[PDF] Livre blanc - Sécurisation de lActive Directory et dAzure AD

View - Download Livre blanc - Sécurisation de lActive Directory et dAzure AD

Previous PDF

Next PDF

Enjeux et trajectoires de transformation

Livre Blanc

Sécurisation

de l'Active Directory et d'Azure AD 2

Introduction

Depuisplusde 20ansqu'ilexiste,leserviceActiveDirectory estdevenuunstandarddumarché,présen tdansquasiment tousles syst èmesd'informati ondesorganisations.Deux importantestendances l'ontremissurledevantdelascène cesd ernièresannées. Lapremièredécoul edelaforteexpos itiondececomposantà lamenacecyb er.S'agissantdelapierreangu lairedusystème pourdép loyerdeslogicielsmalveilla ntsou encorepour accéderàdesi nformations,avantdelesfairefuiter.Devastes projetsderemédiationontainsiétélancéscesd ernières années,pardenombreusesorganisations,pouryfairefac e. Lasecondedécoul edel'accroissementdel'usagedeservices recoursautélétravail.Pourd éverrouillertouslesnouveaux étendusonchampd'actionpourin tégrerlepérimètredansle cloud,grâceàAzureAD.Dansla majoritédescas,ilnes'agit maisplutôtd'uneextensiondel'existantau travers d'architectureshybrides.Cemouvementnéces siteuneprise en comptedesenjeuxdesécurité,pournepasexposer l'organisation. MicrosoftetWavest one sesontassociéspouranalyserles tendancesobservéessurleterrain,listerlesr éflexionsà meneret don nerquelques clésetbonnespratiquespour conduirelesc hangementsstructurants.

Sommaire

1 2 3

Commentfairefaceàunecyberattaque?

Quellesarchi tecturesetquelbilandelamaturité

cybersécurité?

CERT-W

Enterprise Access Model

Sécuriser le Tier 0 et mettre en œuvre le plan de contrôle Connaitrelesdifficultésdelareconstructiond'ActiveDi rectory pourmieuxanticiperlacrise Nepasse contenterd'unesimplereconstructiondel'ADSécuriser sa souscription Azure AD Migrer d'Active Directory vers Azure Active Directory

Améliorer sa posture de sécurité4

5 11 19 20 25

Conclusion

33
43
52
55
59
6054
etAzureAD.

Nousreviendronsdansunpremiertempssur

lesgrandstypes d'architecturerencontréset lesenseignementstirésdesattaques rencontréesparleCERTWavestone(CERT- W) Quelle est la maturité rencontrée sur le terrain ? 5

Quelles architectures et quel bilan

de la maturité cybersécurité ?

Troisgrandstypesd'architecture

peuventêtrer encontrées :

ArchitectureADon-premises

Architecturehistoriquedemoins

en moinsrenc ontréechezles clients(<10%).Ils'agit généralementdeclientsayant desen jeuxfortsdesouveraineté.

ArchitecturehybrideAD/Azure

AD

Cettearchitecturetiréepar

l'essord'Office365est aujourd'huimajoritairechezles clients(80à95%).Desvariations d'implémentationexistent cependant,enparticuliersurla synchronisationounond eshashs dehashsdesmot sdepasse.

Architecture100%AzureAD

Présenteuniq uementpourde

nouvellesentitéscon struitesavec unprisme100%numérique (<5%).Ellen écessited'avoirun systèmed'in formationquirépond

àuncertainnombredeprérequis.

Active Directory

on- premisesou le poids de l'histoire

L'ActiveDirectoryestorganisé

autourdedomainesregrou pésen uneouplusieursforêts.Iln'est pasrare ,pourdesgrandes organisations,d'avoirplusde100 domainesouforêt s.

Cettearchitecturecomplexe

s'expliqueparlepoidsde l'histoireet lesmultiples transformationssubiespar l'entreprise:fusions,acquisitions, réorganisations,etc.

