Active Directory : les conseils de l’ANSSI en 10 schémas

Clément Bohic,
Linkedin
Azure Active Directory Microsoft Entra

Le corpus Active Directory de l’ANSSI comprend désormais un guide d’administration sécurisée. En voici un aperçu.

Comment évaluer le niveau de sécurité d’un annuaire Active Directory ? En 2020, l’ANSSI avait publié un recueil de points de contrôle. Sa dernière mise à jour remonte à mars 2023.

S’y ajoute désormais un guide, plus exhaustif (166 pages). Y figurent près d’une centaine de recommandations relatives à l’administration de ces environnements. S’y trouvent aussi dix schémas, que voici, remis en contexte.

Cloisonnement en Tiers : l’ANSSI promeut l’amélioration continue

Tiers Active Directory

Microsoft a historiquement défini un modèle de cloisonnement du SI en trois niveaux de confiance (« Tiers »). Ce découpage est le fondement d’un cloisonnement logique de l’AD et d’une démarche de gestion des accès privilégiés – à base de rôles et de criticité des droits et privilèges octroyés.

principe de cloisonnement des tiers

Le schéma ci-dessus vulgarise le principe de cloisonnement des Tiers. Un Tier ne doit avoir aucune relation de contrôle d’un Tier de plus haut niveau de confiance. Il peut, en revanche, avoir le contrôle d’un Tier de moindre confiance. Cette relation est toutefois à limiter et à encadrer en fonction des risques induits.

amélioration continue

L’ANSSI recommande de mettre en œuvre un processus d’amélioration continue du cloisonnement en Tiers. Et de le faire piloter par des interlocuteurs ayant une vision globale du SI et de ses évolutions à venir (pas uniquement des administrateurs de l’AD).

chemins de contrôle

Les objets Active Directory à classer en Tier 0

Ci-dessus, des exemples de chemins de contrôle du Tier 0 depuis des comptes du Tier 2. Les chemins de contrôle « légitimes » sont créés par les admins lors de l’octroi des droits et privilèges sur des objets de l’AD tout au long du cycle de vie de l’annuaire. Les chemins anormaux peuvent être le signe d’une compromission.

conteneurs Tier 0

L’annuaire LDAP sur lequel repose Active Directory se compose de trois partitions principales :

– Domaine AD (« Contexte d’attribution de noms par défaut »)
– Configuration (informations de configuration et de topologie de la forêt Active Directory)
– Schéma (définition du schéma de l’annuaire)

Ces partitions comprennent des conteneurs systèmes ou de configuration qui doivent être catégorisés en Tier 0. C’est ce qu’illustre le schéma ci-dessus.

comptes et groupes de sécurité

Certains comptes et groupes de sécurité intégrés par défaut de l’AD disposent des plus hauts privilèges sur un domaine ou une forêt. Ils se répartissent dans les conteneurs CN=BuiltIn et CN=Users. Ci-dessus, les objets de ces conteneurs qui doivent être catégorisés en Tier 0.

sauvegarde Active Directory

Sauvegarde, authentification et administration

Des ressources du Tier 0 doivent être sauvegardées. Par défaut, cela implique de catégoriser l’infrasrtructure de sauvegarde en Tier 0. Mais cela alourdirait la charge d’administration de ce Tier et augmenterait la surface d’attaque. Aussi, on peut privilégier une catégorisation des infrastructures de sauvegarde en Tier 1, en les décorrélant du niveau de privilèges du Tier 0. Cela implique qu’elles ne pourront pas se connecter à des ressources du Tier 0.

récap chemins d'attaque Active Directory

Le schéma ci-dessus récapitule les chemins d’attaque du Tier 0.

administration Active Directory

Ci-dessus, d’une part, les méthodes d’administration du Tier 1 depuis le Tier 0. Et de l’autre, les risques de dissémination de secrets réutilisables qu’elles présentent.

L’ANSSI invite à proscrire ce type de connexion lorsqu’elle présente un tel risque. On peut la tolérer dans le cas contraire, à condition, notamment, de :

– Mettre en œuvre un silo d’authentification du Tier 0 ou des stratégies d’authentification équivalentes
– Configurer les paramètres de sécurité Windows permettant de restreindre les ouvertures de session des comptes de Tier 0 sur les ressources de Tier 1 et de Tier 2
– Imposer techniquement l’utilisation de l’option restricted admin pour les connexions RDP vers des ressources de moindre confiance depuis des postes d’administration du Tier 0

postes d'administration Active Directory

La haute sensibilité du Tier 0 justifie de dédier des postes à son administration… sans que ces postes aient d’interactions possibles avec des ressources de zones de moindre confiance (schéma ci-dessus). Il n’est pas toujours facile d’y satisfaire. Notamment en cas de phase transitoire, lorsque la démarche de cloisonnement du SI en Tiers vient de débuter. On peut alors envisager de mutualiser les postes d’administration du Tier 0, par le biais d’architectures alternatives que l’ANSSI détaille dans son guide.

Illustration principale © Frenchiebuddha – Adobe Stock