La réflexion sur la bonne manière de traiter ce sujet dans les organisations se trouve à la croisée des projets de renforcement de la sécurité de l’AD et des projets de cyber-résilience.

Infrastructure et agent de sauvegarde : un point faible voire un vecteur de compromission

Nos différents états des lieux réalisés ces derniers mois nous le montrent : les stratégies de sauvegarde n’ont pas toujours évolué vers l’état de l’art.

Premier problème : les infrastructures de sauvegarde ne sont pas résilientes au risque cyber par défaut. L’authentification sur ces infrastructures de sauvegardes est par exemple très souvent liée à l’Active Directory lui-même. Par rebond, le système de sauvegarde pourrait être compromis par l’attaquant, induisant une potentielle destruction des sauvegardes… y compris celles de l’Active Directory !

Et les sauvegardes sont une cible de choix pour les attaquants. Dans plus de 20% des incidents gérés par le CERT Wavestone en 2021, les sauvegardes étaient impactées. Il convient donc d’intégrer le scénario cyber – et tout particulièrement le scénario rançongiciel – lorsque l’on pense à la résilience des sauvegardes.

Deuxième problème : les sauvegardes des Domain Controllers (DC) sont hébergées dans l’outil de sauvegarde, qui a souvent un niveau de sécurité plus faible que celui d’Active Directory. En effet, une organisation ayant déjà mené des travaux de sécurisation d’AD aura potentiellement fortement renforcé son tier 0 (l’on revient toujours au tiering !) : mise en place de postes dédiés pour l’administration, authentification multi-facteurs, filtrage réseau, matériel dédié, limitation du nombre de comptes à privilèges, etc. Cela ne sera hélas pas forcément le cas pour l’infrastructure de sauvegarde. Ces sauvegardes n’étant pas nécessairement chiffrées, un attaquant pourrait la récupérer et l’exfiltrer d’un DC en passant par l’infrastructure de sauvegarde, plus facile à compromettre. Une fois la sauvegarde exfiltrée, l’attaquant sera en mesure d’étendre encore son périmètre de compromission via une attaque de type pass the hash, après récupération des condensats ou encore une attaque par force brute, après extraction des secrets de la base ntds.dit pour récupérer des mots de passe en clair à rejouer sur des services dont l’authentification ne se base pas sur Active Directory.

Troisième problème : les méthodes traditionnelles de sauvegarde reposent sur des agents installés sur les Domain Controllers, dont les hauts privilèges servent parfois de vecteurs de compromissions. Les agents de sauvegarde nécessitent pratiquement toujours des droits d’administration sur l’actif sauvegardé, ce qui expose mécaniquement le Domain Controllers et donc les domaines Active Directory. L’on arrive donc à la situation paradoxale où la mesure de réduction de risque d’indisponibilité (installation d’un agent de sauvegarde sur un DC) devient elle-même la vulnérabilité à l’origine d’un risque pouvant devenir critique (indisponibilité de l’ensemble du système d’informations).

Sauvegarde sur média déconnecté, immuable ou dans le cloud : de multiples stratégies pour de multiples cas de figure

Pour résoudre ces deux problèmes, de multiples solutions existent et leur combinaison permet de construire une stratégie robuste. Cette stratégie doit prendre en compte le contexte de l’organisation ainsi que sa maturité en matière de cybersécurité.

Pour pallier le premier problème induit par l’agent vulnérable deux approches existent, toutes les deux viables :

1. Diminuer la probabilité d’exploitation de la vulnérabilité induite par l’agent de sauvegarde. Cela passe, au-delà des classiques sujets de maintien en condition de sécurité (mise à jour régulière, correction rapide de vulnérabilités de l’agent, etc.), par l’intégration d’un outil de sauvegarde dédié dans le tier 0, dont le niveau de sécurité aura été renforcé.
2. Se débarrasser de l’agent de sauvegarde. Comment ? En utilisant la fonction de sauvegarde native de Windows (Windows Backup), qui permet de réaliser et d’exporter une sauvegarde, que l’on pourra chiffrer et sortir du tier 0, vers un actif du tier 1, qui lui-même pourra être sauvegardé par la solution standard de sauvegarde de l’entreprise.

