« Active Directory Securisation » : différence entre les versions

De NCad Wiki
Aller à la navigation Aller à la recherche
Ligne 148 : Ligne 148 :
## Sélectionner les options de chiffrement '''AES256_HMAC_SHA1'''{{Exp|2}} et '''Futurs types de chiffrement'''{{Exp|2}} depuis la liste de sélection.<br />[[Image:MMCGPO_NEWOBJECT_O_WINDOWS_CIPHERS_AD_TYPES_DE_CHIFFREMENT_KERBEROS_SETTINGS.png]]
## Sélectionner les options de chiffrement '''AES256_HMAC_SHA1'''{{Exp|2}} et '''Futurs types de chiffrement'''{{Exp|2}} depuis la liste de sélection.<br />[[Image:MMCGPO_NEWOBJECT_O_WINDOWS_CIPHERS_AD_TYPES_DE_CHIFFREMENT_KERBEROS_SETTINGS.png]]
## Cliquer sur le bouton {{Bouton|OK}} pour enregistrer les paramètres.
## Cliquer sur le bouton {{Bouton|OK}} pour enregistrer les paramètres.
# Sur le''(s)'' controlleur''(s)'' de domaine, exécuter la commande : {{Commande|gpupdate /force}}
# Sur le''(s)'' contrôleur''(s)'' de domaine, exécuter la commande : {{Commande|gpupdate /force}}
# Redémarrer le''(s)'' controlleur''(s)'' de domaine pour appliquer la nouvelle stratégie.
# Redémarrer le''(s)'' contrôleur''(s)'' de domaine pour appliquer la nouvelle stratégie.


== Blindage Kerberos ==
== Blindage Kerberos ==

Version du 20 juillet 2024 à 17:35

Rôles Active Directory

Installation du rôle ADCS | Gestion des certificats | Authentification par cartes à puce

Installation du rôle ADDS | Sécuriser son environnement Active Directory | Windows LAPS | gMSA


Archives : Contrôleur de domaine Windows Server 2003 | Intégration Client Ubuntu sur AD Windows Server 2003 | Windows Server 2008

Cet article est en cours de rédaction.

Outils d'évaluation

Les outils d'évaluation présentés sont exécutés sur un environnement Active Directory de test. Cet environnement est basé sur Windows Server 2019 Standard Edition avec les dernières mises à jour de sécurité (juillet 2024).

Auditer son environnement Active Directory permet d'identifier et de corriger des failles de sécurités. Si certaines failles de sécurités se corrigent à l'aide d'un patch ou d'une mise à jour, d'autres peuvent nécessiter de modifier la configuration standard de l'environnement Active Directory. Dans certains cas, cela peut avoir une incidence directe sur le bon fonctionnement de l'environnement Active Directory (clients et serveurs).

Il est vivement conseillé d'appliquer ces recommandations avec prudence. Cela peut affecter le bon fonctionnement de votre installation si ces modifications ne sont pas maîtrisées.
Dans le doute, et dans la mesure du possible, procédez toujours à l'audit de votre environnement avant de généraliser l'application d'une mesure de protection.
Pour certains points sensibles, vous trouverez une section audit qui vous permettra d'identifier les éléments de votre infrastructure qui ne sont pas compatible avec la mesure de sécurité étudiée.

PingCastle

PingCastle est un outil d'audit notant la vulnérabilité d'un environnement Active Directory en fonction du nombre de points collectés. Plus le score est élevé, plus l'infrastructure est vulnérable. Cet outil dispose d'une version gratuite.

  1. Récupérer la dernière version de PingCastle depuis le site de l'éditeur https://www.pingcastle.com/.
  2. Extraire le contenu de l'archive ZIP puis lancer l'exécution du fichier .
    PINGCASTLE EXECUTABLE.png
  3. Un terminal de commande s'affiche. Par défaut, la sélection courante est positionnée sur l'analyse de type healthcheck-Score the risk of a domain. Appuyer sur la touche Entrée pour poursuivre.
    PINGCASTLE HEALTHCHECK SELECT.png
  4. À l'étape Select a domain or server, le script détecte automatiquement le domaine. Le cas échéant, renseigner le domaine à auditer. Appuyer sur la touche Entrée pour poursuivre.
    PINGCASTLE DOMAIN SELECT.png
  5. Après quelques minutes d'analyse, le programme vous invitera à appuyer sur n'importe quelle touche pour quitter l'analyse.
    PINGCASTLE HEALTHCHECK FINISHED.png
  6. Un rapport au format html est généré dans le dossier d'extraction de PingCastle. Ouvrir ce rapport à l'aide d'un navigateur web.
    PINGCASTLE RAPPORT SAVED.png
  7. Au début du rapport, la section Indicator nous indique le score affecté à notre environnement Active Directory. Ensuite, ce score est détaillé autour de quatre thématiques :
    • Les objets, paramètres ou encore protocoles obsolètes.
    • Les problèmes de configuration au niveau des privilèges utilisateurs.
    • Le niveau de confiance entre les différentes composantes Active Directory (dans le cas des configurations avec plusieurs forêts).
    • Les anomalies ou dysfonctionnements de l'infrastructure Active Directory.
      PINGCASTLE RAPPORT INDICATORS.png
  8. Les quatre thématiques décrites à l'instant sont ensuite détaillées dans un tableau d'analyse des risques.
    PINGCASTLE RAPPORT RISK MODEL.png
  9. Le rapport détaille ensuite chacun des risque en reprenant chacune des vulnérabilité avec le niveau de criticité et une proposition de remédiation.

Il est vivement recommandé de traiter les points catégorisés INFO dans le rapport. Le traitement de ces points améliore de manière significative la sécurité de l'environnement.

ORADAD

ORADAD est un outil d'audit fournit et maintenu par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Informations).

Cet outil vérifie si la configuration de l'environnement Active Directory, à savoir s'il respecte les bonnes pratiques. Une note entre 1 et 5 est attribuée en fonction du niveau de sécurité de l'environnement. Sachant qu'une note de 3 correspond à la configuration d'origine Active Directory, un score inférieure équivaut à une infrastructure vulnérable présentant des carences importances.

L'outil est disponible pour les opérateurs règlementés et les organismes de la sphère publique gratuitement.

Les points de contrôle effectués par ORADAD sont consultables depuis la page web dédiée sur le site du CERT-FR.

Sécuriser l'exécution du service spouler d'impression

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE : CVE-2021-34527
Correctif(s) : KB5005010

Objet de la stratégie

Bien que le service spouleur d'impression semble inoffensif, tout utilisateur authentifié peut se connecter à distance au service du spouleur d’impression d’un contrôleur de domaine et demander une mise à jour sur les nouveaux travaux d’impression. En outre, les utilisateurs peuvent indiquer au contrôleur de domaine d’envoyer la notification au système avec une délégation non contrainte. Ces actions testent la connexion et exposent les informations d’identification du compte d’ordinateur du contrôleur de domaine (le spouleur d’impression appartient à SYSTEM).

— Source: Support Microsoft

Correction au niveau des Contrôleurs de Domaine

L'opération consiste à désactiver le service spouleur d'impression sur les contrôleurs de domaine.

Correction manuelle

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Services.
  2. Accéder aux Propriétés du service nommé Spouleur d'impression.
  3. La boîte de dialogue Propriétés de Spouleur d'impression s'ouvre :
    1. Cliquer sur le bouton Arrêter1 pour stopper le service.
    2. Depuis le menu de sélection Type de démarrage, sélectionner la valeur Désactivé2.
      MMCSERVICES SPOOLERIMPRESSION PROPRIETES DISABLE.png
    3. Cliquer sur le bouton OK pour enregistrer et appliquer les paramètres.

Correction via GPO

Correction au niveau des postes clients

L'opération consiste à demander une élévation du niveau de privilèges pour l'installation de pilotes d'impression sur la machine. L'utilisateur doit être membre du groupe Opérateurs d'impression pour pouvoir effectuer cette action.

