Chapitre 3

Durcissement de
l'Active Directory

Pr. Omar ACHBAROU

o.achbaou@uca.ma
 Rappel
Active Directory
Qu'est-ce que l'Active Directory ?

● AD est un service d'annuaire créé par Microsoft pour la distribution

server.

● En stockant dans une base de données les renseignements relatifs

aux ressources réseau d'un domaine, Active Directory a pour
objectif premier de centraliser l'identification et l'authentification
d'un réseau de postes Windows.

● Il permet aux administrateurs de gérer efficacement une stratégie

de groupe(GPO), ainsi que l'installation des logiciels et des mises à
jour sur les stations du réseau.
Les intérêts de l'Active Directory ?

● L’importante présence de l’Active Directory dans les entreprises

suffit pour se convaincre de ses intérêts :
Que contient l’Active Directory ?

Les objets compris dans la structure de l'Active Directory sont de

trois types :

○ les ressources (poste de travail, imprimante, scanner, dossiers

partagés, etc.)

○ Les utilisateurs (comptes individuels et groupes, c'est-à-dire

des listes d'utilisateurs avec leurs droits et leurs services)

○ Les services ou applications (courrier électronique, KDC, …)

 Structure de l’Active Directory

OU sont utilisées comme

conteneurs pour organiser
de façon
logique des objets d'annuaire
tels que les utilisateurs, les
groupes et les ordinateurs
Contrôleur de
domaine est un
serveur qui gère un
domaine et qui
répond aux demandes
d’authentification et
contrôle les
utilisateurs de ce
domaine.
Structure de l’Active Directory
Arborescence de l’Active Directory

Relation d’approbation
Exemple : Arborescence de l’Active Directory

Relation d’approbation
Infrastructure physique de l’Active Directory
ATELIER : Installation et Configuration
d’Active Directory
 Principe N T L M

d’Authentification LSA LSASS

& NTLMV2 L M

Architecture du sous- SAM

système de sécurité
SMB

Windows K e r b e r o s

Quel protocole Pour quel risque ?

Authentification Windows AD

● Les protocoles d'authentification Windows Active Directory

(AD) authentifient les utilisateurs, les ordinateurs et les
services dans l'AD et permettent aux utilisateurs et services
autorisés d'accéder aux ressources en toute sécurité.

● Pour maintenir la sécurité et réduire l’exposition aux

menaces, il est important de comprendre les vulnérabilités
et les risques des protocoles d'authentification Windows.
Authentification Windows AD

● Dans le cas, des protocoles LM et NTLM par exemple ont des

défauts inhérents qui les rendent sensibles aux attaques.

● Il est important pour les entreprises de développer une

stratégie pour restreindre l'utilisation de LM et NTLM, et de
se concentrer sur de meilleurs protocoles tels que Kerberos
pour limiter les risques de sécurité.
 Identification et Authentification
Objectifs Principe
Le résultat de ces mécanismes peut
Ces mécanismes permettent de:
être:

• Vérifier si l'utilisateur est connu du • la création d'un Jeton d'accès

système (Security Access Token) en
cas de succès
• Déterminer les droits et
privilèges affectés à l'utilisateur • Ou un refus de connexion en cas
(ACL) d'échec.

• Contrer l'usurpation de l'identité

d'un utilisateur, de l'administrateur
Types de session
• WinLogon : Une session interactive, c'est à dire
ou d'un serveur
directement sur la machine sur laquelle l'utilisateur a un
• Limiter l'intrusion sur le réseau à
accès physique.
partir d'un accès externe ou
même interne • NetLogon : une session réseau, c'est à dire une connexion
à distance à travers le réseau sur un serveur AD ou autre.
 Composants d'identification/authentification
Processus d’ouverture de session Gestionnaire des comptes de sécurité
WinLogon SAM
● Ce système gère la base de données
Ce processus connecte les utilisateurs locaux
des comptes utilisateurs (utilisateurs et
et distants au système.
groupes autorisés à accéder au
● Charge le profil d'un utilisateur après système
son authentification ;
● Offre au sous-système de sécurité un
● Gère l'écran de veille ; sur le retour au
service d’authentification des utilisateurs
mode normal, on peut paramétrer
WinLogon pour obliger l'utilisateur à lors du processus de connexion.
s'authentifier une nouvelle fois. Server Message Block SMB
● permet au client de communiquer avec d’autres
Processus d'ouverture de session
réseau est le suivant participants dans le même réseau afin
NetLogon d’accéder à des fichiers et des services
partagés à cette fin sur le réseau
 Authentification NTLM

