L’annuaire Active Directory, centre névralgique de la sécurité des systèmes d’information Microsoft, est un élément critique permettant la gestion centralisée de comptes, de ressources et de permissions. L’obtention de privilèges élevés sur cet annuaire entraîne une prise de contrôle instantanée et complète de toutes les ressources ainsi administrées.

L’analyse des modes opératoires des attaques récentes met en évidence une recrudescence du ciblage des annuaires Active Directory, compte tenu de leur rôle de pierre angulaire de la plupart des systèmes d’information. En effet, l’attaquant ayant obtenu des droits élevés sur l’annuaire peut alors déployer une charge malveillante sur l’ensemble du système d’information, notamment par GPO ou en utilisant des connexions directes (psexec, wmiexec). Par conséquent, le faible niveau de sécurité des annuaires met en danger les systèmes d’information dans leur globalité et fait porter un risque systémique aux organisations.

Les observations de l’ANSSI font apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory. Le niveau de sécurité décroît ainsi de manière importante en fonction du temps et au rythme de la manipulation de ses objets ou des actions d’administration.

En réponse à ce risque croissant, l’ANSSI a développé et met à disposition un recueil de points de contrôle, afin d’accompagner les chaines DSI et SSI dans le suivi du niveau de sécurité des annuaires Active Directory. Ce recueil a vocation à être enrichi régulièrement en fonction des travaux de recherche, des pratiques constatées en audit, et de l’analyse des modes opératoires adverses.

Chaque point de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir le niveau de sécurité et qui pourrait le cas échéant être utilisée dans le cadre d’une attaque. En fonction des faiblesses trouvées, l’annuaire Active Directory se voit affecté un niveau :

  • 1 L’annuaire Active Directory présente des problèmes critiques de configuration qui mettent en danger immédiat l’ensemble des ressources hébergées. Des actions correctrices sont à prendre dans les plus brefs délais ;
  • 2 L’annuaire Active Directory présente des lacunes de configuration et de gestion suffisantes pour mettre en danger l’ensemble des ressources hébergées. Des actions correctrices sont à prendre à court terme ;
  • 3 L’annuaire Active Directory possède un niveau de sécurité basique non affaibli depuis son installation ;
  • 4 L’annuaire Active Directory dispose d’un bon niveau de sécurité ;
  • 5 L’annuaire Active Directory dispose d’un niveau de sécurité à l’état de l’art.

Pour obtenir un niveau, un annuaire Active Directory doit passer avec succès tous les points de contrôles des niveaux inférieurs. Un annuaire de niveau 5 a passé avec succès tous les points de contrôle.

Chaque point de contrôle détaillé présente les caractéristiques suivantes:

  • Titre du point de contrôle et niveau associé ;
  • Identifiant du point de contrôle ;
  • Description de la vulnérabilité ou de l’affaiblissement de sécurité induit que l’on cherche à caractériser par le point de contrôle ;
  • Recommandation à appliquer pour valider le point de contrôle et durcir la configuration de l’annuaire.

Lorsqu’elles sont applicables, les documentations officielles sont proposées pour approfondissement.

Développé par l’ANSSI, le service ADS (Active Directory Security) met à disposition des opérateurs règlementés et de la sphère publique une capacité d’audit des annuaires Active Directory visant à leur donner de la visibilité sur le niveau de sécurité de leur annuaire et à les accompagner dans son durcissement par l’application progressive de mesures adéquates, avec un suivi dans le temps. Le service ADS implémente l’ensemble des points de contrôle présentés dans ce recueil.

 

ACCÉDER AU RECUEIL