Pour renforcer la résilience des sauvegardes de l’Active Directory, plusieurs mesures doivent autant que possible se combiner :

1. Externaliser la sauvegarde sur média (version hors ligne). La première déclinaison peut être mise en place rapidement et à faible coût : un disque dur externe à déconnecter une fois la sauvegarde faite. Il s’agit simplement de mettre en place le processus organisationnel associé pour que l’action humaine puisse être faite sans oubli. La seconde déclinaison, pour les rares organisations qui en sont encore dotées, est de s’appuyer sur le système de sauvegarde sur bandes. Dans ce cas aussi, un point d’attention est de rigueur : la sauvegarde et l’externalisation régulière du catalogue de sauvegarde, pour ne pas perdre de temps en cas de restauration, dans le cas où celui-ci a disparu lui aussi (histoire s’inspirant de faits réels rencontrés par nos équipes de réponse à incident). Point d’attention : la sauvegarde sur bandes doit être vue comme un dernier recours pour s’assurer de conserver une copie des données, en cas de scénario catastrophe. En effet, ce format de sauvegarde ne se prête pas à la reconstruction rapide, en raison de délais incompressibles conséquents, avant même de pouvoir commencer à restaurer sur le SI de production : délai de rapatriement des bandes et délai la lecture de leur contenu.
2. Externaliser la sauvegarde en dehors du système d’information (version en ligne). Que cela soit réalisé à l’aise de scripts maison ou de solutions du marché (voir notre radar), après chiffrement robuste, une sauvegarde peut être externalisée. L’avantage des solutions du marché est qu’elles intègrent directement la partie reconstruction rapide (cf. partie suivante) d’un DC.
3. S’appuyer sur une sauvegarde complémentaire mais indépendante. Pour augmenter la disponibilité de l’infrastructure de sauvegarde, il suffit de la redonder en s’assurant qu’il n’y ait pas de risque de compromission simultanée. Pour cela, profitant de leur transition vers le cloud, de nombreuses organisations ont choisi récemment d’ajouter un DC supplémentaire, mais hébergé dans le cloud (les autres étant traditionnellement encore on-premises), bénéficiant ainsi naturellement des mécanismes de sauvegarde qui lui est propre. Du fait des mécanismes de réplication internes à AD, le DC hébergé dans le cloud sera compromis (compromission de certains comptes ou de certaines configurations d’AD) dans la même échelle de temps que ceux on-premises, mais l’étanchéité entre actifs sauvegardés et système de sauvegarde étant supposé meilleur dans le cloud, l’on aura plus de chance d’avoir une sauvegarde d’un DC encore disponible.
4. Rendre son infrastructure de sauvegarde immuable, en s’appuyant au maximum sur les solutions proposées par les éditeurs des logiciels de sauvegarde. En effet, la plupart des éditeurs proposent désormais des mécanismes d’immuabilité, qui parfois ne nécessitent pas l’achat de baies de stockage supplémentaires. En rendant les sauvegardes immuables sur leur stockage primaire, on s’assure d’un temps de reconstruction optimal puisqu’il ne sera pas nécessaire de rapatrier les sauvegardes depuis un stockage hors ligne (axe 1) ou en ligne (axe 2) avant de pouvoir commencer à restaurer. N.B.: l’axe 2 peut et doit bénéficier de ce concept (Amazon S3, Azure blob, etc.).

Enfin, dernier point de détail, connaître quel(s) DC sauvegarder et utiliser pour la restauration en cas de besoin est indispensable (DC Global Catalog, version d’OS la plus récente, etc.), tout comme la fréquence (sûrement quotidienne) et la durée de rétention (sujet beaucoup plus subjectif).

