Pour gérer vos consentements :
Categories: Politique de sécuritéSécurité

Active Directory : les conseils sécurité de l’ANSSI

« Critique et récurrent ». Ainsi l’ANSSI qualifie-t-elle le « manque de maturité » qu’elle relève en matière de sécurisation des annuaires Active Directory.

Face à ce constat et à celui d’attaques recrudescentes, l’agence publie un recueil de points de contrôle.

Chacun de ces points de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir la sécurité d’un Active Directory. Pour obtenir un niveau de sécurité (de 1 à 5), un annuaire doit passer avec tous les points de contrôle des niveaux inférieurs.

À ce jour, seuls les critères permettant la validation des niveaux 1 à 3 sont disponibles.

Active Directory : l’heure du rangement

Les points de contrôle associés au niveau 3 sont les plus critiques. On en compte une dizaine.

Parmi eux, des serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours et/ou qui ne se sont pas authentifiés depuis plus de 90 jours.
Le fonctionnement par défaut d’Active Directory est conforme aux attentes : il induit un changement automatique de mot de passe tous les 30 jours, avec identification au domaine.

Autre élément à surveiller : le mécanisme de compatibilité pré-Windows 2000, utilisé pour assurer la prise en charge des domaines de type Windows NT. Le groupe associé est susceptible de contenir des utilisateurs anonymes et d’augmenter par là même le risque de sécurité.

Les RODC (contrôleurs de domaine en lecture seule) constituent une autre source de risque. Ce à travers plusieurs éléments :

  • La propriété msDS-NeverRevealGroup
    Celle-ci permet d’interdire la révélation des secrets des objets qui y sont listés. Il faut prendre garde à ce que certains attributs ne manquent pas.
  • La propriété msDS-RevealOnDemandGroup
    Elle permet de définir les utilisateurs et groupes dont la révélation sur un RODC est autorisées. Attention à éviter qu’y figurent des utilisateurs ou groupes privilégiés.
  • Les groupes de réplication
    Il en existe deux : celui qui autorise la révélation des secrets de ses membres sur l’ensemble du RODC et celui qui, au contraire, l’interdit. L’ANSSI recommande de vider le premier et de s’assurer que le second possède l’ensemble de ses membres par défaut.

Au rang des autres critères éliminatoires pour l’obtention du niveau 3, on citera :

  • Objets qui ont des propriétaires inadaptés
  • Comptes privilégiés non membres du groupe « Utilisateurs protégés »
  • Stockage réversible des mots de passe de comptes (possibilité de le récupérer en clair avec les droits d’administration)

Photo d’illustration © Kentoh – shutterstock.com

Share
Published by
Clément Bohic
Tags: Active DirectoryANSSI
4 années ago

Recent Posts

AWS abandonne WorkDocs, son concurrent de Dropbox

Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…

1 jour ago

Eviden structure une marque de « serveurs IA »

Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…

2 jours ago

SSE : l’expérience se simplifie plus que les prix

Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…

2 jours ago

IA générative : les lignes directrices de l’ANSSI

Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…

2 jours ago

De la marque blanche à l’« exemption souveraine », Broadcom fait des concessions aux fournisseurs cloud

À la grogne des partenaires VMware, Broadcom répond par diverses concessions.

3 jours ago

iPadOS finalement soumis au DMA

iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.

3 jours ago