Sécurisation de l'Active Directory et d'Azure AD - Enjeux et trajectoires de transformation - Wavestone
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Sécurisation de l’Active Directory et d’Azure AD Enjeux et trajectoires de transformation Livre Blanc
Introduction
Depuis plus de 20 ans qu’il existe, le service Active Directory
est devenu un standard du marché, présent dans quasiment
tous les systèmes d’information des organisations. Deux
importantes tendances l’ont remis sur le devant de la scène
ces dernières années.
La première découle de la forte exposition de ce composant à
la menace cyber. S’agissant de la pierre angulaire du système
d’information en matière de droits et de comptes à privilèges,
l’Active Directory constitue une cible prioritaire pour les
attaquants, qui cherchent à obtenir un accès large au système
d’information en le compromettant. Ils peuvent ainsi l’utiliser
pour déployer des logiciels malveillants ou encore pour
accéder à des informations, avant de les faire fuiter. De vastes
projets de remédiation ont ainsi été lancés ces dernières
années, par de nombreuses organisations, pour y faire face.
La seconde découle de l’accroissement de l’usage de services
collaboratifs, brusquement accéléré par l’explosion du
recours au télétravail. Pour déverrouiller tous les nouveaux
usages du modern workplace, la gestion des utilisateurs a
étendu son champ d’action pour intégrer le périmètre dans le
cloud, grâce à Azure AD. Dans la majorité des cas, il ne s’agit
pas d’une bascule d’un tout on-premises vers un tout cloud,
mais plutôt d’une extension de l’existant au travers
d’architectures hybrides. Ce mouvement nécessite une prise
en compte des enjeux de sécurité, pour ne pas exposer
l’organisation.
Microsoft et Wavestone se sont associés pour analyser les
tendances observées sur le terrain, lister les réflexions à
mener et donner quelques clés et bonnes pratiques pour
conduire les changements structurants.
2
Sommaire
1
Quelle est la maturité rencontrée sur le terrain ? 4
Quelles architectures et quel bilan de la maturité 5
cybersécurité ?
Retour d’expérience sur des attaques rencontrées par le 11
CERT-W
2
Quelles trajectoires pour améliorer la situation ? 19
Enterprise Access Model 20
Sécuriser le Tier 0 et mettre en œuvre le plan de contrôle 25
Sécuriser sa souscription Azure AD 33
Migrer d’Active Directory vers Azure Active Directory 43
Améliorer sa posture de sécurité 52
3
Comment faire face à une cyberattaque ? 54
Connaitre les difficultés de la reconstruction d’Active Directory
55
pour mieux anticiper la crise
Ne pas se contenter d’une simple reconstruction de l’AD 59
Conclusion 60
Quelle est la maturité rencontrée sur le terrain ? Ce chapitre vise à présenter le niveau actuel de sécurité rencontré pour l’Active Directory et Azure AD. Nous reviendrons dans un premier temps sur les grands types d’architecture rencontrés et les enjeux de sécurité, puis nous partagerons les enseignements tirés des attaques rencontrées par le CERT Wavestone (CERT- W).
Quelles architectures et quel bilan
de la maturité cybersécurité ?
Trois grands types d’architecture L’Active Directory est organisé
peuvent être rencontrées : autour de domaines regroupés en
une ou plusieurs forêts. Il n’est
Architecture AD on-premises pas rare, pour des grandes
Architecture historique de moins organisations, d’avoir plus de 100
en moins rencontrée chez les domaines ou forêts.
clients (
Les mises à jour fonctionnelles qui définit le niveau global de
sont quant à elles peu mises en sécurité !
œuvre, généralement par De la même façon, la mise en
méconnaissance ou par crainte œuvre d’Azure AD a visé à
des impacts possibles suite à répondre à des besoins
l’extension du schéma. Les fonctionnels sans considération
organisations ne profitent donc de sécurité. Rares sont les
pas des nouvelles fonctionnalités, organisations à avoir défini un
permettant de limiter les risques processus de gestion des
de sécurité (par exemple la mise comptes à privilèges adapté aux
en œuvre du groupe protected particularités d’Azure AD. Autre
users, Authentication Silos et exemple, seuls 30%(*) des
Kerberos Armoring). De la même comptes administrateur général
façon, trop rares sont les (ou Global Administrator) ont
organisations à désactiver les l’authentification multi-facteur
protocoles obsolètes. (MFA) activée, alors que la
fonctionnalité est native et
Il n’est pas rare d’avoir des gratuite.
organisations avec des centaines (*) Microsoft août 2021
de comptes Administrateurs de
domaine ou d’entreprise alors
que les bonnes pratiques et Une prise de
l’application du principe de
moindre privilège signifieraient
conscience récente des
de les limiter à moins de 5. Cette enjeux de sécurité
situation s’explique par la
difficulté à assurer la conduite du Dans le contexte actuel
changement (retirer des droits d'explosion des attaques
peut être vu comme une exploitant des défauts de
rétrogradation ou une configuration de l’AD, il n’est plus
dépossession). Mais aussi la rare de voir le COMEX interroger
demande de comptes de services le DSI ou le RSSI sur le niveau de
avec des droits excessifs pour sécurité de l’AD et valider des
faciliter l’intégration d’une enveloppes de plusieurs
nouvelle application. centaines de milliers voire
millions d’euros pour mener des
Les évolutions de l’architecture, projets de refonte et de
en particulier la mise en œuvre sécurisation.
