Objectifs pédagogiques

À la fin de ce module, vous serez capable de :

• Appliquer des GPO de sécurité avancée pour réduire la surface d’attaque d’un domaine Active Directory.
• Comprendre le fonctionnement interne de Kerberos et appliquer un durcissement cryptographique.
• Identifier, détecter et prévenir les attaques courantes contre Active Directory (Kerberoasting, Pass-the-Hash, Golden Ticket…).

Comprendre les fondements de la sécurité Active Directory

Qu’est-ce qu’Active Directory ?

Active Directory (AD) est le cœur de l’authentification Windows. Il gère les identités, les accès et les ressources d’un réseau. Active Directory (AD) est un service d’annuaire développé par Microsoft. Il constitue le noyau de la gestion des identités et des accès dans les environnements Windows.

Son objectif principal est de centraliser l’authentification et l’administration des ressources (utilisateurs, machines, applications, permissions) au sein d’un réseau.

S’il est compromis, toute l’infrastructure est en danger.

Ses principaux points faibles :

• Trop large surface d’attaque (SMB, LDAP, RPC, WinRM…)
• Mauvaises permissions (ACL mal configurées)
• Comptes privilégiés surdimensionnés
• Absence de journalisation et détection

Pour sécuriser Active Directory, trois axes sont essentiels :

1. Politiques de sécurité via GPO
2. Durcissement du protocole Kerberos
3. Détection proactive des attaques

Sécurisation via GPO : stratégies essentielles

• Les GPO (Group Policy Object) permettent d’appliquer des règles homogènes sur tous les postes et serveurs.GPO prioritaires à déployer

  Comme priorité, il faut appliquer sur le domaine les GPO ci-dessous comme point de départ dans le cadre de protection du domaine en question

  • Désactivation du SMBv1

  SMBv1 est vulnérable (exemple de l’attaque WannaCry).
  Pour désactiver : GPO → Computer Configuration → Admin Templates → SMB1 → Disabled

  • Firewall Windows et règles de durcissement
  • Bloquer les ports inutiles
  • Autoriser seulement RDP 3389 depuis les IP d’admin
  • Renforcer la journalisation (logging 5156, 5158)
  • Renforcement des comptes locaux
  • Interdire les comptes administrateurs locaux identiques
  • Utiliser l’outil Local Administrator Password Solution (LAPS) pour changer automatiquement les mots de passe admin local sur les serveurs
  • Politique de mot de passe et granularité fine de politique de mot de passe
  • Nombre de caractère minimum de mot de passe 12-14 caractères
  • Expiration de mot de passe sous 90-180 jours
  • Historique 24 mots de passe (le mot de passe doit être diffèrent des anciens 24 mots de passe définie auparavant)
  • GPO de restriction logicielle (AppLocker / WDAC)

  Il faut aussi empêcher :

  • L’installation de PowerShell non signé
  • L’exécution WMI malveillante

  Les scripts VBS/JS non autorisés

Durcissement Kerberos

• Kerberos est le protocole d’authentification intégré par défaut dans AD et qui repose sur un mécanisme de clés secrètes (chiffrement symétrique).
  En cas de compromission on aura comme résultat accès total au domaine.
  • Fonctionnement

  Kerberos se base essentiellement sur :

  • KDC (Key Distribution Center) : il est le cœur de l’authentification
  • Tickets TGT / TGS utilisés pour authentifier l’utilisateur sans mot de passe
  • Clé du compte KRBTGT = clé maîtresse du domaine

  Durcissement recommandé

  • Rotation régulière du mot de passe KRBTGT

  Chaque domaine Active Directory contient un compte utilisateur nommé « krbtgt », désactivé par défaut et il ne doit pas être supprimé.

  Il stocke la clé secrète utilisée pour signer et chiffrer tous les TGT (Ticket-Granting Tickets) émis par le KDC

  Cette rotation est indispensable contre les attaques Golden Ticket.

  Durcissement de l’algorithme de chiffrement

  Par défaut, Active Directory autorise encore RC4 (faible).

  • Recommandation :
  • Activer uniquement l’algorithme de chiffrement AES256

  Désactiver RC4-HMAC (considéré comme ancien algorithme de chiffrement)

Détection des attaques courantes contre AD

• Voici les principales attaques et comment les détecter.1 Kerberoasting

  Principe : C’est une technique d’attaque Active Directory qui permet à un attaquant de récupérer le hash du mot de passe d’un compte de service, puis de tenter de le casser hors-ligne.

  • Comment détecter
  • ID d’événements Windows 4769
  • Analyse des comptes dont l’attribut ServicePrincipalName est exposé

  Alertes SIEM qui analyse les journaux

• Prévention
• Forcer l’algorithme AES256
• Mots de passe forts pour comptes de service (>= 30 caractères)
• Utiliser des gMSA (Group Managed Service Accounts)

2 Pass-the-Hash / Pass-the-Ticket

Principe : Le pirate vole le hash NTLM (protocole d’authentification Microsoft) d’un compte administrateur ou utilisateur sans connaître le mot de passe, puis utilise cet hash pour s’authentifier sur d’autres machines.

• Détection
• Windows Event ID 4624 de type 3 répétées
• Event ID 4625 en échecs répétés plusieurs fois
• Connexion RDP / SMB / WinRM depuis un serveur non habituel
• Prévention
• Limiter l’utilisation des comptes administrateurs Locaux
• Activer Credential Guard (Windows 10/11/Server 2019+)
• Segmentation des comptes d’administration
• Activer l’outil LAPS
• Désactiver NTLMv1

3 Golden Ticket

Principe : Se produit lorsqu’un pirate falsifie un ticket Kerberos (TGT) pour prendre le contrôle total d’un environnement Active Directory.

• Détection
• Peut se faire en vérifiant si  lTicket TGT avec durée anormalement longue (valide depuis plusieurs jours/années)
• Via
• Event Viewer pour analyser les logs Kerberos (Event 4769, 4624)
• Outils spécialisés (SIEM, Microsoft Defender, PingCastle…)
• Prévention
• Rotation KRBTGT (Changer le mot de passe KRBTGT 2 fois)
• Audits réguliers AD
• Limiter accès aux Domain Controller

Bonnes pratiques globales de durcissement AD

• Architecture Tiering (T0 / T1 / T2)

Le tiering est un modèle de sécurité applicable à l’Active Directory visant à segmenter les comptes à privilèges en plusieurs niveaux (Tier) et périmètres fonctionnels.

• T0 : Actifs les plus critiques (DC, PKI, serveurs critiques)
• T1 : Actifs intermédiaires liés à l’activité de l’entreprise (applicatifs, BDD, fichiers).
• T2 : Postes utilisateurs, imprimantes…

• Autres Facteurs à vérifier
• Activer Advanced Audit Policy (système de logs avancé)
• Bloquer les accès RDP non nécessaires
• Interdire l’installation de logiciels sur DC
• Isoler les DC dans un VLAN sécurisé
• Pare-feu strict (ports Kerberos, LDAP uniquement)
• Désactiver SMBv1
• Forcer SMB Signing

Interdire la navigation web depuis un Domain Controller

Conclusion :

La sécurité AD repose sur un équilibre entre :

• GPO robustes, déployées méthodiquement
• Kerberos durci et surveillé
• Détection proactive des attaques
• Segmentation stricte des privilèges

Un Active Directory bien configuré réduit de plus de 70 % le risque d’intrusion majeure.