Reconstruction rapide : des capacités souvent incomplètement testées

Les tests de reconstruction sont aussi vieux que le concept de PCA/PRA. Mais là encore, l’on ne peut pas juste reposer sur ces tests annuels pour se considérer prêt, à la lumière de l’état de la menace. En effet, ces tests reposent très souvent sur des hypothèses qui ne seront pas vérifiées en cas de cyberattaque majeure : sauvegardes disponibles, confiance dans l’état du système d’information, outils collaboratifs (poste de travail, messagerie, outil de ticketing, etc.) fonctionnels, infrastructure d’accueil cible prête et disponible, etc.

De ce que l’on observe dans les organisations, les temps affichés et communiqués sur les temps de reconstruction d’un domaine AD sont souvent sous-estimés a priori. Les temps de déclenchement et d’arrêt du chronomètre sont bien souvent discutables : déclenchement au moment où l’on appui sur le bouton de démarrage de la restauration de la sauvegarde, arrêt au moment où un DC est restauré et opérationnel (procédure AD forest recovery exécutée [2]). Pour autant, l’on fait souvent fi de certains points qui peuvent difficilement être écartés pour comparer cette durée à celle du RTO :

• dépendance non satisfaite à un autre domaine indispensable (domaine présentant une ou plusieurs relation(s) d’approbation avec d’autres domaines) ;
• capacité à tenir la charge d’authentification que représentera une réouverture de service ;
• temps d’exécution des opérations de « toilettage » (changement de mot de passe en masse, désactivation de certains services ou compte, remise au propre dans les objets et les groupes, etc.) ;
• etc.

Lorsque l’infrastructure AD est paralysée par une cyberattaque majeure, sa reconstruction deviendra rapidement la priorité de la cellule de crise, en raison de la dépendance des applications et utilisateurs à celle-ci. C’est d’ailleurs un service dont le RTO est le plus faible. Dans le cas où les sauvegardes sont disponibles, se posent rapidement certaines questions qui doivent nourrir la stratégie de cyberdéfense que l’on est en train de définir (voir notre Top 10 des pièges à éviter pour une gestion de crise rançongiciel réussie) :

• Faut-il avoir une zone permettant d’accueillir la future infrastructure saine ?
• La création des utilisateurs dans Azure AD durant la crise permet-elle de rouvrir le service plus rapidem ent ?
• Dans le cas où il existe de nombreux domaines AD (cas des très grandes organisations) dans quel ordre procéder ?

Sur le volet infrastructure, d’abord, dans la vaste majorité des cas, disposer d’une zone isolée et sécurisée de reconstruction permet de gagner du temps. Celle-ci doit être disponible, prête à accueillir le nombre de VM permettant d’atteindre le niveau service considéré comme acceptable dans une telle situation et à la main (comptes avec les droits suffisants, accessibilité, etc.) de l’équipe responsable du service Active Directory uniquement. Cela pour réduire le risque de compromission mais aussi pour ne pas créer de freins (demandes à effectuer à une autre équipe) le jour où le besoin survient.

Cette zone peut-être on-premises ou dans un service cloud, dépendamment des coûts et de la posture cybersécurité de l’organisation quant à l’hébergement de DC sur un cloud (dans le cas où celui-ci est public). Cette zone dormante peut d’ailleurs être mise à profit pour accueillir les tests de restauration réguliers de l’Active Directory, pour être au plus proche d’une situation réelle. Enfin, cette infrastructure doit évidemment être dans le tier 0, si l’organisation s’appuie sur ce framework.