de relations de confiance, ont été
définies uniquement sous le
prisme fonctionnel sans évaluer
les risques de propagation d’une
attaque entre les domaines et les « 53% des grandes
forêts. Wavestone rencontre entreprises ont un projet de
régulièrement pendant des audits
un domaine abandonné avec une sécurisation de l’AD »
Baromètre CESIN 2021
relation de confiance
bidirectionnelle. Et c’est bien lui
6
Les projets de sécurisation de utilisant une authentification
l’AD sont lancés pour la vaste NTLM (NT Lan Manager),
majorité mais les audits menés Kerberos ou LDAP (Lightweight
par Wavestone, nous montrent Directory Access Protocol),
que : création des utilisateurs dans le
cloud, etc.). L’usage d’un service
d’AD managé pourrait être une
« Moins de 10% des clients option pour assurer la
rétrocompatibilité sans avoir à
ont correctement gérer le Tier 0.
implémenté les bonnes
pratiques de sécurité » L’usage du cloud peut être vu
Wavestone, audit AD 2020 comme une délégation à
Microsoft de la maitrise des
risques, mais elle n’est que
En effet, bien que les pratiques
partielle. Les clients restent
d’administration aient pu évoluer,
responsables de la configuration
il reste bien souvent des défauts
de la plateforme, des identités et
de configuration qui permettent
des données. Malheureusement la
de remonter au Tier 0 (concept
prise de conscience reste faible.
détaillé dans le chapitre 2). Des
Pour rappel, un nouvel
chemins de compromission et
abonnement à la solution Teams
d’élévation de privilèges peuvent
s'accompagne de la création
par exemple se cacher dans des
d'une souscription Azure AD.
droits d’accès (ACL) dangereuses
configurées sur les objets du Tier
32
0, ou subsister du fait de mauvais
usages des comptes à hauts
privilèges. Le modèle de sécurité /100
AD est détaillé au chapitre 2..
Secure score moyen
34,6 score le plus élevé
pour le secteur
Une architecture 100% technologie
Azure AD, la cible pour 24 score à la création
d’une souscription Office
tous ? 365 E3
Aucune grande organisation n’est
aujourd’hui en mesure de Il est important que les
remplacer totalement son AD on organisations prennent
-premises par un service 100% possession des outils proposés
porté par l’Azure AD. Peu pour piloter leur sécurité et qui
d’organisations sont en mesure n’existaient pas on-premises (ils
d’avoir un SI qui remplisse peuvent néanmoins nécessiter
l’ensemble des prérequis des niveaux de licence avancés).
technologiques pour faire cette Le Secure Score (détaillé dans un
transformation (postes de travail focus ci-après) - cible visé par les
gérés avec un MDM (Mobile organisations - devrait être au
Device Management) et Azure minimum entre 60 et 70.
AD, absence d’applications
7
FOCUS
Azure AD : un annuaire cloud
Azure Active Directory (Azure une migration vers Azure AD
AD), lancé en novembre 2011, est n’est pas pour autant un remède
une solution d’Identity as a miracle. Azure AD simplifie la
Service (IDaaS). mise en œuvre de
l’authentification forte sans mot
Azure AD, fournit aux de passe ou bien le contrôle
organisations les fonctionnalités d’accès conditionnel basé sur les
pour gérer l'authentification des risques, cependant les comptes à
applications modernes (SAML et privilèges doivent toujours être
WS-Federation, OAuth2, OpenID fortement encadrés.
Connect et FIDO2).
Il est impératif de mener à bien
Il ne s’agit pas d’Active Directory un projet de sécurisation pour
dans le Cloud mais bien d’une maitriser cette nouvelle brique et
nouvelle solution. profiter de la transformation pour
passer à des pratiques
Azure AD a été conçue sur une d’administration à l’état de l’art.
architecture cloud, basée sur des
micro-services, répartie sur En particulier, il est recommandé
plusieurs zones géographiques. :
/ D’auditer la configuration
Un tenant Azure AD est d’Azure AD, de valider
automatiquement créé lorsqu'une régulièrement les membres des
organisation souscrit à un service rôles privilégiés ainsi que les
cloud de Microsoft, tel qu'Azure applications autorisées à interagir
ou bien Office 365. avec Azure AD ;
/ De développer des scénarios
de détection spécifiques pour
Graph API limiter le temps pendant lequel
les intrus demeurent invisibles
Pour interroger et mettre à jour dans le SI.
les objets de l'annuaire, Azure AD
propose une Application
Programming Interface (API) qui
se nomme Graph API.
Graph API est une passerelle
unifiant de nombreuses autres API
345 Millions
Azure AD gère plus de
REST telles que celles d’Exchange
345 millions
Online, OneDrive, Endpoint
d'utilisateurs actifs
Manager ou bien Security Graph.
chaque mois, avec une
moyenne de 30 milliards
Un remède miracle? de demandes
d'authentification par
jour.
Bien que la majorité des attaques
courantes cible aujourd’hui l’AD,
8
FOCUS
NTLM, toujours le talon d'Achille
de la sécurité ?
NTLM (NT LAN Manager) est une attaque par « réflexion » : un
utilisé par les applications pour attaquant peut détourner
authentifier les utilisateurs et, l’échange d'authentification d'un
éventuellement, pour fournir une utilisateur vers un serveur
sécurité de session lorsque légitime et l'utiliser pour
l'application le demande. s’authentifier sur un autre
Les protocoles NTLM sont des ordinateur, voire sur l’ordinateur
protocoles d'authentification de l'utilisateur.
obsolètes qui utilisent une
méthode de défi et réponse pour
que les clients puissent prouver Le protocole NTLM n’est pas
mathématiquement qu'ils supporté dans Azure Active
possèdent le condensat de mot Directory.
de passe, le hash NT. Les versions
actuelles et passées de Windows
La suppression complète de
prennent en charge plusieurs
NTLM dans un environnement
versions de ce protocole, dont
améliore indéniablement la
NTLMv2, NTLM ainsi que le
sécurité en éliminant les attaques
protocole LM.
de type PtH (Pass-The-Hash).
