Augmentez la sécurité de l’Active Directory en suivant ces 9 bonnes pratiques

Introduit par Microsoft sur Window 2000, l’Active Directory, ou AD, permet à votre entreprise de gérer les processus d’identification de vos collaborateurs aux ressources. Un dispositif bien pratique donc… mais qui constitue potentiellement une porte d’entrée pour les pirates informatiques !

En effet, les annuaires contiennent de précieuses informations, notamment sur les éléments d’authentification des utilisateurs. Imaginez un peu : une personne mal intentionnée parvient à obtenir des droits administrateur… et c’est tout le système d’information de votre organisation qui se retrouve compromis !

C’est pourquoi nombre d’experts et organismes, à commencer par Microsoft et l’ANSSI eux-mêmes, prodiguent tout un tas de recommandations en ce sens.

Pour vous aider à y voir plus clair, voici un condensé des meilleurs conseils de pro pour augmenter la sécurité de votre environnement AD, sous la forme de 9 bonnes pratiques Active Directory à suivre absolument.

Pour commencer, auditez fréquemment votre environnement Active Directory. L’objectif ? Adopter une démarche proactive et ainsi appliquer des actions correctives avant qu’il ne soit trop tard.

Plus concrètement, il existe une multitude d’objets et d’événements à surveiller. Il s’agit notamment d’examiner régulièrement les comptes utilisateurs afin de détecter ceux qui :

• ne sont pas conformes à vos exigences de sécurité ;
• ne semblent pas légitimes au sein de l’entreprise ;
• ou encore ne bénéficient pas du niveau de privilèges adéquat.

Cette vérification doit également porter sur les stations de travail, et non uniquement sur les serveurs et les contrôleurs de domaine.

💡 À savoir : grâce aux journaux d’événements de sécurité Windows, gardez un œil sur les modifications réalisées et identifiez les comportements suspects, comme des tentatives d’intrusion ou des modifications sur un compte administrateur privilégié.

Une des principales bonnes pratiques de sécurité dans l’AD consiste à limiter les droits à hauts privilèges aux personnes légitimes, en particulier :

• aux administrateurs du domaine,
• aux administrateurs de l’entreprise,
• aux administrateurs de domaine local.

Le but d’une telle démarche ?

• Déployer en priorité les efforts sur les comptes reliés aux données plus sensibles, d’autant plus si votre organisation opère avec une structure AD complexe.
  
  
• Limiter au maximum la casse si une personne ou un logiciel malveillant s’infiltre dans vos comptes administrateurs.
  
  
• Faire en sorte que chaque collaborateur ait uniquement accès aux droits nécessaires à la réalisation de son travail, et mettre à jour ces autorisations dès que des changements surviennent dans son poste ou ses missions.

Vous pouvez cependant regrouper certains utilisateurs, en fonction des besoins métier, dans un même groupe de sécurité Active Directory. Vous facilitez ainsi l’administration des autorisations, en évitant d’attribuer les droits un à un.

💡 À savoir : si vous souhaitez gérer plus finement la gouvernance dans l’Active Directory, nous vous recommandons d’opter pour le Tier-model proposé par Microsoft. Ce dernier implique de séparer les différents éléments de votre infrastructure selon leur degré d’importance :

• Niveau 0 : les objets les plus critiques, dont ceux relatifs au contrôle des identités,
• Niveau 1 : les serveurs, applications et cloud,
• Niveau 2 : les machines des utilisateurs (ordinateurs fixes, ordinateurs portables, terminaux mobiles, etc.).

Ensuite, pour chacune de ces couches, attribuez un compte d’administration différent. En effet, les éléments les plus sensibles seront plus faciles à surveiller si les comptes associés sont regroupés.

Vous l’aurez compris, les comptes à privilèges constituent une porte d’entrée idéale dans votre système d’information.

Ils doivent donc bénéficier d’une protection renforcée. Par exemple :

• n’y intégrez aucun utilisateur quotidien ;
• appliquez les règles de sécurité et d’accès propres à chaque type de compte privilégié (compte d’administrateur local, d’administrateur de domaine, etc.) ;
• instaurez des contrôles d’authentification robustes, à l’image de l’authentification multifacteur avec carte à puce ;
• mettez à disposition de ces utilisateurs des stations de travail dotées d’une protection accrue PAW (Privileged Access Workstation), incluant des fonctionnalités telles que le chiffrement du disque ;
• déployez une solution de PAM (Privilege Account Management) afin de surveiller au mieux les accès à partir de comptes à privilèges ;

☝️ Ces accès privilégiés ne doivent pas être permanents, et nécessitent d’être questionnés régulièrement.

D’après la définition de Microsoft, les hôtes d’administration sont « des stations de travail ou des serveurs qui ont été configurés spécifiquement pour créer des plateformes sécurisées à partir desquelles les comptes privilégiés peuvent effectuer des tâches d’administration dans Active Directory ou sur les contrôleurs de domaine, les systèmes joints à un domaine et les applications s’exécutant sur des systèmes joints à un domaine. ».

