Sécuriser Active Directory en environnements hybride : aussi essentiel que complexe
Selon Microsoft, plus de 95 millions de comptes Active Directory font quotidiennement l’objet de cyberattaques. D'où l'importance de bien les sécuriser.
Active Directory est le principal annuaire d’authentification et de gestion des autorisations pour plus de 90% des entreprises au monde et quelques 500 millions de comptes d’utilisateurs actifs, il est donc fréquemment la cible de cyberattaques. Selon Microsoft, plus de 95 millions de comptes AD font quotidiennement l’objet de cyberattaques.Le répertoire d’authentification et de gestion des autorisations d’Office 365 n’est autre qu’Azure AD (AAD). Utilisé par toutes les applications Office 365 pour l’authentification des utilisateurs, Azure AD fait office de système nerveux central sans lequel Office 365 ne peut pas fonctionner. Mais chaque instance d’Office 365 requiert un annuaire AAD distinct, ajoutant un autre environnement informatique à gérer et sécuriser. Pour résoudre ce problème, plus de 75 % des entreprises de plus de 500 salariés utilisant Office 365 synchronisent leurs installations AD locales vers Azure AD afin de permettre une authentification unique, créant ainsi un environnement AD hybride.
Que l’environnement informatique d’une entreprise soit local ou hybride, sans Active Directory, cette dernière perd plusieurs ressources critiques : Exchange, la collaboration, les communications en temps réel, SharePoint, les bases de données SQL Server, les serveurs web et plus encore.
De la même façon, en raison du caractère pervasif d’Active Directory, un accès considéré comme non autorisé à AD est comparable à la possession d’une carte-clé volée : une fois que les intrus se trouvent à l’intérieur du bâtiment, ils peuvent emprunter l’ascenseur, visiter les bureaux, ouvrir des armoires et fouiller les tiroirs.
Le renforcement de la sécurité externe ne garantit pas la sécurité d’AD, car les plus grosses menaces sont internes. Plus de la moitié des violations internes implique en effet une utilisation abusive des privilèges.
Alors que l’adoption de Microsoft Office 365 continue de se généraliser, la sécurisation d’AD devient de plus en plus complexe. Il y a chaque année plus de 10 milliards d’authentifications AAD. Parmi elles, 10 millions sont des tentatives de cyber-attaques.
Si les attaques incessantes venues de l’intérieur et de l’extérieur sur les comptes utilisateurs représentent une menace bien réelle sur les environnements AD locaux et hybrides, il n’existe cependant pas d’approche simple et directe de la sécurité d’Active Directory.
Les entreprises peuvent toutefois se protéger contre les menaces internes envers AD en appliquant les bonnes pratiques suivantes :
1. Réduire la surface d’attaque potentielleLe nettoyage est la première étape pour réduire les risques. Il est souhaitable
de commencer par l’environnement informatique lui-même : réduire le nombre de
forêts et de domaines, identifier et supprimer les groupes en doubles et
inutiles, et désinstaller tous les logiciels inutiles des contrôleurs de
domaine et des serveurs sensibles.
Il faut ensuite rationaliser le nombre de moyens permettant l’utilisation éventuellement abusive ou l’exploitation de nos environnements : limiter les autorisations de tous les utilisateurs, en particulier ceux qui disposent de privilèges élevés, dans le strict respect du principe de « privilège minimal », veiller à définir les dates d’expiration des comptes créés pour le personnel temporaire, tel que les sous-traitants, le personnel intérimaire et les visiteurs, réduire la délégation entre unités organisationnelles et empêcher les contrôleurs de domaine d’accéder à internet.
2. Renforcer le contrôle des accès aux systèmes et aux informations d’identification sensibles
Afin de réduire encore les risques de falsification des données de valeur, il est nécessaire d’imposer une authentification multi facteurs sur les systèmes sensibles et de s’assurer que les administrateurs utilisent des postes hautement sécurisés lorsqu’ils se connectent à l’aide de comptes à privilèges, et qu’ils se connectent uniquement depuis des stations de travail sécurisées de manière renforcée.