Cependant, cela ne permet pas
NTLM
d’éliminer d’autres classes
NTLMv2 NTLMv1 LM d’attaques, comme le vol de mots
de passe en clair ou bien le vol de
Depuis Windows 2000, le tickets Kerberos, Ticket Granting
protocole Kerberos est le Ticket (TGT).
protocole d'authentification par
défaut. Cependant, si le protocole Les organisations sont
Kerberos n'est pas négocié pour encouragées à mettre en œuvre
une raison quelconque, alors les Kerberos ou à utiliser des
applications reliées à Active protocoles d’authentification
Directory tenteront d’utiliser un modernes (OpenID Connect,
des protocoles NTLM, si SAML, etc.) pour leurs
disponible. applications existantes, car
Toutes les versions de NTLM sont Microsoft ne prévoit aucune
vulnérables à des attaques amélioration du protocole NTLM.
largement documentées. Pour
cette raison, le protocole NTLM
n’est pas supporté dans Azure Pourquoi NTLM est-il
Active Directory, peut être toujours utilisé ?
désactivé dans Azure AD DS ainsi
que dans Active Directory. NTLM est encore largement
Au-delà d’un support utilisé du fait d’applications
cryptographique faible, l'absence historiques qui n’ont pas évolué,
d'authentification du serveur mais aussi en raison de
peut permettre à un attaquant mauvaises configurations
d’usurper l’identité d’un serveur. d’applications qui supportent
Ainsi, les applications utilisant pourtant Kerberos.
NTLM peuvent être vulnérables à
9
FOCUS
En finir avec NTLM – 4 étapes
Préparer les applications
Identifier tous les cas
à utiliser le package
d’utilisation de NTLM
Negociate
1 2
Recenser les appareils et les Résoudre les problèmes de
applications liés à NTLM, les compatibilité (dont le
classifier et déterminer ce qui remplacement de matériels et de
devra potentiellement être traité logiciels), configurer les
dans une stratégie d’exception. applications pour utiliser le
package de sécurité Negociate
pour laisser l’OS utiliser le meilleur
protocole d’authentification
disponible et mettre en œuvre les
prérequis (Kerberos ou autres)
Isoler les applications ne Activer le blocage global
pouvant évoluer et durcir de NTLM avec une
la configuration de NTLM stratégie d’exception
4 3
Isoler les appareils et les Bloquer l’utilisation de NTLM sauf
applications avec une logique de pour les applications et matériels
segmentation réseau. Durcir la qui ne peuvent pas évoluer et qui
configuration de NTLM et devront être traités dans une
superviser les authentifications en stratégie d’exception (étape 4).
continue.
Il est déconseillé de bloquer sans discernement l’utilisation de NTLM, sans
avoir au préalable cartographié les applications existantes et conduit une
analyse d’impact.
10Retour d’expérience sur des
attaques rencontrées par le CERT-W
des modes opératoires des
L’AD, au cœur de la attaques récentes met en
menace rançongiciel et évidence une recrudescence du
ciblage des annuaires Active
du mode opératoire Directory. Ce constat s’explique
des attaquants par le rôle central joué par l’AD
au sein des SI d’entreprise.
L’obtention de privilèges AD
Au cœur de la sécurité des
élevés permet bien souvent à un
systèmes d’information, l’AD est
attaquant de prendre le contrôle
aujourd’hui la cible privilégiée
de l’ensemble de l’écosystème
des attaquants lors d’attaques
Windows, voire de rebondir sur
informatiques d’envergure.
d’autres environnements au
Le benchmark 2020 du CERT travers des postes de travail de
Wavestone est sans équivoque. développeurs et
d’administrateurs. Suite à cette
compromission, des données
« L’AD a été compromis sensibles peuvent être exfiltrées
dans 95% des crises cyber ou les activités et services
traitées par le CERT-W » métiers perturbés durablement,
au travers d’attaques par
rançongiciels notamment.
Ce constat est par ailleurs Les années 2019 et 2020 ont de
partagé par l’Agence Nationale fait été marquées par un
de la Sécurité des Systèmes accroissement sans précédent
d’Information (ANSSI): L'analyse des attaques par rançongiciel.
11La grande majorité des paiement de rançons est
interventions de crise du CERT- aujourd’hui doublement axée sur
W sur l’année 2020, tous la restauration des données
secteurs confondus, visait à chiffrées et la non-divulgation de
répondre à des déploiements de données exfiltrées. Cette
rançongiciels. combinaison de blocage du SI et
de la fuite de données s'est
développée progressivement du
192
fait des actions du groupe Maze
en Amérique du Nord.
Le nombre d’attaques par Les possibilités d’exécution de
rançongiciels affectant le code distribué offertes par l’AD,
territoire national portées comme les stratégies de groupe
à la connaissance de (GPO) ou les droits
l’ANSSI en 2020, en d’administration locaux sur les
hausse de 255% par machines jointes à l’AD, sont
rapport à 2019. exploitées par les attaquants
pour déployer les charges
entraînant le chiffrement des
systèmes. Parfois employées
Constat partagé par l’équipe de simultanément, les GPO et les
réponse à incidents Microsoft accès directs aux systèmes via
(Detection and Response Team des outils d’administration
ou DART). légitimes, permettent un
Fait relativement récent, une part chiffrement de l’ensemble du
importante des demandes de parc Windows en l’espace de
quelques heures.