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet NCAD.FR puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_PRINT_DRIVERS_INSTALL puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS PRINT DRIVERS INSTALL.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d'administration / Imprimantes1 puis accéder aux propriétés de la stratégie Restrictions Pointer et imprimer2.
    MMCGPO NEWOBJECT O WINDOWS PRINT DRIVERS INSTALL EDIT.png
  5. Depuis la boîte de dialogue des Propriétés :
    1. Sélectionner l'option Activer1.
    2. À la section Invites de sécurité, depuis le menu de sélection Lors de l'installation des pilotes pour une nouvelle connexion, sélectionner la valeur Afficher l'avertissement et l'invite d'élévation2.
    3. Depuis le menu de sélection Lors de la mise à jour des pilotes pour une connexion existante, sélectionner la valeur Afficher l'avertissement et l'invite d'élévation3.
      MMCGPO NEWOBJECT O WINDOWS PRINT DRIVERS INSTALL SETTINGS.png

Activer la corbeille Active Directory

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2012 et ultérieure
CVE :
Correctif(s) : Recommandations Microsoft
M1047
  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs de l'Entreprise.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Effectuer un clic droit sur la racine du domaine puis cliquer sur Activer la corbeille....
    CAAD ACTIVER LA CORBEILLE OPTION.png
  4. Une boîte de dialogue de type avertissement s'affiche. Cliquer sur le bouton OK pour confirmer l'opération.
    CAAD ACTIVER LA CORBEILLE OPTION CONFIRM.png
  5. La fonctionnalité ne sera pas opérationnelle avant la duplication du paramètre sur l'ensemble des contrôleurs de domaine.
    CAAD ACTIVER LA CORBEILLE OPTION CONFIRM OK.png
  6. Lorsque la fonction est opérationnelle, un conteneur Deleted Objects doit apparaître dans l'arborescence du domaine.
    CAAD DELETED OBJECTS.png

Niveau d'authentification LAN Manager pour les clients

Niveau ORADAD :
Score PingCastle : 15 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : {{{compatibilite}}}
CVE : {{{CVE}}}
Correctif(s) : {{{correctifs}}}

Objet de la stratégie

Ce paramètre de sécurité détermine quel est le protocole d’authentification de stimulation/réponse des ouvertures de session réseau utilisé. Ce choix a une incidence sur le niveau du protocole d’authentification qu’utilisent les clients, le niveau de sécurité de session que négocient les systèmes et le niveau d’authentification qu’acceptent les serveurs.

Auditer les connexion NTLMv.1

  • À l’aide du script PowerShell ci-dessous, il est possible d’extraire la liste des authentifications réalisées avec le protocole NTLMv.1 :

$Events = Get-WinEvent -Logname security -FilterXPath "Event[System[(EventID=4624)]]and Event[EventData[Data[@Name='LmPackageName']='NTLM V1']]" | Select-Object `
@{Label='Time';Expression={$_.TimeCreated.ToString('g')}},
@{Label='UserName';Expression={$_.Properties[5].Value}},
@{Label='WorkstationName';Expression={$_.Properties[11].Value}},
@{Label='LogonType';Expression={$_.properties[8].value}},
@{Label='IP Address';Expression={$_.properties[18].value}},
@{Label='ImpersonationLevel';Expression={$_.properties[20].value}}

$Events | Out-GridView

Si le script PowerShell retourne un résultat, il n'est pas recommandé d'appliquer cette stratégie de sécurité.

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet domaine Active Directory puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_NTLMv2_ONLY puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS NTLMv2 ONLY.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité1 puis accéder aux propriétés de la stratégie Sécurité réseau : niveau d'authentification LAN Manager2.
    MMCGPO NEWOBJECT O WINDOWS NTLMv2 ONLY EDIT.png
  5. Depuis la boîte de dialogue des Propriétés, activer l'option Définir ce paramètre de stratégie1 puis sélectionner Envoyer uniquement une réponse NTLM version 2. Refuser LM et NTLM2. Cliquer sur le bouton OK pour enregistrer les paramètres.
    MMCGPO NEWOBJECT O WINDOWS NTLMv2 ONLY SETTINGS.png

Négociation des échanges entre les clients et Active Directory

Restriction des types de chiffrement autorisés pour Kerberos

Niveau ORADAD : 2 3 4
Score PingCastle : Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 R2 et ultérieure
Windows 7 et ultérieure
CVE :
Correctif(s) :

Objet de la stratégie

Ce paramètre de stratégie permet de définir les types de chiffrement que Kerberos est autorisé à utiliser. Ce paramètre peut avoir des répercussions en termes de compatibilité avec les ordinateurs clients ou les services et applications.

L’outil ORADAD audite les algorithmes de chiffrement pris en charge par Active Directory. En fonction des algorithmes pris en charge, les vulnérabilités suivantes peuvent remonter dans le rapport final :

  • Une vulnérabilité de 2 si les algorithmes DES-CBC-CRC ou DES-CBC-MD5 sont activés.
  • Une vulnérabilité de 3 si les algorithmes de chiffrement AES ne sont pas supportés.
  • Une vulnérabilité de 4 si l’algorithme RC4-HMAC est activé.

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet Domain Controllers puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_CIPHERS_AD puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS CIPHERS AD.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales1 puis accéder aux propriétés de la stratégie Sécurité réseau : Configurer les types de chiffrement autorisées pour Kerberos2.
    MMCGPO NEWOBJECT O WINDOWS CIPHERS AD EDIT.png
  5. Depuis la boîte de dialogue des Propriétés :
    1. Activer l'option Définir ces paramètres de stratégie1.
    2. Sélectionner les options de chiffrement AES256_HMAC_SHA12 et Futurs types de chiffrement2 depuis la liste de sélection.
      MMCGPO NEWOBJECT O WINDOWS CIPHERS AD TYPES DE CHIFFREMENT KERBEROS SETTINGS.png
    3. Cliquer sur le bouton OK pour enregistrer les paramètres.
  6. Sur le(s) contrôleur(s) de domaine, exécuter la commande :
    gpupdate /force
  7. Redémarrer le(s) contrôleur(s) de domaine pour appliquer la nouvelle stratégie.

Blindage Kerberos

Niveau ORADAD : 1 2
Score PingCastle : 0 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2012 et ultérieure
Windows 8 et ultérieure
CVE :
Correctif(s) :

Le blindage Kerberos sécurise la transaction avec les informations du compte d’ordinateur. Sa mise en œuvre est opérée sur plusieurs niveaux :

La préauthentification permet de s'assurer que l'utilisateur connaît un de ses secrets d'authentification lors d'une demande de TGT (ticket Kerberos obtenu auprès d'un contrôleur de domaine). Sans préauthentification il est possible d'obtenir un ticket chiffré avec un des secrets associés au compte correspondant. Il est ensuite possible de lancer une attaque afin de retrouver le mot de passe de l'utilisateur, ce qui peut être facilité s'il n'est pas assez robuste. La propriété DONT_REQUIRE_PREAUTH doit être supprimée pour ces comptes et le mot de passe doit être changé. Par défaut, tous les comptes utilisateur imposent la préauthentification car la propriété DONT_REQUIRE_PREAUTH n'est pas positionnée. Cette propriété ne doit jamais être positionnée pour les comptes privilégiés du domaine. En cas d'incompatibilité avec une application, celle-ci doit faire l'objet d'une évolution applicative.

— Source : ANSSI / ORADAD vulnérabilité vuln_kerberos_properties_preauth_priv https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html

Application par GPO au niveau des clients

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit sur la racine du domaine puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_KEBEROSARMORING puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèle d'administration / Paramètres de sécurité / Système / Kerberos.
    MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING EDIT.png
  5. Accéder aux propriétés de la stratégie Prise en charge du client Kerberos pour les revendications, l'authentification composée et le blindage Kerberos puis sélectionner l'option Activé et cliquer sur le bouton OK pour valider.
    MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING REVENDICATION AUTHENTIFICATION BLINDAGE SETTINGS.png

Application au niveau des contrôleurs de domaine (DC)

Deux modes de fonctionnement sont possibles :

  • Hybride : pour les parcs hétérogènes composés de systèmes d’exploitation supportant l’option et d’autres ne la supportant pas, on peut définir ce paramètre à Activé.
  • Forcé : pour autoriser uniquement les requêtes Kerberos blindés sur le réseau on peut définir ce paramètre sur Rejeter les demandes d’authentification non blindées.

Si votre parc est équipé de machines vétustes de type Windows 7 et Windows Serveur 2008, privilégiez un fonctionnement « hybride ».

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit sur Domain Controllers puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_KEBEROSARMORING_AD puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING AD.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèle d'administration / Système / KDC.
    MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING AD EDIT.png
  5. Accéder aux propriétés de la stratégie Prise en charge du contrôleur de domaine Kerberos pour les revendications, l'authentification composée et le blindage Kerberos :
    1. Sélectionner l'option Activé.
    2. Depuis le menu de sélection Options de revendications, d'authentification composée pour le contrôle d'accès dynamique et de blindage Kerberos, sélectionner Rejeter les demandes d'authentification non blindées.
      MMCGPO NEWOBJECT O WINDOWS KEBEROSARMORING AD REVENDICATION AUTHENTIFICATION BLINDAGE SETTINGS.png
    3. Cliquer sur le bouton OK pour valider.

