Active Directory : face à un « risque croissant », l’ANSSI publie ses recommandations
Le 04 juin 2020 à 09h06
1 min
Internet
Internet
L'Agence nationale de la sécurité des systèmes d'information explique que « l’analyse des modes opératoires des attaques récentes met en évidence une recrudescence du ciblage des annuaires Active Directory, compte tenu de leur rôle de pierre angulaire de la plupart des systèmes d’information. En effet, l’attaquant ayant obtenu des droits élevés sur l’annuaire peut alors déployer une charge malveillante sur l’ensemble du système d’information ».
Ses observations font apparaître « un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory », avec une sécurité allant en décroissance au fil du temps.
« En réponse à ce risque croissant, l’ANSSI a développé et met à disposition un recueil de points de contrôle, afin d’accompagner les chaînes DSI et SSI dans le suivi du niveau de sécurité des annuaires Active Directory », indique l’Agence.
Le 04 juin 2020 à 09h06
Commentaires (18)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/06/2020 à 08h46
Azure + Logs Analytics + Agent OMS sont très bien pour ça
Le 04/06/2020 à 09h33
Les serveurs AD sont ultra sensible, ils doivent faire l’objet d’une attention particulière malheureusement souvent négligée car cher.
Le 04/06/2020 à 09h33
Le 04/06/2020 à 10h24
Est-ce que je comprends bien si je dis que j’ai compris : “c’est l’implémentation des AD qui pose problème et leur administration, pas le soft en lui-même qui serait une passoire” ?
Le titre laisse à penser que c’est AD le problème alors que ce ne serait pas ça si j’ai bien compris.
Le 04/06/2020 à 10h29
Tu as bien compris, on ne parle pas de failles dans AD, mais bien de soucis d’implémentation/administration.
Le 04/06/2020 à 11h17
C’est sûr que si l’administrateur infra laisse les réglages par défaut / ne met pas à jour / n’implémente pas de règles de définition de mot de passe correctes / ne force pas à changer régulièrement (même si ultra chiant pour les utilisateurs ^^) / n’a pas de sniffer pour détecter et réagir à des comportements anormaux…
" />
Il est difficile d’accuser l’outil.
Le 04/06/2020 à 11h44
Active Directory est compliqué.
République FrançaiseIl faut régulièrement inspecter son Active Directory et faire le ménage de ce qui a sauté ou été mal configuré.
C’est rendu pire par le fait que des pratiques courantes (et recommandées) il y a quelques années sont devenues obsolètes. Pire encore, l’installation de certaines applications fait sauter des mesures de sécurités (des droits d’accès, des inclusions dans des groupes privilégiés, des mise à valeurs dangereuses de champs optionnels…). Et la moindre de ces erreurs, dans un annuaire qui compte des centaines de milliers de noeuds peut mener à la compromission totale d’un système d’information. Des outils offensifs comme Bloodhound existent juste pour les rechercher automatiquement.
Un AD récent (2016 et suivant), hors de la boite est plutôt sécurisé. Mais quand on commence à y connecter tout un système d’information le niveau peut descendre vite.
Il ne suffit pas d’avoir de bonnes pratiques d’admin (mot de passes forts, double authent, postes dédié…) voir le guide d’hygiène de l’ANSSI pour ça
Ce document explique quoi regarder, et pourquoi.
Le 04/06/2020 à 12h21
J’ai toujours du mal à comprendre ce que c’est Active Directory et dans quelles circonstances on s’en sert. Quelqu’un pourrait me faire un ELI5 ?
Le 04/06/2020 à 12h56
L’active directory est un annuaire avec une forte intégration dans l’environnement microsoft.
Un annuaire est une base de donnée spécialisé dans l’identité (authentification, identification, gestion de mot de passe, ….).
Microsoft a rajouté une surcouche applicative à leur annuaire pour la gestion des connexion sur les PC (centralisation des identifiants/mot de passe, politique de mot de passe, gestion des droits,…) , l’intégration dans leurs messageries (exchange, exchange online, …) la fédération, ..
