Sécuriser son Active Directory, un impératif en 2024
Qu'est-ce que l'Active Directory ?
L’Active Directory dit AD est un annuaire introduit par Microsoft en 2000 avec le Windows 2000 Server. Il répertorie les éléments (utilisateurs et ressources : serveurs, dossiers partagés, imprimantes…) qui touchent au réseau et les droits qui y sont associés. Il contient par exemple les informations d’identification des utilisateurs. Parce que l’Active Directory est le centre névralgique du système d’informations de l’entreprise, il est de fait la cible privilégiée des attaquants. Or, dans la totalité des audits de cybersécurité réalisés par les équipes Cyber de PwC en 2021, des failles de sécurité relatives à l’AD ont été identifiées. Sa complexité rend les possibilités d’attaques nombreuses, difficilement détectables rapidement et persistantes. Il est donc essentiel de déployer une politique de gestion de sécurité de son Active Directory dès sa mise en œuvre et de la piloter de manière fine. En effet, une compromission de l’AD a des conséquences désastreuses et durables pour une organisation.
Comment se prémunir des principaux risques liés à l'AD ?
1- Adoptez une politique saine de gestion des mots de passe
Selon la dernière étude d’IBM, Cost of Data Breach Report 2021, la première source de failles de sécurité provient à 20% de compromissions concernant les informations d’identifications, dont font partie les mots de passe. Or IBM estime qu’il faut près de 341 jours pour identifier et contenir la faille provenant de cette source initiale (contre 287 jours en moyenne toute source confondue). Il est plus long mais aussi plus coûteux d’identifier et de remédier à ce type de compromissions. En piratant le compte d’un seul utilisateur qui dispose des droits d’administrateur, l’attaquant peut alors accéder à des machines du domaine et réaliser des actions malveillantes suffisamment longtemps pour compromettre l’AD avant d’être démasqué. La mise en place d’une politique de gestion des mots de passe est donc essentielle pour limiter ce risque dans un environnement AD. A ce titre, l’ANSSI (Agence Nationale de la Sécurité des systèmes d'information) a émis des recommandations en matière de sécurisation des mots de passe, notamment sur leur longueur, leur complexité, leur délai d’expiration ou encore la vérification de leur robustesse.
2- Soyez rigoureux sur les mises à jour
L’Active Directory est constitué d’objets, tels que des serveurs applicatifs et des contrôleurs de domaine (Domain Controllers - DC), dont la compromission pourrait être désastreuse pour l’organisation. Or, des failles logicielles sont régulièrement découvertes et corrigées. La publication d’un correctif donnant de précieuses indications aux attaquants sur les failles concernées, il est indispensable de déployer les mises à jour rapidement, car les moyens de les exploiter deviennent disponibles généralement en quelques jours seulement. Pensez donc à déployer les correctifs mis à disposition par Microsoft au plus tôt après leur publication. Les Contrôleurs de Domaine sont les premiers serveurs à mettre à jour dans votre SI !
3- Mettez en place le Tier-Model
Microsoft a mis en place un modèle de délégation appelé Tier-Model ou Tiering Model qui vise à améliorer la sécurité de l’AD. En synthèse, ce modèle permet de sécuriser son Active Directory en le séparant par couche, conférant à chacune d’entre elles (Appelées Tier 0, Tier 1 et Tier 2) des accès machines spécifiques et des droits associés. En distinguant trois types de machines (les Contrôleurs de Domaine, les serveurs applicatifs et les postes de travail), et en associant à chaque type des comptes et infrastructure d’administration dédiés, on crée un hermétisme qui réduit la portée d’une compromission. Ainsi, le Tier-Model permet par exemple d'éviter qu’un administrateur du domaine (le rôle le plus privilégié) divulgue ses secrets d’authentification sur un serveur moins privilégié ou sur son poste de travail exposé à des menaces externes.
4- Sensibilisez et formez vos utilisateurs
En mettant en place le Tier-Model au sein de votre infrastructure, vous vous prémunissez de risques importants. Toutefois sa bonne compréhension par les utilisateurs est essentielle car elle impacte leur manière de travailler et peut avoir une incidence importante sur la sécurité du système. Or, on sait que le facteur humain est essentiel dans tout incident cyber, quel qu’en soit sa forme ou sa portée. Alors que le Tier-Model semble simple en apparence, il est primordial que les utilisateurs disposant de privilèges soient formés et comprennent les enjeux associés à leur statut d’administrateur. Par exemple, les administrateurs ayant des privilèges en Tier 0 (la couche des Domain Controllers et de serveurs critiques) doivent être extrêmement aguerris aux questions de sécurité car ils accèdent à la couche la plus critique de l’AD.
5- Auditez en continu
On l’a dit précédemment, la faille principale provient du facteur humain, et la compromission initiale peut être longue et difficile à identifier. Il est donc primordial de contrôler les modifications opérées sur la configuration globale de l’AD ou sur certains objets sensibles, afin d’identifier le plus rapidement possible toute forme d’attaque ou toute erreur de configuration réduisant le niveau de protection. Il est aussi fortement conseillé d’utiliser les traces générées par l’Active Directory comme source d’alerte dans votre dispositif de détection.