Ici, il faut entendre par « comptes privilégiés » ceux évoqués précédemment, mais aussi tous les comptes ayant reçu des droits pour procéder à des tâches administratives, de type support technique.

Par conséquent, augmentez la protection de ces ordinateurs, en exigeant par exemple :

• un niveau de sécurité équivalent à celui des systèmes informatiques gérés,
• le renforcement de la protection physique de ces postes de travail (contrôle des accès physiques notamment),
• une authentification forte (via carte à puce) pour exécuter les activités.

Les contrôleurs de domaine, serveurs destinés à stocker la base de données services de l’AD et à gérer entre autres l’authentification, les utilisateurs et les applications, constituent également une cible privilégiée des hackers.

De ce fait, il convient :

• de protéger au maximum ces contrôleurs de domaine. Par exemple, Microsoft recommande, dans les centres de données, de les placer dans des racks ou cages sécurisés et distincts ;
• de sécuriser les systèmes d’exploitation des contrôleurs de domaine, en utilisant notamment la version la plus récente de Windows Server ;
• de déployer une configuration sécurisée initiale des contrôleurs de domaine, qui peut ensuite être appliquée par des objets de stratégie de groupe.

Les systèmes d’authentification des utilisateurs s’avèrent également un élément de vulnérabilité.

Pourtant, il est nécessaire de trouver un bon compromis pour assurer la sécurité de l’environnement Active Directory tout en évitant les comportements à risques. Par exemple, demander aux collaborateurs de renouveler trop régulièrement leurs mots de passe, c’est prendre le risque qu’ils les notent sur des supports peu sûrs.

Pour autant, les identifiants utilisés sont tenus de respecter un certain nombre de règles, via le déploiement d’une politique de mot de passe. Cette dernière exige généralement :

• le choix de mots de passe complexes, constitués par exemple :
  • de 12 caractères minimum,
  • de caractères spéciaux,
  • de chiffres,
  • de majuscules,
  • de minuscules,
• la confidentialité de ces mots de passe, qui ne doivent jamais être partagés, notés, divulgués,
• l’usage d’identifiants différents en fonction des services,
• l’utilisation de la double authentification ou de l’authentification forte si nécessaire,
• le déploiement de cette politique via des GPO ou des FGPP pour affiner les exigences de sécurité en fonction des utilisateurs.

💡 Notre conseil : au regard des enjeux associés aux mots de passe des collaborateurs, nous recommandons l’utilisation d’outils spécialisés. Tel est le cas de Specops Password Policy, spécifiquement conçu pour l’application d’une politique de mot de passe au sein de l’Active Directory. Grâce à ce logiciel, vous respectez aux mieux les règles de sécurité et normes établies (HIPPA, NCSC, ANSSI, etc.), puisque vous pouvez entre autres :

• bloquer l’utilisation de mots de passe faibles ou de ceux présents dans un dictionnaire ;
• imposer des règles de sécurité par utilisateur (durée de vie du mot de passe, longueur, complexité) ;
• utiliser un ciblage granulaire à tout niveau d’un GPO ;
• repérer facilement les mots de passe compromis présents dans votre système AD.

La mise à jour fréquente des logiciels antivirus sur vos applications ainsi que sur vos systèmes d’exploitation vous offre une solide protection contre les failles de sécurité potentielles, grâce à l’application des derniers correctifs.

Bien sûr, nous vous recommandons de surveiller en parallèle les éventuelles suppressions ou désactivations de ces outils.

Il est vivement conseillé d’effectuer des sauvegardes régulières de votre AD, et ce, sur plusieurs emplacements différents, dont idéalement un amovible (puisque les hackers s’en prennent désormais aux logiciels de sauvegarde).

En parallèle, réalisez des tests sur ces sauvegardes. De cette manière, vous vous assurez qu’en cas de problème, vous êtes en mesure de procéder à une reconstruction de l’Active Directory rapide et fiable.

Cet article a pour vocation de vous présenter les principales bonnes pratiques à appliquer pour sécuriser votre annuaire Active Directory.

Toutefois, pour aller plus loin dans votre approche, nous vous conseillons de lire la documentation complète d’experts à ce sujet, en particulier :

• le rapport exhaustif de l’ANSSI, intitulé Recommandations de sécurité relatives à l’Active Directory,
• Durcissement et recommandations du CERT-FR,
• les Meilleures pratiques pour la sécurisation d’Active Directory par Microsoft.

💡 À savoir : pour vous perfectionner, sachez aussi qu’il existe des formations à la sécurité Active Directory.

Opérer dans un environnement AD est bien pratique, mais nécessite une sécurité de tous les instants.

C’est pourquoi on rencontre de nombreuses recommandations sur la toile en ce sens. Elles impliquent, entre autres, une gestion fine des comptes et des accès, des audits réguliers de l’environnement Active Directory ou encore une sécurisation accrue des infrastructures en fonction de leur niveau de criticité.

Cependant, les attaques informatiques se faisant de plus en plus complexes, il convient de remettre en question en permanence votre structure AD. Grâce à ce processus continu, mais également à la bonne méthodologie ainsi qu’aux outils appropriés, vous construirez un solide rempart pour garder vos données loin des individus malveillants.