fr
fr

Hardening AD

Description de l'article de blog :

1/17/20253 min temps de lecture

Outils de hardening et d'analyse Active Directory

1. Microsoft Security Tools

  1. Microsoft Advanced Threat Analytics (ATA) :

    • Analyse le comportement des utilisateurs et identifie les activités suspectes, comme les mouvements latéraux ou les attaques de type "Pass-the-Hash".

    • Bien que Microsoft privilégie désormais Defender for Identity, ATA reste un outil précieux.

  2. Microsoft Defender for Identity (anciennement Azure ATP) :

    • Outil cloud intégré à Microsoft 365.

    • Surveille les activités suspectes sur Active Directory et alerte sur des menaces comme les tentatives de compromission de comptes ou les escalades de privilèges.

  3. AD ACL Scanner :

    • Un outil simple pour auditer les permissions dans Active Directory.

    • Identifie les ACL (Access Control Lists) mal configurées pouvant entraîner des vulnérabilités.

  4. LAPS (Local Administrator Password Solution) :

    • Gère automatiquement les mots de passe des comptes administrateurs locaux pour chaque machine dans Active Directory.

    • Permet de limiter les risques liés aux comptes administrateurs locaux avec des mots de passe statiques.

LDAPS

2. Outils tiers populaires

  1. PingCastle :

    • Génère des rapports détaillés pour évaluer la sécurité d'Active Directory.

    • Identifie les faiblesses courantes, comme les mots de passe faibles, les utilisateurs à privilèges excessifs, ou les problèmes d'expiration de comptes.

    • Simple à utiliser avec une interface claire.

  2. BloodHound :

    • Analyse la topologie de l'Active Directory pour identifier des chemins d'attaque potentiels.

    • Aide à visualiser les relations entre les comptes, les groupes et les permissions pour détecter des escalades de privilèges.

  3. Purple Knight :

    • Outil gratuit développé par Semperis.

    • Effectue une évaluation approfondie de la sécurité AD en recherchant des failles de configuration et des vulnérabilités exploitées couramment par les attaquants.

  4. ADRecon :

    • Collecte des données critiques sur Active Directory et génère des rapports d'audit complets.

    • Idéal pour les administrateurs qui souhaitent avoir une vue globale de leur environnement.

  5. Sharphound :

    • Composant de BloodHound permettant de collecter des informations sur l'AD.

    • Souvent utilisé pour simuler des scénarios d'attaque et d'escalade de privilèges.

  6. DSInternals :

    • Fournit des outils pour tester les mots de passe hashés, évaluer les politiques de mot de passe, et auditer l'intégrité de la base de données AD.

    • Permet également de vérifier si des secrets stockés dans AD sont bien protégés.

3. Outils d'audit et de surveillance

  1. Netwrix Auditor for Active Directory :

    • Fournit des rapports détaillés sur les modifications dans AD, comme les changements d'appartenance à des groupes ou les permissions.

    • Idéal pour le suivi des activités suspectes et la conformité réglementaire.

  2. Lepide Auditor for Active Directory :

    • Un outil complet pour auditer, surveiller et alerter sur les activités dans Active Directory.

    • Fournit également des informations sur les modifications de fichiers et les accès non autorisés.

  3. Quest Change Auditor for Active Directory :

    • Surveille et alerte en temps réel sur les modifications AD.

    • Fournit des rapports détaillés et des alertes spécifiques pour les activités suspectes.

4. Outils de gestion des mots de passe

  1. Specops Password Auditor :

    • Vérifie les mots de passe des utilisateurs dans Active Directory pour détecter les mots de passe faibles ou compromis.

    • S'intègre avec les bases de données de mots de passe compromis comme "Have I Been Pwned".

  2. PwnedPasswords :

    • Compare les mots de passe des utilisateurs d'AD à une base de données de mots de passe compromis.

5. Scripts et outils open-source

  1. PowerSploit :

    • Collection de scripts PowerShell pour tester la sécurité d'Active Directory.

    • Inclut des outils pour vérifier les permissions et les faiblesses d'authentification.

  2. Invoke-ACLPwn :

    • Un outil permettant de rechercher et d'exploiter les mauvaises configurations d'ACL dans Active Directory.

  3. Rubeus :

    • Un outil avancé pour tester Kerberos et détecter les faiblesses dans l'infrastructure de tickets Kerberos.

6. Simulateurs d'attaques (pour évaluer la posture de sécurité)

  1. Mimikatz :

    • Bien que conçu pour les tests de pénétration, il est utilisé pour détecter les mauvaises configurations qui permettent l'extraction de mots de passe en clair ou de hash.

  2. Cobalt Strike (ou des alternatives comme Brute Ratel) :

    • Permet de simuler des attaques ciblées contre Active Directory pour identifier les failles potentielles.

  3. Atomic Red Team :

    • Bibliothèque d'attaques simulées, basée sur le cadre MITRE ATT&CK.

    • Permet de tester la capacité d'AD à résister à des techniques d'attaque spécifiques.

Bonnes pratiques associées

En complément de ces outils, applique les bonnes pratiques suivantes :

  • Réduire les privilèges inutiles (Principe du moindre privilège).

  • Séparer les comptes administratifs des comptes d'utilisateur standard.

  • Activer les journaux d'audit pour surveiller les accès et les modifications.

  • Implémenter une architecture Zero Trust pour limiter les mouvements latéraux.

  • Renforcer Kerberos en désactivant les anciens protocoles d'authentification comme NTLM.

Conclusion

Les outils comme PingCastle, BloodHound, Purple Knight, et Microsoft Defender for Identity sont parmi les plus populaires pour le hardening d'Active Directory. Ils permettent d'identifier les vulnérabilités, de surveiller les modifications, et de prévenir les cyberattaques.