Les sauvegardes sont-elles à l’abri des attaquants ?
S'il est encore rare que les infrastructures de sauvegarde soient ciblées
spécifiquement, elles peuvent faire partie des dommages collatéraux des
attaques. En l’absence d’une infrastructure de sauvegarde dédiée et non
intégrée à la forêt AD de production, le déploiement de la charge
chiffrante à l’échelle du parc entraîne un chiffrement des systèmes de
sauvegarde.
Uniquement pour une minorité des attaques investiguées par le CERT-W,
les groupes d’attaquants ont explicitement ciblé les sauvegardes, que ce
soit au niveau des socles systèmes des serveurs de sauvegarde ou au
travers des consoles d’administration implémentant une authentification
unique avec l’AD.
Cette tendance, permettant de maximiser les chances de paiement de la
rançon, devrait s’accentuer dans les mois et années à venir.
12Étude d’une attaque par rançongiciel, basée sur une
intervention du CERT-W en 2020
L’attaque présentée est inspirée moins une des phases de la
d’une intervention du CERT-W chaîne d’attaque aurait en
faisant suite au déploiement d’un général pu être évitée au travers
rançongiciel sur un parc de d’un meilleur respect des bonnes
plusieurs dizaines de milliers de pratiques de base en matière de
machines. Présentant les cyber-hygiène et de sécurité
vulnérabilités et défauts de informatique.
configuration communément
exploités, l’analyse met en
lumière les Tactics, Techniques
and Procedures (TTP) d’un
opérateur de rançongiciel. Toutes
les informations permettant
d’identifier les parties ont été
anonymisées.
Les élévations de privilèges au
sein des environnements Active
Directory, suite à la
compromission initiale d’une
première ressource, font ainsi
partie intégrante des modes
opératoires des groupes
d’attaquants. Une absence de
techniques d’attaques avancées Au-delà des attaques non ciblées
est constatée dans la majorité et opportunistes, des groupes
des attaques par rançongiciels, et d’attaquants par rançongiciels
notamment dans le cadre font toutefois usage de moyens
d'attaques selon le modèle du et compétences plus avancés
Ransomware-as-a-Service. Dans dans la réalisation de leurs
ce modèle, des cybercriminels opérations. Cette tendance,
sont affiliés à un fournisseur de dénommée « Big Game
rançongiciel, afin de bénéficier de Hunting », permet aux groupes
l'agent chiffrant et des services cybercriminels de cibler des
liés (infrastructure de paiement organisations disposant d’un
et de contact, site de niveau de sécurité informatique
publications, etc.) en échange plus élevé.
d'une part des gains des
opérations. Les groupes
d’attaquants agissent ainsi
principalement sur opportunité et
avec des objectifs de retour sur
investissement à court terme. Au
13Schéma de principe de l’attaque
étudiée
14Accès initial
L’attaquant s’introduit sur le SI, représentent près de 1 cas sur 5
suite à la compromission initiale des compromissions initiales
d’un compte de domaine, via une investiguées par le CERT-W. On
infrastructure de bureaux virtuels peut notamment citer le cas des
exposée sur Internet. Une attaques par force brute sur les
réutilisation des identifiants services Remote Desktop
compromis est de fait possible en Protocol (RDP) exposés sur
l’absence d’authentification multi- Internet.
facteurs. Suite à cet accès, un
échappement du bureau restreint
(via un interpréteur de
L’exposition de service d’accès commandes exécuté au travers
sur Internet sans MFA expose le d’un logiciel autorisé) permet à
SI à des accès illégitimes par l’attaquant d’obtenir un accès au
système et d’entamer une phase
rejeux d’identifiants de reconnaissance active. Fait
courant, un délai a été constaté
entre le premier accès malveillant
Si le hameçonnage et et le début de la phase de
l’exploitation de vulnérabilités reconnaissance active. Ce délai
critiques se maintiennent comme peut s’expliquer par la revente de
les principaux vecteurs l’accès, obtenu par un groupe
d’infection, les rejeux d’attaquants spécialisés dans le
d’identifiants sur des services domaine, à l’opérateur de
d’accès distants exposés sans rançongiciel.
authentification multi-facteurs
15L’exploitation d'une vulnérabilité
critique sur un serveur Windows
2003 (en fin de support et ne L’absence de déploiement de
recevant plus de correctifs de la solution LAPS1 facilite les
sécurité) permet à l’attaquant de mouvements latéraux
prendre le contrôle du serveur à
distance et d’établir un camp de base
sur le serveur.
Latéralisation et élévation de privilèges
Des rebonds depuis le serveur
compromis à l'aide du compte Les serveurs obsolètes doivent
administrateur local, dont le mot
de passe est mutualisé avec les être isolés et ne pas dégrader le
comptes de multiples autres niveau de sécurité de l'ensemble
serveurs, permettent ensuite à du SI
l’attaquant d’élever ses privilèges.
Un premier compte de domaine
privilégié est ainsi compromis
puis des tentatives de
mouvements latéraux à large
échelle sur plusieurs milliers de
machines sont réalisés avec ce
compte jusqu'à la compromission
d'un compte administrateur de
domaine.
1. La solution logicielle Microsoft LAPS (Local Administrator Password Solution) fournit
une capacité de gestion automatisée des mots de passe des comptes locaux des
machines intégrées à l’AD et permet de garantir l’unicité du mot de passe d’un compte
local par machine.