L'ActiveDirectoryn'étantpasvu

commeuneapplication "apportantdelavaleurau métier»,l'intégrationdes nouveauxpérimètresaété réaliséeenminimisantles

évolutions(moyenlemoinscher

etleplusrapide),sansréflexion globalesurl'optimisationde l'architecture.Desrelationsde confianceentredomainesou forêtsontét éajo utées, pour permettreàunutilisateurd'être reconnupartoutdansleSI.

Un faible niveau de

sécurité

Dansla majoritédes

organisations,le maintienen conditiondesécuritédel'AD passesouventuniq uementpar l'applicationdesc orrectifsde sécuritéetletraitementde l'obsolescencedel'OS. "Seules 25% des authentifications sont encore réalisées on- premises» " Le SI est compromis en moins de 24h dans 80% des audits réalisés»

Wavestone, audits AD 2020

6

Lesmi sesàjourfon ctionnelles

sontquantàellespeumisesen oeuvre,génér alementpar méconnaissanceouparc rainte desimpactspossiblessuiteà l'extensionduschéma.Les organisationsneprofitentdonc pasdesn ouvellesfonctionnalités, permettantdelimiterlesrisques desécurité(parexemplelamise en oeuvredugroupeprotected users,AuthenticationSiloset

KerberosArmoring ).Delamême

façon,tropraressontles organisationsàdésactiverles protocolesobsolètes .

Iln'estpasrare d'avoirdes

organisationsavecdescentaines decomptesAdministrateursde domaineoud'entreprisealors quelesbonnespratiqueset l'applicationduprincipede moindreprivilègesignif ieraient deleslimiteràmoinsde5.Cette situations'ex pliqueparla difficultéàassurerla conduitedu changement(retirerdesdroits peutêtr evucommeune rétrogradationouune dépossession).Maisaussila demandedecomptesdeservices avecdes droitsexcessifspour faciliterl'intég rationd'une nouvelleapplication.

Lesév olutionsdel'architecture,

enparticulierlamiseen oeuvre derelationsdeconfiance,ontét é définiesuniqu ementsousle prismefonc tionnelsansévaluer lesrisquesdepropagationd'une attaqueentrelesd omaines etles forêts.Wavestonerencontre régulièrementpendantdesaudits undomaineabandonnéavecune relationdeconfiance sécurité!

Delamêmefaçon,lamiseen

oeuvred'AzureADaviséà répondreàdesb esoins fonctionnelssansconsidération desécurité.Raressontles organisationsàavoirdéfiniun processusdegestiondes comptesàprivilègesadaptéaux particularitésd'AzureAD.Autre exemple,seuls30%(*)des comptesadministrateurgénéral (ouGlobalAdministrator)ont l'authentificationmulti -facteur (MFA)activée,alorsquela fonctionnalitéestnativeet gratuite. (*)Microsoftaoût2021

Une prise de

conscience récente des enjeux de sécurité

Danslecontexteactuel

d'explosiondesattaques exploitantdesdéfautsde configurationdel'AD,iln'estplus raredevoirleCOMEXinterroger leDSIouleRSSIsurleniveaude sécuritédel'ADetvaliderdes enveloppesdeplusieurs centainesdemilliersvoire millionsd'eurospourmenerd es projetsderefonteetde sécurisation. "53% des grandes entreprises ont un projet de sécurisation de l'AD»

Baromètre CESIN 2021

7

Lesp rojetsdesécurisationde

l'ADsontlancéspourlavaste majoritémaisles auditsmenés parWavestone,nousmontrent que:

Eneffet,bienquelespratiques

d'administrationaientpuévoluer, ilrestebiensouventdesdéfauts deconfigurationquipermettent deremonterauTier0(concept détaillédanslechapitre2).Des cheminsdecompromissionet d'élévationdeprivilègespeuvent parexemplesecacherdansdes droitsd'accès(ACL)dangereuses configuréessurlesob jetsduTier

0,ousubsisterdufaitdemauvais

usagesdescomp tesàhauts

ADestdétailléau chapitre2..

