Tester la sécurité de son annuaire Active Directory V2 -> version du 30/01/2016

Salut à tous.

Mon livre sur la sécurité d’Active Directory est en ligne et disponible gratuitement en version 2.0. Vous pouvez le télécharger à cette adresse.
http://msreport.free.fr/articles/Securite-AD/TESTER_SECURITE_ACTIVE_DIRECTORY_V_2.0.pdf

Bonne lecture !

Plan du livre:

INTRODUCTION 5
1 CONCEVOIR UN ANNUAIRE SECURISE ET QUI REPOND AUX BESOINS DE L’ENTREPRISE 6
1.1 LES NOTIONS FONDAMENTALES 6
1.2 ANALYSER LE BESOIN DE VOTRE ENTREPRISE 7
1.3 CHOISIR UNE TOPOLOGIE ACTIVE DIRECTORY 8
1.3.1 Exception 1 : une société avec des entités indépendantes 8
1.3.2 Exception 2 : des applications qui modifient le schéma Active Directory 8
1.3.3 Exception 3 : les hébergeurs 8
1.3.4 Exception 4 : contraintes légales 8
1.3.5 Exception 5 : travailler avec les concurrents 9
1.3.6 Exceptions 6 : applications hébergées dans le CLOUD 10
1.4 UTILISER ACTIVE DIRECTORY COMME ANNUAIRE D’ENTREPRISE 11
1.4.1 Synchroniser  l’annuaire avec d’autres sources de données (bases RH…) 11
1.4.2 Synchroniser Azure Active Directory avec Active Directory 11
1.4.3 Héberger les données de l’entreprise dans l’annuaire Active Directory 13
1.4.4 Comment et qui doit administrer ces attributs ? 14
1.4.5 Protéger les attributs qui contiennent des données sensibles 16
1.4.6 Permettre à un utilisateur de visualiser la valeur d’un attribut protégé 18
1.5 RENFORCER LA SECURITE DU SERVICE DNS 19
1.5.1 Quel est le lien entre Active Directory et le DNS ? 19
1.5.2 La mise à jour DNS dynamique 20
1.5.3 Quelles sont les attaques possibles avec le service DNS 25
1.5.4 Sécuriser vos serveurs DNS 26
1.6 ELEVATION DE PRIVILEGE AVEC L’UTILISATION DU SID HISTORY 32
1.6.1 Faire une augmentation de privilège avec le SID History 32
1.6.2 Pour supprimer le SID History 39
2 LES BONNES PRATIQUES POUR DELEGUER L’ADMINISTRATION DE SON ANNUAIRE 40
2.1 LES PRINCIPES FONDAMENTAUX DE LA DELEGATION D’ADMINISTRATION 40
2.1.1 Les différents types d’administrateurs Active Directory 40
2.1.2 Les groupes avec des privilèges d’administration 40
2.1.3 Déléguer l’administration à un utilisateur standard 41
2.2 DELEGUER L’ADMINISTRATION AVEC LES UNITES D’ORGANISATION 49
2.3 CREER DES COMPTES NOMINATIFS ET DEDIES POUR L’ADMINISTRATION 49
2.4 DELEGUER UNIQUEMENT LES PERMISSIONS REQUISES 49
2.5 DESACTIVER LE COMPTE INVITE ET RENOMMER LE COMPTE ADMINISTRATOR 49
2.6 AUDITER LES PERMISSIONS SUR LES OBJETS ACTIVES DIRECTORY 50
2.7 AUDITER LES PERMISSIONS DE L’OBJET ADMINSDHOLDER 50
2.8 ACTIVER LA VEILLE ECRAN AVEC MOT DE PASSE 53
2.9 DESACTIVER LES COMPTES INACTIFS 54
2.10 LES OUTILS TIERS POUR SIMPLIFIER LA DELEGATION D’ADMINISTRATION 56
3 DEFINIR UNE POLITIQUE DE MOTS DE PASSE D’ENTREPRISE 59
3.1 ANALYSER LES BESOINS DE L’ENTREPRISE POUR LA POLITIQUE DE MOTS DE PASSE 59
3.2 REDUIRE LE NOMBRE DE LOGIN / MOTS DE PASSE DIFFERENTS 60
3.2.1 Limiter le nombre de login / mot de passe à retenir 60
3.2.2 Configurer vos applications pour s’authentifier avec Active Directory 60
3.2.3 Utiliser le coffre-fort Windows 61
3.2.4 Utiliser les protocoles de fédération d’identité 61