16Bien qu'une solution antivirale
(par signatures) était déployée
sur les systèmes ciblés, des
utilitaires présents nativement
sur les systèmes Windows
permettent d'exfiltrer la mémoire
du processus LSASS (qui
contient les secrets
d’authentification des utilisateurs
connectés).
L’usage de comptes disposant
des privilèges d’administrateur
du domaine pour des tâches
courantes rend possible une
élévation de privilèges via des
mouvements latéraux successifs.
L’absence de mise en œuvre
d’une administration structurée
par niveau (modèle de Déploiement du
tiering) expose le domaine AD à rançongiciel
des élévations de privilèges
En dernière étape, la charge
malveillante est déployée à la fois
par stratégie de groupe et un
processus automatique, exécuté
Suite à la compromission du depuis un contrôleur de domaine,
domaine, une phase de post- pour permettre une rapide
exploitation est entamée par propagation au sein du SI de la
l’attaquant, dans le but victime.
d’identifier et exfiltrer les
données sensibles de l’entreprise. En sus du chiffrement des
Les privilèges d’administrateur du machines compromises, l’agent
domaine permettent ainsi un chiffrant efface les journaux de
accès très large aux ressources Windows hébergés sur les
enrôlées (partages de fichiers machines et les éventuelles
réseau, boîtes de messageries, copies conservées localement.
etc.).
17Une tendance émergente : les attaques par supply-
chain
Au-delà des vecteurs de aux attaquants dotés de
compromission plus communs, capacités techniques les plus
les attaques dites par supply- avancées, ces attaques ont aussi
chain représentent un vecteur bien été employées par les
d'infection en croissance. Bien opérateurs de rançongiciels, à
que documentées depuis des fins de gains financiers, que
plusieurs années déjà, les par les groupes étatiques, dans
attaques réalisées via des une optique d'espionnage.
fournisseurs et prestataires de
services se sont multipliées, en En 2020, l'attaque SolarWinds a
nombre et en ampleur ces deux marqué les esprits. Cette attaque
dernières années. Cette démontre l’ampleur que peuvent
croissance peut notamment prendre les attaques par supply-
s'expliquer par l'amélioration du chain, avec 18 000 des clients de
niveau de sécurité informatique SolarWinds impactés. Très
des infrastructures d’entreprise, sophistiquée dans son mode
obligeant ainsi les attaquants à opératoire d’intrusion (injection
compromettre des tiers pour d’une charge à la compilation,
atteindre leurs cibles finales. déploiement d’infrastructures
dédiées pour chaque cible finale,
etc.), cette attaque fait aussi état
de techniques de latéralisation
Les privilèges accordés sur classiques et repose, en partie,
l’annuaire AD aux solutions sur des vulnérabilités ordinaires.
tierces, souvent requis trop
élevés par les éditeurs par L’attaquant a créé très
rapidement des portes dérobées,
soucis de simplicité, peuvent se a ouvert discrètement des
révéler désastreux en cas canaux de communication, a
d’attaque par supply-chain. camouflé et caché ses traces
alors qu'il cherchait des moyens
d'obtenir des privilèges élevés.
Mais il a également utilisé des
Les attaques par supply-chain techniques connues telles que la
présentent de plus un retour sur réutilisation de mots de passe
investissement particulièrement compromis ou le déplacement
attractif pour les groupes latéral avec des comptes
d’attaquants : la compromission administrateurs identiques sur
d'une première entité mène l’ensemble de machines.
potentiellement à l’obtention d’un
point d’accès chez un grand
nombre de ses clients. Réservées
18Quelles trajectoires pour améliorer la situation ? Ce chapitre vise à expliquer le nouveau modèle de sécurité AD Enterprise Access Model puis à proposer des recommandations de sécurisation pour l’AD on-premises et Azure AD, ainsi qu’une trajectoire pour une modernisation vers Azure AD.
Enterprise Access Model
Microsoft a introduit en 2012, le l’entreprise, ici l’Active Directory.
modèle d’administration en tiers Les documents Mitigating Pass-
dont l’objectif est de partitionner the-Hash and Other Credential
les secrets d’authentification au Theft, version 1 and 2 détaillent
sein d’un environnement Active ce modèle d'administration
Directory. associé à un Environnement
d'administration à sécurité
Le principe d’implémentation est renforcée (Enhanced Security
de créer un cloisonnement entre Admin Environment - ESAE)
les administrateurs en fonction communément appelé « forêt
des ressources qu'ils gèrent. Cela d’administration » ou bien encore
aide à protéger les secrets « hardened forest ».
d’authentification et éviter qu'une
compromission d'un niveau de En décembre 2020, Microsoft à
moindre confiance ne se propage fait évoluer ce modèle
à un niveau de plus grande d’administration pour prendre en
confiance. compte les environnements cloud
et hybride. Ce nouveau modèle
d’accès entreprise (Enterprise
Access Model) est une évolution
Ce concept se fonde sur le du précédent modèle : le concept
modèle de Bell LaPadula, de modèle en tiers demeure, bien
introduit dans les années 1970. qu'il soit remanié avec une
terminologie qui évolue.
