Alors que s’achève bientôt le mois de la cybersécurité, l’ANSSI vient de publier un guide qui était très attendu par les responsables IT (administrateurs, RSSI et DSI). Il s’agit « des recommandations relatives à l’administration sécurisée des SI reposant sur Microsoft Active Directory ». Ce dernier concentre beaucoup d’intérêt pour les cybercriminels qui, via des déplacements latéraux et des élévations de privilèges, accèdent à l’annuaire des services d’une entreprise ou d’une administration.

L’agence fait un constat sans appel en soulignant que « des compromissions de SI reposant sur AD résultent de l’application de mauvaises pratiques d’administration et d’un cloisonnement insuffisant ». Pour elle, ce guide doit servir à une prise de conscience sur le fait d’appliquer des mesures de sécurité spécifiques à l’AD. Par ailleurs, le cloisonnement du SI en zone de confiance est un impératif. Enfin, la sécurisation de l’AD doit aller de pair avec la protection des vecteurs (infrastructures de stockage, de sauvegarde ou de virtualisation). À noter que le guide ne traite pas de l’aspect cloud avec Azure AD (devenu Entra ID).

Des alertes et des outils

Dans son rapport, l’Anssi rentre dans les détails des différents points en recommandant les bonnes pratiques mais aussi en soulevant les mauvaises. Par exemple, beaucoup d’entreprises « comptent exagérément sur le cloisonnement réseau pour assurer le cloisonnement d’un SI reposant sur un annuaire AD ». Le problème est que pour fonctionner AD doit accéder à différents protocoles de communications (RPC, SMB, Kerberos, etc). Or, les pare-feux réseau « doivent autoriser ces protocoles pour le bon fonctionnement de l’AD, mais n’en contrôlent pas le contenu qui peut être légitime ou malveillant », observe-t-elle.

L’Anssi en profite aussi pour promouvoir ses outils open source comme ADS (Active Directory Security). Il s’agit d’une solution d’analyse de l’annuaire AD pour déterminer des chemins de contrôle. À disposition des OIV et des administrations, il a vocation à être utilisé par le plus grand nombre. D’autres solutions existent comme Ping Castle ou Alsid (créé par des anciens de l’Anssi et depuis racheté par Tenable). Des passerelles sont par ailleurs faites avec d’autres publications du gendarme de la cybersécurité. En février 2022, il avait présenté « des recommandations de sécurité pour journaliser l'activité des systèmes Microsoft Windows en environnement Active Directory ».  

La sécurisation renforcée et une mutualisation contrôlée

Les problématiques de protection des secrets, de gestion des mots de passe, des dangers liés à l’usage des protocoles d’authentification NTLM ou Kerberos constituent une part importante des recommandations. Sur le premier, la récente actualité montre que Microsoft planifie la dépréciation de NTLM dans Windows 11 pour éviter les attaques par relais. Dans le même temps, l’éditeur va renforcer les fonctionnalités de Kerberos qui peut être sujet à des attaques nommées « Kerberoasting ».

Enfin, un dernier chapitre s’intéresse aux choix d’architectures et aux problématiques de mutualisation. Il existe plusieurs niveaux selon le régulateur : « Administrer des zones de confiance différentes depuis un même poste d’administration est un exemple de mutualisation tentante d’un point de vue pratique ou budgétaire ». Mais « c’est également le cas de l’administration de plusieurs SI depuis un même SI d’administration pour limiter la multiplication des postes d’administration », glisse-t-il. Dans ce cadre, l’Anssi se concentre notamment sur la surface d’attaque des clients de connexion distante (durcissement, restriction,…) et sur la mutualisation des postes d’administration.