3.3 LES OUTILS DE GESTION DE MOTS DE PASSE MICROSOFT 62
3.3.1 Les stratégies de mots de passe de la Default Domain Policy 62
3.3.2 Les objets PSO (fine-grained password) 64
3.4 LES OUTILS TIERS DE GESTION DES MOTS DE PASSE 64
3.4.1 Réinitialiser son mot de passe sans contacter l’équipe informatique 65
3.4.2 Garantir l’identité de l’utilisateur 65
3.4.3 Configurer la complexité des mots de passe 65
3.5 TROUVER LE MOT DE PASSE D’UN UTILISATEUR VIA LE RESEAU 66
3.6 UTILISER DES OBJETS MSA ET GMSA POUR LES SERVICES ET LES TACHES PLANIFIEES 66
3.7 LISTER TOUS LES COMPTES QUI N’ONT PAS CHANGE DE MOTS DE PASSE DEPUIS PLUSIEURS ANNEES 69
3.8 REINITIALISER LE MOT DE PASSE DES UTILISATEURS AVEC DES CARTES A PUCES 70
3.9 RESTREINDRE L’UTILISATION DE L’OPTION « PASSWORD NEVER EXPIRES » 70
3.10 LE STOCKAGE DES MOTS DE PASSE AVEC ACTIVE DIRECTORY 71
3.10.1 Qu’est-ce qu’une empreinte (ou HASH) ? 71
3.10.2 Le LMHASH (Lan Manager Hash) 71
3.10.3 Le NTHASH (NT Lan Manager Hash) 72
3.11 RECUPERER LE MOT DE PASSE D’UN UTILISATEUR AVEC LE LMHASH 74
3.11.1 La procédure 74
3.11.2 Comment désactiver le LMHASH 77
3.12 RECUPERER LE MOT DE PASSE D’UN UTILISATEUR AVEC LE NTHASH 79
3.12.1 La procédure 79
3.12.2 Comment protéger les mots de passe 82
3.13 PROTEGER LES MOTS DE PASSE STOCKES SUR LES MACHINES WINDOWS 83
3.13.1 Les services et les tâches planifiées 83
3.13.2 Le cache des sessions Windows 84
3.14 GERER LA BASE SAM LOCALE DE VOS MACHINES AVEC MICROSOFT LAPS 86
3.15 DEFINIR UNE STRATEGIE DE MOTS DE PASSE CIBLE 89
4 RENFORCER LA SECURITE DES PROTOCOLES D’AUTHENTIFICATION 90
4.1 LE PROTOCOLE LDAP 90
4.1.1 LDAP Simple Bind 90
4.1.2 LDAP SASL BIND 90
4.2 PRESENTATION DU PROTOCOLE NTLM V2 91
4.3 PRESENTATION DU PROTOCOLE KERBEROS V5 92
4.4 LA DELEGATION D’AUTHENTIFICATION KERBEROS 96
4.5 LES BONNE PRATIQUES POUR RENFORCER LA SECURITE DE L’ANNUAIRE ACTIVE DIRECTORY 98
4.5.1 Bloquer les connexions LDAP Simple Bind sans SSL / TLS 98
4.5.2 Activer la signature du trafic LDAP 98
4.5.3 Désactiver les protocoles d’authentification NTLM 101
4.5.4 Configurer algorithme de chiffrement Kerberos 104
4.5.5 Configurer la synchronisation horaire 106
4.5.6 Interdire la délégation Kerberos pour les comptes d’administration 107
4.6 ELEVATION DE PRIVILEGE AVEC LA TECHNIQUE NTLM PASS THE HASH 108
4.6.1 Comprendre une attaque NTLM Pass The Hash 108
4.6.2 La procédure pour une attaque NTLM Pass The Hash 109
4.6.3 Se protéger contre les attaques NTLM Pass The Hash 109
4.7 SE PROTEGER CONTRE LES ATTAQUES KERBEROS PAR THE TICKET AVEC UN OUTIL COMME MIMIKATZ 109
5 LE GESTION DES ACCES AVEC ACTIVE DIRECTORY 110
5.1 LES SID 110
5.2 LES PERMISSIONS 111
5.3 LES PRIVILEGES 113
5.4 LES PROCESSUS 115
5.5 LES SERVICES 115
5.6 LES JETONS D’ACCES (ACCESS TOKEN) 119
5.7 ELEVATION DE PRIVILEGE AVEC LE VOL D’UN JETON D’ACCES 121
5.7.1 Présentation de l’outil INGOGNITO 121
5.7.2 Procédure d’utilisation de l’outil INCOGNITO 122
5.7.3 Comment bloquer l’outil INCOGNITO ? 122
6 INDUSTRIALISER ET SECURISER LE DEPLOIEMENT DES CONTROLEURS DE DOMAINE 123
6.1 DEPLOYER UNIQUEMENT UNE VERSION SUPPORTEE DE WINDOWS SERVER 123
6.2 HEBERGER LES CONTROLEURS DE DOMAINE DANS UN EMPLACEMENT SECURISE 124