L’approche ESAE a été
Ce modèle définit trois niveaux
supprimée des recommandations
pour séparer l'administration des
générales, car complexe et
ressources en fonction de leur
coûteuse à implémenter. La mise
criticité. Ainsi, les administrateurs
en œuvre d’une forêt
qui contrôlent les postes de
d’administration peut néanmoins
travail des utilisateurs sont
rester pertinente dans certains
séparés de ceux qui gèrent les
cas, notamment pour les
serveurs et de ceux qui gèrent le
environnements déconnectés.
référentiel d’identités de
20Comprendre le modèle précédent, en tiers
Comprendre les principes du Le Tier 1 désigne les serveurs et
modèle de tiering est les applications qui sont
fondamental pour bien membres du domaine AD ainsi
appréhender les bonnes que les ressources qui gravitent
pratiques de sécurité dans un autour. Les comptes qui
environnement Microsoft. contrôlent ces ressources ont
potentiellement accès à des
Des moyens techniques sont données sensibles. Les
appliqués pour assurer l'isolation administrateurs de niveau 1
entre les tiers.
peuvent accéder aux ressources
du Tier 1 et ne peuvent gérer
Le Tier 0 est le niveau le plus
dans l’Active Directory que les
privilégié et comprend les
ressources du Tier 1.
comptes, les groupes, les
contrôleurs de domaine et les
ressources qui ont contrôle direct
ou indirect sur Active Directory.
On placera donc dans ce niveau
0, les serveurs liés à l’Active
Directory (contrôleurs de
domaine) mais également les
autres composants ayant une
interaction forte tels que les
serveurs de fédération, serveurs
de mises à jour WSUS, de
déploiement des applications, PKI
interne, ou bien encore Azure AD
Le Tier 2 concerne les appareils
Connect.
des utilisateurs (postes de travail,
imprimantes, etc.). Par exemple,
Les administrateurs du Tier 0
le support téléphonique (le
peuvent gérer et contrôler les
service d'assistance, fait partie de
ressources de tous les niveaux
ce niveau). Les administrateurs
(au sens AD), mais ne doivent
du Tier 2 ne peuvent se
interagir qu’avec les ressources
connecter qu’aux ressources du
du Tier 0. Pour ce faire, ils
Tier 2 et ne gérer que les actifs
doivent utiliser une station
du Tier 2 dans l’annuaire Active
d’administration à sécurité
Directory.
renforcée (appartenant à ce
niveau).
21Un nouveau modèle pour l’entreprise hybride
Le nouveau modèle d'accès MDM ou bien les solutions de
d'entreprise (Enterprise Access développement comme
Model) a été créé pour les GitHub/Azure DevOps.
organisations hybrides, qui ont
des applications on-premises La notion des couches de gestion
mais également multi-cloud est introduite à travers le
suivant les principes de sécurité management plane et le
du Zero Trust. data/workload plane qui sont là
pour gérer les applications et les
Dans ce nouveau modèle, le données, ce qui s’appelait
contrôle de la sécurité n’est plus auparavant le Tier 1. Enfin, il y a
opéré exclusivement à partir les utilisateurs et les autres
d’Active Directory, mais applications qui consomment les
également depuis Azure Active services (applications et
Directory. données) – il peut s'agir
d'utilisateurs internes, de
Les termes évoluent mais les partenaires, de clients, etc.
principes de séparation en
niveaux de privilèges (tiering) L’Enterprise Access Model ne
demeurent. mentionne pas explicitement les
Ainsi, on ne parle plus de Tier 0, postes de travail des utilisateurs
mais de plan de contrôle (Control qui étaient situés auparavant
Plane). La gestion du plan de dans le Tier 2. À la place, le plan
contrôle doit être étroitement de contrôle d’Azure AD est utilisé
encadrée et limitée à des pour déterminer quels types
appareils de très forte confiance. d’appareils peuvent se connecter
Le plan de contrôle évolue et à tel service ou application. C’est
s’élargit : au-delà des ressources ce qui se nomme le contrôle
de l’ancien Tier 0, on y ajoute d’accès conditionnel et constitue
Azure AD, mais aussi les la pierre angulaire d’une
solutions cloud comme les outils architecture dite Zero Trust.
de gestion d’appareils de type
22Securing Privileged Access « mode d'emploi »
Au travers du guide Securing La stratégie est d'encourager les
Privileged Access, Microsoft a organisations à d'abord utiliser
partagé une implémentation de les nombreuses fonctionnalités
référence qui illustre le modèle nativement présente dans le
d’accès entreprise introduit cloud.
précédemment.
Dans le guide proposé par
L’objectif est de limiter Microsoft, l’implémentation
strictement la capacité à s’appuie sur les solutions de
effectuer des actions privilégiées sécurité disponibles dans
sur des chemins autorisés, tout Microsoft 365 Entreprise E5.
en perturbant le retour sur C’est un point de départ pour la
investissement des attaquants. mise en œuvre d’une architecture
Zero Trust en environnement
Au-delà de la prévention, on Microsoft.
surveille de près ces chemins
d’accès en détectant les Le contrôle d’accès conditionnel
anomalies et les comportements et l’authentification forte sont
déviants. généralisés pour tous les
utilisateurs. La solution Microsoft
Cloud App Security, couplée à
Identity Protection, est utilisée
pour la supervision des sessions.
23On restreint ici explicitement Sur les profils de postes «
l'utilisation des comptes à spécialisé » et « administration »,
privilèges (qui sont marqués l’utilisateur de l’appareil n’est plus
comme sensibles) à des appareils administrateur de son poste.
spécifiques avec le contrôle De plus, la liste des applications
d’accès conditionnels avec Azure autorisées à s’exécuter est
AD Premium. restreinte.
Sur les postes de travail, un EDR Enfin, les principes de moindre
(Endpoint Detection and privilège et le just-in-time access
Response) est déployé, il s’agit (élévation temporaire) des droits
de Microsoft Defender for d’administration avec Azure AD
Endpoint qui est capable Premium est mis en œuvre.
d’interagir avec Azure AD, à
travers le MDM, pour remonter Cette implémentation de
l’état de santé des appareils. référence permet ici
d’administrer les ressources dans
La gestion des postes de travail le cloud mais également les actifs
et le déploiement des profils de critiques comme l’Active
sécurité est faite avec le MDM Directory au travers
Microsoft Endpoint Manager. d’intermédiaires (VPN, serveur de
rebond, etc.).
