Une approche pratique de l'Active Directory Domain Services, Partie 7 : Cybersécurité et AD

• Lorsque la configuration d'un environnement AD est erronée.

• Lorsque les stratégies de groupe ont été incorrectement appliquées

• Lorsque les terminaux connectés au domaine AD sont mal gérés.

Renforcez votre sécurité AD en vous concentrant sur les trois problèmes mis en évidence ci-dessus.

Dans les six parties précédentes de cette série de blogs, nous avons étudié divers aspects AD d'un point de vue théorique. Cependant, nous pouvons maintenant examiner la même liste de sujets et les étudier plus en détail du point de vue de la sécurité. Les risques associés à chacun des trois scénarios ci-dessus entreront en jeu dans notre discussion ci-dessous :

• Intégration AD avec le DNS

• Utilisateurs et ordinateurs A

• Groupes et OU A

• Réplication A

• Rôles FSMO AD

Intégration AD avec le DNS

La dépendance des services AD vis-à-vis du DNS est inévitable. Bien que le DNS soit crucial pour tout réseau interconnecté, votre configuration AD cessera de fonctionner si elle présente une intégration défectueuse avec le DNS.

Vous devrez prendre en compte les aspects suivants pour assurer le renforcement de la sécurité de la zone d'attaque AD :

• Surveillez l'infrastructure DNS et le protocole DNS pour garantir une sécurité intégrée grâce à des mesures telles que les extensions de sécurité DNS (DNSSEC), le chiffrement DNS et les pare-feu DNS.

• Auditez périodiquement les fichiers de zone AD-DNS et leurs enregistrements de ressources associés

• Configurez avec soin les demandes de transfert de zone. Veillez à surveiller étroitement et à auditer périodiquement les listes de contrôle d'accès (ACL) de transfert de zone.

• Implémentez un LDAP sécurisé. Cela garantira que les données LDAP sont chiffrées pendant le processus de liaison d'authentification LDAP lorsqu'un utilisateur ou un client communique avec le service d'annuaire.

Utilisateurs et ordinateurs AD

Si vous ne le faites pas déjà, commencez à utiliser un système de surveillance AD pour vous aider à rester à jour sur toute l'activité AD dans votre écosystème. Le suivi et la surveillance automatiques par le biais d'un système de surveillance des logs bien conçu sont essentiels.

S'il est important de comprendre la gestion des utilisateurs et des ordinateurs AD, vous devrez appliquer ces connaissances pour sécuriser l'infrastructure AD.

Microsoft recommande de faire d'une stratégie d'audit robuste une partie intégrante de la gestion AD, qui comprend l'audit, l'alerte et le reporting de l'activité AD.

• Vous devrez planifier des alertes et personnaliser des rapports pour les événements de connexion, y compris les comptes utilisateur et les comptes ordinateur authentifiés sur tout domaine AD.

• Planifiez et effectuez des audits de gestion des comptes utilisateur pour surveiller les événements de création et de modification des utilisateurs, tels que le changement de nom, la mise à jour du mot de passe ou la modification de l'état du compte (par exemple, activé ou désactivé, ou si le compte est verrouillé), ainsi que la suppression des utilisateurs.

• Les comptes utilisateur privilégiés intégrés et personnalisés, s'ils sont compromis, ont l'impact le plus néfaste d'une attaque AD. Vous devez donc surveiller les comptes privilégiés pour détecter les événements relatifs au verrouillage de compte, à l'échec de connexion ou aux connexions et déconnexions inhabituelles.

Vous devrez également effectuer des audits de gestion des comptes ordinateur pour surveiller les événements de création, de modification et de suppression des comptes ordinateur.

Groupes et OU AD

Comme pour les utilisateurs et les ordinateurs, vous devrez gérer et auditer les rapports sur les groupes et les OU pour vous assurer que toute mauvaise configuration est corrigée et que tout log d'événement inhabituel provenant de ces objets AD est traité immédiatement.

Considérez les points suivants :

• Les rapports de gestion des groupes AD doivent être configurés et surveillés pour la création, la modification et la suppression des groupes de sécurité et de distribution.

• Comme pour les utilisateurs privilégiés intégrés et personnalisés, surveillez les activités des utilisateurs dans les groupes AD privilégiés et sensibles.

• Vous devrez étudier de près les couches physiques et logiques de votre modèle architectural AD. Examinez la conception des groupes AD pour comprendre dans quelle mesure l'imbrication est bien réalisée, et configurez des alertes pour les modifications apportées aux GPO et à l'appartenance aux groupes. Toute activité qui s'écarte de la norme doit vous alerter.