Une architecture 100%

Azure AD, la cible pour

tous ?

Aucunegrandeorganisationn'est

aujourd'huienmesurede remplacertotalem entsonADon -premisesparunservice100% portéparl'AzureAD.Peu d'organisationssontenmes ur e d'avoirunSIquiremplisse l'ensembledespréreq uis technologiquespourfairecette transformation(postesdetravail gérésav ecunMDM(Mobile

DeviceMana gement)etAzure

NTLM(NTLanM anager),

KerberosouLDAP(Lightweight

DirectoryAccessProtocol),

créationdesutilisateursdansle cloud,etc.).L'usaged'unservice d'ADmanagépourraitêtreune optionpourassurerla rétrocompatibilitésansavoirà gérerleTier0.

L'usageducloudpeutêtrevu

commeunedélégationà

Microsoftdela maitrisedes

risques,maisellen'estque partielle.Lesclientsrestent responsablesdelaconfiguration delaplateforme,desidentitéset desd onnées.Malheureusementla prisedeconsciencerestefaible.

Pourrappel,unnouvel

abonnementàla solutionTeams s'accompagnedelacréation d'unesouscriptionAzureAD.

Ilesti mportantqueles

organisationsprennent possessiondesoutilsproposés pourpiloterleursécuritéetqui n'existaientpason-premises(ils peuventnéanmoinsnécess iter desniveauxdelicenceavancés).

LeSecureScore(détaillédansun

focusci-après)-cibleviséparles organisations-devraitêtreau minimumentre 60et70. "Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité »

Wavestone, audit AD 2020

32/100

Securescoremoye n

34,6score le plus élevé

pour le secteur technologie

24score à la création

d'une souscription Office

365 E3

88

Azure AD : un annuaire cloud

AzureActiveDirectory(Azure

AD),lancéen novembre2011,est

unesolutiond'Id entityasa

Service(IDaaS).

AzureAD,fournitaux

organisationslesfonctionnalités pourgér erl'authentificationdes applicationsmodernes(SAMLet

WS-Federation,OAuth2,OpenID

ConnectetFIDO2).

Ilnes'agitpasd'ActiveDirectory

dansleCloudmaisbiend'une nouvellesolution.

AzureADaétéconçuesurune

architecturecloud,baséesurdes micro -services,répartiesur plusieurszonesgéographiques.

UntenantAzur eADest

automatiquementcréélorsqu'une organisationsouscritàunservice clouddeMicrosoft,telqu'Azure ou bienOffice365.

GraphAPI

Pouri nterrogeretmettreàjour

lesob jetsdel'annuaire,AzureAD proposeuneApplication

ProgrammingInterface(API)qui

senommeGraphAPI.

GraphAPIestunepasserelle

unifiantdenombreusesautresAPI

RESTtellesquecellesd'Exchange

Online,OneD rive,Endpoint

ManageroubienSecurityGraph.

Un remède miracle?

Bienquela majoritédesattaques

n'estpaspourautantunremède miracle.AzureADsimplifiela miseenoeuvrede l'authentificationfortesansmot depasseou bienlecontrôle d'accèsconditionnelbasésurles risques,cependantlescomptesà privilègesdoiventtoujou rsêtre fortementencad rés.

Ilestimpératifdemeneràbien

unprojetdesécurisationpour maitrisercettenouvellebriqueet profiterdelatransformationpour passeràdespratiques d'administrationàl'étatdel'art.