Sur le volet des processus, ensuite, il convient de préparer en amont plusieurs informations indispensables le jour où le besoin de reconstruire le service surviendra :

• déterminer le nombre de DC minimal ainsi que leur localisation (zone de reconstruction dans le cloud / on-premises, mais également géographiquement en cas de présence sur de multiples plaques) ;
• déterminer la méthode de réplication (réplication standard ou recours à IFM [3]) des DC permettant de minimiser le temps entre la disponibilité du premier et du dernier DC nécessaire à la réouverture du service ;
• des règles de filtrage prêtes et désactivées, qu’il suffira d’activer avant l’ouverture du service ;
• du niveau de risque acceptable pour la reconstruction (reconstruction simple et « toilettage » des objets ou méthode du pivot) ;
• (dans les organisations avec de multiples domaines servant plusieurs métiers) une séquence de reconstruction, qu’il aura fallu déterminer au-préalable avec les responsables métier, pour rouvrir le service selon les bonnes priorités.

Ici aussi, les outils de sauvegarde / restauration spécialisés AD apportent de la valeur : ils permettent d’exécuter la procédure de restauration d’une forêt AD en quelques clics et de manière automatisée. La parallélisation de ces opérations est également rendue possible, faisant de ces outils un accélérateur indéniable à considérer pour les organisations possédant de nombreuses forêts !

Sur le volet des ressources, enfin, il convient de disposer d’une organisation permettant de répondre à cette surcharge de travail ponctuelle mais très importante. Pour cela, l’automatisation des activités de reconstruction qui peuvent l’être, mais également le fait d’avoir des ressources ayant déjà pratiqué l’exercice à de multiples reprises s’avère souvent décisif.

Certaines organisations profitent des tests de Disaster Recovery (DR) pour simuler la pire situation possible pour le service Active Directory, plutôt que de simplement simuler une reprise seulement partielle. C’est indubitablement une bonne pratique.

En définitive, se poser la question de la résilience de son infrastructure Active Directory tire le sujet plus global de la résilience du système d’information, mais également celui du tiering, celui des exercices grandeur nature, à mener régulièrement. L’on pourrait même faire un pont avec le DevOps : ne rêverait-on pas de parvenir au redéploiement d’une infrastructure AD quasiment automatiquement, à l’image de ce que parviennent à faire les DevOps grâce au concept d’Infrastructure as Code ? En attendant, l’entraînement régulier reste le seul moyen d’atteindre un degré de sérénité sur ses capacités à rouvrir rapidement un service AD minimal, s’il venait à être entièrement détruit.

[1] https://www.wavestone.com/en/insight/cert-w-2022-cybersecurite-trends-analysis/

[2] https://learn.microsoft.com/fr-fr/windows-server/identity/ad-ds/manage/ad-forest-recovery-guide

[3] Install From Media : https://social.technet.microsoft.com/wiki/contents/articles/8630.active-directory-step-by-step-guide-to-install-an-additional-domain-controller-using-ifm.aspx

Cet article RECONSTRUCTION D’ACTIVE DIRECTORY : COMMENT SE DONNER LES MOYENS D’Y PARVENIR ? est apparu en premier sur RiskInsight.

Ces dernières années, il a très fréquemment été ciblé par les attaquants, puisqu’il a par exemple été compromis dans 100% des cyberattaques gérées par le CERT-Wavestone (cf. Cyberattaques en France : les ransomware toujours n^o1 – Par le CERT-Wavestone), dans l’optique d’utiliser les accès ainsi obtenus pour diffuser un logiciel malveillant (e.g. un rançongiciel) sur l’ensemble du SI ou encore d’accéder à de nombreuses informations sensibles de l’organisation et de les faire fuiter.

Pourtant son niveau de sécurité est encore largement insuffisant : 96% des tests d’intrusion réalisés par Wavestone en 2018, sur 25 systèmes d’information de grandes entreprises, ont résulté en sa compromission totale (cf. Bilan de la sécurité des sites web en France Retour sur 3 ans d’analyse de la sécurité des sites de grandes entreprises). Même si cette valeur est orientée à la baisse depuis 1 à 2 ans, elle reste aujourd’hui aux alentours de 90%.

