Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Active Directory : face à un « risque croissant », l’ANSSI publie ses recommandations

L'Agence nationale de la sécurité des systèmes d'information explique que « l’analyse des modes opératoires des attaques récentes met en évidence une recrudescence du ciblage des annuaires Active Directory, compte tenu de leur rôle de pierre angulaire de la plupart des systèmes d’information. En effet, l’attaquant ayant obtenu des droits élevés sur l’annuaire peut alors déployer une charge malveillante sur l’ensemble du système d’information ».

Ses observations font apparaître « un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory », avec une sécurité allant en décroissance au fil du temps. 

« En réponse à ce risque croissant, l’ANSSI a développé et met à disposition un recueil de points de contrôle, afin d’accompagner les chaînes DSI et SSI dans le suivi du niveau de sécurité des annuaires Active Directory », indique l’Agence.

18 commentaires
Avatar de tifounon Abonné
Avatar de tifounontifounon- 04/06/20 à 08:46:26

Azure + Logs Analytics + Agent OMS sont très bien pour ça

Avatar de teddyalbina Abonné
Avatar de teddyalbinateddyalbina- 04/06/20 à 09:33:45

Les serveurs AD sont ultra sensible, ils doivent faire l'objet d'une attention particulière malheureusement souvent négligée car cher.

Avatar de Ozwel INpactien
Avatar de OzwelOzwel- 04/06/20 à 09:33:48

tifounon a écrit :

Azure + Logs Analytics + Agent OMS sont très bien pour ça

Ou mieux encore : Azure ATP (anciennement Advanced Threat Analytics aka "ATA").

https://docs.microsoft.com/en-us/azure-advanced-threat-protection/what-is-atp

Édité par Ozwel le 04/06/2020 à 09:35
Avatar de tipaul Abonné
Avatar de tipaultipaul- 04/06/20 à 10:24:54

Est-ce que je comprends bien si je dis que j'ai compris : "c'est l'implémentation des AD qui pose problème et leur administration, pas le soft en lui-même qui serait une passoire" ?
Le titre laisse à penser que c'est AD le problème alors que ce ne serait pas ça si j'ai bien compris.

Avatar de SamLeChiseuji INpactien
Avatar de SamLeChiseujiSamLeChiseuji- 04/06/20 à 10:29:18

Tu as bien compris, on ne parle pas de failles dans AD, mais bien de soucis d’implémentation/administration.

Avatar de Citan666 Abonné
Avatar de Citan666Citan666- 04/06/20 à 11:17:39

C'est sûr que si l'administrateur infra laisse les réglages par défaut / ne met pas à jour / n'implémente pas de règles de définition de mot de passe correctes / ne force pas à changer régulièrement (même si ultra chiant pour les utilisateurs ^^) / n'a pas de sniffer pour détecter et réagir à des comportements anormaux...

Il est difficile d'accuser l'outil. :transpi:

Édité par Citan666 le 04/06/2020 à 11:17
Avatar de FuraxFox Abonné
Avatar de FuraxFoxFuraxFox- 04/06/20 à 11:44:30

Active Directory est compliqué.
C'est rendu pire par le fait que des pratiques courantes (et recommandées) il y a quelques années sont devenues obsolètes. Pire encore, l'installation de certaines applications fait sauter des mesures de sécurités (des droits d'accès, des inclusions dans des groupes privilégiés, des mise à valeurs dangereuses de champs optionnels...). Et la moindre de ces erreurs, dans un annuaire qui compte des centaines de milliers de noeuds peut mener à la compromission totale d'un système d'information. Des outils offensifs comme Bloodhound existent juste pour les rechercher automatiquement.
 
Un AD récent (2016 et suivant), hors de la boite est plutôt sécurisé. Mais quand on commence à y connecter tout un système d'information le niveau peut descendre vite.
  
Il ne suffit pas d'avoir de bonnes pratiques d'admin (mot de passes forts, double authent, postes dédié...) voir le guide d’hygiène de l'ANSSI pour çahttps://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/

Il faut régulièrement inspecter son Active Directory et faire le ménage de ce qui a sauté ou été mal configuré.
Ce document explique quoi regarder, et pourquoi.

Avatar de Gawked Abonné
Avatar de GawkedGawked- 04/06/20 à 12:21:16

J’ai toujours du mal à comprendre ce que c’est Active Directory et dans quelles circonstances on s’en sert. Quelqu’un pourrait me faire un ELI5 ?

Avatar de aureus Abonné
Avatar de aureusaureus- 04/06/20 à 12:56:10

L'active directory est un annuaire avec une forte intégration dans l'environnement microsoft.

Un annuaire est une base de donnée spécialisé dans l'identité (authentification, identification, gestion de mot de passe, ....).

Microsoft a rajouté une surcouche applicative à leur annuaire pour la gestion des connexion sur les PC (centralisation des identifiants/mot de passe, politique de mot de passe, gestion des droits,...) ,  l'intégration dans leurs messageries (exchange, exchange online, ...) la fédération, ..

Édité par aureus le 04/06/2020 à 12:56
Avatar de Gilbert_Gosseyn Abonné
Avatar de Gilbert_GosseynGilbert_Gosseyn- 04/06/20 à 13:13:50

tipaul a écrit :

Est-ce que je comprends bien si je dis que j'ai compris : "c'est l'implémentation des AD qui pose problème et leur administration, pas le soft en lui-même qui serait une passoire" ?
Le titre laisse à penser que c'est AD le problème alors que ce ne serait pas ça si j'ai bien compris.

En lisant ce document, c'est surtout l'administration qui peut poser problème si pas faite dans les règles de l'art.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2