Partager via


Meilleures pratiques pour la sécurisation d'Active Directory

Les attaques contre les infrastructure informatiques ont augmenté au cours de la dernière décennie, dans toutes les régions du monde. Nous vivons une époque de cyber-guerre, de cybercriminalité et de hacktivisme. Par conséquent, les organisations de toutes tailles, partout dans le monde, ont dû gérer les fuites d’informations, le vol de propriété intellectuelle (IP), les attaques par déni de service (DDoS) ou même la destruction des infrastructures.

Toutefois, le paysage des menaces ayant évolué au fil des années, celui de la sécurité s’est également adapté pour contrer ces menaces. Même si aucune organisation disposant d’une infrastructure informatique (IT) n’est jamais parfaitement immunisée contre les attaques, l’objectif ultime de la sécurité n’est pas d’empêcher complètement les tentatives d’attaque, mais de protéger les infrastructures informatiques contre les attaques. Grâce à des stratégies, des processus et des contrôles appropriés, vous pouvez protéger les parties clés de votre infrastructure informatique contre la compromission.

Dans cet article, nous décrivons les types de vulnérabilités les plus courants que nous avons observés dans les déploiements Active Directory (AD). Ensuite, nous vous armerons avec des suggestions pour protéger ces points faibles contre les compromissions. Nous avons conçu ces suggestions en fonction de l’expertise de nos organisations Microsoft IT (MSIT) et Microsoft Information Security and Risk Management (ISRM). Nous allons également vous montrer les étapes que vous pouvez suivre pour réduire la vulnérabilité, ou surface d’attaque, de l’infrastructure de votre AD qui est exposée au monde extérieur. Nous incluons également des suggestions pour récupérer les données vitales et la fonctionnalité de votre infrastructure en cas de compromission de sécurité.

Vulnérabilités de sécurité courantes

Pour savoir comment protéger au mieux votre infrastructure, vous devez d’abord comprendre où les attaques sont les plus susceptibles de frapper, et comment elles fonctionnent. Cet article couvre uniquement les suggestions générales, mais si vous souhaitez aller plus loin, nous avons inclus des liens vers des articles plus approfondis.

Examinons maintenant les vulnérabilités de sécurité les plus courantes.

Points d’entrée courants

Les cibles de violation initiales, ou points d’entrée, sont les zones où les attaquants peuvent facilement pénétrer votre infrastructure informatique. Les points d’entrée sont généralement des failles dans la sécurité ou les mises à jour que les attaquants peuvent exploiter pour accéder à un système au sein de votre infrastructure. Les attaquants commencent généralement par un ou deux systèmes à la fois, puis développent leur attaque au fur et à mesure qu’ils propagent leur influence sur plus de systèmes, en étant non détectés.

Les vulnérabilités les plus courantes sont les suivantes :

  • Lacunes dans les déploiements de logiciels antivirus et anti-programme malveillant

  • Mise à jour corrective incomplète

  • Applications et systèmes d’exploitation obsolètes

  • Configuration incorrecte

  • Absence de pratiques de développement d’applications sécurisées

Vol d’informations d’identification

Les attaques par vol d’informations d’identification se produisent lorsqu’un attaquant obtient un accès privilégié à un ordinateur sur un réseau à l’aide d’outils pour extraire les informations d’identification des sessions de comptes actuellement connectés. Les attaquants cherchent souvent à accéder à des comptes spécifiques qui disposent déjà de privilèges élevés. L’attaquant vole les informations d’identification de ces comptes pour imiter leur identité afin d’accéder au système.

Les voleurs d’informations d’identification ciblent généralement ces types de comptes :

  • Comptes privilégiés permanents

  • Comptes VIP

  • Comptes Active Directory attachés à des privilèges

  • Contrôleurs de domaine

  • Autres services d’infrastructure qui affectent la gestion des identités, des accès et de la configuration, tels que les serveurs d’infrastructure à clé publique (PKI) et les serveurs de gestion des systèmes

Les utilisateurs disposant de comptes hautement privilégiés augmentent le risque de se faire voler leurs informations d’identification en s’engageant dans les comportements suivants :

  • Connexion à leurs comptes privilégiés sur des ordinateurs non sécurisés

  • Navigation sur Internet en étant connecté à un compte privilégié

Vous devez également éviter les configurations trop simples et risquées pour protéger la sécurité des informations d’identification de votre système, par exemple :

  • Configuration de comptes privilégiés locaux avec les mêmes informations d’identification sur tous les systèmes.

