L’Active Directory (AD) doit être facilement accessible aux utilisateurs de l’entreprise, ce qui en fait l’une des cibles les plus faciles à atteindre. Voici quelques conseils utiles pour le protéger efficacement et éviter les techniques d’attaque les plus courantes.
Sécuriser l’ Active Directory (AD) est un défi quotidien. Les niveaux fonctionnels dictent qu’il est facilement accessible aux utilisateurs de toute l’entreprise, ce qui en fait une cible particulièrement facile pour les pirates informatiques. Microsoft a souligné la gravité du problème en déclarant que plus de 95 millions de comptes AD sont attaqués chaque jour.
Cependant, protéger Active Directory n’est pas impossible. Dans cet article, nous fournirons quelques conseils sur la meilleure façon de le faire et d’éviter les tactiques d’attaque les plus courantes.
- Limitez les sessions privilégiées et les accès directs
- Localisez les comptes privilégiés
- Protégez et détectez les attaques « Golden Ticket » et « Silver Ticket »
- Protection contre les attaques Kerberoasting, DCSync et DCShadow
- Empêcher la prise d’informations d’identification à partir de partages de domaine
- Identifier les comptes avec des SID de privilèges cachés
- Détecter les délégations de droits d’accès dangereux sur les objets critiques
- Identifier les comptes privilégiés avec la délégation activée
- Identifier les utilisateurs non privilégiés
- Identifier les modifications récentes de la politique de domaine
Limitez les sessions privilégiées et les accès directs
La première étape à franchir pour protéger l’Active Directory consiste à limiter et garder sous contrôle le nombre de sessions privilégiées, d’accès directs, de sessions de service et de réseau .
Une fois qu’un pirate informatique a franchi les défenses du périmètre, il mènera une enquête pour identifier les actifs potentiellement précieux et le chemin pour les atteindre. Pour ce faire, il tentera de frapper l’AD, déguisant ses actions en activités normales avec peu de chance d’être détecté.
La capacité de détecter et de contrôler le nombre de privilèges est primordiale, afin de pouvoir alerter les responsables de la sécurité de la présence d’un pirate informatique au début du cycle d’attaque.
Le déploiement de comptes de domaine trompeurs sur les terminaux peut également embarrasser les attaquants et permettre à l’équipe interne de les rediriger vers de faux leurres.
Localisez les comptes privilégiés
Stocker vos informations d’identification sur les postes de travail est pratique et immédiat, mais cela facilite la vie des pirates informatiques.
Pour éviter de permettre aux pirates informatiques de s’introduire, il faut identifier les expositions des comptes privilégiés, corriger les erreurs de configuration et supprimer les informations d’identification enregistrées, les dossiers partagés et d’autres vulnérabilités.
Protégez et détectez les attaques « Golden Ticket » et « Silver Ticket »
Le « Golden Ticket » et le « Silver Ticket » sont deux des types d’attaques Pass the Ticket (PTT) les plus graves utilisés pour compromettre le domaine.
Pour résoudre ce problème, vous devez être en mesure de détecter les comptes de service informatique Kerberos et les tickets d’octroi de tickets (TGT) vulnérables, en identifiant et en signalant les erreurs de configuration susceptibles de conduire à des attaques PTT.
En outre, vous pouvez utiliser une solution spécialisée qui peut empêcher l’utilisation de tickets falsifiés sur les terminaux.
Protection contre les attaques Kerberoasting, DCSync et DCShadow
Une attaque « Kerberoasting » est un moyen facile pour les attaquants d’obtenir un accès privilégié, tandis que les attaques DCSync et DCShadow servent à maintenir la persistance dans le domaine de l’entreprise.
Les responsables de la sécurité doivent être en mesure d’effectuer une évaluation AD continue qui fournit une analyse en temps réel des attaques AD et des alertes sur les erreurs de configuration conduisant à de telles attaques.
