Vous pouvez utiliser quelques fonctions récentes d'Active Directory pour améliorer la protection des comptes privilégiés et limiter le risque que l'empreinte de leur mot de passe ne se retrouve n'importe où !
Choisissez une version récente de Windows
A la fois la version de Windows choisie pour les contrôleurs domaine et le niveau fonctionnel du domaine vont avoir un impact important sur le niveau de sécurité général du domaine Active Directory :
2008R2 a introduit le support d'AES pour Kerberos, en remplacement du HMAC RC4, ainsi que les Managed Service Account, qui permet de donner à l'Active Directory le contrôle du mot de passe des comptes de services.
2012 a amélioré le niveau de sécurité Kerberos (Kerberos Armoring), en particulier la protection des requêtes AS et TGT.
2012R2 a ajouté des politiques et silos d'authentification, ainsi que le concept de « protected users » avec des politiques qui interdisent pour certains comptes privilégiés du domaine l'utilisation de méthodes d'authentification dangereuses, la mise en cache de leurs données d'authentification ou encore certains fonctions de délégation.
2016 a introduit Credential Guard, qui limite la possibilité d'extraire en mémoire ou de réutiliser certaines données d'authentification (credentials).
Configurez les Protected Users et les stratégies d'authentification
La fonction de Protected Users va limiter le risque de vol de données d'authentification en restreignant les données mises en cache ou autorisées pour l’authentification. En particulier :
Certaines fonctions comme le calcul d'empreinte Wndows Digest et la délégation d'information d'identification CredSSP implique la mise en cache en mémoire vive du mot de passe en clair. Ce n'est plus mis en cache avec les Protected Users.
Les Clés Kerberos à long terme TGT (Ticket Granting Ticket) ne sont plus renouvelées automatiquement. Leur durée de vie est limitée à 4 heures.
DES et RC4 ne sont plus autorisés dans la pré-authentification Kerberos.
Pour définir un utilisateur comme Protected User, il suffit de l'ajouter dans le groupe du même nom à partir de l'outil d'interface utilisateur d'Active Directory.
Les stratégies d'authentification se configurent depuis ADAC (Active Directory Administrative Center), dans le menu Authentication, puis Authentication Policies, choisissez New.
Nommez votre politique, puis choisissez les utilisateurs ou groupes d'utilisateurs sur laquelle elle porte, les ordinateurs ou comptes de services administrés. Vous pourrez ensuite définir la durée des tickets Kerberos et les conditions d'authentification NTLM.
Ajoutez une barrière avec Credential Guard
Credential Guard est une nouvelle fonction qui repose sur la virtualisation pour protéger la mémoire du processus LSASS. Avec cette fonction, l'authentification à distance est déléguée à un nouveau processus isolé, dont la mémoire n'est pas accessible depuis l'environnement principal du système. L'extraction de la mémoire vive du processus comme vous l'avez fait précédemment ne sera plus possible !
Pour activer Credential Guard, allez simplement dans la politique du système, dans Computer configuration > Administrative Templates > System > Device Guard. Activez la sécurité basée sur la virtualisation. Notez bien que cette configuration n'existe que sous Windows 10 ou 2016.
En résumé
Choisissez un niveau fonctionnel récent pour le domaine, a minima 2012R2.
Même si ces fonctions sont limitées aux nouvelles versions de Windows, tirez profit des Protected Users et stratégies d'authentification.
Credential Guard offre une protection efficace pour empêcher le vol des mots de passe ou de leur empreinte en mémoire vive.
