• 10 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

Ce cours est en vidéo.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 13/02/2019

Utilisez les fonctions de sécurité pour protéger vos comptes privilégiés

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Vous pouvez utiliser quelques fonctions récentes d'Active Directory pour améliorer la protection des comptes privilégiés et limiter le risque que l'empreinte de leur mot de passe ne se retrouve n'importe où !

Choisissez une version récente de Windows

A la fois la version de Windows choisie pour les contrôleurs domaine et le niveau fonctionnel du domaine vont avoir un impact important sur le niveau de sécurité général du domaine Active Directory :

  • 2008R2 a introduit le support d'AES pour Kerberos, en remplacement du HMAC RC4, ainsi que les Managed Service Account, qui permet de donner à l'Active Directory le contrôle du mot de passe des comptes de services.

  • 2012 a amélioré le niveau de sécurité Kerberos (Kerberos Armoring), en particulier la protection des requêtes AS et TGT.

  • 2012R2 a ajouté des politiques et silos d'authentification, ainsi que le concept de « protected users » avec des politiques qui interdisent pour certains comptes privilégiés du domaine l'utilisation de méthodes d'authentification dangereuses, la mise en cache de leurs données d'authentification ou encore certains fonctions de délégation.

  • 2016 a introduit Credential Guard, qui limite la possibilité d'extraire en mémoire ou de réutiliser certaines données d'authentification (credentials).

Configurez les Protected Users et les stratégies d'authentification

La fonction de Protected Users va limiter le risque de vol de données d'authentification en restreignant les données mises en cache ou autorisées pour l’authentification. En particulier :

  • Certaines fonctions comme le calcul d'empreinte Wndows Digest et la délégation d'information d'identification CredSSP implique la mise en cache en mémoire vive du mot de passe en clair. Ce n'est plus mis en cache avec les Protected Users.

  • Les Clés Kerberos à long terme TGT (Ticket Granting Ticket) ne sont plus renouvelées automatiquement. Leur durée de vie est limitée à 4 heures.

  • DES et RC4 ne sont plus autorisés dans la pré-authentification Kerberos.

Pour définir un utilisateur comme Protected User, il suffit de l'ajouter dans le groupe du même nom à partir de l'outil d'interface utilisateur d'Active Directory.

Capture d'écran de la fenêtre Configuration des Protected Users dans ActiveDirectory.
Configuration des Protected Users

Les stratégies d'authentification se configurent depuis ADAC (Active Directory Administrative Center), dans le menu Authentication, puis Authentication Policies, choisissez New.

Capture d'écran de la fenêtre d'ajout d'une stratégie d'authentification dans Active Directory.
Ajoutez une stratégie d'authentification

Nommez votre politique, puis choisissez les utilisateurs ou groupes d'utilisateurs sur laquelle elle porte, les ordinateurs ou comptes de services administrés. Vous pourrez ensuite définir la durée des tickets Kerberos et les conditions d'authentification NTLM.

Capture de la fenêtre de configuration d'une nouvelle stratégie d'authentification sur Active Directory.
Configurez la nouvelle stratégie d'authentification

Ajoutez une barrière avec Credential Guard

Credential Guard est une nouvelle fonction qui repose sur la virtualisation pour protéger la mémoire du processus LSASS. Avec cette fonction, l'authentification à distance est déléguée à un nouveau processus isolé, dont la mémoire n'est pas accessible depuis l'environnement principal du système. L'extraction de la mémoire vive du processus comme vous l'avez fait précédemment ne sera plus possible !

Schéma du fonctionnement de LSASS avec Credential Guard.
Principe de fonctionnement de LSASS avec Credential Guard. Source: Microsoft.com

Pour activer Credential Guard, allez simplement dans la politique du système, dans Computer configuration > Administrative Templates > System > Device Guard. Activez la sécurité basée sur la virtualisation. Notez bien que cette configuration n'existe que sous Windows 10 ou 2016.

Capture d'écran de la fenêtre de configuration de Credential Guard de Local Group Policy Editor.
Configurez Credential Guard

En résumé

  • Choisissez un niveau fonctionnel récent pour le domaine, a minima 2012R2.

  • Même si ces fonctions sont limitées aux nouvelles versions de Windows, tirez profit des Protected Users et stratégies d'authentification.

  • Credential Guard offre une protection efficace pour empêcher le vol des mots de passe ou de leur empreinte en mémoire vive.

Exemple de certificat de réussite
Exemple de certificat de réussite