Rechercher
Rechercher

Sécuriser Active Directory : les 10 erreurs critiques que nous trouvons en audit

Sécuriser Active Directory : les 10 erreurs critiques que nous trouvons en audit

Active Directory (AD) est le cœur du système d’information de la plupart des entreprises. C’est aussi la cible prioritaire de 90% des attaquants lors d’une intrusion. Après des centaines d’audits, voici les erreurs que nous retrouvons systématiquement — et comment les corriger.

1. Des comptes administrateurs domaine en excès

Nous trouvons régulièrement des entreprises avec 15, 20, voire 50 comptes dans le groupe « Domain Admins ». La règle d’or : maximum 3 à 5 comptes, utilisés uniquement pour l’administration, jamais pour la navigation web ou la messagerie.

2. Pas de tiering model

Le modèle de tiering Microsoft sépare l’administration en trois niveaux : Tier 0 (contrôleurs de domaine), Tier 1 (serveurs) et Tier 2 (postes de travail). Un admin Tier 0 ne doit jamais se connecter à un poste utilisateur. Cette séparation bloque la propagation latérale des attaquants.

3. Des mots de passe qui n’expirent jamais

Les comptes de service avec des mots de passe « Password123 » datant de 2018 sont encore monnaie courante. Utilisez des gMSA (Group Managed Service Accounts) qui gèrent automatiquement la rotation des mots de passe.

4. Kerberoasting non détecté

Les attaquants extraient les tickets Kerberos des comptes de service pour casser leurs mots de passe hors ligne. Surveillez les requêtes TGS anormales et utilisez des mots de passe de 25+ caractères pour les comptes de service.

5. Pas de LAPS déployé

Sans LAPS (Local Administrator Password Solution), tous vos postes partagent le même mot de passe administrateur local. Un seul poste compromis = tous les postes compromis.

6. GPO mal configurées

Des GPO qui stockent des mots de passe en clair (cpassword), des scripts de démarrage avec des identifiants en dur, des partages accessibles à « Authenticated Users » avec des données sensibles. Chaque audit révèle son lot de surprises.

7. Pas de surveillance des événements critiques

Les événements Windows 4624 (logon), 4672 (privilèges spéciaux), 4768-4769 (Kerberos) doivent être collectés et analysés. Sans SIEM ou SOC, ces signaux d’attaque passent inaperçus.

8. Réplication SYSVOL en FRS au lieu de DFSR

FRS est obsolète depuis Windows Server 2008. La migration vers DFSR est simple mais souvent oubliée, laissant des vulnérabilités connues exploitables.

9. Pas de sauvegarde AD testée

En cas de ransomware, la restauration d’Active Directory est critique. Combien d’entreprises testent réellement la restauration de leur AD ? Notre expérience : moins de 10%.

10. Aucun durcissement des contrôleurs de domaine

Les DC doivent être les machines les plus protégées du SI : pas d’accès internet, pas d’applications tierces, pas de partage de fichiers, uniquement le rôle AD DS. Un test d’intrusion révèle rapidement si vos DC sont correctement isolés.

Tu pourrais aussi être intéressé par ces articles :

Laisse moi un commentaire !

Laisser un commentaire

Articles similaires