Exiger le blindage pour les comptes membres des groupes spéciaux

Pour des raisons de sécurité et de préservation des comptes sensibles, il est nécessaire de forcer le blindage Kerberos. Pour cette raison, le blindage est paramétré au niveau d’une stratégie d’authentification qui contiendra les ordinateurs pour lesquels le blindage sera requis.

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Centre d'administration Active Directory.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Accéder à l'arborescence Authentification / Authentication Policies1 puis - depuis le menu Tâches - cliquer sur Nouveau2 / Stratégie d'authentification3.
    CAAD AUTHENTIFICATION POLICY FORCE-AUTH-KERBEROSARMORING NEW.png
  4. La fenêtre Créer Stratégie d'authentification s'ouvre. Depuis la section Général :
    1. Dans le champ Nom complet, saisir Force-Auth-KerberosArmoring1.
    2. Sélectionner l'option Appliquer les restrictions de stratégie2.
      CAAD AUTHENTIFICATION POLICY FORCE-AUTH-KERBEROSARMORING GENERAL SETTINGS.png
  5. Depuis la section Authentification de l'utilisateur :
    1. Cocher l'option Spécifiez la durée de vue du ticket TGT pour les comptes utilisateur1.
    2. Dans le champ Durée de vie du ticket TGT en minutes, saisir la valeur 1201.
    3. Dans la zone Cliquez sur Modifier pour définir les conditions, cliquer sur le bouton Modifier...2.
      CAAD AUTHENTIFICATION POLICY FORCE-AUTH-KERBEROSARMORING AUTHENTIFICATION UTILISATEUR SETTINGS.png
      1. Depuis la boîte de dialogue Modifier les conditions de contrôle d'accès, sélectionner le critère AuthenticationSilo1 puis comme valeur saisir Silo-Auth-Admin-Restrictions2. Cliquer sur le bouton OK pour enregistrer la condition.
        CAAD AUTHENTIFICATION POLICY FORCE-AUTH-KERBEROSARMORING AUTHENTIFICATION UTILISATEUR CONDITIONS ADD.png
    4. De retour sur la fenêtre Créer Stratégie d'authentification, cliquer sur le bouton OK pour enregistrer les paramètres.
  6. Accéder à l'arborescence Authentification / Authentication Policy Silos1 puis - depuis le menu Tâches - cliquer sur Nouveau2 / Silo de stratégie d'authentification3.
    CAAD AUTHENTIFICATION POLICY SILOS SILO-AUTH-ADMIN-RESTRICTIONS NEW.png
  7. La fenêtre Créer Silo de stratégie d'authentification s'ouvre. Depuis la section Général :
    1. Dans le champ Nom complet, saisir Silo-Auth-Admin-Restrictions1.
    2. Sélectionner l'option Appliquer les stratégies du silo2.
  8. Depuis la section Stratégie d'authentification :
    1. Sélectionner l'option Utilisez une seule stratégie pour tous les principaux qui appartiennent à ce silo de stratégies d'authentification3.
  9. Cliquer sur le bouton OK pour enregistrer les paramètres.
    CAAD AUTHENTIFICATION POLICY SILOS SILO-AUTH-ADMIN-RESTRICTIONS SETTINGS.png

Imposer la préauthentification Kerberos

Sans pré authentification, il est possible d'obtenir un ticket chiffré avec un des secrets associés au compte correspondant. Il est ensuite possible de lancer une attaque afin de retrouver le mot de passe de l'utilisateur, ce qui peut être facilité s'il n'est pas assez robuste.

  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Se rendre dans le dossier Authentification / Authentification Policies puis créer / éditer la stratégie d’authentification nommée Force-auth-KerberosArmoring.
    1. Depuis la section Authentification de l’utilisateur :
      1. Activer l’option Spécifiez la durée de vie du ticket TGT pour les comptes d’utilisateur puis renseigner comme valeur 1201. AUTHPOLICIES TGT LIFETIME.png
      2. Pour définir les conditions d’application, cliquer sur le bouton Modifier… situé juste à côté du champ texte puis renseigner Utilisateur.AuthenticationSilo Est égal à « Silo-Auth-Admin-Restrictions »2. Cliquer sur le bouton OK pour enregistrer la stratégie.
  4. Se rendre dans le dossier Authentification / Authentification Policy Silos puis créer / éditer la stratégie de silos d’authentification nommée Silo-Auth-Admin-Restrictions.
    1. Depuis la section Général, sélectionner l’option Appliquer les stratégies du silo.
    2. Depuis la section Comptes autorisés, ajouter :
      1. Les comptes ordinateurs utilisés pour l’administration du système.
      2. Les comptes utilisateurs utilisés pour l’administration du système.
      3. Les comptes ordinateurs des équipements composant l’infrastructure du SI (Active Directory, Serveur de fichiers, Autorité de Certification locale).
    3. Depuis la section Stratégie d’authentification, sélectionner l’option Utilisez une seule stratégie pour tous les principaux qui appartiennent à ce silo de stratégies d’authentification puis sélectionner Force-Auth-KerberosArmoring. Cliquer sur le bouton OK pour enregistrer la stratégie.
Un redémarrage des équipements concernés pourra être requis pour la bonne application des paramètres.

Authentification

Protection LSA

Niveau ORADAD :
Score PingCastle : Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) :

Objet de la stratégie

L’autorité LSA, qui comprend le processus LSASS (Local Security Authority Server Service), valide les utilisateurs pour les connexions locales et à distance, et applique les stratégies de sécurité locales. À compter de Windows 8.1 et ultérieur, une protection renforcée pour l’autorité LSA est fournie pour empêcher une lecture de la mémoire et une injection de code par des processus non protégés. Cette fonctionnalité renforce la sécurité des informations d’identification stockées et gérées par l’autorité LSA.

— Source: Documentation Microsoft

Mise en place de la stratégie

Auditer la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Editeur du Registre.
  2. Se rendre dans la ruche HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LSASS.exe. Si cette clé n’existe pas, la créer.
  3. Créer / Modifier la clé de type DWORD nommée AuditLevel.
  4. Renseigner comme valeur décimal 8 puis cliquer sur le bouton OK.
    MMCREGEDIT HKLM SOFTWARE MICROSOFT WINDOWSNT CURRENTVERSION IMAGE FILE EXECUTION OPTIONS LSASS.png
  5. Les évènements LSASS.exe sont visibles depuis l’Observateur d’évènement à l’emplacement Journaux des applications et des services / Microsoft / Windows / CodeIntegrity / Opérationnel.
Evènements Description
3065 Signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de sécurité pour les sections partagées. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image a été autorisé.
3066 Signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de niveau de signature Microsoft. Toutefois, en raison de la stratégie système actuellement définie, le chargement de l’image a été autorisé.
3033 Signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de niveau de signature Microsoft.
3063 Signale qu’une vérification de l’intégrité du code a déterminé qu’un processus, généralement LSASS.exe, a tenté de charger un pilote qui ne répondait pas aux conditions requises en matière de sécurité pour les sections partagées.

Restrictions des comptes standards

Attribut dsHeuristics

Niveau ORADAD : 31
Score PingCastle : 0 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 SP2 et ultérieure
CVE : CVE-2021-42291
Correctif(s) : KB5008383

Définition de l’attribut

Le comportement d'un Active Directory peut être contrôlé via l'attribut DsHeuristics de CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration.
Un paramètre stocké dans son attribut et dont la valeur est LDAPAddAutZVerifications et LDAPOwnerModify peut être défini pour modifier l'atténuation de la CVE-2021-42291.
La KB5008383 a introduit des modifications au descripteur de sécurité par défaut des conteneurs informatiques pour ajouter un audit et limiter la création d'ordinateurs sans être administrateur. En effet, il est recommandé de ne laisser personne créer de comptes informatiques car ceux-ci peuvent être utilisés pour abuser de Kerberos ou pour effectuer des attaques par relais.
Les atténuations dans CVE-2021-42291 consistent en 3 choix à définir sur 2 paramètres. Ils sont nommés LDAPAddAutZVerifications et LDAPOwnerModify et constituent respectivement le 28ème et le 29ème caractère de cette chaîne. Pour les valeurs attendues :

  • Avec la valeur 0 (la valeur par défaut), il active un mécanisme d'audit supplémentaire.
  • Avec la valeur 1 (recommandé), il applique de nouvelles autorisations de sécurité, notamment pour requérir une action de l'administrateur du domaine lorsque des actions inhabituelles sont effectuées.
  • Avec la valeur 2 (non recommandé), cela désactive le mécanisme d'audit qui a été ajouté par défaut et n'active pas les nouvelles autorisations de sécurité.