Définition Utilisation
NTLM est toujours utilisé pour des
NTLM (NT Lan Manager) est le
raisons historique car certaines
protocole d’authentification le plus
applications ne prennent pas en
ancien qui a vu le jour dans les
charge Kerberos ou quand on
années 80. Aujourd’hui le
accède par exemple à un partage
protocole est à sa version 2
réseau par l’adresse IP du serveur.
(NTLM v2).
Principe Utilisation
Le principe du challenge/réponse Etant intégré à Windows, il permet
est utilisé pour que le serveur à de nombreux outils et services
vérifie que l’utilisateur connaisse le tiers d’utiliser ce protocole, afin de
secret du compte avec lequel il simplifier le processus
s’authentifie, sans pour autant d’authentification (partage réseau,
faire transiter le mot de passe sur FTP, etc.).
le réseau. son utilisation continue reste une
C’est ce qu’on appelle une vulnérabilité de sécurité sensible
preuve à divulgation nulle de d'attaques de type "man-in-the-
connaissance(ZKIP) middle".
Fonctionnement d’Authentification NTLM AD
1
L’utilisateur se connecte sur un ordinateur du
domaine avec son identifiant et mot de passe.

2
L’utilisateur souhaite accéder à un partage, il
envoie son identifiant au serveur.

3
Le serveur génère un hash (challenge)
qu’il envoie au demandeur.

4
L’utilisateur répond au serveur en envoyant son
mot de passe crypté avec le hash (réponse).

5 Exemple
Le serveur envoie au contrôleur de domaine
l’utilisateur, le mot de passe crypté et le hash

6
Le contrôleur de domaine vérifie l’identité
de l’utilisateur

7
Le contrôleur de domaine notifie le serveur
pour indiquer sur l’utilisateur est bien
authentifié.
Example : Local Account | WinLogon
Example: Domain Account | NetLogon
 Authentification Kerberos (KDC)
Définition Principe
Kerberos est un protocole Les SE Windows Server implémentent le
d’authentification utilisé pour vérifier protocole d’authentification Kerberos
l’identité d’un utilisateur ou d’un hôte version 5 et des extensions pour
l’authentification des clés publiques, les
données d’autorisation de transport et la
délégation
KDC : Key Distribution Center
Client Kerberos
Le centre de distribution de clés
Kerberos est intégré à d’autres services Le client Kerberos est implémenté en
de sécurité Windows Server qui tant que fournisseur SSP (Security
s’exécutent sur le DC. Le contrôleur de Support Provider) est accessible par le
domaine Kerberos (KDC) utilise la base biais de l’interface SSPI (Security
de données Active Directory Domain Support Provider Interface).
Services (AD DS) comme base de L’authentification utilisateur initiale est
données de son compte de sécurité. Les intégrée à l’architecture à
services de (AD DS) sont requis pour les authentification unique Winlogon.
implémentations Kerberos par défaut au
sein du domaine ou de la forêt
Fonctionnement d’Authentification Kerberos
1
L’utilisateur ouvre sa session avec un couple login /
mot de passe sur un ordinateur du domaine.

2
Envoie d’une requête d’authentification ou demande TGT
(Ticket Granting Ticket) au contrôleur de domaine (KDC).
Cette est appelée KRB_AS_REQ.
3
La réponse est appelée KRB_AS_REP, le contrôleur
de domaine retourne à l’utilisateur une clé de session
et le TGT qui contient plusieurs Informations :
o Login
o Période de validité
o PAC (Privilege Attribute Certificate) qui va
contenir des informations sur le client
4 comme les groupes dont il est membre. 6
L’utilisateur souhaite accéder au serveur de fichiers, il
envoie une de demande de ticket au KDC pour L’utilisateur envoie la demande au serveur de fichier en fournissant le ticket
accéder au service. Cette demande est appelée pour la demande au service. Cette demande s’appelle KRB_AP_REQ, le
KRB_TGS_REQ. serveur va vérifier l’identité de l’utilisateur.