De plus, une solution qui utilise des mesures d’atténuation au niveau des terminaux pour empêcher les attaquants de découvrir les comptes à cibler peut inhiber leur capacité à effectuer ces incursions.
Empêcher la prise d’informations d’identification à partir de partages de domaine
Il est toujours bon de se rappeler qu’en général, les pirates informatiques ciblent généralement les mots de passe en clair ou réversibles stockés dans des scripts ou des fichiers de stratégie de groupe, stockés sur des partages de domaine tels que Sysvol ou Netlogon.
Identifier les comptes avec des SID de privilèges cachés
En utilisant les techniques d’injection d’ identificateur de sécurité Windows (SID) , les hackers peuvent exploiter l’attribut « historique » du SID ; cela leur permet de se déplacer latéralement dans l’environnement AD et d’augmenter encore leurs privilèges.
Pour éviter que cela ne se produise, les comptes configurés avec des valeurs SID privilégiées connues dans l’attribut SID d’historique et les rapports doivent être détectés.
Détecter les délégations de droits d’accès dangereux sur les objets critiques
La délégation est une fonctionnalité d’AD qui permet à un utilisateur ou à un compte d’ordinateur de prendre la place d’un autre compte. Par exemple, lorsqu’un utilisateur appelle une application Web hébergée sur un serveur Web, l’application peut imiter les informations d’identification de l’utilisateur pour accéder aux ressources hébergées sur un autre serveur.
Tout ordinateur de domaine sur lequel la délégation sans contrainte est activée peut récupérer les informations d’identification de l’utilisateur auprès de n’importe quel autre service du domaine. Malheureusement, les attaquants peuvent exploiter cette fonctionnalité pour accéder à différentes zones du réseau.
La surveillance continue des vulnérabilités AD et des expositions de délégation peut aider les responsables internes à identifier et à corriger ces vulnérabilités avant qu’elles ne puissent être exploitées à des fins malveillantes.
Identifier les comptes privilégiés avec la délégation activée
En parlant de délégation, les comptes privilégiés configurés avec une délégation sans contrainte peuvent directement conduire à des attaques Kerberoasting et Silver Ticket.
Les organisations doivent être en mesure de détecter et de signaler les comptes privilégiés avec la délégation activée.
Une liste complète des utilisateurs privilégiés, des administrateurs directs et des comptes de service peut aider les responsables internes à identifier les vulnérabilités potentielles. Dans ce cas, la délégation n’est pas automatiquement mauvaise.
Identifier les utilisateurs non privilégiés
Les services de domaine Active Directory (AD DS) utilisent le processus AdminSDHolder et le propagateur de descripteurs de sécurité (SDProp) pour protéger les utilisateurs et les groupes privilégiés.
L’AdminSDHolder dispose d’une liste de contrôle d’accès (ACL) unique, qui vérifie les autorisations des principaux de sécurité qui sont membres des groupes AD privilégiés intégrés. Pour permettre le mouvement latéral, les attaquants peuvent ajouter des comptes à l’AdminSDHolder, en leur accordant le même accès privilégié qu’aux autres comptes protégés.
Identifier les modifications récentes de la politique de domaine
Au sein d’AD, les organisations utilisent la stratégie de groupe pour gérer différentes configurations opérationnelles, en définissant des paramètres de sécurité spécifiques pour l’environnement.
Ils créent souvent des groupes d’administration et incluent des scripts de démarrage et d’arrêt. Les administrateurs les configurent pour définir des exigences de sécurité définies par l’organisation à chaque niveau, installer des logiciels et définir des autorisations de fichiers et de registre.
Malheureusement, les pirates informatiques peuvent modifier ces politiques pour assurer la persistance du domaine au sein du réseau. La surveillance des modifications de la stratégie de groupe par défaut peut aider les responsables internes à repérer rapidement ces attaquants, à réduire les risques de sécurité et à empêcher l’accès privilégié à AD.