— Source : PingCastle

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Modification ADSI.
  2. Basculer sur le contexte d’attribution Configuration, si cela n’est pas déjà fait :
    1. Effectuer un clic droit sur l’objet Contexte d'attribution de noms par défaut [AD1SRV.ncad.fr] puis cliquer sur Paramètres….
      DSH ADSI SETTINGS.png
    2. Depuis la boîte de dialogue, dans la section Sélectionner un contexte d’attribution de noms connu, choisir Configuration puis cliquer sur le bouton OK.
      DSH ADSI SETTINGS CONNEXION.png
  3. Développer l’arborescence LDAP CN=Windows NT,CN=Services,CN=Configuration,DC=domaine,DC=tld puis accéder aux Propriétés de l'objet CN=Directory Service.
    DSH ADSI CONFIGURATION DIRECTORY SERVICE.png
  4. Depuis la boîte de dialogue des Propriétés sélectionner l'attribut dsHeuristics puis cliquer sur le bouton Modifier.
    DSH ADSI CONFIGURATION DIRECTORY SERVICE PROPERTIES.png
    • Saisir la valeur 00000000010000000002000000011 puis cliquer sur le bouton OK.
      DSH ADSI CONFIGURATION DIRECTORY SERVICE EDIT dsHeuristics.png
  5. De retour sur la boîte de dialogue des Propriétés, cliquer sur le bouton OK pour sauvegarder les paramètres.
    DSH ADSI CONFIGURATION DIRECTORY SERVICE PROPERTIES AFTER.png

Restrictions des comptes à privilèges

Les groupes privilégiés sont les groupes d'administration et les groupes opératifs ayant tous les droits et privilèges sur la forêt ou pouvant se les attribuer :

  • Administrateurs.
  • Contrôleurs de domaine.
  • Administrateurs du schéma.
  • Administrateurs de l'entreprise.
  • Administrateurs du domaine : ces administrateurs ont les privilèges de lire la base des secrets de tous les comptes et donc d'extraire les secrets de l'ensemble des comptes privilégiés ;
  • Administrateurs de clés et Administrateurs de clés de l'entreprise: ces administrateurs peuvent fixer des valeurs arbitraires aux attributs relatifs à Windows Hello for Business, pour tous les utilisateurs sauf ceux protégés par le mécanisme d'adminSDHolder. Si l'authentification basée sur les certificats a été activée, ils peuvent générer un certificat sous leur contrôle, l'assigner à un compte privilégié (par exemple, un contrôleur de domaine), et s'authentifier en tant que lui.
  • Opérateurs de compte : ces opérateurs peuvent administrer tous les comptes d'utilisateurs, machines et groupes; à l'exception des comptes protégés par l'adminSDHolder ;
  • Opérateurs de serveur : ces opérateurs peuvent administrer les contrôleurs de domaine, et donc récupérer les secrets de tous les comptes privilégiés ;
  • Opérateurs de sauvegarde : ces opérateurs peuvent sauvegarder un contrôleur de domaine et donc extraire les secrets de tous les comptes privilégiés depuis cette sauvegarde ;
  • Opérateurs d'impression : ces opérateurs peuvent charger des pilotes d'impression sur les contrôleurs de domaine et donc charger un pilote malveillant pour par exemple extraire les secrets de tous les comptes privilégiés.
  • Les groupes opérateurs sont vides par défaut et ne devraient contenir aucun membre.

— Source : ANSSI / ORADAD vulnérabilité VULN_DONT_EXPIRE_PRIV https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html


Désactiver la délégation

Niveau ORADAD : 3
Score PingCastle : 20 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Antérieure à Windows Server 2012 R2
CVE :
Correctif(s) : M1015

Définition du paramètre

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Centre d'administration Active Directory.
  2. Accéder aux propriétés des comptes utilisateurs membre d'au moins un groupe privilégié.
  3. Pour chacun des comptes listés, activer l'option Le compte est sensible et ne peut pas être délégué.
    CAAD ACCOUNT PROPERTY OPTION DELEGATED.png

Protection du compte avec le groupe Protected Users

Niveau ORADAD : 3
Score PingCastle : 20 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2012 R2 et ultérieure
CVE :
Correctif(s) :

Définition du paramètre

L'ensemble des comptes privilégiés doivent être ajoutés au groupe Protected users afin de :

  • Forcer l'authentification en Kerberos.
  • Réduire la durée de vie des tickets Kerberos.
  • Forcer l'utilisation d'algorithmes de chiffrement forts (AES).
  • Interdire la mise en cache du mot de passe sur les postes de travail.
  • Interdire toute forme de délégation.

— Source : ANSSI / ORADAD vuln_protected_users https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html#vuln_protected_users

Les membres du groupe Utilisateurs protégés qui se sont authentifiés sur des appareils Windows 8.1 et des hôtes Windows Server 2012 R2 ne peuvent plus utiliser :

  1. La délégation d'informations d'identification par défaut (CredSSP) : les informations d'identification en texte brut ne sont pas mises en cache même si la stratégie Autoriser la délégation d'informations d'identification par défaut est activée.
  2. Windows Digest : les informations d'identification en texte brut ne sont pas mises en cache même si elles sont activées.
  3. NTLM : NTOWF n'est pas mis en cache.
  4. Les clés à long terme Kerberos : le ticket TGT (Ticket-Granting Ticket) Kerberos s'obtient à l'ouverture de session et ne peut pas être à nouveau obtenu automatiquement.
  5. L'authentification hors ligne : le vérificateur d'ouverture de session en cache n'est pas créé.
  6. Effectuer l'authentifications NTLM.
  7. Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification Kerberos.
  8. Être délégués en utilisant la délégation non contrainte ou contrainte.
  9. Renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures.

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Centre d'administration Active Directory.
  2. Accéder aux propriétés des comptes utilisateurs membre d'au moins un groupe privilégié.
  3. Pour chacun des comptes listés, les ajouter comme membre du groupe Protected Users.
    CAAD ACCOUNT PROPERTY MEMBEROF PROTECTED USERS.png

Suppression de l'appartenance au groupe Administrateurs du schéma

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) : Recommandations Microsoft

Définition du paramètre

Seuls les membres du groupe Administrateurs du schéma peuvent modifier le schéma. Des comptes doivent donc uniquement être ajoutés à ce groupe lorsqu’une modification au schéma est requise, et ils doivent être supprimés après cette opération. Cette approche permet d’empêcher un attaquant de compromettre le compte Administrateurs du schéma, et d’ainsi éviter de graves conséquences.

Action corrective

Par défaut, le compte Administrateur est membre du groupe Administrateurs du schéma.

  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Accéder aux Propriétés du compte Administrateur situé dans l'OU Users.
  4. Depuis la section Membre de, supprimer l'appartenance de l'utilisateur au groupe Administrateurs du Schéma.
    CAAD ACCOUNT PROPERTY MEMBEROF ADMIN DU SCHEMA.png
  5. Il est possible de lister l'ensemble des comptes du domaine où l'appartenance au groupe est vérifiée avec la commande PowerShell :
    Get-ADGroupMember -Identity "Administrateurs du schéma"
  6. Dans la mesure du possible, supprimer cette appartenance sur l'ensemble des comptes listés.

Interdire aux utilisateur de pouvoir ajouter des ordinateurs au domaine

Niveau ORADAD : 4
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 et ultérieure
CVE : CVE-2021-42287
Correctif(s) : KB5008380

Objet de la stratégie

Par défaut les utilisateurs authentifiés peuvent joindre 10 machines au domaine. Cette valeur est contrôlée par l'attribut ms-DS-MachineAccountQuota de la racine du domaine.
Les comptes machine ajoutés ont alors pour propriétaire le compte utilisé, lui offrant un contrôle total dessus. La vulnérabilité CVE-2021-42287 utilisait des machines jointes pour réaliser une élévation de privilèges.

— Source : ANSSI / ORADAD vulnérabilité vuln_user_accounts_machineaccountquota https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Modification ADSI.
  2. Effectuer un clic droit sur l'objet Modification ADSI puis cliquer sur Connexion....
    1. Depuis la boîte de dialogue Paramètres de connexion, conserver les paramètres par défaut puis cliquer sur le bouton OK.
      MAQ ADSI SETTINGS CONNEXION.png
  3. Effectuer un clic droit sur l'objet racine du domaine (DC=ncad,DC=fr), puis cliquer sur Propriétés.
  4. Depuis la boîte de dialogue des Propriétés sélectionner l'attribut ms-DS-MachineAccountQuota, puis cliquer sur le bouton Modifier.
    MAQ ADSI ROOT ATTRIBUTS.png
    • Saisir la valeur 0, puis cliquer sur le bouton OK.
      MAQ ADSI ROOT ATTRIBUT EDIT ms-DS-MachineAccountQuota.png
  5. De retour sur la boîte de dialogue des Propriétés, cliquer sur le bouton OK pour sauvegarder les paramètres.
    MAQ ADSI ROOT ATTRIBUTS AFTER.png

La modification prendra effet au prochain redémarrage du Contrôleur de domaine.