La gestion des comptes à privilèges doit être effectuée à l’aide d’une solution de coffre-fort protégée par un mot de passe fort. Et plutôt que d’accorder à tout le monde un accès administrateur permanent aux serveurs sensibles, il est préférable de définir référer une appartenance temporaire au groupe avec une heure et une date de fin automatiques.
3. Surveiller de près l’appartenance aux groupes à privilèges
Une fois que la remise en ordre est effectuée, il est temps de surveiller les actions des utilisateurs. L’escalade des privilèges doit être placée en tête des priorités et de surveiller en temps réel non seulement les modifications directes d’appartenance aux groupes à privilèges (qui peuvent être suivies dans les journaux de sécurité natifs), mais également les ajouts de membres par imbrication (que les serveurs Windows ne consignent pas). Les groupes à privilèges suivants doivent être surveilles : Administrators, Print Operators, Network Configuration Operators, DHCP Admins, Backup Operators, Incoming Forest Trust Builders, Account Operators, Cert Publishers, Group Policy Creator Owners, Domain Admins, Domain Controllers, Enterprise Admins, Server Operators, RAS and IAS Servers, Schema Admins. La meilleure des solutions consiste à mettre en œuvre une solution permettant d’empêcher quiconque de modifier vos groupes de sécurité les plus critiques.
4. Configurer des alertes sur les activités suspectes
En plus de l’escalade des privilèges, il faut également être attentif aux autres signes d’attaque active dans votre environnement. L’alerte doit être donnée sur les signes d’accès anormaux ou illicites suivants :
- Connexions
suspectes à des serveurs sensibles en dehors des heures de bureau,
- Changements de mot de passe par des tiers sur des comptes VIP et sensibles,
- Connexions réussies après plusieurs tentatives infructueuses,
- Attribution
directe de droits d’administrateur à un utilisateur,
- Nombre excessif
de requêtes LDAP ou requêtes L,DAP anormales pouvant être un signe de
reconnaissance recherche et de collecte d’informations
- Modification des paramètres GPO dans AD (le fait qu’il ne soit pas possible de suivre les valeurs « avant » et « après » de ces paramètres dans des journaux natifs constitue une menace de type « porte dérobée » pour AD),
- Modification des
paramètres du registre HKLMSYSTEMCurrentControlSetControlLsa (cette
tactique de type « porte dérobée » réduit la valeur utilisée par le protocole
d’authentification NTLM).
5. Vérifier continuellement le contrôle des accès, les menaces et les vulnérabilités sur les systèmes AD et Windows
La sécurité n’est pas un élément que l’on met en place pour ensuite l’oublier, il s’agit d’un processus continu. Les autorisations AD évoluent au fil du temps et doivent à ce titre être analysées et comprises. Il faut notamment vérifier régulièrement qui est membre de groupes à privilèges dans AD et sur les systèmes sensibles locaux.
Il est également nécessaire de vérifier les comptes AD utilisés pour exécuter un service, ainsi que les autorisations des bases de données SQL Server et NTFS sur les serveurs de fichiers AD et SQL. De même, signaler régulièrement les comptes inactifs et désactivés, et les nettoyer avant qu’ils puissent être exploités est une bonne pratique.
Dernier point, mais non des moindres, il est essentiel de recenser fréquemment les systèmes qui n’ont pas appliqué les derniers correctifs de sécurité critique Microsoft et remédier au plus vite à cette vulnérabilité.
6. Automatiser, mettre en application et corriger les politiques de sécurité
En matière de sécurité, l’automatisation est un allié de valeur. Compléter les outils natifs par des solutions qui peuvent automatiquement détecter et prévenir les intrusions non autorisées dans des groupes et des comptes VIP, et qui peuvent empêcher le contournement des contrôles par l’application d’un accès aux ressources sensibles basé sur les règles.