Etant devenu une priorité absolue pour la plupart des organisations, les équipes de cybersécurité des entreprises ont lancé d’importants programmes de renforcement du niveau de sécurité de l’AD. Pour adresser ce chantier complexe, vaste d’un point de vue du périmètre et incluant de nombreux thèmes à traiter de front, notamment la mise en œuvre du tiering (cf. Livre Blanc – Sécurisation de l’Active Directory et d’Azure AD, enjeux et trajectoires de transformation – Wavestone et Microsoft), les organisations cherchent à se doter d’outils permettant de les aider dans l’exécution.

En analysant le marché, nous avons identifié 4 cas d’usage sur lesquels ces outils se positionnent :

1. L’analyse et l’audit
2. Le durcissement et le maintien en condition de sécurité
3. La détection
4. La réponse et la reconstruction

Le radar suivant recense un ensemble d’éditeurs mettant à disposition des solutions sur ces quatre cas d’usage en lien avec la sécurité d’Active Directory.

Dernière mise à jour : avril 2023

DES OUTILS SPECIALISES, REPONDANT CHACUN A UNE PARTIE DE L’EQUATION

« AUDIT » : CARTOGRAPHIER l’AD ET IDENTIFIER SES VULNERABILITES POUR STRUCTURER UN PLAN D’ACTIONS

Avant de débuter toute action de renforcement de la sécurité, il est nécessaire d’identifier le point de départ, en établissant un premier état des lieux. Pour cela, réaliser un audit outillé permet de revoir les différents éléments de configuration de l’AD : protocoles obsolètes, version d’OS obsolètes, niveau fonctionnel non à jour, politiques de mots de passe, relations d’approbations avec d’autres forêts AD, comptes à privilèges, octroi de droits pouvant conduire à des chemins de compromissions, etc.

Ces outils sont classiquement utilisés par les équipes de sécurité offensive (internes ou externes), mais l’on observe de plus en plus une utilisation récurrente de ce type d’outils par les équipes chargées du MCO de l’Active Directory et par les équipes sécurité durant le projet, pour suivre la correction mois après mois, des vulnérabilités identifiées.

Pour une identification des vulnérabilités de l’AD, l’on pourra notamment se tourner vers des outils tels que PingCastle (open source), Purple Knight (Semperis), Group3r (open source), ADAnlyzer (Cogiceo) ou encore OAADS (Microsoft). S’agissant des chemins de compromission, l’on pourra recourir à BloodHound (open source) ou AD Control Path (open source, ANSSI).

Enfin, pour les opérateurs règlementés et de la sphère publique, l’ANSSI propose le service Active Directory Security (ADS) [3], afin d’aider les opérateurs critiques à évaluer leur niveau de sécurité.

À noter que toutes les solutions d’audit ont en commun la production de rapports de sécurité sur les différents éléments revus, avec parfois un score de maturité (pouvant être basé sur les points de contrôle Active Directory mis à disposition par l’ANSSI [4]) et des indications techniques quant à la correction à appliquer. Il s’agira ensuite, pour les équipes cybersécurité, d’analyser et de mettre en perspective les différentes vulnérabilités à la lumière du contexte de l’entreprise (e.g. domaines prioritaires, adhérences avec d’autres projets en cours, trajectoire de sécurisation plus globales, etc.), d’établir un plan d’actions en identifiant au préalable les impacts associés à leur mise en œuvre, de prioriser le déploiement des actions correctrices et de s’assurer de leur caractère effectif.

« HARDEN & MANAGE » : RENFORCER LE NIVEAU DE SECURITE DE l’AD EN APPLIQUANT LES BONNES PRATIQUES

Maintenir le niveau de sécurité de l’Active Directory au quotidien n’est pas trivial. En effet, chaque jour, des changements sont apportés à différents niveaux (e.g. création de comptes, ajout de comptes à des groupes, octroi de droits à des comptes, modifications de GPO, modification de politiques de sécurité, etc.), pouvant, dans certains cas, exposer l’Active Directory plus que ce que l’on ne le pense.