5
Le KDC retourne à l’utilisateur un ticket pour qu’il puisse
7
accéder au service sur le serveur. Le ticket contient Le serveur peut éventuellement répondre au client avec KRP_AP_REP
plusieurs informations sur l’utilisateur et le service. pour que le client identifie le serveur.
La réponse est appelée KRB_TGS_REP.
 Comparaison des protocoles d’Authentification AD
v2

NTLM NTLMv2 Kerberos

Cryptographie à clé Cryptographie à clé Cryptographie à clé symétrique
Technique cryptographique symétrique symétrique
Cryptographie asymétrique

Niveau de sécurité Faible Intermédiaire Haut

Ticket chiffré utilisant DES,

Type de message Nombre aléatoire Hash MD4, nombre aléatoire
MD5

Tiers de confiance Domain controller Domain controller Domain controller, KDC

Synthèse
Kerberos et NTLMv2 sont nécessaires pour l'authentification dans l'AD, et fonctionnent clairement à des niveaux de sécurité plus
élevés que LM et NTLM, qui présentent des risques importants de cybersécurité pour les entreprises.
Composants participant à l'authentification
• L'autorité LSA qui est • l’Autorité LSA empêche la
incluse dans le processus LSA : Autorité de lecture de la mémoire et
LSASS (Local Security Sécurité Locale l’injection de code par des
Authority Security Service), processus non protégés.
valide les utilisateurs pour
01 02
les connexions locales et à • La sécurité des informations
distance. d’identification stockées et
gérées par l’autorité LSA est
• Applique les stratégies de ainsi renforcée.
sécurité locales (GPO)
04 03 • Il génère un jeton d’accès qui
contient l’identifiant de
• Les Jetons d'accès : sécurité de l’utilisateur.
- Le SID identificateur de sécurité
- Le SID de groupes
- Les privilèges
- Un SID associé aux ressources possédées
- Une ACL par défaut associé à tout fichier créé
- Un groupe primaire lui est aussi associé par défauts
aux nouveaux objets
Architecture du sous-système de sécurité dans Windows

LPC

Jeton de sécurité
d’accès

Attaché au processus d’utilisateur

Architecture du sous-système de sécurité dans Windows
 PART
THANKS!
CREDITS: This presentation template was created
by Slidesgo, including icons by Flaticon,
infographics & images by Freepik and
illustrations by Stories
 Durcissement
d’Active Directory
Introduction au durcissement AD
● L’AD est un « Elephant in the room » dans le système d’information
de l’entreprise.
● En tant que gardien des applications, des données ou plutôt des
objets de l'entreprise.

● La gestion d'AD est une tâche permanente et sa sécurisation est

encore plus difficile, ce qui nécessite plusieurs stratégies clés
pour renforcer la sécurité et durcir AD pour résister aux attaques
complexes.
Guides et directive pour la sécurité de DC

● Il existe plusieurs guides et directives pour le durcissement d’AD

proposés par des standards comme :

○ Benchmarks AD du Center for Internet Security (CIS)

○ Microsoft Security Baseline for Windows Server (AD)
○ ANSSI (Guide de Durcissement AD)
○ DoD STIG Windows Server
■ Security Technical Implementation Guide
Durcissement AD : Bonnes pratiques
Il est donc primordial de maîtriser et sécuriser l’annuaire AD. Pour ce
faire, voici quelques recommandations de sécurité à adopter :

❑ Modifiez périodiquement le mot de passe du compte de

administrateur local de vos stations de travail et serveurs(LAPS).

❑ Mettre à jour vos applications et vos systèmes d’exploitation dès

que possible.