Stratégie des mots de passe

Expiration des mots de passe

Niveau ORADAD : 1 2
Score PingCastle : 1 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 et ultérieure
CVE :
Correctif(s) :

Objet de la stratégie

ORADAD vérifie si les comptes à privilèges disposent d'un mot de passe qui n'expire jamais. Si c'est le cas, le critère d'analyse vuln_dont_expire_priv remonte en anomalie avec un score de 1.

Dans tous les cas, si plus de 10% des comptes de l'Active Directory disposent d'un mot de passe n'expirant jamais, alors le critère d'analyse vuln_dont_expire remonte dans ORADAD avec un score de 2.

Action corrective

Par défaut, cette option est active sur le compte Administrateur du domaine.

  • Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  • Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  • Accéder aux Propriétés du compte Administrateur situé dans l'OU Users.
  • Décocher l'option Le mot de passe n'expire jamais présente dans la section Compte puis cliquer sur le bouton OK.
    CAAD ACCOUNT PROPERTY OPTION PASSWD NEVER EXPIRE.png
  • Il est possible de lister l'ensemble des comptes du domaine où l'option est active en exécutant la commande PowerShell suivante :

Get-ADUser -Filter * -Properties Enabled, PasswordLastSet, Displayname, mail, passwordneverexpires `
| Where-Object {$_.Enabled -like "True" -and $_.passwordNeverExpires -eq $true} `
| Sort-Object -Property PasswordLastSet `
| Select -Property UserPrincipalname, DisplayName, mail, PasswordLastSet `
| Out-GridView

  • Dans la mesure du possible, désactiver l'option sur l'ensemble des comptes listés.

Complexité des mots de passe

Niveau ORADAD : 2
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 et ultérieure
CVE :
Correctif(s) :

Objet de la stratégie

Il est recommandé d'adopter une politique de complexité des mots de passes sur l'ensemble du domaine avec pour critères :

  • La longueur minimale du mot de passe doit être de 8 caractères.
  • Il doit contenir au moins un chiffre.
  • Il doit contenir au moins un caractère minuscule.
  • Il doit contenir au moins un caractère majuscule.
  • Il doit contenir au moins un caractère spéciale.

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Modifier la GPO Default Domain Policy, puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies de comptes / Stratégie de mot de passe1 puis accéder aux propriétés de la stratégie Longueur minimale du mot de passe2.
    MMCGPO DEFAULTDOMAINPOLICY MINLENGHTPASSWD.png
  3. Depuis la boîte de dialogue des Propriétés, activer l'option Définir ce paramètre de stratégie, puis dans le champ Le mot de passe doit faire au minimum renseigner 12. Cliquer sur le bouton OK pour enregistrer les paramètres.
    MMCGPO DEFAULTDOMAINPOLICY MINLENGTHPAWWD EDIT.png

Forcer une longueur de mot de passe de 20 caractères pour les comptes gMSA

Niveau ORADAD :
Score PingCastle : 0 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) :

Objet de la stratégie

Les mots de passe des comptes de service sont automatiquement renouvelés par la machine utilisant le compte. La longueur du mot de passe est – par défaut – calquée sur les paramètres globaux du domaine.

Or, si pour un compte utilisateur il peut être toléré d’avoir une longueur de mot de passe inférieure à 15 caractères, pour un compte de service il est recommandé d’avoir une longueur minimale de 20 caractères.

Cette stratégie de sécurité est vérifiée par l’outil d’audit PingCastle. Cependant, elle n’apparaît qu’à titre d’information dans le rapport final et n’est pas jugée critique.

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Centre d'administration Active Directory.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Depuis l'arborescence ncad (local) / NCAD.FR-ADM / Groupes / Mots de passe, créer le groupe de sécurité PWD-20C.
  4. Accéder à l'arborescence ncad (local) / System / Password Settings1 puis - depuis le menu Tâches - cliquer sur Nouveau2 / Paramètres de mot de passe3.
    CAAD PASSWORD SETTINGS GMSA NEW.png
  5. La boîte de dialogue Créer Paramètres de mot de passe s'affiche :
    1. Dans le champ Nom, renseigner un nom pour la politique de mot de passe configurée.
    2. Activer l'option Appliquer la longueur minimale du mot de passe puis renseigner comme valeur 24.
    3. Activer l'option Le mot de passe doit respecter des exigences de complexité.
    4. Activer l'option Appliquer l'âge maximal de mot de passe puis renseigner comme valeur 30.
    5. Depuis la section S'applique directement à, cliquer sur le bouton Ajouter... puis rechercher le groupe de sécurité nommé PWD-20C.
      CAAD PASSWORD SETTINGS GMSA EDIT.png
Lorsque vous créé un compte gMSA, assurez-vous qu'il soit bien membre du groupe PWD-20C afin qu'il hérite de la stratégie de mot de passe adéquate.

Renforcement des chemins d’accès UNC

Niveau ORADAD :
Score PingCastle : 5 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Vista et ultérieure
Windows Server 2008 et ultérieure
CVE :
Correctif(s) : MS15-011

Les équipements tierces configurés avec un connecteur LDAP peuvent rencontrer des problèmes de fonctionnement après ces opérations.

Objet de la stratégie

Ce paramètre de stratégie permet de configurer un accès sécurisé aux chemins UNC.
Si vous activez cette stratégie, Windows n'autorisera l'accès aux chemins UNC spécifiés qu'après avoir rempli les exigences de sécurité supplémentaires.

— Source : Aide Microsoft

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet domaine Active Directory puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_HARDENEDPATH puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS HARDENEDPATH.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d’administration / Réseau / Fournisseur réseau, puis accéder aux propriétés de la stratégie Chemins d'accès UNC renforcés.
    MMCGPO NEWOBJECT O WINDOWS HARDENEDPATH EDIT.png
  5. Depuis la boîte de dialogue des Propriétés, sélectionner l'option Activé1, puis cliquer sur le bouton Afficher...2 présent dans la section Options.
    MMCGPO NEWOBJECT O WINDOWS HARDENEDPATH SETTINGS.png
    1. Dans la boite de dialogue Afficher le contenu, renseigner un première ligne avec :
      • Dans le champ Nom de la valeur, saisir \\*\NETLOGON.
      • Dans le champ Valeur, saisir RequireMutualAuthentication=1,RequireIntegrity=1.
    2. Puis, ajouter une seconde ligne avec les éléments suivants :
      • Dans le champ Nom de la valeur, saisir \\*\SYSVOL.
      • Dans le champ Valeur, saisir RequireMutualAuthentication=1,RequireIntegrity=1.
        MMCGPO NEWOBJECT O WINDOWS HARDENEDPATH SETTINGS SHOW.png
    3. Cliquer sur le bouton OK pour enregistrer les paramètres.
  6. De retour sur la boîte de dialogue Propriétés, cliquer sur le bouton OK pour enregistrer la GPO.
Un redémarrage des postes clients pourra être requis pour la bonne application des paramètres.

Déclaration des sous réseaux

Niveau ORADAD :
Score PingCastle : 5 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) : M1015
  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Sites et services Active Directory.
    SITESSERVAD SUBNETS.png
  2. Faire un clic droit sur le dossier Subnets présent dans le dossier Site, puis cliquer sur Nouveau sous-réseau....
  3. Depuis la boîte de dialogue Nouvel objet - Sous-réseau, dans le champ Préfixe renseigner l'adresse réseau sur laquelle est déployée le contrôleur de domaine.
    • Renseigner également tout les autres sous-réseaux pour lesquels le domaine Active Directory fait autorité.
      SITESSERVAD SUBNETS NEW OBJECT.png
    • Cliquer sur le bouton OK pour enregistrer les paramètres.

Gestion de la version de TLS supportée

Niveau ORADAD :
Score PingCastle : 0 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) : KB5017811

Objet de la stratégie

TLS 1.0 est un protocole de sécurité qui a été défini pour la première fois en 1999 pour établir des canaux de chiffrement sur les réseaux informatiques. Microsoft prend en charge ce protocole depuis Windows XP/Server 2003. Même s'il n'est plus le protocole de sécurité par défaut des systèmes d'exploitation modernes, TLS 1.0 est toujours pris en charge à des fins de compatibilité descendante. Face à l'évolution de la réglementation et à l'apparition de nouvelles vulnérabilités de sécurité dans TLS 1.0, les entreprises sont appelées à désactiver complètement TLS 1.0.

