Active Directory : les conseils sécurité de l’ANSSI

« Critique et récurrent ». Ainsi l’ANSSI qualifie-t-elle le « manque de maturité » qu’elle relève en matière de sécurisation des annuaires Active Directory.

Face à ce constat et à celui d’attaques recrudescentes, l’agence publie un recueil de points de contrôle.

L’annuaire Active Directory est le centre névralgique de la sécurité des systèmes d’information #Microsoft
L’ANSSI publie ses points de contrôle sur les annuaires #AD et l’ensemble des recommandations associées :https://t.co/1uy4RNIPCC pic.twitter.com/K50bT88rol

— ANSSI (@ANSSI_FR) June 2, 2020

Chacun de ces points de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir la sécurité d’un Active Directory. Pour obtenir un niveau de sécurité (de 1 à 5), un annuaire doit passer avec tous les points de contrôle des niveaux inférieurs.

À ce jour, seuls les critères permettant la validation des niveaux 1 à 3 sont disponibles.

Active Directory : l’heure du rangement

Les points de contrôle associés au niveau 3 sont les plus critiques. On en compte une dizaine.

Parmi eux, des serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours et/ou qui ne se sont pas authentifiés depuis plus de 90 jours.
Le fonctionnement par défaut d’Active Directory est conforme aux attentes : il induit un changement automatique de mot de passe tous les 30 jours, avec identification au domaine.

Autre élément à surveiller : le mécanisme de compatibilité pré-Windows 2000, utilisé pour assurer la prise en charge des domaines de type Windows NT. Le groupe associé est susceptible de contenir des utilisateurs anonymes et d’augmenter par là même le risque de sécurité.

Les RODC (contrôleurs de domaine en lecture seule) constituent une autre source de risque. Ce à travers plusieurs éléments :

• La propriété msDS-NeverRevealGroup
  Celle-ci permet d’interdire la révélation des secrets des objets qui y sont listés. Il faut prendre garde à ce que certains attributs ne manquent pas.
• La propriété msDS-RevealOnDemandGroup
  Elle permet de définir les utilisateurs et groupes dont la révélation sur un RODC est autorisées. Attention à éviter qu’y figurent des utilisateurs ou groupes privilégiés.
• Les groupes de réplication
  Il en existe deux : celui qui autorise la révélation des secrets de ses membres sur l’ensemble du RODC et celui qui, au contraire, l’interdit. L’ANSSI recommande de vider le premier et de s’assurer que le second possède l’ensemble de ses membres par défaut.

Au rang des autres critères éliminatoires pour l’obtention du niveau 3, on citera :

• Objets qui ont des propriétaires inadaptés
• Comptes privilégiés non membres du groupe « Utilisateurs protégés »
• Stockage réversible des mots de passe de comptes (possibilité de le récupérer en clair avec les droits d’administration)

Photo d’illustration © Kentoh – shutterstock.com