  • Affectation d’un trop grand nombre d’utilisateurs à des groupes de domaines privilégiés, ce qui encourage la surutilisation.

  • Gestion insuffisante de la sécurité du contrôleur de domaine.

Pour plus d’informations sur les comptes vulnérables, consultez Comptes attrayants pour le vol d’informations d’identification.

Réduire la surface d’attaque Active Directory

Vous pouvez empêcher les attaques en réduisant la surface d’attaque de votre déploiement Active Directory. En d’autres termes, vous sécurisez votre déploiement en comblant les failles de sécurité que nous avons mentionnées dans la section précédente.

Éviter d’accorder des privilèges excessifs

Les attaques par vol d’informations d’identification peuvent dépendre du fait que les administrateurs accordent à certains comptes des privilèges excessifs. Vous pouvez empêcher ces attaques en effectuant les opérations suivantes :

  • N’oubliez pas qu’il existe trois groupes intégrés disposant des privilèges les plus élevés dans Active Directory par défaut : Administrateurs d’entreprise, Administrateurs de domaine et Administrateurs. Veillez à prendre des mesures pour protéger ces trois groupes, ainsi que les autres groupes auxquels votre organisation a accordé des privilèges élevés.

  • Implémenter des modèles d’administration selon le principe des privilèges minimum. N’utilisez pas de comptes hautement privilégiés pour les tâches administratives quotidiennes si vous pouvez l’éviter. En outre, assurez-vous que vos comptes d’administrateur disposent uniquement des privilèges de base nécessaires pour effectuer leurs tâches, sans privilèges supplémentaires dont ils n’ont pas besoin. Évitez d’accorder des privilèges excessifs aux comptes d’utilisateur qui n’en ont pas besoin. Assurez-vous que vous ne donnez pas accidentellement à un compte les mêmes privilèges sur tous les systèmes, sauf s’ils en ont absolument besoin.

  • Vérifiez les zones suivantes de votre infrastructure pour vous assurer que vous n’accordez pas de privilèges excessifs aux comptes d’utilisateur :

    • Active Directory

    • Serveurs membres

    • stations de travail ;

    • Applications

    • Référentiels de données

Pour plus d’informations, consultez Implémenter des modèles d’administration avec privilèges minimum.

Utiliser des hôtes d’administration sécurisés

Les hôtes d’administration sécurisés sont des ordinateurs configurés pour prendre en charge l’administration des répertoires actifs et d’autres systèmes connectés. Ces hôtes n’exécutent pas de logiciels non-administratifs comme les applications de messagerie, les navigateurs web ou les logiciels de productivité comme Microsoft Office.

Lors de la configuration d’un hôte d’administration sécurisé, vous devez respecter ces principes généraux :

  • Ne jamais administrer un système approuvé à partir d’un hôte moins fiable.

  • Exiger l’authentification multifacteur lors de l’utilisation de comptes privilégiés ou effectuant des tâches d’administration.

  • La sécurité physique de vos hôtes administratifs est aussi importante que la sécurité du système et du réseau.

Pour plus d’informations, consultez Implémenter des hôtes d’administration sécurisés.

Assurer la sécurité de vos contrôleurs de domaine

Si un attaquant obtient un accès privilégié à un contrôleur de domaine, il peut modifier, endommager et détruire la base de données AD. Une attaque sur le contrôleur de domaine menace potentiellement tous les systèmes et comptes gérés par AD au sein de votre organisation. Par conséquent, il est important que vous preniez les mesures suivantes pour assurer la sécurité de vos contrôleurs de domaine :

  • Conservez vos contrôleurs de domaine physiquement sécurisés dans leurs centres de données, succursales et emplacements distants.

  • Familiarisez-vous avec le système d’exploitation de votre contrôleur de domaine.

  • Configurez vos contrôleurs de domaine avec les outils de configuration intégrés et disponibles librement pour créer des bases de référence de configuration de sécurité que vous pouvez appliquer avec des objets de stratégie de groupe (GPO).

Pour plus d’informations, consultez Sécuriser les contrôleurs de domaine contre les attaques.

Surveiller Active Directory pour détecter les signes d’attaque ou de compromission

Une autre façon de sécuriser votre déploiement AD consiste à le surveiller pour détecter les signes d’attaques malveillantes ou de compromission de sécurité. Vous pouvez utiliser les catégories d’audit et les sous-catégories de stratégie d’audit héritées, ou utiliser une stratégie d’audit avancée. Pour plus d’informations, consultez Recommandations de stratégie d’audit.

