Un nouveau guide de l’ANSSI sur la sécurisation de l’Active Directory par le cloisonnement
L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide intitulé "Recommandations relatives à l'administration sécurisée des systèmes d'information reposant sur Microsoft Active Directory", à destination des RSSI, DSI et administrateurs.
Il y a quelques jours, l'ANSSI a publié la version 1.0 de ce nouveau guide de 166 pages sur la sécurisation d'un environnement Active Directory. Il devrait être utile à de nombreuses entreprises et ce constat de l'ANSSI montre qu'il y a du travail : "L’ANSSI fait régulièrement le constat que des compromissions de systèmes d'information (SI) reposant sur un annuaire Active Directory (AD) résultent de l’application de mauvaises pratiques d’administration et d'un cloisonnement insuffisant."
En suivant les recommandations de ce guide qui insiste particulièrement sur l'importance du cloisonnement (ce qui est lié à ce que l'on appelle le tiering Active Directory), vous serez en mesure d'avoir une architecture d'administration adaptée à l'état actuel de la menace. L'ANSSI explique en détail le rôle et le fonctionnement des différents tiers d'administration : tier 0, tier 1 et tier 2.
Ce guide contient un ensemble de recommandations pour chaque point abordé, soit 89 recommandations au total.
Les grandes parties de ce guide
Ce guide est découpé en plusieurs grandes parties :
- Méthodologie de cloisonnement logique de l'annuaire AD et du SI
- Identification et cloisonnement du Tier 0
- Dangers de NTLM et Kerberos pour le cloisonnement du SI
- Choix d'architecture d'administration et problématiques de mutualisation
L'ANSSI a intégré à la fin de ce guide des annexes un peu plus technique, notamment sur le déploiement via PowerShell d'un silo d'authentification du Tier 0 via une stratégie d'authentification ainsi que l'utilisation du RDP avec l'option Restricted Admin.
Enfin, sachez que ce guide se concentre sur l'Active Directory et n'aborde pas les infrastructures hybrides ou l'annuaire Microsoft Entra ID (ex-Azure Active Directory).
Où télécharger ce guide ?
Si comme moi vous avez envie de prendre le temps de lire ce guide, vous pouvez le télécharger au format PDF sur le site de l'ANSSI :
Pour déployer un modèle d'administration en tiering, avec du cloisonnement, je ne peux que vous encourager à vous intéresser au projet HardenAD présenté dans cet article :
Merci à l'ANSSI pour cet excellent travail et bonne lecture !
Comme d’hab Merci Florian pour ta veille et tes articles.
C’est la première fois qu’on est en avance sur des reco ANSSI 😀
par contre, l’équipe d’ADMIN dont je fais parti n’a jamais autant RALER dans son usage quotidien.
tiering-model est devenu pour nous tearing-model
Vaut mieux en rire qu’en pleurer me direz vous !
Cdt,
Bonjour Florian,
Merci pour tous ces articles grâce auxquels j’augmente en compétences.
Serait-il possible de faire un exemple complet sur la mise en place du tiering AD avec les PAW pour chaque niveau, les GPO et silos qui en découlent pour chaque niveauu svp.
En vous remerciant d’avance.