— Source: Documentation Microsoft

Depuis le 30 juin 2018, les protocoles SSL v2, SSL v3, TLS 1.0 et TLS 1.1 ont été classifiés comme étant obsolètes. Cette classification est notamment dû à leur vulnérabilité aux attaques de type BEAST, CRIME, POODLE, RC4, FREAK et Logjam.

Pour des raisons de rétrocompatibilité, Microsoft ne désactive pas par défaut ce protocole.


Mise en place de la stratégie

  • La version de TLS prise en charge sur les serveurs Microsoft Windows se configure au niveau du FrameWork .NET depuis la base de registre Windows.
  • La modification de ces paramètres peut avoir une incidence sur les équipements tiers dotés d’un connecteur LDAP.
  • Les version 1.0' et 1.1 du protocole TLS étant obsolètes depuis le 20 septembre 2022, leur désactivation est requise par les principales instances de cyber sécurité ainsi que les outils d’audit (ORADAD, PingCastle, HealthChecker).
  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Editeur du Registre.
  2. Se rendre dans la ruche HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols.
  3. Les paramètres décrits ici concernent les protocoles TLS version 1.0 et 1.1. Pour désactiver le protocole :
    1. Positionner le paramètre DisabledByDefault sur la valeur 1.
    2. Positionner le paramètre Enabled sur la valeur 0.
      MMCREGEDIT HKLM SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Protocols TLS1.0 TLS1.1.png
    3. Cette opération doit être réalisée dans les clés Client et Server.

Exiger la signature des requêtes LDAP

Niveau ORADAD :
Score PingCastle : 5 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows 7 et ultérieure
Windows Server 2008 SP2 et ultérieure
CVE : CVE-2017-8563
Correctif(s) : KB4520412

Par les clients

Objet de la stratégie

Le trafic réseau non signé est vulnérable aux attaques de l’intercepteur dans lequel un intrus capture les paquets entre l’ordinateur client et le serveur, les modifie, puis les transfère au serveur. Pour un serveur LDAP, cette sensibilité signifie qu’un attaquant peut amener un serveur à prendre des décisions basées sur des données fausses ou modifiées à partir des requêtes LDAP.

Auditer les connexions LDAP

  • Depuis la console Observateur d'événements, dans le journal Journaux des applications et des services / Directory Service sur serveur Active Directory, observer les événements suivants :
Evènement Description Déclencheur
2886 La sécurité de ces contrôleurs de domaine peut être considérablement améliorée en configurant le serveur pour appliquer la validation de la signature LDAP. Déclenchée toutes les 24 heures, au démarrage ou au début du service si la stratégie de groupe est définie sur Aucun.
  • Niveau de journalisation minimal : 0 ou plus
2887 La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP. Déclenchée toutes les 24 heures lorsque stratégie de groupe est défini sur Aucun et qu’au moins une liaison non protégée a été effectuée.
  • Niveau de journalisation minimal : 0 ou plus
2888 La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP. Déclenchée toutes les 24 heures lorsque stratégie de groupe est défini sur Exiger la signature et qu’au moins une liaison non protégée a été rejetée.
  • Niveau de journalisation minimal : 0 ou plus
2889 La sécurité de ces contrôleurs de domaine peut être améliorée en les configurant pour rejeter les demandes de liaison LDAP simples et d’autres demandes de liaison qui n’incluent pas de signature LDAP. Déclenchée lorsqu’un client n’utilise pas la signature pour les liaisons sur les sessions sur le port 389.
  • Niveau de journalisation minimal : 2 ou supérieur

Les événement 2888 et 2889 sont bloquant pour la mise en application de cette stratégie au niveau du serveur LDAP.

  • Exemple de script PowerShell pour vérifier la présence des événements #2889 sur les serveurs Active Directory :

$Events = Get-WinEvent -Logname "Directory Service" -FilterXPath "Event[System[(EventID=2889)]]" ¦ Select-Object `
@{Label='Time';Expression={$_.TimeCreated.ToString('g')}},
@{Label='UserName';Expression={$_.Properties[1].Value}},
@{Label='RemoteHost';Expression={$_.Properties[0].Value}},
@{Label='LogonType';Expression={$_.properties[2].value}}

$Events ¦ Out-GridView

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit sur la racine du domaine Active Directory puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_LDAPSIGN puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité, puis accéder aux propriétés de la stratégie Sécurité réseau : conditions requises pour la signature de client LDAP.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN EDIT.png
  5. Depuis la boîte de dialogue des Propriétés, cocher l'option Définir ce paramètre de stratégie1 et sélectionner la valeur Exiger la signature depuis le menu de sélection. Cliquer sur le bouton OK pour valider les paramètres.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN SETTINGS.png
    • Un message d'avertissement s'affichera pour indiquer ce paramètre peut empêcher le bon fonctionnement des clients non compatibles. Cliquer sur le bouton Oui.
      MMCGPO NEWOBJECT O WINDOWS LDAPSIGN WARNING.png

Par les serveurs LDAP

Les clients s’appuyant sur le connecteur LDAP TCP/389 ne fonctionneront plus après application de cette stratégie.

Objet de la stratégie

Le trafic réseau non signé est vulnérable aux attaques de l’intercepteur dans lequel un intrus capture les paquets entre l’ordinateur client et le serveur, les modifie, puis les transfère au serveur. Pour un serveur LDAP, cette sensibilité signifie qu’un attaquant peut amener un serveur à prendre des décisions basées sur des données fausses ou modifiées à partir des requêtes LDAP.

Auditer les connexions LDAP

  • Depuis la console Observateur d'événements, dans le journal Journaux des applications et des services / Directory Service sur serveur Active Directory, observer les événements suivants :
Evènement Description Déclencheur
3039 Le client suivant a effectué une liaison LDAP sur SSL/TLS et a échoué la validation du jeton de liaison de canal LDAP. Déclenchée dans l’une des circonstances suivantes :

Lorsqu’un client tente d’établir une liaison avec un jeton de liaison de canal (CBT) mal mis en forme, si la stratégie de groupe CBT est défini sur Quand pris en charge ou Toujours. Lorsqu’un client capable de liaison de canal n’envoie pas de cbt si la stratégie de groupe CBT est défini sur Quand pris en charge. Un client est capable de liaison de canal si la fonctionnalité EPA est installée ou disponible dans le système d’exploitation et n’est pas désactivée via le paramètre de Registre SuppressExtendedProtection. Pour en savoir plus, consultez KB5021989. Lorsqu’un client n’envoie pas de cbt si la stratégie de groupe CBT est défini sur Toujours.

  • Niveau de journalisation minimal : 2
3040 Au cours de la période précédente de 24 heures, nombre de liaisons LDAPs non protégées ont été effectuées. Déclenchée toutes les 24 heures lorsque la stratégie de groupe CBT est définie sur Jamais et qu’au moins une liaison non protégée a été effectuée.
  • Niveau de journalisation minimal : 0
3041 La sécurité de ce serveur d’annuaire peut être considérablement améliorée en configurant le serveur pour appliquer la validation des jetons de liaison de canal LDAP. Déclenchée toutes les 24 heures, au démarrage ou au début du service si la stratégie de groupe CBT est défini sur Jamais.
  • Niveau de journalisation minimal : 0

Action corrective

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit sur Domain Controllers puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_LDAPSIGN_AD puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN AD.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité, puis accéder aux propriétés de la stratégie Contrôleur de domaine : conditions requises pour la signature de serveur LDAP.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN AD EDIT.png
    • Depuis la boîte de dialogue des Propriétés, cocher l'option Définir ce paramètre de stratégie et sélectionner la valeur Exiger la signature depuis le menu de sélection. Cliquer sur le bouton OK pour valider les paramètres.
      MMCGPO NEWOBJECT O WINDOWS LDAPSIGN AD SETTINGS.png
    • Un message d'avertissement s'affichera pour indiquer ce paramètre peut empêcher le bon fonctionnement des clients non compatibles. Cliquer sur le bouton Oui.
      MMCGPO NEWOBJECT O WINDOWS LDAPSIGN WARNING.png
  5. Toujours depuis cette même GPO, accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité, puis accéder aux propriétés de la stratégie Contrôleur de domaine : configuration requise pour le jeton de liaison du canal du serveur LDAP.
    MMCGPO NEWOBJECT O WINDOWS LDAPSIGN AD JETON EDIT.png
    • Depuis la boîte de dialogue des Propriétés, cocher l'option Définir ce paramètre de stratégie et sélectionner la valeur Toujours depuis le menu de sélection. Cliquer sur le bouton OK pour valider les paramètres.
      MMCGPO NEWOBJECT O WINDOWS LDAPSIGN AD JETON SETTINGS.png
    • Un message d'avertissement s'affichera pour indiquer que ce paramètre peut empêcher le bon fonctionnement des clients non compatibles. Cliquer sur le bouton Oui.
      MMCGPO NEWOBJECT O WINDOWS LDAPSIGN WARNING.png

