Sécuriser l’Active Directory
Parmi les objectifs du service informatique de Microsoft (MSIT pour Microsoft Information Technology) figurent en bonne place les obligations de décrire comment les produits Microsoft sont utilisés à l’intérieur de Microsoft, lui-même. Lorsque l’équipe qui gère la sécurité de l’Active Directory publie un document, il convient d’en prendre connaissance. C’est possible en lisant le document publié en anglais sur :
https://www.microsoft.com/en-us/download/details.aspx?id=38785
Ce document de plus de 300 pages devra forcément être adapté à vos propres besoins. Il donne une idée de la manière dont Microsoft tire parti des possibilités de l’Active Directory. Les joyaux de la couronne de Microsoft ne sont pas forcément de même nature que ceux que vous voudriez protéger. Nul doute, en revanche, que l’annuaire d’authentification représente un bien relativement précieux chez vous comme chez Microsoft. Vous n’êtes, sans doute, pas non plus dans une situation similaire en termes de cible potentielle comme peut l’être Microsoft. Si certaines pratiques sont mises en œuvre chez Microsoft, vous pouvez, en revanche, vous en inspirer pour vos propres infrastructures.
De manière générale, je retiens, en particulier, les vulnérabilités initiales contre lesquelles une grande majorité d’entre vous devez vous prémunir :
- des trous dans le déploiement des logiciels de protection contre les virus et autres logiciels malfaisants (malware)
- des mises à jour appliquées de manière incomplète
- des applications et systèmes d’exploitation périmés
- des erreurs de configuration
- des absences de pratiques de développements sécurisés d’applications
Ces éléments sont les points de départ de failles utilisées pour pénétrer dans les systèmes d’information.
Viennent ensuite des pratiques qui augmentent le risque de pouvoir rentrer dans le système d’information telles que :
- l’ouverture de session avec des comptes privilégiés sur des ordinateurs qui ne sont pas sécurisés
- la navigation sur Internet avec un compte privilégié
- l’utilisation de mêmes comptes privilégiés et mots de passe sur plusieurs ordinateurs
- les effectifs pléthoriques des groupes d’utilisateurs ayant des privilèges
- une gestion déficiente de la sécurité des contrôleurs de domaine
Un rappel est fait régulièrement aux 10 lois immuables de la sécurité et aux 10 lois immuables de l’administration de la sécurité qui, dans leur première publication, datent pourtant de l’an 2000. Elles restent applicables et d’un excellent conseil.
Active Directory Security Assessment (ADSA) est une offre de service citée par ce document pour l’évaluation des mesures que vous avez prises pour la protection de votre Active Directory.