Automatiser la correction de ces problèmes en mettant notamment en œuvre des politiques de correction automatique qui corrigent systématiquement les délais de mise en conformité est une bonne pratique. De même qu’il est important d’établir des règles qui automatisent l’annulation des modifications non autorisées faites sur des comptes utilisateurs ou des groupes sensibles.
Il faut empêcher la création non autorisée de comptes en définissant une liste blanche de comptes autorisés à accomplir cette tâche qui pourra être créée à partir d’informations d’identification. Si une personne qui ne figure pas sur la liste approuvée crée un compte d’utilisateur, cet événement doit déclencher une alerte, voire désactiver le compte du créateur, le compte créé ou les deux.
Les modifications non autorisées des groupes d’entreprise sensibles et des paramètres GPO doivent être empêchées par l’utilisation d’une liste blanche d’utilisateurs autorisés. Lorsqu’une liste blanche est en place, même si des initiés obtiennent des droits d’administrateur à partir d’informations d’identification falsifiées, leurs modifications d’appartenances à des groupes à privilèges, tels que Domain Admins et Enterprise Admins, seront refusées. La liste blanche s’applique également aux modifications de paramètres GPO sensibles, telles que la désactivation ou le refus de la connexion à des serveurs importants et la baisse des sécurisations de l’authentification NTLM.
7. Centraliser les informations relatives aux incidents de sécurité depuis plusieurs sources de données
Les entreprises doivent améliorer leur capacité à détecter rapidement les attaques et à conduire des analyses détaillées. Cela peut se faire en recueillant non seulement les journaux natifs, mais aussi les autres informations d’audit critiques qui ne sont pas journalisées, et en les regroupant en vue de disposer d’informations contextuelles sur les utilisateurs, les ressources, le temps écoulé et les informations relatives aux droits nécessaires. Et ceci afin d’enquêter sur toutes les étapes d’un événement, de la connexion à la déconnexion. Dans l’absolu, il est important de bénéficier d’une vue à 360 degrés de toutes les activités connexes entre les utilisateurs et les ressources.
8. Planifier, tester et mettre en œuvre un plan de continuité d’activité pour AD
Il est essentiel de sauvegarder fréquemment les contrôleurs de domaine, bases de données et autres systèmes, et conserver les sauvegardes en lieu sûr.
Tester régulièrement votre plan de continuité d’activité, notamment toutes les étapes du plan de reprise après sinistre est également important. Il faut veiller à intégrer la restauration dans le processus de réponse à un incident de sécurité, et confirmer que le processus de reprise d’activité répond aux objectifs de délai de restauration après un sinistre ou une violation.
9. Automatiser le nettoyage des objets AD
Il faut établir des règles qui détectent automatiquement les objets dans AD qui sont non conformes aux politiques de sécurité et les nettoyer. Par exemple, détecter automatiquement les comptes d’utilisateurs et d’ordinateurs qui ne se sont pas connectés au cours des 90 derniers jours, les désactiver et les déplacer dans un conteneur désactivé, puis les supprimer après trois jours si personne ne les a réclamés.
Il faut enfin établir la mise en œuvre d’un processus automatisé pour le déprovisioning des utilisateurs incluant la désactivation/suppression des comptes, le retrait des comptes de tous les groupes et listes de diffusion, la suppression de l’accès VPN à distance et la notification automatique aux départements des ressources humaines, de la sécurité et de la gestion des bureaux.
Ces bonnes pratiques relatives à Active Directory permettent d’améliorer la sécurité et de réduire les menaces internes. Le fait est que les utilisateurs doivent accéder aux ressources pour accomplir leurs tâches, et ils ont parfois besoin d’autorisations d’accès à privilèges.
La clé de la sécurité d’AD consiste à trouver un équilibre entre le besoin de rationaliser l’accès des utilisateurs pour maximiser la productivité et la nécessité de protéger les données et les systèmes sensibles de toute utilisation abusive, accidentelle ou délibérée des privilèges.