Enparticulier,ilestr ecommandé

/D'auditerlaconfiguration d'AzureAD,devalider régulièrementlesmembresdes rôlesprivilégiésainsiqueles applicationsautoriséesàinteragir avecAzureAD; /Ded

év elopperdesscénarios

dedétectionspécifiquespour limiterletempspendantlequel lesintrusdemeurentinvisibles dansleSI. FOCUS

345 Millions

Azure AD gère plus de

345 millions

d'utilisateurs actifs chaque mois, avec une moyenne de 30 milliards de demandes d'authentification par jour. 99

NTLM, toujours le talon d'Achille

de la sécurité ?

NTLM(NTLANManager)est

utiliséparlesapplicationspour authentifierlesutilisateurset,

éventuellement,pourfournirune

sécuritédesessionlorsque l'applicationledemande.

Lesp rotocolesNTLMsontdes

protocolesd'authentification obsolètesquiutilisentune méthodededéfietréponsepour quelesclientspuissentprouver mathématiquementqu'ils possèdentlecondensatdemot depasse,lehashNT.Lesv ersions actuelleset passéesdeWindows prennentenchargeplusieurs versionsdeceprotocole,dont

NTLMv2,NTLMa insiquele

protocoleLM.

DepuisWindo ws2000,le

protocoleKerberos estle protocoled'authentificationpar défaut.Cependant,sileprotocole

Kerberosn'est pasnégociépour

uneraisonquelconque,alorsles applicationsreliéesàActive

Directorytenteront d'utiliserun

desp rotocolesNTLM,si disponible.

Touteslesv ersion sdeNTLMsont

vulnérablesàdesattaques largementdocument ées.Pour cetteraison,leprotocoleNTLM n'estpassupportédansAzure

ActiveDirectory,peutêtre

désactivédansAzureADDSainsi quedansActiveDirectory.

Au-delàd'unsupport

cryptographiquefaible,l'absence d'authentificationduserveur peutper mettreàunattaquant d'usurperl'identitéd'unserveur.

Ainsi,lesapplicationsutilisant

NTLMpe uventêtrevu lnérablesàuneattaquepar"réflexion» :un attaquantpeutdétourner l'échanged'authentificationd'un utilisateurversunserveur légitimeetl'utiliserpour s'authentifiersurunautre ordinateur,voiresurl'ordinateur del'utilisateur.

Lasuppressioncomplètede

NTLMdansunenvironnement

amélioreindéni ablementla sécuritéenéliminantlesattaques detypePtH(Pass-The-Hash).

Cependant,celanepermetpas

d'éliminerd'autresclasses d'attaques,commelevoldemots depasseenclairoubienlevolde ticketsKerberos,TicketGranting

Ticket(TGT).

Lesorganisationssont

encouragéesàmettreenoeuvre

Kerberosouàutiliserdes

protocolesd'authentification modernes(OpenIDConnect,

SAML,etc.)pourleurs

applicationsexistantes, car

Microsoftneprévoitaucune

améliorationduprotocoleNTLM.

PourquoiNTLMest-il

toujoursutilisé?

NTLMestencorelargement

utilisédufaitd'applications historiquesquin'ontpasévolué, maisaussienraisonde mauvaisesconfigurations d'applicationsquisupportent pourtantKerberos.

Le protocole NTLM n'est pas

supporté dans Azure Active

Directory.

NTLM

NTLMv1NTLMv2LM

FOCUSquotesdbs_dbs29.pdfusesText_35

[PDF] actuaire maroc salaire

[PDF] université internationale de rabat

[PDF] calcul adresse ip masque pdf

[PDF] adresse ip cours informatique

[PDF] adressage ip exercices corrigés pdf

[PDF] exercice corrigé adressage ipv4 pdf

[PDF] adressage cidr pdf

[PDF] outils d'aide ? la décision management

[PDF] cours système d'information d'aide ? la décision pdf

[PDF] les outils d'aide ? la prise de décision

[PDF] aide ? la décision multicritère

[PDF] préparation des alcanes

[PDF] alcane alcène alcyne

[PDF] cours algebre 2 1ere année mi

[PDF] les amortissements cours 2 bac