l’hôte pour contrôler et sécuriser les communications. | Tactique | Préventive |
| Correctifs d’appareils. | Tactique | Préventive |
| Implémentez la gestion du cycle de vie métier pour les biens informatiques. | Strategic | N/A |
| Créez ou mettez à jour des plans de récupération d’incident. | Strategic | S/O |
Réduire la Surface d'attaque Active Directory
Cette section se concentre sur les contrôles techniques permettant de réduire la surface d’attaque d’une installation Active Directory. Les sujets suivants sont abordés dans cette section :
La section Comptes et groupes privilégiés dans Active Directory décrit les comptes et groupes avec les privilèges les plus élevés dans Active Directory, ainsi que les mécanismes par lesquels les comptes privilégiés sont protégés. Dans Active Directory, trois groupes intégrés constituent les groupes avec les privilèges les plus élevés dans l’annuaire (Administrateurs d’entreprise, Administrateurs de domaine et Administrateurs), mais un certain nombre d’autres groupes et comptes doivent également être protégés.
La section Implémentation de modèles d’administration selon le principe de privilèges minimum se concentre sur l’identification du risque que représente l’utilisation de comptes à privilèges élevés pour l’administration quotidienne, en plus de fournir des recommandations pour réduire ce risque.
Les privilèges excessifs ne se trouve pas uniquement dans Active Directory dans les environnements compromis. Lorsqu’une organisation a développé l’habitude d’accorder plus de privilèges que nécessaire, cet octroi est présent généralement dans l’ensemble de l’infrastructure :
Dans Active Directory
Sur les serveurs membres
Sur les stations de travail
Dans les applications
Dans les dépôts de données
La section Implémentation des hôtes d’administration sécurisés décrit les hôtes d’administration sécurisés, qui sont des ordinateurs configurés pour prendre en charge l’administration d’Active Directory et des systèmes connectés. Ces hôtes sont dédiés aux fonctionnalités administratives et n’exécutent pas de logiciels tels que des applications de messagerie, des navigateurs Web ou des logiciels de productivité (comme Microsoft Office).
Les éléments suivants sont inclus dans cette section :
Principes de création d’hôtes d’administration sécurisés : les principes généraux à garder à l’esprit sont les suivants :
- Ne jamais administrer un système approuvé à partir d’un hôte moins fiable.
- Ne pas se fier à un seul facteur d’authentification lors de l’exécution d’activités privilégiées.
- Ne pas oublier la sécurité physique lors de la conception et de l’implémentation d’hôtes d’administration sécurisés.
Sécurisation des contrôleurs de domaine contre les attaques : si un utilisateur malveillant obtient un accès privilégié à un contrôleur de domaine, cet utilisateur peut modifier, endommager et détruire la base de données Active Directory et, par extension, tous les systèmes et comptes gérés par Active Directory.
Les sujets suivants sont abordés dans cette section :
Sécurité physique des contrôleurs de domaine : contient des recommandations pour assurer la sécurité physique des contrôleurs de domaine dans les centres de données, les succursales et les emplacements distants.
Systèmes d’exploitation des contrôleurs de domaine : contient des recommandations pour sécuriser les systèmes d’exploitation des contrôleurs de domaine.
Configuration sécurisée des contrôleurs de domaine : les outils et paramètres de configuration natifs et disponibles librement peuvent être utilisés pour créer des plannings de référence de configuration de sécurité pour les contrôleurs de domaine, qui peuvent ensuite être appliqués par des objets de stratégie de groupe (GPO).