Retour aux actualités
    Infrastructure14 min de lecture

    Sécuriser Active Directory : BloodHound, PingCastle et modèle de Tiering

    Guide complet de hardening Active Directory : modèle Tier 0/1/2, détection avec BloodHound, audit PingCastle, Kerberoasting, délégations dangereuses et Protected Users.

    Active Directory (AD) est le cœur névralgique de 90 % des entreprises utilisant des environnements Windows. C'est aussi la cible n°1 des attaquants : une fois l'AD compromis, l'ensemble du Système d'Information est sous contrôle. Selon l'ANSSI, 75 % des incidents traités par le CERT-FR impliquent Active Directory. Voici la méthode complète pour durcir votre AD.

    1. Le modèle de Tiering Active Directory

    Le modèle en 3 tiers (Tier 0, 1, 2) isole les systèmes selon leur criticité et empêche la propagation latérale des attaques :

    • Tier 0 — Contrôleurs de domaine et accès équivalents : Domain Controllers, systèmes de sauvegarde de l'AD, serveurs PKI internes, outils de gestion de l'AD (ADUC, ADSI Edit). C'est le niveau le plus sensible. Accès strictement limité aux administrateurs de domaine via des Privileged Access Workstations (PAW).
    • Tier 1 — Serveurs applicatifs et d'infrastructure : serveurs de fichiers, messagerie, ERP, SQL, serveurs de virtualisation. Les comptes Tier 1 ne doivent jamais se connecter à des postes utilisateurs.
    • Tier 2 — Postes de travail et utilisateurs finaux : postes Windows, laptops, utilisateurs standards. Isolation complète des accès Tier 0 et Tier 1.

    Règle absolue : un compte administrateur de Tier 0 ne doit JAMAIS s'authentifier sur un système de Tier 1 ou 2 — cela exposerait ses hash NTLM ou tickets Kerberos à des outils comme Mimikatz.

    2. Les 10 vulnérabilités AD les plus fréquentes

    Kerberoasting

    Tout utilisateur AD peut demander un ticket de service (TGS) pour un compte avec SPN, puis le cracker hors-ligne. Solution : utiliser des mots de passe de 25+ caractères aléatoires pour les comptes de service, ou adopter les gMSA (Group Managed Service Accounts).

    AS-REP Roasting

    Les comptes avec l'option "Ne pas exiger de pré-authentification Kerberos" exposent leurs hash de mot de passe sans authentification préalable. Auditer et désactiver cette option sur tous les comptes utilisateurs.

    Pass-the-Hash / Pass-the-Ticket

    Après extraction du hash NTLM ou d'un ticket Kerberos via Mimikatz, un attaquant peut s'authentifier sans connaître le mot de passe. Solutions : Protected Users security group, Credential Guard, suppression de NTLM sur les comptes sensibles.

    DCSync

    Un compte avec les droits de réplication de l'annuaire peut simuler un DC secondaire et extraire tous les hash de l'AD (y compris krbtgt et DSRM). Auditer les ACLs de réplication sur le partitionnement de domaine.

    Délégations Kerberos non contraintes

    La délégation non contrainte (Unconstrained Delegation) permet à un serveur de s'authentifier comme n'importe quel utilisateur auprès de n'importe quel service. Identifier et éliminer toutes les délégations non contraintes hors des DCs.

    Autres vulnérabilités courantes

    • GPO trop permissives ou non vérifiées depuis des années.
    • Membres excessifs dans Domain Admins (parfois des dizaines de comptes).
    • Comptes de service avec droits admin de domaine.
    • Mots de passe dans les attributs LDAP ou les descriptions de comptes.
    • LDAP signing non forcé — permet l'attaque de relay NTLM.

    3. Audit avec PingCastle

    PingCastle (gratuit pour usage non commercial) génère un score de maturité AD de 0 à 100 et liste les vulnérabilités par ordre de criticité. À lancer sur un compte utilisateur standard (pas besoin de droits admin) :PingCastle.exe --healthcheck --server ldap://dc01.domaine.local

    Il identifie notamment : Kerberoastable accounts, délégations dangereuses, GPO orphelines, comptes sans mot de passe, durée de vie des tickets krbtgt.

    Compléments : Purple Knight (Semperis, gratuit), ORADAD (ANSSI, open source).

    4. Cartographie des chemins d'attaque avec BloodHound

    BloodHound (SpecterOps) collecte les relations AD (membres de groupes, délégations, ACLs, GPOs) et les visualise sous forme de graphe. Il identifie leschemins d'escalade de privilèges : depuis un compte compromis de Tier 2, combien de sauts pour atteindre Domain Admin ?

    À utiliser en mode défensif (BloodHound Community Edition) pour comprendre les risques avant qu'un attaquant ne le fasse offensivement (avec SharpHound, le collecteur).

    5. Mesures de durcissement prioritaires

    • Réduire Domain Admins à 3-5 comptes maximum avec MFA (Windows Hello for Business ou smart card).
    • Activer Protected Users pour tous les comptes privilegiés.
    • Déployer Credential Guard sur tous les serveurs et postes sensibles.
    • Mettre en place LAPS (Local Administrator Password Solution) pour les mots de passe locaux.
    • Forcer LDAP Signing et Channel Binding.
    • Désactiver NTLMv1, restreindre NTLMv2 progressivement.
    • Activer l'audit Kerberos et NTLM dans les GPOs et centraliser les logs AD dans le SIEM.
    • Isoler les DCs sur un VLAN dédié avec des ACLs réseau strictes.
    • Changer le mot de passe krbtgt tous les 6 mois (double rotation pour invalider tous les Golden Tickets).

    Conclusion

    La sécurité d'Active Directory n'est pas un projet one-shot mais un programme continu. Commencez par un audit PingCastle pour identifier les priorités, implémentez le modèle de Tiering pour contenir la propagation, et utilisez BloodHound régulièrement pour identifier les nouveaux chemins d'attaque. L'investissement est substantiel mais le retour en termes de résilience est considérable : un AD durci stoppe la majorité des ransomwares et des APT avant qu'ils n'atteignent leurs objectifs.

    Besoin d'un accompagnement en cybersécurité ?

    CloudSecure vous aide à sécuriser votre infrastructure cloud et à protéger vos données.

    Contactez-nous