Sécuriser AD

Voici une liste complète des actions à mettre en place pour sécuriser un Active Directory, organisée de manière concise, en prenant en compte les tiers et les bonnes pratiques actuelles :

1. Contrôles d’Accès et Comptes

  • Désactiver les comptes inutilisés et supprimer les comptes obsolètes.

  • Utilisation de comptes administratifs distincts pour l’administration (pas d’usage quotidien des comptes Domain Admins).

  • Activation du mode Just Enough Administration (JEA) pour limiter les droits des administrateurs à leurs seules tâches.

  • Mettre en place des comptes spécifiques pour les Privileged Access Workstations (PAW), et isoler ces comptes des tâches non-administratives.

  • Limiter l’accès aux serveurs via RDP en activant le mode administrateur restreint (RDP).

2. Authentification et Protocoles

  • Utilisation de l’authentification LDAPS (LDAP sécurisé) pour chiffrer les connexions LDAP.

  • Désactivation du protocole NTLM là où c’est possible, en favorisant Kerberos.

  • Implémentation de l’authentification multifacteur (MFA) pour les accès critiques.

3. Gestion des Privilèges et des Comptes Administratifs

  • Mise en œuvre de Privileged Access Management (PAM) pour contrôler et gérer les comptes privilégiés. (PIM qui à accès et PAM a quoi il à accès)

  • Activation du Just-in-Time (JIT) pour fournir un accès temporaire uniquement quand c’est nécessaire.

  • Configuration des silos d’administration pour isoler les rôles et éviter l’accès croisé entre différents privilèges.

4. Sécurisation des Protocoles et des Services

  • Désactivation des protocoles SMBv1 et mise en place de SMB Signing pour protéger les communications SMB.

  • Activer Kerberos armoring pour renforcer la sécurité de Kerberos contre les attaques de relais et de l'homme du milieu (Man-in-the-Middle).

  • Empêcher l'énumération AD en limitant les autorisations SAM-R pour empêcher la divulgation d’informations critiques.

5. Surveillance et Audit

  • Activer l'audit AD pour surveiller les modifications sensibles comme l’ajout ou la suppression de membres dans des groupes privilégiés.

  • Audit des connexions et des changements critiques (réinitialisation des mots de passe, accès aux fichiers sensibles, etc.).

  • Configurer la journalisation des événements Windows pour suivre les actions sur le réseau Active Directory.

6. Renforcement des Machines et des Workstations

  • **Utilisation des Privileged Access Workstations (PAW) pour effectuer des tâches sensibles et isoler les postes administratifs.

  • Appliquer les recommandations de sécurité Microsoft Baseline pour la configuration des systèmes et des serveurs AD.

7. Sécurisation des Contrôleurs de Domaine

  • Limiter l’accès physique aux contrôleurs de domaine.

  • Protéger les contrôleurs de domaine avec des pare-feu et limiter les services exposés.

  • Activer le blindage (Protected Users) pour protéger les comptes sensibles contre les attaques par Kerberos et NTLM.

8. Gestion des Politiques de Sécurité

  • Configurer des stratégies de groupe (GPO) sécurisées pour forcer l’utilisation de mots de passe robustes, la désactivation des comptes inactifs et la limitation des accès administratifs.

  • Utiliser la politique "Microsoft Security Compliance Toolkit" pour valider que vos configurations respectent les meilleures pratiques de Microsoft.

9. Planification et Tests de Récupération

  • Configurer un plan de sauvegarde AD régulier.

  • Tester les procédures de restauration Active Directory pour s'assurer de la résilience en cas d'incident.

10. Autres Mesures Complémentaires

  • Activation du blindage Kerberos (Armoring) pour renforcer la protection des tickets de session.

  • Appliquer des restrictions d'accès à distance pour réduire la surface d’attaque liée aux connexions RDP ouvertes.

  • Empêcher l'utilisation des outils non sécurisés pour l'administration (SAM-R, enumeration AD).

Ces actions visent à sécuriser les différents aspects d’Active Directory, allant de l’authentification à la gestion des comptes administratifs, en passant par la surveillance et la gestion des accès. Elles contribuent à réduire la surface d'attaque, à renforcer la résilience face aux menaces, et à améliorer le contrôle global du système.

PreviousPage 2NextGlossaire

Last updated