Partager :
AUDIT ACTIVE DIRECTORY
Microsoft Active Directory est une brique centrale du système d’information de la plupart des entreprises. Un contrôleur de domaine Active Directory constitue une cible privilégiée pour un attaquant puisque sa compromission fournira à celui-ci un accès aux ressources de l’entreprise. Que ce soit dans un contexte d’audit ou suite à une compromission avérée, l’analyse de la sécurité de l’AD est essentielle et doit être appliquée de façon récurrente.
Elle permet de réduire la surface d’attaque et de prévenir les risques d’abus, notamment l’escalade de privilège et la persistance d’un attaquant au sein du système d’information.
Cet audit spécifique proposé par Synetis regroupe un audit de configuration combiné avec un audit offensif de l’Active Directory.
L’audit de sécurité de l’environnement Active Directory est réalisé selon l’approche « audit de configuration » c’est-à-dire que l’auditeur est en possession d’un compte d’accès privilégié au domaine dans l’objectif de vérifier le paramétrage et de déterminer si l’implémentation technique de l’environnement cible est conforme aux bonnes pratiques de sécurité et ne présente pas de risque pour le système d’information.
En parallèle de l’audit de configuration, l’approche offensive est réalisée concomitamment et est composée d’une partie réalisée en boîte noire (sans compte utilisateur), puis d’une partie boîte grise (avec compte utilisateur). Pour ces travaux, Synetis cherchera, à titre illustratif, à mettre en œuvre des attaques MitM par empoisonnement LLMNR/NBNS ou DHCPv6, à réaliser des déplacements latéraux, à élever ses privilèges etc.
L’approche proposée par Synetis (travaux d’audit de configuration en parallèle de tests offensifs AD) permet d’analyser finement la configuration de l’Active Directory, des Domain Controllers, des GPO, des services, de la structure de l’AD, des permissions et comptes à privilèges, etc.
Ainsi, à l’issue de cette analyse, une roadmap précise pourra être éditée afin de permettre d’accroître sensiblement la sécurité globale du domaine Active Directory audité.