Vérification de la stratégie

Pour vérifier si la stratégie fonctionne :

  1. Ouvrir une console LDP.
  2. Depuis le menu Connexion cliquer sur Se connecter.
    LDPCONSOLE OPEN.png
  3. La boîte de dialogue Connexion s'affiche :
    1. Dans le champ Serveur, renseigner l'adresse IP locale du Contrôleur de domaine.
      LDPCONSOLE CONNEXION 389.png
    2. Cliquer sur le bouton OK pour valider.
  4. Une fois la connexion au Contrôleur de domaine effectuée, depuis le menu Connexion cliquer sur Lier....
    LDPCONSOLE CONNECTED 389.png
  5. La boîte de dialogue Liaison s'affiche :
    1. Dans le champ Utilisateur, renseigner un identifiant Active Directory.
    2. Dans le champ Mot de passe, renseigner le mot de passe associé.
    3. Dans la section Type de liaison, choisir l'option Liaison simple.
      LDPCONSOLE LIAISON SIMPLE ADMIN 389.png
    4. Cliquer sur le bouton OK pour lancer la liaison.
  6. Si la liaison chiffrée LDAPS est bien configurée en mode exigé, alors la connexion sera refusée :
    LDPCONSOLE LIAISON SIMPLE ADMIN FAILED 389.png
  7. Le cas échéan, la connexion sera acceptée :
    LDPCONSOLE LIAISON SIMPLE ADMIN SUCCESS 389.png

Stratégies d'énumération sur le domaine

Membres du groupe Accès compatible pré-Windows 2000

Niveau ORADAD : 2 3
Score PingCastle : 2 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) :

Objet de la stratégie

Le groupe d'accès compatible pré-Windows 2000 accorde l'accès à certains appels RPC.
Par défaut, le groupe utilisateurs « Utilisateurs authentifiés » est positionné dans ce groupe d’accès, ce qui permet aux utilisateurs d'effectuer une recherche de groupe à l'aide des protocoles existants.
Si ce groupe contient des « Utilisateurs authentifiés », cela augmente l'impact sur la vulnérabilité d'exploitation sur les protocoles existants tels que le spouleur d'imprimante.
En effet, dans l'attaque PrintNightmare, il permet de contourner les correctifs sur les contrôleurs de domaine car la propriété Elevated Token est activée lors de l'établissement d'une session sur le DC.
La suppression du groupe peut avoir des effets secondaires et, par conséquent, ceci est signalé ici comme une mesure de durcissement spéciale.

— Source : PingCastle

Pour les requêtes, la liste de contrôle d’accès par défaut permet à Tous les utilisateurs et Membres authentifiés du groupe Accès compatible pré-Windows 2000 de lire et d’énumérer des informations. Les fonctions répertoriées suivantes sont affectées :

  • NetGroupEnum, NetGroupGetInfo, NetGroupGetUsers
  • NetLocalGroupEnum, NetLocalGroupGetInfo, NetLocalGroupGetMembers
  • NetQueryDisplayInformation
  • NetSessionGetInfo (niveaux 1 et 2 uniquement)
  • NetShareEnum (niveaux 2 et 502 uniquement)
  • NetUserEnum, NetUserGetGroups, NetUserGetInfo, NetUserGetLocalGroups, NetUserModalsGet
  • NetWkstaGetInfo, NetWkstaUserEnum

L’accès anonyme aux informations de groupe nécessite que l’utilisateur Anonyme soit explicitement ajouté au groupe Accès compatible pré-Windows 2000. Cela est dû au fait que les jetons anonymes n’incluent pas le SID du groupe Tout le monde.

Si identifiant de sécurité Anonyme (S-1-5-7) est présent dans ce groupe de sécurité, ORADAD remontera dans son rapport ce critère d'analyse avec un score d'évaluation de 2. Pour tout autre objet autre que Utilisateurs authentifiés présent dans ce groupe, ORADAD remontera dans son rapport ce critère d'analyse avec un score d'évaluation de 3.

Action corrective

Suppression de tous les objets membres du groupe de sécurité Accès compatible pré-Windows 2000.

  1. Ouvrir le Centre d’administration Active Directory avec un compte de privilèges Administrateurs du domaine.
  2. Basculer sur la vue Arborescence en cliquant sur l’onglet liste.
  3. Accéder aux Propriétés du groupe de sécurité Accès compatible pré-Windows 2000 situé dans l'OU Builtin.
  4. Depuis la section Membres, supprimer tous les objets listés.
    CAAD ACCOUNT PROPERTY MEMBER ACCES COMPATIBLE PRE-WINDOWS 2000.png

Pour les comptes nécessitant un droit d'énumération spécifique sur la forêt Active Directory, se reporter à la section Autoriser l’énumération pour des comptes utilisateurs spécifiques.

Autoriser l’énumération pour des comptes utilisateurs spécifiques

Objet de la stratégie

Il est possible que certaines applications liées à l’annuaire Active Directory (pour de l’authentification SSO par exemple) nécessitent des privilèges d’énumération spécifiques. Ces applications peuvent nécessiter une autorisation de lecture de l’attribut Member of sur les comptes utilisateurs, par exemple.

Nous allons définir un groupe de sécurité spécifique qui sera autorisé à énumérer les objets Active Directory contenus dans l'OU NCAD.FR.

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Utilisateurs et ordinateurs Active Directory.
  2. Depuis l'arborescence ncad (local) / NCAD.FR-ADM / Groupes / Permissions, créer le groupe de sécurité LOG-AD-ENUM.
  3. Effectuer un clic droit sur l'OU NCAD.FR puis cliquer sur Délégation de contrôle....
    MMCUSERCOMPUTER OU-NCAD.FR DELEGATION DE CONTROLE.png
  4. La fenêtre Assistant Délégation de contrôle s'affiche avec l'écran de Bienvenue !. Cliquer sur le bouton Suivant pour commencer.
    ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP1.png
    1. À l'étape Utilisateurs ou groupes, sélectionner le groupe de sécurité autorisé à énumérer les objets Active Directory en cliquant sur le bouton Ajouter....
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP2.png
    2. Depuis la boîte de dialogue, sélectionner le nom du groupe. Dans notre cas, il s'agit du groupe LOG-AD-ENUM.
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP21.png
    3. De retour à l'écran Utilisateurs ou groupe, après avoir sélectionné le groupe adéquate, cliquer sur le bouton Suivant.
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP22.png
    4. À l'étape Tâches à déléguer, sélectionner l'option Créer une tâche personnalisée à déléguer.
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP3.png
    5. À l'étape Type d'objet Active Directory, sélectionner l'option De ce dossier et des objets qui s'y trouvent. Déléguer aussi la création de nouveaux objets dans ce dossier.
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP4.png
    6. À l'étape Autorisations :
      1. Dans la section Afficher les autorisations, cocher l'option Générales.
      2. Dans la section Autorisations, cocher l'option Lire.
        ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP5.png
      3. Cliquer sur le bouton Suivant pour valider les paramètres.
    7. Une fois les paramètres enregistrés, vérifier la synthèse des droits appliqués puis cliquer sur le bouton Terminer pour appliquer les paramètres.
      ASSISTANT DELEGATION CONTROLE ENUMERATION NCAD.FR STEP6.png

Journalisation des évènements

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité :
CVE :
Correctif(s) :

