Le document traite de la sécurité et de la défense de l'Active Directory, soulignant les vulnérabilités majeures liées à la compromission qui peuvent affecter l'ensemble des systèmes d'entreprise. Il propose des recommandations pour durcir l'environnement, telles que l'adoption d'un modèle de 'tier 0', la mise en place de postes d'administration sécurisés, et le respect de pratiques de gestion des mots de passe. Les tests d'intrusion révèlent que 75% des compromis résultent d'un défaut de mise à jour ou de configuration, ce qui souligne la nécessité d'une vigilance constante.

1. Active Directory
Hack-it & Harden-it

2. Active Directory
Hack-it & Harden-it
@Wavestone
Pentester / Red Teamer
Cert-W
Intérêts
Active Directory / Windows
Judo
Rémi ESCOURROU
@remiescourrou

3. © WAVESTONE 3
Utilisateurs
Applications
&
Données
Postes
&
Serveurs
L’Active Directory, une infrastructure centrale et
incontournable
Sa compromission permet de prendre le contrôle de l’ensemble
des systèmes et des données de l’entreprise

4. © WAVESTONE 4
De nos tests d’intrusions internes se sont
soldés par la compromission totale de
l’Active Directory
96%
Les résultats de 2019 ne s’annoncent guère meilleurs …

5. © WAVESTONE 5
75 % d’un
défaut de
mise à jour
Actuellement,
dans votre SI
MS08-067 #Conficker
MS14-068 #Kerberos
MS17-010 #EternalBlue
CVE-2019-0708 #BlueKeep
Réseau
interne
Premier
serveur
compromis

6. © WAVESTONE 6
75 % d’un
défaut de
mise à jour
Actuellement,
dans votre SI
80 % d’un
défaut de
configuration
Réseau
interne
Premier
serveur
compromis

7. © WAVESTONE 7
75 % d’un
défaut de
mise à jour
Actuellement,
dans votre SI
80 % d’un
défaut de
configuration
Réseau
interne
Premier
serveur
compromis
100 % de
l’identification
d’un mot de
passe

8. © WAVESTONE 8
Premier
serveur
compromis
Actuellement,
dans votre SI
1 cas sur 3
sans
rebond
Contrôleur
de domaine
(Active
Directory)

9. © WAVESTONE 9
Actuellement,
dans votre SI
1 cas sur 3
sans
rebond
2 cas sur 3
avec
rebond
Premier
serveur
compromis
Contrôleur
de domaine
(Active
Directory)
EDR &
Antivirus

10. © WAVESTONE 10
Premier
serveur
compromis
Contrôleur de domaine
(Active Directory)
Réseau
interne
Dans 80 % des audits réalisés,
la compromission est totale
en moins de 24h

11. © WAVESTONE 11
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP

12. © WAVESTONE 12
Tier 0
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
Contrôleur
de domaine
Admins du domaine,
Enterprise Admins, …
RETIRER “ADMINS DU DOMAINE” DU GROUPE
LOCAL “ADMINISTRATEURS” SUR LES MACHINES
1
2
DÉPLOYER UNE GPO “DENY ACCESS LOGON” SUR LES
MACHINES
NE PAS UTILISER LES GROUPES BUILT’IN (OPERATEUR DE
SERVEURS, COMPTES, BACK-UP, …)
3
METTRE EN PLACE UN SILO D’AUTHENTIFICATION4

13. © WAVESTONE 13
Tier 0
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
Contrôleur
de domaine
Admins du domaine,
Enterprise Admins, …
METTRE EN PLACE UN SILO D’AUTHENTIFICATION4
“L’administration en silo”
SSTIC 2017 - Aurélien Bordes
➢ Un ensemble de machines et d’utilisateurs
➢ Une stratégie d’authentification
La stratégie d’authentification doit autoriser l’authentification des
utilisateurs du silo uniquement depuis les machines du silo

14. © WAVESTONE 14
Tier 0
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
Contrôleur
de domaine
Admins du domaine,
Enterprise Admins, …
Poste dédié
UN POSTE STRICTEMENT DÉDIÉ AUX OPÉRATIONS
D’ADMINISTRATION AFIN DE DÉFINIR UN SILO
1
2
UN POSTE DURCI : PAS D’ACCÈS SUR INTERNET, UN
FIREWALL LOCAL, ETC.

