Mettre en place un modèle d’administration robuste permet de limiter les actions possibles d’un attaquant. Le modèle d’administration en tiers, ou en silos, est particulièrement efficace. Je vous propose de découvrir le principe de ce modèle dans la vidéo.
En complément de ce modèle d’administration, plusieurs actions peuvent être menées.
1. Protected Users
Le groupe Protected Users est un groupe spécialement conçu pour protéger les comptes à privilèges. Il fait partie intégrante d’Active Directory, mais est vide par défaut. Lorsque vous ajoutez des comptes à ce groupe, des règles de sécurité vont automatiquement s’appliquer. Par exemple, les comptes en Protected Users ne peuvent plus s’authentifier via NTLM, mais seulement avec Kerberos. Cela permet d’éviter que le hash NT des administrateurs soit enregistré dans les processus Lsass des machines.
Par ailleurs, ces comptes ne peuvent pas être utilisés pour de la délégation Kerberos et la durée de vie de leur TGT est réduite (4h). Ces points peuvent vous intéresser mais sachez que cette liste de durcissements n’est pas exhaustive. C’est donc une très bonne pratique que de mettre vos comptes d’administration dans ce groupe.
Un des durcissements de ce groupe est que les identifiants des membres ne seront jamais enregistrés sur les machines. C’est un bon point de sécurité, mais ces comptes ne pourront jamais se connecter sur un serveur ou une machine sans connexion à un contrôleur de domaine. Donc ne mettez pas tous vos utilisateurs dans ce groupe, sinon ils ne pourront plus travailler sur leur poste en dehors de l’entreprise !
2. LAPS
Vous vous souvenez de ma compromission de domaine lors de mon premier audit ? J’avais rejoué le hash d’un administrateur local d’un poste sur les autres postes. Ça, c’était possible parce que ce mot de passe local était partagé entre tous les postes. Pour répondre à ce problème, Microsoft propose gratuitement un utilitaire qui s’appelle LAPS (Local Administrator Password Solution). Il permet de laisser chaque machine gérer le mot de passe de son administrateur local, et d’indiquer au contrôleur de domaine le mot de passe courant. Ainsi, chaque poste a un administrateur local différent, et la technique du pass-the-hash devient d’un coup beaucoup moins pratique. Un article écrit par Login Sécurité décrit en détail le fonctionnement de cet utilitaire. Mais sachez que depuis le build 25145 de Windows 11, LAPS est intégré nativement à Windows. Plus besoin d’installer l’agent sur les postes !
Par ailleurs, depuis avril 2023, une deuxième version de cette solution a été proposée par Microsoft. Elle ajoute son lot de nouveautés, notamment le fait que les mots de passe sont maintenant stockés de manière chiffrée, qu’il est possible de récupérer l’historique des mots de passe d’administration de chaque machine (ce qui est très pratique en cas de restauration d’un backup).
3. PPL et Credential Guard
Les identifiants des utilisateurs sont enregistrés dans Lsass lorsque ceux-ci se connectent. Un attaquant peut alors tenter de les extraire s’il a compromis le poste. Mais il est possible de limiter la casse en utilisant des protections proposées par Microsoft. La première s’appelle PPL (Protected Process Light), et lorsqu’elle est activée, elle rend l’extraction de mots de passe dans Lsass beaucoup plus compliquée. Il existe des solutions de contournement, mais c’est une première étape, et c’est applicable à toutes les versions de Windows. Vous pouvez vous référer à la documentation de Microsoft pour sa mise en place.
Sur les versions plus récentes de Windows, la fonctionnalité Credential Guard permet de nettement améliorer la protection des informations stockées dans Lsass. Elles sont enregistrées dans une zone mémoire protégée, et personne ne peut y accéder directement, comme le font tous les outils actuels. Cette protection peut être activée en suivant la documentation Microsoft.
3. PAW – Privileged Access Workstations
Dans le modèle d’administration en tiers, les actions d’administration devraient être effectuées depuis un poste spécifique à l’administration, différent du poste de travail de tous les jours. Ce poste est appelé PAW (Privileged Access Workstations). C’est un poste qui doit être extrêmement durci pour qu’il soit le plus difficile possible à attaquer :
il ne doit pas être connecté à internet ;
il doit avoir le moins de logiciels possible installés dessus ;
il doit être exclusivement utilisé pour les tâches d’administration d’un tiers (postes de travail, ou serveurs, ou serveurs critiques, par exemple). Il faut donc au minimum une PAW par tiers, et par administrateur ;
une authentification multifacteur devrait être implémentée pour se connecter sur cette machine.
L’idéal serait que cette PAW soit une machine physique dédiée. Une machine virtuelle peut être envisagée, mais ne présente pas le même niveau de sécurité.
Et qu’en pense Clément, de ce modèle d’administration en tiers ? Quelles autres recommandations peut-il nous donner ?
En résumé
Pour protéger correctement votre environnement Active Directory, vous pouvez implémenter un modèle d’administration fort via l’administration en silos. Et différentes actions en complément, peuvent être menées :
Le groupe Protected Users pour protéger les comptes à privilèges ;
L'utilitaire LAPS pour laisser chaque machine gérer le mot de passe de son administrateur local ;
PPL et Credential Guard pour rendre rend l’extraction de mots de passe dans Lsass beaucoup plus compliquée;
PAW, un poste de travail plus difficile à attaquer.
Ce chapitre marque la fin des mesures à prendre pour protéger votre système d’information et votre environnement Active Directory. Avec ces mesures mises en place, il est temps de surveiller ce qu’il se passe sur le système d’information, pour le maintenir sécurisé et détecter d’éventuelles tentatives de compromission.