Environnement Active Directory

Objet de la stratégie

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet NCAD.FR puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_AUDIT puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS AUDIT.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Stratégie d'audit :
    MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer l'accès au service d'annuaire puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT ACCES SERVICE ANNUAIRE SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer l'accès aux objets puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT ACCES OBJETS SETTINGS.png
    3. Accéder aux Propriétés de la stratégie Auditer l'utilisation des privilèges puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT UTILISATION DES PRIVILEGES SETTINGS.png
    4. Accéder aux Propriétés de la stratégie Auditer la gestion des comptes puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT GESTION DES COMPTES SETTINGS.png
    5. Accéder aux Propriétés de la stratégie Auditer le suivi des processus puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT SUIVI DES PROCESSUS SETTINGS.png
    6. Accéder aux Propriétés de la stratégie Auditer les événements de connexion puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT EVENEMENTS DE CONNEXION SETTINGS.png
    7. Accéder aux Propriétés de la stratégie Auditer les événements de connexion aux comptes puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT EVENEMENTS DE CONNEXION AUX COMPTES SETTINGS.png
    8. Accéder aux Propriétés de la stratégie Auditer les événements système puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT EVENEMENTS SYSTEME SETTINGS.png
    9. Accéder aux Propriétés de la stratégie Auditer les modifications de stratégie puis cocher les options Définir ces paramètres de stratégie, ainsi que Réussite et Echec. Cliquer sur le bouton OK pour enregistrer.MMCGPO NEWOBJECT O WINDOWS AUDIT STRATEGIE DAUDIT MODIFICATION DE STRATEGIE SETTINGS.png
  5. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Options de sécurité puis accéder aux propriétés de la stratégie Audit : force les paramètres de sous-catégorie de stratégie d'audit.
    MMCGPO NEWOBJECT O WINDOWS AUDIT OPTIONS DE SECURITE EDIT.png
    1. Depuis la boîte de dialogue des Propriétés, activer l'option Définir ce paramètre de stratégie puis sélectionner l'option Activé. Cliquer sur le bouton OK pour enregistrer les paramètres.
      MMCGPO NEWOBJECT O WINDOWS AUDIT OPTIONS DE SECURITE PARAMETRES DE SOUS CATEGORIE SETTINGS.png
  6. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Connexion de compte :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE CONNEXION COMPTE EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer la validation des informations d'identification puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE CONNEXION COMPTE VALIDATION INFO IDENTIFICATION SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer le service d'authentification Kerberos puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE CONNEXION COMPTE AUTHENTIFICATION KERBEROS SETTINGS.png
    3. Accéder aux Propriétés de la stratégie Auditer les opérations de ticket du service Kerberos puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE CONNEXION COMPTE OPERATION TICKET SERVICE KERBEROS SETTINGS.png
  7. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Gestion du compte :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE GESTION DU COMPTE EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer la gestion des comptes d'ordinateur puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE GESTION DU COMPTE ORDINATEUR SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer la gestion des groupes de sécurité puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE GESTION DU COMPTE GROUPES DE SECURITE SETTINGS.png
    3. Accéder aux Propriétés de la stratégie Auditer d'autres événements de gestion des comptes puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE GESTION DU COMPTE AUTRES EVENEMENTS SETTINGS.png
    4. Accéder aux Propriétés de la stratégie Auditer la gestion des comptes utilisateur puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE GESTION DU COMPTE UTILISATEURS SETTINGS.png
  8. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Ouvrir/fermer la session :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE OUVRIR FERMER SESSION EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer le vérouillage du compte puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE OUVRIR FERMER SESSION VERROUILLAGE SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer la fermeture de session puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE OUVRIR FERMER SESSION FERMETURE SETTINGS.png
    3. Accéder aux Propriétés de la stratégie Auditer l'ouverture de session puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE OUVRIR FERMER SESSION OUVERTURE SETTINGS.png
    4. Accéder aux Propriétés de la stratégie Auditer l'ouverture de session spéciale puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE OUVRIR FERMER SESSION OUVERTURE SPECIALE SETTINGS.png
  9. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Système :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SYSTEME EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer le pilote IPSEC puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SYSTEME PILOTE IPSEC SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer la modification de l'état de la sécurité puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SYSTEME MODIFICATION ETAT SECURITE SETTINGS.png
    3. Accéder aux Propriétés de la stratégie Auditer l'extension du système de sécurité puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SYSTEME EXTENSION SYSTEME SECURITE SETTINGS.png
  10. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Utilisation de privilège :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE UTILISATION PRIVILEGES EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer l'utilisation de privilèges sensibles puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE UTILISATION PRIVILEGES SENSIBLES SETTINGS.png
  11. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / CHangement de stratégie :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE CHANGEMENT STRATEGIE EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer la modification de stratégie d'authentification puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE CHANGEMENT STRATEGIE MODIFICATION AUTHENTIFICATION SETTINGS.png
  12. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Accès DS :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE ACCES DS EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer l'accès au service d'annuaire puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE ACCES DS ACCES ANNUAIRE SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer les modifications du service d'annuaire puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE ACCES DS MODIFICATIONS ANNUAIRE SETTINGS.png
  13. Accéder à la stratégie Configuration ordinateur / Stratégies / Paramètres Windows / Paramètres de sécurité / Configuration avancée de la stratégie / Suivi détaillé :
    MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE EDIT.png
    1. Accéder aux Propriétés de la stratégie Auditer l'activité DPAPI puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE ACTIVITE DPAPI SETTINGS.png
    2. Accéder aux Propriétés de la stratégie Auditer la création du processus puis cocher les options Configurer les événements d'audit suivants, ainsi que Succès et Echec. Cliquer sur le bouton OK pour enregistrer.
      MMCGPO NEWOBJECT O WINDOWS AUDIT AVANCEE SUIVI DETAILLE CEATION PROCESSUS SETTINGS.png

Environnement PowerShell

Objet de la stratégie

Mise en place de la stratégie

  1. Ouvrir le Tableau de bord du Gestionnaire de serveur puis depuis le menu Outils, cliquer sur Gestions des stratégies de groupe.
  2. Faire un clic droit l'objet NCAD.FR puis Créer un objet GPO dans ce domaine, et le lier ici... .
  3. Nommer la GPO O_WINDOWS_PWSHAUDIT puis cliquer sur le bouton OK.
    MMCGPO NEWOBJECT O WINDOWS PWSHAUDIT.png
  4. Modifier la GPO puis accéder à la stratégie Configuration ordinateur / Stratégies / Modèles d'administration / Composants Windows / Windows PowerShell :
    MMCGPO NEWOBJECT O WINDOWS PWSHAUDIT EDIT.png
    1. Accéder aux Propriétés de la stratégie Activer l'enregistrement des modules :
      1. Sélectionner l'option Activé1 puis cliquer sue le bouton Afficher...2.
        MMCGPO NEWOBJECT O WINDOWS PWSHAUDIT ENREGISTREMENT MODULES SETTINGS.png
      2. Depuis la boîte de dialogue Afficher le contenu, ajouter les modules Microsoft.PowerShell.* et Microsoft.WSMan.Management et cliquer sur le bouton OK pour valider.
        MMCGPO NEWOBJECT O WINDOWS PWSHAUDIT ENREGISTREMENT MODULES SHOW.png
      3. De retour sur la fenêtre des Propriétés, cliquer sur le bouton OK pour enregistrer.
    2. Accéder aux Propriétés de la stratégie Activer la journalisation des blocs de scripts PowerShell :
      1. Sélectionner l'option Activé.
      2. Cocher l'option Consigner les événements de début/de fin des appels de blocs de script.
        MMCGPO NEWOBJECT O WINDOWS PWSHAUDIT JOURNALISATION BLOCS SCRIPTS PS.png
      3. Cliquer sur le bouton OK pour enregistrer les modifications.

Windows LAPS

Niveau ORADAD :
Score PingCastle : 15 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2019 et ultérieure
Windows 10 éd. PRO/EDU/Enterprise et ultérieure
CVE :
Correctif(s) : KB5025229

Pour de plus amples informations sur la mise en place de cette sécurité, veuillez-vous référer à l'article dédié Windows LAPS.

Activer la protection étendue pour le rôle ADCS

Niveau ORADAD :
Score PingCastle : 10 Pt(s)
Mise en oeuvre : {{{mo}}}
Criticité : {{{criticite}}}
Compatibilité : Windows Server 2008 et ultérieure
CVE :
Correctif(s) : KB5005413
T1557

Cette stratégie concerne les environnements Active Directory disposant d'un serveur hébergeant le rôle Services de Certificats Active Directory (AD CS).

Objet de la stratégie

Une faille de sécurité récemment découverte dans le système d'exploitation Windows peut être exploitée pour forcer des serveurs Windows distants, y compris des contrôleurs de domaine, à s'authentifier auprès d'une destination considérée comme malveillante, permettant ainsi à un attaquant de mener une attaque par relais NTLM et in fine de prendre le contrôle complet d'un domaine Windows. La vulnérabilité, baptisée "PetitPotam", a été découvert par un chercheur, qui a partagé les détails techniques et les preuves de concept (PoC) la semaine dernière, notant que la faille fonctionne en forçant "les hôtes Windows à s'authentifier auprès d'autres machines via la fonction MS-EFSRPC EfsRpcOpenFileRaw".

— Source: CERT-FR Bulletin CERTFR-2021-ACT-032 du 26 juillet 2021

Mise en place de la stratégie

Pour de plus amples informations sur la mise en place de cette sécurité, veuillez-vous référer à l'article dédié Activer la protection étendue et désactiver le protocole http pour les Services de certificats Active Directory.