Chaque semaine, je discute avec des dizaines d’organisations, des très grandes, des moyennes, des gigantesques… c’est assez varié. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extrêmement sécurisé, c’est assez amusant.
J’insiste, mes contacts ne veulent pas « m’abuser » ou me « faire croire »… ils sont vraiment persuadés de maintenir un environnement Active Directory sécurisé… Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de sécurité de leur Active Directory, la plupart des réponses sont positionnées entre 7 et 9 – ils sont malheureusement très loin de la réalité…plus précisément de leur réalité…
Evidemment, le nouveau paradigme IT fait que la sécurité périmétrique disparait petit à petit au profit de la sécurité de la données et de la sécurité de l’identité – Même à l’heure du Cloud public, l’Active Directory se trouve au centre de cette stratégie Data+Identity – mais – ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont été implémentés il y a une dizaine d’années, à une époque où la sécurité périmétrique été reine et le Cloud public s’appelait encore ASP… Il y a donc beaucoup de chose à revoir, quitte à bousculer les certitudes…
Il est au final assez simple de mesurer le niveau de sécurité d’un environnement Active Directory, j’utilise généralement 10 questions assez simples me permettant d’évaluer le niveau de maturité du client sur la partie Active Directory :
# | Questions |
OUI |
NON |
1 | Sans vérifier, pouvez me dire combien de comptes sont administrateurs de vos domaines Active Directory ? | ||
2 | Avez-vous la liste de tous les changements réalisés et par qui, dans votre annuaire Active Directory depuis 90 jours ? | ||
3 | Avez-vous une trace vidéo ou texte de l’ensemble des actions réalisées par vos comptes à pouvoir sur vos systèmes d’exploitation intégrés dans Active Directory ? | ||
4 | Etes-vous capable de restaurer votre Forêt Active Directory en moins de 24 h – Si le client ne sait pas répondre, la question devient : avez-vous testé de restaurer complètement (complètement = 100% from scratch, on considère ici que aucun DC n’est en ligne pour faire le test, on part de zéro) votre forêt Active Directory sur un environnement d’intégration ? | ||
5 | Si un utilisateur utilise un outil permettant d’accéder à la mémoire vive de son PC, êtes-vous capable de le détecter ? | ||
6 | Est-ce qu’un compte administrateur du domaine a la possibilité d’ouvrir une session sur un serveur membre afin de l’administrer ? | ||
7 | Est-ce que le compte de service utilisé pour faire tourner vos antivirus sur vos postes de travail est membre du groupe « domain admins » ? | ||
8 | Est-ce que vos comptes administrateurs de domaine utilisent un deuxième facteur d’authentification pour ouvrir une session ? | ||
9 | Dans votre RACI lié à l’activité de gestion Active Directory, avez-vous identifié la notion de DATA et de SERVICES ? | ||
10 | Utilisez-vous un système de re-certification de vos objets GPOs et Security Group sur un intervalle inférieur à 1 an ? |
Les bonnes réponses sont les suivantes :
# | Questions |
OUI |
NON |
1 |
X |
||
2 |
X |
||
3 |
X |
||
4 |
X |
||
5 |
X |
||
6 |
X |
||
7 |
X |
||
8 |
X |
||
9 |
X |
||
10 |
X |
Si le client a moins de 50% de bonnes réponses, et bien c’est très simple, il est en danger, je dirais même en grand danger… mais il ne le sait pas… bon, du coup, on fait quoi ? on anticipe le danger ou on attend de se faire dépouiller ?
Si votre manager vous explique que la sécurité coûte trop cher et que de toute façon Active Directory, cela ne se voit pas et que l’on ne peut pas avoir de budget, écrivez un document expliquant ce que vous constatez sur votre AD et la liste de ce que vous proposez de faire pour corriger – et indiquez que vous dégagez votre responsabilité sur les pannes futures de votre service d’annuaire… vous verrez cela devrait le détendre 😉
3 réponses à “Sécurité Active Directory, les 10 questions à se poser immédiatement : Toutes les organisations pensent avoir un très bon niveau de sécurité de leur Active Directory…avant…de discuter avec moi !”
Incroyable, on dirait que vous décrivez ma vie au boulot !
Merci très bon article mais je rajouterai comme questions:
A) avez-vous défini une convention de nom pour les comptes à privilèges, les domaines admins , les comptes de services et applications
B) avez-vous mis en place FGPP?
C) avez-vous segmentez votre AD pour vous prévenir d’attaques de type PtH?
D) avez-vous mis en place MS ATA (now: azure ATP)?
Bonjour Jacques,
effectivement, tout à fait ok avec cela.
Pleins de questions sont possible pour jauger l’état de l’annuaire.
La convention de nommage est un point primordial. Il en faut une, et il faut l’appliquer. Et surtout, il faut la contrôler au travers de processus de révision de conformité, sinon il y a dérive…
FGPP avec l’utilisation d’objets PSO pour les stratégies de mot de passe différenciées en fonction de la population est un basique, mais il faut effectivement le rappeler.
La segmentation en 3-Tiers model doit être en oeuvre pour répondre partiellement aux attaques de type PtH – c’est en fait l’objet des questions 5, 6 et 7 !
MS ATA est un très bon outil, vraiment – très simple d’utilisation et pertinent dans les alertes – il est par contre vraiment dommage que Microsoft applique une politique tarifaire rédhibitoire pour les clients…
merci pour ces commentaires avisés !