Le 04/06/2020 à 13h13
Le 04/06/2020 à 13h28
Comme dit plus haut, l’AD peut devenir un cauchemard dans son administration, outre les best practices d’autresfois aujourd’hui obsolètes voir dangereuses, il y a aussi la fédération (lros de rachat de boite) qui peut mener à des catastrophes, le temps de tout réorganiser;
Nous avons subit un audit de MS là dessus et cela a bien remuer la merde, même des trucs qu’on pensait bien configurer ne l’était pas, sans compter effectivement les applications qui font des modifs sur l’AD (prerequis de fonctionnemnt,etc;).
Mais le fin du fin, c’est d’avoir trouvé un AD en DMZ avec TCP/389 et TCP636 ouvert au quatre vent. .. un miracle qu’on ait pas eu de compromission
Le 04/06/2020 à 13h33
c’est un peu le colosse au pied d’argil, l’administration d’AD est souvent pas ou peu maitrisée et le temps dispo aux admin pour y remédier est souvent très faible voir inexistant, en plus du fait que la hierarchie comprenne pas toujours l’intérêt d’investir dans cet outil qui “fonctionne déjà” jusqu’au jour ou ils se font poutrer et qu’il se retrouve avec plus rien de fonctionnel (plus d’erp, les comptes utilisateurs inutilisables les appli métier en vrac etc…) avec un down time pouvant être très long en fonction de la taille de la boite.
Un exemple de vécu : le pirate a choper les droits admin sur un contrôleur de domaine et il a commencer à chiffrer un epu tout ce qu’il pouvait. heureusement l’attaque à été detecter “assez tôt” mais le mal était fait, il a fallu plus de deux mois de travail intensif des admins pour revenir à un semblant d’archi opérationnel.
Le 04/06/2020 à 14h32
L’ANSSI : “Ses observations font apparaître « un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory », avec une sécurité allant en décroissance au fil du temps. ”
Et d’autre part : “Active Directory fut présenté pour la première fois en 1996” (Wikipedia)
Le bon vieux principe K.I.S.S. semble si loin …
Le 04/06/2020 à 14h37
n plus du fait que la hierarchie comprenne pas toujours l’intérêt d’investir dans cet outil qui “fonctionne déjà”
c’est une problématique récurrente
Un exemple de vécu : le pirate a choper les droits admin sur un contrôleur de domaine et il a commencer à chiffrer un epu tout ce qu’il pouvait. heureusement l’attaque à été detecter “assez tôt” mais le mal était fait, il a fallu plus de deux mois de travail intensif des admins pour revenir à un semblant d’archi opérationnel.
Le pirate a choper les droits admin via un mail piégé ou par un autre biais ?
Le 04/06/2020 à 18h21
Le 05/06/2020 à 07h12
Je peux te donner un cas rencontré chez un client :
RDP sur un vieux serveur Windows accessible à distance avec faille de sécurité permettant d’ouvrir la session… Ils ont alors trouvés le mot de passe administrateur qui avait été enregistré en clair dans la base de registre par le serveur d’administration d’un antivirus (Sophos).
Résultat, chiffrement de tous les serveurs.
Le 06/06/2020 à 08h31
C’est pas d’aujourd’hui que la majorité des “experts” et presta Microsoft font du bullshit…
Le 07/06/2020 à 08h54
Le plus drôle, c’est comment on fait parfois CH…. l’utilisateur avec des règles de mot de passe et changement régulier, passage au helpdesk pour la création d’un SharePoint de projet (sans autre support ensuite que débrouille toi), règles absurdes liées au RGPD et puis il y a les failles de sécurité béantes à côté … Comme le VPN avec le même mot de passe pour tout le monde et qui ne change pas pendant dix ans ou encore les comptes invités/étudiants avec toujours le même mot de passe…