D’abord, détecter de vulnérabilités sans délai et sans réaliser d’actions manuelles peut s’avérer être un accélérateur, si une gouvernance adéquate y est associée, afin de traiter les alertes remontées. Pour cela, des outils tels que Tenable.ad (Tenable), Directory Services Protector (Semperis) ou Security Compliance Toolkit (Microsoft) permettent d’offrir une visibilité en temps réel des vulnérabilités, permettant une plus grande réactivité dans la remédiation. Il est à noter que certaines organisations font le choix d’utiliser des outils d’audit qu’ils exécutent très régulièrement (i.e. plusieurs fois par mois), et identifient et traitent le delta.

De plus, un ensemble d’outils existent pour améliorer la visibilité globale, simplifier la gestion au quotidien et ainsi renforcer la sécurité ou encore permettre d’identifier des modifications de configuration menées. Par exemple, AD Audit Plus (Manage Engine) ou DatAdvantage for Directory Services (Varonis) permettent d’obtenir tous les détails concernant un changement effectué et d’être notifié si besoin, Booster for Active Directory (Brainwave) ou Privilege Assurance (QOMPLEX) améliorent la visibilité générale de l’AD. Par ailleurs, la suite d’outils de Quest, ActiveRoles For Server pour compléter la gestion des délégations, Change Auditor pour identifier les changements de configuration et GPOAdmin pour garder une bonne maitrise des GPO peuvent compléter les outils à disposition de l’équipe chargée du MCO de l’AD.

Enfin, s’agissant de l’amélioration de la gestion des comptes à privilèges, l’on peut citer Stealthbits Privileged Activity Manager (Netwrix), qui met en œuvre une solution de PAM qui permet par exemple d’implémenter du just-in-time administration (octroyer des privilèges à un compte seulement pour une opération à réaliser et non pas de manière permanente).

« MONITOR » : DETECTER LES TENTATIVES DE COMPROMISSION AVANT QU’ELLES N’ABOUTISSENT

Les configurations de sécurité maintenant activées, Active Directory est plus difficile à compromettre mais il n’en est toutefois pas à l’abris. Il est donc fondamental de le surveiller continuellement, afin d’être en mesure de détecter les premiers signes d’une attaque.

En complément des scénarios de détection mis en œuvre dans le SIEM par les équipes du SOC, reposant sur la corrélation de logs préalablement collectés, des outils spécialisés peuvent compléter le dispositif. Ces derniers récupèrent des données directement sur les Domain Controllers soit via un agent soit via un compte, puis mènent leurs propres opérations de corrélation et de détection.

Dans cette catégorie d’outils, l’on peut citer Tenable.ad (Tenable), Directory Services Protector (Semperis), Falcon Identity Threat Detection (CrowdStrike), Ranger AD & Singularity Identity (SentinelOne) ou encore DatAlert (Varonis).

« RESPOND & RECOVER » : INVESTIGUER LES COMPROMISSIONS ET RECONSTRUIRE L’ACTIVE DIRECTORY

En cas de compromission partielle ou totale de l’AD, deux actions devront être menées rapidement et en parallèle :

• l’investigation, pour comprendre comment l’attaquant a procédé et quel est le degré de confiance que l’on peut avoir dans l’AD dans son état actuel ;
• la restauration / reconstruction de l’AD, selon le cas de figure.

Afin de mener les investigations requises, et de pouvoir tenter de remonter à la source de compromission initiale, l’on peut notamment citer l’outil ADTimeline (open source, ANSSI), qui permet de retracer, via les données de réplication, les modifications qui ont été faites sur un AD.

Reconstruire entièrement son environnement AD peut prendre plusieurs jours, voire plusieurs semaines, ce qui peut entrainer de lourds impacts à l’échelle de l’organisation. Minimiser ce temps peut se révéler vital dans certains cas. Certains outils permettant de réduire ce temps de reconstruction, l’on peut notamment citer Active Directory Forest Recovery (Semperis), qui automatise les opérations de la procédure de récupération de forêt de Microsoft ou Recovery Manager for Active Directory (Veeam) qui combine sauvegarde mise à l’abris d’une compromission et restauration en cas de besoin.

