Active Directory

Active Directory centralise identités, postes, groupes, politiques et accès. Une faiblesse AD peut transformer une compromission locale en compromission globale du domaine.

Pourquoi AD est critique

Active Directory est souvent le cœur de l'identité en entreprise.

Il contrôle :

• comptes utilisateurs
• comptes administrateurs
• machines jointes au domaine
• groupes privilégiés
• GPO
• authentification
• accès aux ressources internes

Un attaquant qui obtient des droits élevés dans AD peut souvent accéder à de nombreux systèmes.

Risques fréquents

• comptes admin utilisés au quotidien
• mots de passe faibles ou réutilisés
• comptes de service trop privilégiés
• groupes privilégiés trop larges
• partages accessibles à trop de monde
• délégations mal maîtrisées
• GPO anciennes ou dangereuses
• journalisation insuffisante
• contrôleurs de domaine mal isolés

Kerberos et NTLM

Kerberos est le mécanisme d'authentification principal en domaine Windows. NTLM existe encore dans certains environnements pour compatibilité.

Points de vigilance :

• comptes avec mots de passe faibles
• SPN mal gérés
• délégations trop larges
• services anciens dépendants de NTLM
• absence de surveillance des connexions

Hygiène défensive

• séparer comptes admin et comptes quotidiens
• appliquer le moindre privilège
• auditer les groupes privilégiés
• surveiller les connexions administratives
• déployer LAPS ou Windows LAPS
• réduire NTLM quand c'est possible
• protéger les contrôleurs de domaine
• limiter les connexions admin aux postes dédiés
• journaliser les changements de groupes

Détection utile

À surveiller :

• ajout à un groupe privilégié
• création de compte admin
• connexions admin inhabituelles
• authentifications échouées massives
• modifications de GPO
• changements sur comptes de service
• activité anormale sur contrôleurs de domaine