❑ Appliquer une stratégie de mot de passe : long, complexe (une

phrase) et différent pour chaque compte.
Durcissement AD : Bonnes pratiques

❑ Limitez le nombre de comptes administrateurs Active Directory à

fort privilèges !
❑ Utilisez des postes d’administration à sécurité renforcée Secured-
core PCs, dites Privileged Access Workstation (PAW) disposent
d’une sécurité renforcée.
Durcissement AD : Bonnes pratiques

❑ Protégez les contrôleurs de domaine, ainsi que les

serveurs(chiffrement des machines, enregistrement des actions
des administrateurs et limitation du nombre de personnes
autorisées à se connecter sur ces équipements).

❑ Effectuez des sauvegardes automatiques, régulières et dans au

moins 3 emplacements différents.

❑ Réalisez régulièrement un audit de votre configuration Active

Directory pour vous assurer de son bon paramétrage.

❑ Isolez, supervisez et corrigez votre AD !

 Principales
Attaques et
Sécurisation AD
Understanding hacker techniques and
processes is the best way to defend
against cyber attacks, and focusing on
business risks is the best way to get
security budget
Durcissement AD : Vulnérabilités

● Active Directory est une cible de choix pour les attaquants. Ils
utiliseront les techniques décrites ci-dessous pour exploiter des
mauvaises configurations, des failles de la sécurité et des
comptes non gérés, ce qui leur permettra de se déplacer et
d'accéder à des comptes de domaine hautement privilégiés.
○ SMB Vulnerability
○ Attaques par vol et de réutilisation d’informations
d’identification (outil Mimikatz)
○ Attaque de type Golden Ticket
○ Attaque de Kerberoasting
○ Mitm6
Vulnérabilité de SMBv1
● Server Message Block 1.0 (SMBv1) est très vulnérable(CVE-
2020-1301, CVE-2017-0269 et CVE-2017-0273).

● Cette version autorise des attaques comme DoS lorsqu'un

attaquant envoie des requêtes spécialement conçues au
serveur -> "Windows SMB DoS Vulnerability".

● Étant donné que Windows 10 Update et Windows Server,

version 1709 (RS3), le protocole SMB version 1 (SMBv1) n’est
plus installé par défaut. Il a été remplacé par les protocoles
SMBv2 et ultérieurs à partir de 2007. Microsoft a déconseillé
publiquement le protocole SMBv1 en 2014.
Attaques par vol d’informations d’identification

● Un attaquant obtient initialement un privilège le plus élevé à l’accès

un ordinateur sur un réseau, puis utilise des outils librement
disponibles pour extraire les informations d’identification des
sessions d’autres comptes connectés.

● Les comptes les plus utiles pour ce type d’attaque sont des
comptes administrateurs de domaine et des groupes
administrateurs dans AD.

● Il est plus facile de voler un mot de passe que de lancer une

attaque par force brute ou de pirater Kerberos ou vol d’information
par des phishing Attack.
Attaques par vol d’informations d’identification

● Il est important de surveiller les éventuels vols de données

d’identification. Voici quelques modèles de menaces qui montrent
des preuves de vol de données d’identification :
○ Comportement d’accès anormal : possibilité d’une attaque par
credential stuffing à partir d’une source unique.
○ Nombre inhabituel d’accès à des appareils

○ Spamming : Envoi massives des mails.

Activités qui augmentent la probabilité de compromission

● Connexion à des ordinateurs non sécurisés avec des comptes

privilégiés.

● Ne pas conserver d’informations d’identification administratives

distinctes( employé utilise un seul compte pour tout son travail )

● Connexions à des stations de travail compromises ou aux serveurs

membres avec des comptes privilégiés.

● Station de travail administratives non sécurisées.

Activités qui augmentent la probabilité de compromission

● Navigation sur Internet avec un compte hautement privilégié.

● Configuration de comptes privilégiés locaux avec les mêmes

informations d’identification entre les systèmes.

● Contrôleurs de domaine mal sécurisés.

● Comptes AD « privilégiés » ou Comptes VIP permanents.

Mimikatz : Vol d’informations d’identification
● Mimikatz est un utilitaire Windows open source, initialement pour
faire la démonstration pratique de l’exploitation d’une
vulnérabilité du service de sous-système d’autorité de sécurité
locale(lsass)

● Mimikatz est capable d’aller récupérer, en mémoire vive, des

informations relatives aux sessions en cours, dont des mots de
passe en clair ou des tickets kerberos.

