Protection des actifs critiques dans l’Active Directory : que savoir ?

(Contenu partenaire)

Ces dernières années, nombre de cybercriminels ont compris que l’Active Directory était un vecteur privilégié pour prendre la main sur le système d’information des organisations. 70 % des attaques par rançongiciel (ransomware) utilisent ainsi l’Active Directory pour se répandre sur les machines d’une entreprise afin de chiffrer les données. Et pour cause : « Si quelqu’un est en capacité de voler le hash d’un mot de passe, il peut voler l’identité de la personne », assurait Sylvain Cortes, Security Strategist chez Tenable, lors d’un webinar inCyber dédié aux stations d’administration des privilèges (PAW).

C’est l’une des raisons pour lesquelles l’accès à l’Active Directory est hiérarchisé en trois catégories (Tier-0, Tier-1 et Tier-2), en fonction de la criticité des actifs. Le Tier-0, le plus sécurisé, étant réservé aux contrôleurs de domaines et aux actifs qui auront besoin d’effectuer des requêtes vers ces derniers.

Théoriquement, quelqu’un qui a besoin d’accéder aux trois tiers travaillerait donc avec quatre machines : trois pour administrer les différents tiers, les PAW, et son appareil bureautique. La pratique est pourtant tout autre, car « ce serait beaucoup trop lourd (…) il faut adapter l’architecture des PAW », a admis Sylvain Cortes.

Adapter l’architecture des PAW

Les principes théoriques à respecter dans la pratique

« Dans les principes de bonne configuration des PAW, comme ceux fournis par le Center for Internet Security (CIS), certains éléments sont absolument nécessaires », a assuré Sylvain Cortes. Parmi eux, on retrouve :

• Le bannissement des clés USB
• L’interdiction de la connexion à Internet
• La pré-installation des outils d’administration
• Le filtrage des connexions entrantes et sortantes depuis et vers les PAW

Les adaptations souvent nécessaires

Par souci de praticité, toutefois, « on fera généralement quelques entorses aux règlement » :

• Beaucoup d’entreprises n’ont des PAW que pour administrer le Tier-0, qui rassemble les actifs les plus critiques ;
• Séparer, grâce à des comptes d’administration de différentes natures, les utilisateurs des actifs et leurs administrateurs, s’avère parfois trop difficile et n’est pas toujours mis en pratique ;
• De même, l’obligation de placer les PAW sur des réseaux dédiés (VLAN) n’est pas toujours aisée à mettre en place, « notamment lorsque l’on a des administrateurs itinérants ».

Comment bien administrer un PAW

Quatre types de comptes indispensables

Pour que le PAW remplisse au mieux son rôle, il est nécessaire de créer quatre types de comptes :

• Un compte d’administrateur de Tier-0, dans l’Active Directory ;
• Un compte d’administrateur du PAW lui-même, également dans l’Active Directory ;
• Un compte d’administrateur de Tier-0, en local ;
• Un compte d’administrateur du PAW, également en local.

Les deux comptes en local, dits « brise-glace » (local break glass accounts), servent à administrer le PAW et les actifs de Tier-0 en cas de problème lié à l’Active Directory – notamment une cyberattaque. « Vraisemblablement, il faudra aussi un serveur de rebond qui servira de passerelle entre le PAW et l’Active Directory dans le cas où l’on est contraint d’utiliser un compte brise-glace », a complété l’expert.

LAPS ou PAM, en fonction de vos besoins

Avec des comptes d’administration locaux, une solution comme LAPS, un outil Microsoft « facile à installer » et qui « permet d’assurer la complexité et le renouvellement du mot de passe d’un compte administrateur local », est également la bienvenue, assurait Sylvain Cotes.

Lorsqu’une entreprise a besoin de gérer une multitude de comptes administrateurs locaux, il est recommandé d’utiliser des solutions plus complètes, les outils de Privileged Access Management (PAM).

Comment configurer les politiques de sécurité sur un PAW

Trois types de GPO

LAPS ou les solutions de PAM permettent aux entreprises de gérer les comptes brise-glace avec des politiques de gestion (GPO), selon les bonnes pratiques du CIS. Ces GPO sont de trois ordres :

• Celles qui gèrent l’appartenance des actifs aux groupes locaux ;
• Celles qui gèrent les restrictions d’accès ;
• Celles qui paramètrent le PAW (gestion du pare-feu, condamnation des clés USB…).

« Bien évidemment, il est possible d’intégrer tous ces aspects dans une seule et même GPO », a précisé Sylvain Cortes.

1. Gestion des groupes locaux

Pour gérer les groupes locaux, il existe deux méthodes qui peuvent être combinées :

• La GPO préférentielle, qui consiste à assembler des actifs au sein des groupes ;
• La GPO restrictive, qui, elle, permet de restreindre l’accès de certains groupes à un type d’actifs.

« Vous allez aussi pouvoir filtrer les politiques de sécurité en fonction des groupes, une fonction essentielle des GPO », a-t-il poursuivi.

2. Gestion des restrictions d’accès

Il s’agit d’autoriser ou d’interdire l’accès de certains actifs ou groupes d’actifs à certains utilisateurs, en fonction de leur statut et de leurs tâches à accomplir.

« Depuis 2012, dans l’Active Directory, Microsoft a créé un groupe appelé Protected users, qui a pour objectif de sécuriser un peu plus l’authentification des administrateurs, notamment en interdisant le mécanisme de cache local », notait Sylvain Cortes, ce qui demandera d’utiliser un serveur rebond ou toute autre méthode pour s’authentifier en hors-ligne, ou encore d’utiliser des solutions de Secure Access Service Edge (SASE).

3. Gestion de paramétrage du PAW

Pour ce qui est du paramétrage du PAW, il est impératif de vérifier que l’ISO de Windows sur lequel vous installez votre PAW n’a jamais été reconfiguré, voire compromis.

Ensuite, il existe également une myriade de paramètres et fonctions pour sécuriser la machine :

• Secure boot
• Chiffrement BitLocker
• LogForwarding
• AppLocker
• …

Pour vous aider à sécuriser l’Active Directory et à détecter des attaques qui visent l’AD, Tenable a mis au point Tenable.ID, une solution qui offre plusieurs outils, tels que des tableaux de bord pour faciliter le paramétrage des différents tiers ou encore des indicateurs d’exposition (niveau de politique de mots de passe, problème de paramétrage des administrateurs en fonction des tiers…) et système d’alerte vers le Security Operations Center (SOC).

« Notre toute nouvelle fonction, Attack Path, vous permet également de vérifier les contrôles entre les tiers, notamment les plus dangereux, afin de visualiser si vos utilisateurs peuvent passer d’un tiers à un autre via un PAW », a enfin conclu l’expert.

Retrouvez bientôt le livre blanc complet de Tenable lié à ce webinar, « Designing Privileged-Access Workstations (PAWs) in an Active Directory Tier-0 Environment ».