6.2.1 Quels sont les risques si un attaquant a un accès physique à un contrôleur de domaine ? 124
6.2.2 Comment empêcher un attaquant d’accéder au fichier NTDS.DIT ? 127
6.3 DEPLOYER LES CORRECTIFS DE SECURITES SUR LES CONTROLEURS DE DOMAINE 128
6.3.1 Pourquoi est-il nécessaire de déployer les correctifs de sécurité ? 128
6.3.2 Installation des correctifs de sécurité sur  les contrôleurs de domaine 131
6.4 REDUIRE LA SURFACE D’ATTAQUE DES CONTROLEURS DE DOMAINE 131
6.5 NE JAMAIS ARRETER LE SERVICE WINDOWS FIREWALL 132
6.6 CONFIGURER L’UAC 134
6.7 DESACTIVER LA MISE EN CACHE HORS CONNEXION DES SESSIONS 137
6.8 RENFORCER LA SECURITE DU BUREAU A DISTANCE 138
6.8.1 Utiliser des stations de travail d’administration 138
6.8.2 Configurer le service Bureau à distance 139
6.8.3 Autoriser uniquement les outils d’administration 140
6.8.4 Configurer le client Bureau à distance 141
6.8.5 Utiliser la fonctionnalité « restrictedAdmin » 141
6.9 RESTREINDRE L’ACCES A INTERNET DEPUIS LES CONTROLEURS DE DOMAINE 143
6.10 CONFIGURER LE MOT DE PASSE DSRM 144
6.11 DEPLOYER UNE CONFIGURATION STANDARD SUR TOUS LES CONTROLEURS DE DOMAINE 144
6.11.1 Configurer IPV6 144
6.11.2 Déployer un antivirus à jour et configurer les exclusions 145
6.11.3 Utiliser l’assistant de configuration de la sécurité 146
6.11.4 Tester votre image dans un environnement de qualification 149
6.11.5 Quelques retours d’expériences sur le déploiement de Windows 2012 R2 150
7 METTRE EN PLACE UNE POLITIQUE DE PREVENTION DES RISQUES 152
7.1 AUDITER LES CHANGEMENTS (NOUVEAUX OBJETS) ET TRACER LES ACCES AU NIVEAU DE L’ANNUAIRE ACTIVE DIRECTORY AVEC L’AUDIT WINDOWS 152
7.2 ANALYSER LE JOURNAL SECURITY 155
7.3 AUDITER LA SECURITE DE VOTRE ANNUAIRE 170
7.4 SUPERVISER VOTRE ANNUAIRE ACTIVE DIRECTORY 171
7.4.1 Présentation de l’outil DCDIAG 172
7.4.2 Déploiement de la solution 172
7.5 DISPOSER D’UN PLAN DE REPRISE INFORMATIQUE (PRI) ACTIVE DIRECTORY 173
7.6 PROTEGER VOS SAUVEGARDES ACTIVE DIRECTORY ET LES FICHIERS IFM (INSTALL FROM MEDIA) 173
8 ANNEXES 175
8.1 PROCEDURE DE DEPLOIEMENT D’UNE AUTORITE DE CERTIFICATION MICROSOFT 175
8.2 PROCEDURE D’ACTIVATION DE BITLOCKER SUR UN CONTROLEUR DE DOMAINE 178
8.2.1 Présentation de la solution pour chiffrer les disques durs des contrôleurs de domaine 178
8.2.2 Mise en œuvre de BitLocker sur des contrôleurs de domaine Windows 2012 R2 179
8.3 BIBLIOGRAPHIE : 186
8.3.1 Livre recommandé 186
8.3.2 Microsoft Active Directory Technical Specification 186
8.3.3 Pour comprendre les protocole NTLM et Kerberos avec Active Directory 186
8.3.4 Les Recommandations sur la sécurité Active Directory de l’ANSII 186
8.3.5 Recommandation Microsoft sur la sécurité de l’annuaire Active Directory 186
8.3.6 Recommandation sur la configuration du service Terminal Server 186
8.3.7 Autres liens 186

A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.

À propos de Guillaume Mathieu

Consultant - Formateur chez PROSERVIA (Pôle Conseil Expertise)
Ce contenu a été publié dans Windows Server 2008. Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*


2 × = deux

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>