● Les hackers utilisent Mimikatz pour voler des données

d’identification et augmenter les droits.
● À l’inverse, les testeurs d’intrusion utilisent Mimikatz pour détecter
et exploiter les vulnérabilités de vos réseaux.
Que peut faire Mimikatz ?
● Au départ, Mimikatz montrait comment exploiter une simple
vulnérabilité du système d’authentification de Windows.

● Aujourd’hui, l’outil permet de procéder à la démonstration de

plusieurs types de vulnérabilités. Il peut utiliser des techniques de
vol d’information d’identification telles que :

○ Pass-the-Hash

○ Pass-the-Ticket

○ Over-Pass the Hash (Pass the Key)

○ Kerberos Silver/Golden Ticket

○ Pass-the-Cache
Pass-the-Hash
● Un attaquant en écoute sur le réseau ne pourra effectivement
pas récupérer directement de mot de passe.
● En voyant un échange de ce type, il serait uniquement possible
d’effectuer une attaque par force brute sur le hash envoyé par
le client : l’attaquant est en possession du challenge, et du
HASH (CHALLENGE+<HASH_PASS>).
● Grâce à des outils, il peut donc tenter de retrouver le mot de
passe en clair. Cela dit, le temps de calcul étant directement
proportionnel à la complexité du mot de passe, cette attaque
n’est pas toujours couronnée de succès.
 Fonctionnement de « Pass-the-Hash » -- Cas 1
Cette attaque permet à un attaquant de
1 sauter les étapes 1 et 2 de ce 5 Donc l’attaquant a accès aux zones les plus critiques de
domaine AD.
processus. S'il dispose du hachage du
mot de passe de l'utilisateur, il n'a pas • Il peut voler des données sensibles
besoin du mot de passe en clair. • Installer des outils d'accès à distance (RAT)
• Modifier les GPO pour diffuser des logiciels malveillants ou
2 Il peut utiliser un outil comme Mimikatz
pour envoyer la demande de connexion
des ransomwares, etc.

Comment un attaquant peut-il obtenir le hash du mot de

et répondre correctement au défi de
connexion du DC.
6 passe d'un utilisateur ?

L'attaquant est libre de se déplacer • La machine et le DC ont tous deux le hach du mot de passe.
latéralement et d'élever ses privilèges. Plus précisément, les hachages de mot de passe sont
3 Aussi, il peut récolter d'autres mots de stockés dans la mémoire du processus de la machine locale
passe hachés dans la mémoire LSASS et dans la base de données ntds.dit du DC.
du système auquel il est connecté.
• Si l’attaquant a compromis les privilèges d'administrateur sur
l'ordinateur, il peut extraire les hachages de mot de passe de la
4 Si l’attaquant atteint un système où des
comptes d'administration ou de service mémoire du processus LSASS;
hautement privilégiés se sont connectés
, la partie est terminée • Pour obtenir les hachages du DC, il peut voler le fichier à l'aide
d'un outil tel que PowerSploit NinjaCopy et extraire les
hachages à l'aide du module PowerShell DSInternals.
 Fonctionnement de « Pass-the-Hash » -- Cas 2
Le service informatique n'a pas de
1 temps pour installer et de configurer
à partir de zéro un système Windows
pour chaque poste de travail d’un
nouvel employé.

2 Une version appelée master du système

Windows est installée et configurée pour
répondre à tous les besoins et exigences
de base d'un nouvel employé.

Cela implique que le compte

3 administrateur local est le même sur tous
les postes de travail qui ont été initialisés
avec le même master.

Si l'un de ces hôtes est compromis et

4 que l'attaquant extrait le hachage du
compte administrateur local de la station
de travail. L'attaquant peut alors utiliser le
hachage trouvé sur l'hôte compromis et le
rejouer sur tous les autres hôtes pour
s'authentifier sur eux.
Pass-the-Ticket

● Avec l’authentification Kerberos, Windows conserve les

données de mot de passe dans un élément appelé « TGT ».

● Les pirates peuvent "passer le ticket" en utilisant des TGT

volés pour se déplacer latéralement dans un environnement, en
contournant les contrôles d'accès normaux du système.