24Sécuriser le Tier 0 et mettre en
œuvre le plan de contrôle
Quelle que soit la raison qui qui ont conduit à la création de
amène à lancer un projet de relations d’approbation entre de
renforcement de la sécurité de très nombreuses forêts, les
l’AD (plan d’action consécutif à enjeux de chaque projet sont
un incident de sécurité majeur, uniques.
résultats de tests d’intrusion ou
d’exercice de red team, etc.), une
importante phase préparatoire
est nécessaire avant le lancement
La sécurisation du Tier 0 est
d’un aussi vaste programme. Il nécessaire, le travail mené ne sera
apparaît prioritaire de se focaliser en rien perdu, même en cas de
sur le Tier 0 et tenir compte au transformation cloud
vu des transformations du SI sur
les autres Tiers (utilisation du
cloud et Azure AD).
Les trois principaux objectifs de
Étape 1 : se préparer la phase de cadrage sont :
- 1 à 6 mois 1. Dresser une cartographie de
l’environnement existant (forêts
Même si les grandes lignes sont et relations d’approbation
globalement connues en associées) et identifier les
démarrant un projet de vulnérabilités présentes.
sécurisation de l’AD, il est 2. Déterminer la cible de sécurité à
indispensable de délimiter les atteindre et l’échéance (e.g.
contours du projet. périmètres prioritaires, niveau de
La durée de la phase de cadrage durcissement à la cible, caractère
dédié des infrastructures, forêts
dépend bien sûr, en premier
dont le décommissionnement est
facteur, de la complexité de possible, élimination des
l’environnement. Du cas simple adhérences entre le système de
d’une unique forêt AD avec un sauvegarde de l’AD et l’AD lui-
seul domaine, exploitée par une même, etc.).
équipe centrale, au cas déjà plus
3. Définir la structure projet
complexe d’une grande permettant d’atteindre les
organisation, présente sur toutes objectifs fixés dans le planning
les plaques géographiques, ayant défini.
vécu de nombreuses acquisitions
25C’est également dans ces phases décommissionner ou à migrer) et
que l’on prend en compte les les relations d’approbation
plans d’action préexistants lorsque cela est possible.
(rapports de l’Inspection
Générale, audits réalisés, bilan de Durcir et corriger les
red team, etc.) pour les réintégrer vulnérabilités identifiées : mise à
dans ce projet désormais global. jour des actifs dont l’OS n’est
plus supporté, durcissement
Pour établir la cartographie, système et AD, application
l’approche repose sur : régulière des correctifs de
/ des outils reconnus du marché
sécurité, etc.
(e.g. PingCastle, BloodHound,
OAADS, etc.) ou des frameworks Mettre en œuvre le modèle en
(e.g. points de contrôle de Tiers (prioritairement le Tier 0),
l’ANSSI) ; et déploiement des modifications
/ des entretiens avec les relais dans d’architecture à apporter
les métiers ou les géographies, (cloisonnement, déploiement
permettant d’identifier des d’actifs dédiés au Tier 0,
infrastructures Active Directory implémentation de postes
autonomes et potentiellement non d’administration dédiés, recours à
repérées par les outils. des silos d’administration…).
Une fois tous les éléments Définir le RACI et le modèle
rassemblés, les objectifs du d’administration : activités des
projet de transformation sont équipes, type de comptes à
définis et les trajectoires pour y privilèges qui leur seront fournis
parvenir établies. Ce type de et cinématiques d’administration.
projets se décompose
habituellement en plusieurs sous- Préparer la reconstruction, avec
chantiers. l’externalisation des sauvegardes
sur des systèmes sans adhérence
Rationaliser les infrastructures avec Active Directory, tests de
(forêts et domaines à reconstruction, etc.
Préconisations pour l’utilisation d’outils publics
De nombreux scripts ou outils open-source sont disponibles sur Internet
pour évaluer le niveau de sécurité d’un environnement Active Directory /
Azure AD. Il convient cependant de respecter quelques règles de
prudence avant de les exécuter :
1. Revoir le code source de l’outil, pour s’assurer de son comportement (quand
cela est possible).
2. Exécuter l’outil avec le minimum de privilèges requis, selon le principe du
moindre privilège, et dans un environnement restreint (machine virtuelle
dédiée par exemple).
3. Limiter les flux sortants selon les besoins (pas de flux vers Internet pour une
revue de configuration Active Directory, uniquement vers les ressources
Microsoft pour une revue Azure AD)
26Faut-il mettre en place une Une migration sur l’infrastructure
forêt d’administration ? dédiée cible, quelques mois plus
Comme expliqué précédemment, tard, achèvera de couvrir le
ce modèle n’est plus risque résiduel mentionné
recommandé par Microsoft, sauf précédemment.
cas particuliers décrit ici, car
complexe et coûteux à mettre en
œuvre.