• Les ACL de sécurité fournissent une sécurité intégrée à la conception des groupes AD et à la manière dont les paramètres de stratégie de groupe sont appliqués aux objets AD. Vous devez surveiller ces ACL dans le cadre d'un processus obligatoire de protection de votre AD.

• Surveillez toute modification apportée à la stratégie de groupe, aux privilèges utilisateur, aux autorisations d'accès et aux droits utilisateur, en particulier dans le cas de groupes utilisateur bénéficiant d'un accès hautement privilégié. Travaillez continuellement à l'établissement d'un environnement à moindre privilège.

• Assurez et auditez la délégation basée sur les rôles afin de maintenir un contrôle détaillé sur les autorisations et les privilèges accordés aux utilisateurs qui font partie de groupes sensibles, tels que les administrateurs du domaine.

Réplication AD

Le modèle de réplication AD est conçu en tenant compte au maximum de trois composants essentiels. Le premier est le contrôleur de domaine (DC) source, qui autorise toute demande de modification sur un site AD. Le deuxième est l'ensemble des autres partenaires de réplication, et le troisième, les serveurs bridgehead désignés dans chaque site. Ces trois composants sont jugés cruciaux pour la conception de votre configuration AD et placés au premier plan pour que la réplication soit exempte d'erreurs.

La configuration et la conception de la topologie de réplication de votre environnement AD jouent un rôle important pour garantir la sécurité AD dans une infrastructure AD résiliente. Pour y parvenir, vous devrez vous pencher sur les points suivants :

• Séparez et protégez vos DC, y compris les serveurs physiques et virtuels.

• Assurez-vous que vos DC fonctionnent avec les dernières versions du système d'exploitation pour des fonctionnalités et des correctifs de sécurité à jour

• Limitez la disponibilité de l'accès Internet et les capacités de navigation web sur les DC pour fournir une autre couche de sécurité implicite et intégrée contre les vecteurs d'attaque externes.

• Effectuez un audit et un contrôle minutieux des appartenances aux groupes des DC afin de surveiller les administrateurs du domaine en particulier, ainsi que toute modification inhabituelle des appartenances à des comptes disposant d'une élévation de privilèges.

• Tenez compte du rôle essentiel que joue la gestion des terminaux des ressources réseau connectées au domaine dans la sécurisation de la réplication AD. Votre rôle consiste à tenir à jour une liste de contrôle de sécurité et de conformité axée sur l'évaluation des risques en temps réel et prenant en compte l'intégralité des journaux AD.

Rôles FSMO AD

L'établissement d'une base de référence de toute l'activité dans votre environnement AD peut vous aider à détecter tout écart ou comportement anormal. Cela est particulièrement nécessaire pour les rôles FSMO en raison de leur accès privilégié.

À cet égard, vous devez surveiller les transferts injustifiés de rôles FSMO, les modifications inattendues de schéma AD, les cas de verrouillage de comptes, les comptes hyperactifs, le pourcentage élevé d'échecs de connexion et d'autres activités inhabituelles.

Prêtez attention aux considérations de conception suivantes concernant les rôles FSMO :

• Surveillez de près et auditez en permanence tous les événements relatifs au transfert des rôles FSMO entre les DC d'un domaine AD.

• Enregistrez les logs où les rôles FSMO ont été saisis en raison de DC inopérants ou hors service.

• Configurez des alertes lorsque des DC sont rétrogradés ou lorsque des DC connaissent des défaillances ou sont arrêtés.

• Étudiez toute modification apportée au schéma AD.

• Établissez des alertes pour les règles et les stratégies sur une console de surveillance et d'audit AD en temps réel pour suivre et analyser votre posture de sécurité AD globale.

• Envisagez d'intégrer votre collecte de logs AD à une solution SIEM pour transmettre les logs AD et rendre votre surveillance plus complète.

Vous savez maintenant ce qu'il faut examiner lorsque vous commencez à surveiller votre service AD pour garantir une sécurité maximale dès la conception.

En gardant ces concepts à l'esprit, dans la prochaine partie de cette série de blogs, nous nous pencherons sur l'exposition de certaines des vulnérabilités de sécurité les plus cruciales de l'AD à travers des cas d'utilisation et certaines attaques AD courantes.

L'objectif ultime de tous les administrateurs AD devrait être de parvenir à la cyber-résilience et à un environnement Active Directory inattaquable. Le véritable défi consiste à y parvenir malgré la nature dynamique de l'AD et, ne l'oublions pas, l'état d'esprit évolué des cybercriminels d'aujourd'hui.