● Mimikatz donne la possibilité à un utilisateur de transmettre un

ticket kerberos à un autre ordinateur et de l’utiliser pour se
connecter sans avoir accès au mot de passe d'un compte.
Pass-the-Ticket

● Les tickets de service TGS ou les tickets d'accès (TGT) d'un

utilisateur peuvent être obtenus, en fonction du niveau d'accès.

● Un TGS permet d'accéder à une ressource particulière, tandis

qu'un TGT peut être utilisé pour demander des tickets de
service (TGS) afin d'accéder à toute ressource à laquelle
l'utilisateur a le droit d'accéder.

● C’est l’équivalent de Pass-the-hash dans le cas NTLM.

Pass the Key

● Over-Pass the Hash (Pass the Key) : encore une autre

variante de « pass-the-hash ».

● Cette attaque vise à utiliser le hachage NTLM de

l'utilisateur ou les clés AES pour demander des tickets
Kerberos.

● Cette attaque pourrait être particulièrement utile dans

les réseaux où le protocole NTLM est désactivé et où
seul Kerberos est autorisé comme protocole
d'authentification.
Kerberos Golden Ticket

● lorsqu'un utilisateur s'authentifie, le KDC émet un TGT, qui

comprend une clé de session unique et la durée de validité de
cette session.

● Avant d'envoyer un TGT, le KDC le chiffre en utilisant un mot de

passe haché d'un compte spécial, le compte KRBTGT.

● Ce mot de passe haché est partagé entre tous les DC du

domaine AD afin qu'ils puissent lire les TGT qu'ils reçoivent
lorsque les utilisateurs demandent l'accès à diverses
ressources.
 Kerberos Golden Ticket
● L’authentification Kerberos par défaut dans Active Directory -
repose sur l'hypothèse que tout TGT crypté avec le hachage
de mot de passe KRBTGT est légitime.

● Il s’agit donc une attaque Pass-the-hash de compte KRBTGT,

qui n’est autre que le compte qui chiffre tous les autres tickets.
Kerberos Silver Ticket

● Kerberos Silver Ticket : une autre attaque Pass-the-ticket,

sauf qu’un silver ticket exploite une caractéristique de
Windows qui vous permet d’utiliser facilement des services sur
le réseau TGS.

● Ainsi, si un attaquant parvient à extraire le hash NTLM d’un

compte de service, il peut alors forger un ticket TGS en
choisissant les informations qu’il veut mettre dedans afin
d’accéder à ce service, sans passer par le KDC.
Kerberos Silver Ticket
Références
1. https://techcommunity.microsoft.com/t5/ask-the-directory-services-team/understanding-kerberos-double-
hop/ba-p/395463
2. https://learn.microsoft.com/fr-fr/windows-server/identity/ad-ds/plan/security-best-practices/attractive-
accounts-for-credential-theft
3. https://learn.microsoft.com/en-us/windows-server/security/kerberos/ntlm-overview
4. https://learn.microsoft.com/fr-fr/windows/security/threat-protection/auditing/audit-sam
5. https://learn.microsoft.com/en-us/windows-server/security/kerberos/kerberos-authentication-overview
6. https://beta.hackndo.com/kerberos-silver-golden-tickets/
7. https://blog.quest.com/golden-ticket-attacks-how-they-work-and-how-to-defend-against-them/
8. https://www.infosecmatter.com/metasploit-module-library/?mm=post/windows/gather/enum_ad_users
9. https://www.varonis.com/fr/blog/mimikatz-kezako
10. https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=smbv1
11. https://beta.hackndo.com/kerberos-silver-golden-tickets/
12. https://www.login-securite.com/2021/03/05/pass-the-hash-un-hash-pour-les-gouverner-tous/
13. https://beta.hackndo.com/pass-the-hash/
14. https://en.hackndo.com/ntlm-relay/
15. https://rdr-it.com/active-directory-durcir-la-securite-de-votre-environnement/
 Chapitre 3

Durcissement de
l'Active Directory

Pr. Omar ACHBAROU

o.achbaou@uca.ma