Active Directory : ces "erreurs systémiques" que déplore l'ANSSI

La France, mauvaise élève sur le maintien en condition de sécurité des serveurs Windows ?

L'ANSSI a inclus un chiffre à ce sujet dans son dernier panorama de la cybermenace. Et il est notable.

L'agence met à disposition de la sphère publique et des entités régulées un service d'audit Active Directory. Dans les organismes utilisateurs de ce service, 36 % des serveurs Windows utilisent une version obsolète (2012 R2 ou antérieure). En parallèle, 82 % des postes de travail disposant d'un support Microsoft utilisent Windows 10, qui arrivera en fin de vie dans moins d'un an (hors support étendu).

Pour illustrer la nécessité du maintien en condition de sécurité des éléments critiques du SI, l'ANSSI mentionne la vulnérabilité Zerologon, exploitée sur des contrôleurs de domaine dont la version n'est pas à jour. Elle évoque par ailleurs quelques "mauvaises pratiques systémiques" de configuration d'Active Directory.

Le positionnement de l'attribut SPN (ServicePrincipalName) sur des comptes privilégiés en est une.
Cet attribut permet d'associer des noms de service Kerberos à des comptes AD. N'importe quel utilisateur peut alors demander un ticket pour les services concernés Et ainsi réaliser une attaque par force brute pour obtenir le mot de passe du compte. On préférera donc ne positionner l'attribut SPN que sur des comptes de service non privilégiés.

Autre pratique pointée du doigt : des comptes à hauts privilèges dont le mot de passe n'est pas assez souvent modifié. L'ANSSI recommande une rotation au moins tous les trois ans. Elle affirme en découvrir régulièrement des inchangés depuis 15, 20, voire 25 ans et dont la complexité ne répond pas aux exigences actuelles.

Les permissions d'enrôlement sur les modèles ou conteneurs de certificats peuvent aussi poser problème. Plus précisément en cas de mauvaise configuration de l'infrastructure de gestion de clés AD-CS permettant de générer des certificats. Un demandeur peut alors en générer un valable pour l'authentification Windows pour n'importe quel compte de l'AD.

Attention également aux permissions des comptes non privilégiés. Notamment vers les contrôleurs de domaine, vers la racine des contextes de nommage ou vers les objets de GPO s'appliquant aux membres des groupes privilégiés. Quiconque compromettrait ces comptes pourrait prendre le contrôle d'un élément critique de l'AD.

À consulter en complément :

Open source : la boîte à outils de l'ANSSI
Le machine learning pour des mots de passe robustes : l'expérience de Michelin
Microsoft 365, autre argument pour passer à Windows 11 ?
Baromètre CESIN 2025 : ces signaux positifs que renvoient les RSSI

Illustration