L'une des principales tâches des administrateurs informatiques consiste à gérer efficacement leurs actifs sur les réseaux d'entreprise. Ils doivent surveiller de près les autorisations des utilisateurs sur le réseau et mettre en place la gestion des permissions.
Cependant, à mesure que les organisations se développent, elles étendent leur réseau, ce qui augmente également leur surface de menace. Les erreurs de configuration ou les défaillances dans la mise en œuvre des politiques d'authentification et d'autorisation entraînent souvent des violations de données et des failles de sécurité. Il devient également difficile de garder la trace des comptes orphelins et de contrer les attaques par escalade de privilèges. Dans ce paysage de menaces complexe et en constante évolution, la gestion efficace de l’Active Directory (AD) est de première importance.
Qu'est-ce qu'un service d'annuaire ou “Directory Service” ?
Un service d'annuaire est un conteneur qui fournit une structure hiérarchique et permet de stocker des objets pour un accès et une manipulation rapides et faciles. Un service d'annuaire est comme un annuaire téléphonique électronique qui vous permet de rechercher un nom et de récupérer le numéro de téléphone, l'adresse ou d'autres informations sans savoir où vit cette personne.
Avant les services d'annuaire, si vous aviez besoin d'un fichier, vous deviez connaître le nom du fichier, le nom du serveur sur lequel il est stocké et le chemin de son dossier. Cela fonctionne bien sur un petit réseau, mais lorsque le réseau s'étend, cela devient un défi. Le service d'annuaire est le moyen par lequel les utilisateurs et les administrateurs peuvent localiser des ressources indépendamment de l'endroit où ces ressources sont situées.
Qu'est-ce que l’Active Directory ?
L’Active Directory a été introduit dans Windows 2000. Il est inclus dans la plupart des systèmes d'exploitation MS Windows Server et est utilisé par une variété de solutions Microsoft. L’AD est la réponse de Microsoft aux services d'annuaire et il fait beaucoup plus que de simplement localiser les ressources. L’Active Directory facilite également la gestion des utilisateurs car il fait office de référentiel unique pour toutes les informations relatives aux utilisateurs et aux ordinateurs.
Les données stockées dans l’Active Directory
L’Active Directory stocke des informations sur les utilisateurs du réseau (noms, numéros de téléphone, mots de passe, etc.) et les ressources (serveurs, volumes de stockage, imprimantes, etc.) dans une structure hiérarchique composée de domaines, d'arbres et de forêts. Quelques termes sont à définir avant d’aborder la suite de l’article :
- Un domaine est un ensemble d'objets (par exemple, des utilisateurs, des périphériques) qui partagent la même base de données Active Directory.
- Un arbre est une collection d'un ou plusieurs domaines avec un espace de noms contigu (ils ont un nom racine DNS commun comme marketing.company.com)
- Une forêt est une collection d'un ou plusieurs arbres qui partagent un schéma, un catalogue global et une configuration de répertoire communs, mais qui ne font pas partie d'un espace de noms contigu.
- Les objets d'un domaine peuvent être regroupés en unités organisationnelles ou organisational units (OU) pour simplifier l'administration et la gestion des stratégies. Les administrateurs peuvent appliquer des stratégies de groupe aux OU pour simplifier l'administration.
Pourquoi est-il essentiel de sécuriser le système Active Directory ?
Étant donné que le système AD joue un rôle central dans l'autorisation des utilisateurs, des accès et des applications au sein d'une organisation, il constitue une cible de choix pour les attaquants. Si un cyber-attaquant parvient à accéder au système AD, il peut potentiellement accéder à tous les comptes d'utilisateurs connectés, aux bases de données, aux applications etc. Par conséquent, une atteinte à la sécurité de l’AD peut avoir des répercussions considérables dont il peut être difficile de se remettre.
Quels sont les différents types de menaces sur les systèmes AD ?
- Paramètres de sécurité par défaut :
L’AD dispose d'un ensemble de paramètres de sécurité par défaut prédéterminés, créés par Microsoft. Ces paramètres de sécurité peuvent ne pas être idéaux pour les besoins de votre organisation. De plus, ces paramètres de sécurité par défaut sont bien compris par les pirates, qui tenteront d'exploiter les lacunes et les vulnérabilités.
- Utilisateurs administratifs inappropriés et accès privilégié :
Les comptes d'utilisateurs de domaine et d'autres utilisateurs administratifs peuvent avoir un accès complet et privilégié à l’AD. Il est très probable que la plupart des employés, même ceux du service informatique, n'aient pas besoin de privilèges de haut niveau.
- Accès inapproprié ou large pour les rôles et les employés :
AD permet aux administrateurs d'accorder l'accès à des applications et des données spécifiques en fonction des rôles des employés. Les rôles sont attribués à des groupes qui déterminent les niveaux d'accès. Il est important de n'autoriser que les niveaux d'accès dont les personnes et les rôles ont besoin pour remplir leurs fonctions.
- Mots de passe décomplexés pour les comptes administratifs :
Les attaques par force brute sur les services AD ciblent souvent les mots de passe. Les mots de passe non compliqués sont les plus à risque.
- Vulnérabilités non corrigées sur les serveurs AD :
Les pirates peuvent rapidement exploiter des applications, des systèmes d'exploitation et des microprogrammes non corrigés sur les serveurs AD, ce qui leur permet de prendre pied dans votre environnement.
- Manque de visibilité et de rapports sur les tentatives d'accès non autorisées :
Si les administrateurs informatiques ont connaissance des tentatives d'accès non autorisées, ils peuvent plus efficacement les interrompre ou les empêcher à l'avenir. Ainsi, une piste d'audit Windows claire est essentielle pour identifier les tentatives d'accès légitimes et malveillantes, et pour détecter toute modification AD qui a été effectuée.
Pour conclure, il est essentiel de maîtriser les vulnérabilités d'AD et de mettre en œuvre des contrôles d'accès de sécurité et de moindre privilège pour protéger les comptes de domaine et assurer la sécurité de l'écosystème informatique. Une visibilité, une gestion, des rapports et des capacités d'audit appropriés peuvent considérablement améliorer la sécurité de l’AD et garantir l'intégrité des systèmes.