Les meilleures pratiques de sécurisation d’un AD

ms_active_directory

Fin avril dernier, Microsoft a publié un document de référence technique détaillé “Best Pratices for Securing Active Directory”.

Active Directory (AD) est un des composant essentiel, vital et critique au sein d’une infrastructure informatique d’entreprise. Cet outil harmonise et veille à la sécurité des différentes ressources du réseau (systèmes, machines, organisation, services…). Il s’intègre dans des environnements mondiaux de plus en plus interconnectés, exposés, et couplé au cloud qui a le vent en poupe.

Ce document recense un ensemble de 22 techniques pratiques pour aider, sensibiliser et aiguiller les responsables informatiques des entreprises, afin de confiner et protéger les environnements Active Directory :

  • Patch applications.
  • Patch operating systems.
  • Deploy and promptly update antivirus and antimalware software across all systems and monitor for attempts to remove or disable it.
  • Monitor sensitive Active Directory objects for modification attempts and Windows for events that may indicate attempted compromise.
  • Protect and monitor accounts for users who have access to sensitive data.
  • Prevent powerful accounts from being used on unauthorized systems.
  • Eliminate permanent membership in highly privileged groups.
  • Implement controls to grant temporary membership in privileged groups when needed.
  • Implement secure administrative hosts.
  • Use application whitelisting on domain controllers, administrative hosts, and other sensitive systems.
  • Identify critical assets, and prioritize their security and monitoring.
  • Implement least-privilege, role-based access controls to administer the directory, its supporting infrastructure, and domain-joined systems.
  • Isolate legacy systems and applications.
  • Decommission legacy systems and applications.
  • Implement secure development lifecycle programs for custom applications.
  • Implement configuration management, review compliance regularly, and evaluate settings with each new hardware or software version.
  • Migrate critical assets to pristine forests with stringent security and monitoring requirements.
  • Simplify security for end users.
  • Use host-based firewalls to control and secure communications.
  • Patch devices.
  • Implement business-centric lifecycle management for IT assets.
  • Create or update incident recovery plans.

Les méthodes décrites se fondent sur l’expérience de l’organisation “Microsoft Information Security and Risk Management” (ISRM), en charge de la protection des actifs “Microsoft IT” et des divisions “Microsoft Business”.

Les axes principaux décrits dans ce document s’orientent vers la compréhension des besoins en sécurité, la mise en place d’un AD en bonne santé, l’implémentation d’une surveillance et les actions à entreprendre pour réduire les angles d’attaques de ce composant critique souvent ciblé en priorité par des assaillants. Ces attaques communes sont également détaillées.

Pour consulter ce document, suivre ce lien.

Sources & ressources :

Yann CAM

Consultant Sécurité