Se préparer aux compromissions de sécurité

Bien que vous puissiez protéger votre AD contre les attaques extérieures, aucune défense n’est jamais vraiment parfaite. Il est important qu’en plus de prendre des mesures préventives, vous vous prépariez également aux scénarios les plus défavorables. Lors de votre préparation aux violations de sécurité, vous devez suivre les instructions de Préparer la compromission, en particulier la section Repenser l’approche. Vous devez également lire Maintenir un environnement plus sécurisé.

Voici un bref résumé des actions que vous devez effectuer lors de la préparation aux compromissions de sécurité, comme décrit plus en détail dans Maintenir un environnement plus sécurisé :

  • Maintenir un environnement plus sécurisé

  • Créer des pratiques de sécurité centrées sur l’entreprise pour AD

  • Affecter la propriété d’entreprise aux données AD

  • Implémenter la gestion du cycle de vie métier

  • Classifier toutes les données AD en tant que systèmes, applications ou utilisateurs

Pour plus de détails sur ces pratiques, consultez Maintenir un environnement plus sécurisé.

Tableau récapitulatif des mesures de sécurité

Le tableau suivant récapitule les suggestions listées dans cet article, par ordre de priorité. Les plus proches du bas du tableau sont celles que vous et votre organisation devez prioriser lors de la configuration de votre Active Directory. Toutefois, vous êtes également libre d’ajuster l’ordre de priorité et la façon dont vous implémentez chaque mesure en fonction des besoins uniques de votre organisation.

Chaque mesure est également classée selon qu’elle est tactique, stratégique, préventive ou détective. Les mesures tactiques se concentrent sur des composants AD spécifiques et toute infrastructure associée. Les mesures stratégiques sont plus complètes, et nécessitent donc davantage de préparation pour être implémentées. Les mesures préventives empêchent les attaques d’acteurs malveillants. Les mesures détectives vous aident à détecter les violations de sécurité au fur et à mesure qu’elles se produisent, avant qu’elles ne puissent se propager à d’autres systèmes.

Mesure de sécurité Tactique ou stratégique Prévention ou détection
Applications de correctifs. Tactique Préventive
Correctifs de systèmes d’exploitation. Tactique Préventive
Déployez et mettez rapidement à jour les logiciels antivirus et anti-programme malveillant sur tous les systèmes et surveillez les tentatives de suppression ou de désactivation de ces logiciels. Tactique Les deux
Surveillez les objets Active Directory sensibles pour détecter les tentatives de modification, et Windows pour détecter les évènements susceptibles d’indiquer une tentative de compromission. Tactique Détectrice
Protéger et surveiller les comptes des utilisateurs qui ont accès à des données sensibles Tactique Les deux
Empêchez l’utilisation de comptes puissants sur des systèmes non autorisés. Tactique Préventive
Éliminez l’appartenance permanente aux groupes à privilèges élevés. Tactique Préventive
Implémentez des contrôles pour accorder une appartenance temporaire à des groupes privilégiés si nécessaire. Tactique Préventive
Implémentez des hôtes d’administration sécurisés. Tactique Préventive
Utilisez des listes d’autorisations d’applications sur des contrôleurs de domaine, des hôtes d’administration et d’autres systèmes sensibles. Tactique Préventive
Identifiez les biens critiques et hiérarchisez leur sécurité et leur surveillance. Tactique Les deux
Implémentez des contrôles d’accès en fonction du rôle selon le principe de privilèges minimum pour l’administration de l’annuaire, de son infrastructure de prise en charge et des systèmes joints à un domaine. Strategic Préventive
Isolez les applications et les systèmes hérités. Tactique Préventive
Désactivez les applications et les systèmes hérités. Strategic Préventive
Implémentez des programmes de cycle de vie de développement sécurisés pour les applications personnalisées. Strategic Préventive
Implémentez la gestion de la configuration, vérifiez régulièrement la conformité et évaluez les paramètres à chaque nouvelle version matérielle ou logicielle. Strategic Préventive
Migrez des biens critiques vers des forêts vierges avec des exigences strictes en matière de sécurité et de surveillance. Strategic Les deux
Simplifiez la sécurité pour les utilisateurs finaux. Strategic Préventive
Utilisez des pare-feu basés sur l’hôte pour contrôler et sécuriser les communications. Tactique Préventive
Correctifs d’appareils. Tactique Préventive
Implémentez la gestion du cycle de vie métier pour les biens informatiques. Strategic N/A
Créez ou mettez à jour des plans de récupération d’incident. Strategic N/A