15. © WAVESTONE 15
Tier 0
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
Contrôleur
de domaine
Admins du domaine,
Enterprise Admins, …
Poste dédié
WSUS
AV &
EDR
Back-up
…
Hyperviseur
ASSURER LA SÉCURITÉ DES SERVICES « EXÉCUTANT DU
CODE » SUR LES POSTES & DC
1
2 NE PAS OUBLIER LES COUCHES BASSES

16. © WAVESTONE 16
CONNAITRE SON SYSTÈME D’INFORMATION POUR MIEUX LE
PROTÉGER
1
… NE JAMAIS RÉDUIRE LE NIVEAU DE SÉCURITÉ GLOBAL
POUR UNE EXCEPTION
Antivirus : 6 812 machines
Configuration Management Database (CMDB) : 12 683 machines
Active Directory : 5 124 machines
WSUS : 7 561 machines
AAAAAA.csv: 26 561 machines
Est il possible de … sortir la machine du domaine ?
Est il possible de … isoler la machine dans une DMZ ?
Est il possible de … patcher virtuellement la machine ?
Est il possible de …
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP

17. © WAVESTONE 17
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
2
ASSURER UNE GESTION PROPRE DES SECRETS
D’AUTHENTIFICATION DES COMPTES
Local Admin Password Solution (LAPS)
Adm-E (gestion de l’historique)
Administrateur local #RID500
Fine-Grained Password Policies (FGPP)
Managed Service Accounts (MSA)
Comptes de service #Kerberos
Fine-Grained Password Policies (FGPP)
Protected Users
Comptes d’administration

18. © WAVESTONE 18
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
1
CONNAITRE SON SYSTÈME D’INFORMATION POUR MIEUX LE
PROTÉGER

19. © WAVESTONE 19
Adopter le tier 0
(ESEA)
Privilèges par défaut
Déployer un poste
d’administration
Dédié et durci
Détecter les basiques
Audit / Honeypots
2
« NEVER ATTEMPT TO WIN BY FORCE WHAT CAN BE WON BY
DECEPTION » NICOLAS MACHIAVEL
Respecter
une hygiène de base
CMDB
PWD / LAPS / FGPP
“Forging Trusts for Deception in Active Directory”
Brucon 2018 - @nikhil_mitt
Description d’un utilisateur
Répertoire réseau “domainnetlogon”
Mots de passe en clair
Définition d’un ServicePrincipalName sur un compte privilégié
Délégation non contrainte
La tentation “Kerberos”
« Windows 2003 » dans l’attribut OperatingSystem
Des cibles faciles

20. © WAVESTONE 20
Azure
Active Directory ?!
Tier 0
Contrôleur
de domaine
Azure AD
AD FS
AD
CONNECT
Utilisateurs
Architecture hybride classique

21. © WAVESTONE 21
Azure
Active Directory
Un peu d’architecture
Mes fonctionnalités préférées
Tier 0
Contrôleur
de domaine
Azure AD
AD FS
AD
CONNECT
Utilisateurs
Architecture hybride classique
1 PROTÉGER L’AD FS ET L’AD CONNECT COMME UN DC
2
ASSURER LE MÊME NIVEAU DE SÉCURITÉ POUR
L’ADMINISTRATEUR « AZURE AD » QU’ON-PREMISE (MFA,
CONDITIONNAL ACCESS,…)

22. © WAVESTONE 22
1 IDENTIFIER DES MOTS DE PASSE FUITÉS
2 BANNIR LES MOTS DE PASSE FAIBLES
Azure
Active Directory
Un peu d’architecture
Mes fonctionnalités préférées

23. © WAVESTONE 23
/ Adsecurity (@PyroTek3) : https://adsecurity.org/
/ SpectorOps Team / BloodHound
https://specterops.io/resources/research-and-development
/ Huy (@IdentitySec) : Audit & durcissement AD, Azure
/ AD Security Workshop : https://github.com/wavestone-
cdt/AD-security-workshop
/ Grouper2 (@mikeloss) : https://github.com/l0ss/Grouper2
/ PingCastle (@mysmartlogon) : https://www.pingcastle.com/
/ AD Attack Defense (@infosecn1nja) :
https://github.com/infosecn1nja/AD-Attack-Defense
/ Administration Silo (Aurelien Bordes) :
https://www.sstic.org/user/abordes
/ Honey AD (@nikhil_mitt) :
https://www.labofapenetrationtester.com/
/ Bloodhound Slack : https://bloodhoundgang.herokuapp.com/
/ CommandoVM : https://github.com/fireeye/commando-vm
Références
-
Aller plus loin

24. © WAVESTONE 24
Now it’s YOUR TURN!
Adopter le tier 0
Déployer un poste d’administration
Respecter une hygiène de base
Détecter les basiques
Profiter d’Azure AD

25. © WAVESTONE 25
Now it’s YOUR TURN!
Adopter le tier 0
Déployer un poste d’administration
Respecter une hygiène de base
Détecter les basiques
Profiter d’Azure AD
@remiescourrou