Étape 2 : mettre en
œuvre le tier 0-6 à
Quid de l’administration de
l’infrastructure de virtualisation
24 mois
hébergeant les actifs du Tier 0? Au démarrage de cette étape, les
La criticité de l’infrastructure derniers ateliers de réflexion sont
hébergeant les actifs du Tier 0 menés, pour affiner les cibles à
impose qu’elle soit dédiée et que atteindre sur la base du cadrage,
son administration soit intégrée embarquer les équipes et
au Tier 0. En effet, l’utilisation présenter le séquencement des
d’une plateforme mutualisée fait actions.
naître un risque de mauvaise L’identification des différentes
maîtrise des accès à ces équipes d’administration de
machines virtuelles. l’organisation (e.g. support IT,
Cependant, la mise à disposition équipes AD, équipes serveurs,
d’une infrastructure dédiée peut équipes postes de travail, etc.),
être assez longue dans certaines de leurs responsabilités et
organisations. Pour réduire le activités, des droits qu’elles
risque plus rapidement, l’on doivent avoir pour les réaliser
pourra utiliser une infrastructure (principes du moindre privilège).
mutualisée existante de manière Cela permet de définir un RACI
tactique, afin de débuter sans clair et de préparer les futurs
tarder la mise en œuvre des comptes qui seront utilisés, en
actions de sécurisation décrites lien avec le modèle de délégation
dans la partie suivante. du Tiering.
27Ensuite, viennent les étapes la connexion à l’aide d’un compte
centrales : application de la d’un Tier donné, sur un actif d’un
structure en Tiers dans l’Active Tier inférieur (comme illustré sur
Directory, création des comptes le schéma ci-dessous). Cela peut
d’administration propres à être mis en place, dans un
chaque Tier, déplacement des premier temps, grâce à des GPO
objets dans les bonnes dites de « deny logon », puis de
Organizational Units (OU). manière plus pérenne au travers
L’étape finale consiste à interdire d'Authentication Policy Silos.
Le déploiement d'une GPO « (typiquement les postes
deny logon » permet d'empêcher d’administration). Comparé au
techniquement les connexions mécanisme de blocage par GPO,
des comptes Tier 0 aux machines les Authentication Policy Silos ne
sur lesquelles la GPO est reposent plus sur une
appliquée (Tier 1 & 2). Toutefois, configuration client mais sur un
les GPO sont des éléments de mécanisme imposé par les
configuration client, qui services Active Directory. Ce
pourraient être désactivés mécanisme permet de plus de
localement par un attaquant couvrir le risque de rejeu
(dans le but de piéger un d’identifiants du Tier 0 (tickets
administrateur Tier 0 et induire Kerberos) ailleurs que sur un
une connexion sur une machine poste d’administration (devant
compromise par exemple). Les donc lui aussi être compromis).
GPO « deny logon » protègent Cependant, la plus grande
donc des erreurs d’administration complexité de mise en œuvre de
mais présentent des défauts cette méthode par rapport à celle
pouvant les rendre vulnérables en des GPO peut inviter à procéder
cas d’attaque. par étape : à court terme,
Les Authentication Policy Silos implémenter les GPO, à moyen
permettent de n’autoriser terme, mettre en oeuvre les
l’authentification de certains Authentication Policy Silos
comptes (typiquement les comme une façon de renforcer
comptes d’administration du Tier encore le niveau de sécurité.
0) que depuis certaines machines
28Enfin, cette étape doit également minimum du nombre d’agents sur
inclure la définition et le les actifs du Tier 0, puisqu’ils
déploiement du poste peuvent constituer un vecteur de
d’administration (PAW, Privileged compromission. Idéalement, seuls
Access Workstation). Ce poste de des logiciels natifs de Microsoft
travail, ne doit avoir comme (antivirus, sauvegarde intégrée,
unique possibilité que de se transmission des évènements
connecter au actifs du Tier 0 grâce à WEF(1), agent de
pour y effectuer les actions supervision MDI(2), Application
d’administration. Il peut donc être Control, etc.) doivent être
durci selon les meilleurs présents.
standards, et ne comporter aucun
logiciel autre que celui qui
permet la connexion à distance.
Ainsi, aucun accès à Internet D’un strict point de vue de la réduction
(exception faite de l’accès au des risques, la mise en œuvre du
portail cloud Azure dans un modèle en Tiers est prioritaire sur le
infrastructure hybride par durcissement, même si elle est plus
exemple) ni à la messagerie ne complexe en raison de son impact sur
doit être possible, afin de limiter les pratiques d’administration.
l’exposition de ce poste. En cas
de besoin, il faudra prévoir la
mise en place d’une zone
d’échange entre les Il faut également veiller à
environnements bureautique et modifier les configurations de ces
d’administration. actifs, pour utiliser les systèmes
de MCO/MCS dédiés au Tier 0
Les sujets épineux : l’adhérence (supervision, mises à jour des OS,
avec le bastion d’administration déploiement de logiciels, etc.).
préexistant dans l’organisation, C’est également dans cette étape
avec son modèle déjà établi est que les actions de remédiation
parfois source de complexité, en concernant les comptes à
dépit des avantages qu’il offre privilèges doivent être menées :
(c.a.d. facilité d’implémentation remplacement des comptes
de l’authentification multi- membres des groupes Built-In
facteurs, enregistrement des par des comptes avec droits
actions). respectant le principe du moindre
privilège, cartographie des
Durcissement comptes de services, recours à
MSA/gMSA (Managed Service
Cette partie revient à appliquer
Account) lorsque cela est
les mesures de sécurité partout
possible, identification et mise en
où cela est possible, pour
quarantaine des comptes inactifs,
renforcer le niveau de sécurité.
activation de LAPS, etc. Pour se
Couvrir le durcissement des actifs
guider, on pourra s’appuyer sur la
du Tier 0 : formalisation et
liste des points de contrôle
application d’un guide de
Active Directory mis à disposition
durcissement, limitation au strict
(1) Windows Event Forwarding (2) Microsoft Defender for Identity
29Vous pouvez aussi lire