Il est à noter que certaines organisations font le choix d’externaliser (après chiffrement) la sauvegarde ainsi que d’automatiser et de s’entrainer régulièrement à la reconstruction, ou encore d’héberger un des Domaine Controllers de la forêt sur une plateforme tierce pour maximiser les chances de succès de la restauration, en diversifiant les moyens de sauvegarde.

QUID D’AZURE AD ?

Dans la mesure où beaucoup d’entreprise sont aujourd’hui dans un mode hybride, il convient d’intégrer au plus tôt Azure AD dans le périmètre du chantier de sécurisation. Sur ce périmètre, certains outils peuvent être cités :

• Sur la partie « Audit» : Microsoft 365 DSC, BloudHound (incluant maintenant une partie Azure AD)
• Sur la partie « Harden & Manage » : CoreView, Idecsi, les outils Microsoft (Azure AD Access Reviews, Azure AD Entitlement Management, Azure AD Privileged Identity management, etc.)
• Sur la partie « Monitor » : Azure AD Identity Protection, Microsoft 365 DSC
• Sur la partie « Respond & Recover » : Azure AD Identity Protection, Quest On Demand Recovery

POINTS IMPORTANTS AU SUJET DU RECOURS AUX OUTILS

Le déploiement d’un outil ne permet pas, seul, de renforcer le niveau de sécurité des environnements AD. Après son acquisition, il s’agit de ne pas négliger le reste à faire : définir et mettre en place la gouvernance (processus, modèle d’organisation, comitologie, pilotage, reporting, contrôle, amélioration continue, etc.) et les ressources dotées de la bonne expertise permettant de rendre effective l’amélioration de la sécurité (traiter les alertes, corriger les vulnérabilités, mener des actions d’amélioration continue, etc.).

Aussi, un ensemble de projets connexes à mener et de processus à revoir lors de chantiers de sécurisation AD, qu’il convient de ne pas sous-estimer : patch management, inventaire, rationalisation (limitation du nombre de domaines / forêts afin de faciliter leur maintien en condition de sécurité), revue de la stratégie de sauvegarde, entrainement à la reconstruction, construction d’infrastructure de restauration / nettoyage, etc.

Enfin, lors du déploiement de ces outils, il convient de rester vigilant à ne pas exposer davantage l’Active Directory : installation d’agents sur les Domain Controllers, ouvertures de flux réseau, octroi de privilèges à des comptes ou à des comptes de services, etc.

À PROPOS DE NOTRE MÉTHODE

Le radar a été construit sur la base d’un recensement des outils du marché. Sur cette base et en lien avec les thèmes récurrents de sécurisation de l’Active Directory, une catégorisation a été établie pour en faciliter la lecture.

La liste des outils mentionnés ne prétend pas être exhaustive, dans la mesure où la liste d’outils pouvant concourir de près ou de loin à la sécurité de l’Active Directory est vaste. Ce radar est donc une synthèse des principaux outils existants, notamment ceux que les consultants Wavestone rencontrent le plus dans les organisations (envisagés, étudiés, testés voire déployés).

[1] https://docs.aws.amazon.com/whitepapers/latest/active-directory-domain-services//active-directory-domain-services.html

[2] https://www.silicon.fr/avis-expert/repenser-la-securite-dactive-directory-a-lere-du-cloud

[3] https://www.ssi.gouv.fr/actualite/le-service-active-directory-security-ads-accompagner-la-securisation-des-annuaires-active-directory-des-acteurs-critiques/

[4] https://www.cert.ssi.gouv.fr/uploads/guide-ad.html

Cet article Radar des outils pour renforcer la sécurité d’Active Directory est apparu en premier sur RiskInsight.