Recommandations de sécurité relatives à Active Directory

Destiné aux administrateurs et RSSI, ce document a pour objectif de fournir des recommandations et des procédures permettant la sécurisation d’un annuaire Active Directory (AD).

Publié le 29 Août 2014 Mis à jour le 29 Août 2014

AD est un annuaire introduit par Windows 2000 Server. Son implémentation permet de centraliser des informations relatives aux utilisateurs et aux ressources d’une entreprise en fournissant des mécanismes d’identification et d’authentification tout en sécurisant l’accès aux données.

La diversité des informations qu’un annuaire AD contient et le rôle central qu’il occupe dans le système d’information ont induit la création d’un véritable écosystème applicatif pour l’administrer, le maintenir et le surveiller. Il est important de souligner qu’un annuaire Active Directory contient des secrets des utilisateurs, comme, par exemple, leurs informations d’identification. De fait, il constitue une cible privilégiée pour une personne malveillante.

En effet, s’il dispose des droits d’administration du domaine, un attaquant est libre de mener toutes les opérations souhaitées telles que l’exfiltration de données ou le sabotage. La compromission d’un seul compte avec des droits privilégiés peut ainsi faire perdre la maîtrise totale du système d’information. Par conséquent, il est primordial de maîtriser et de bien sécuriser son annuaire AD.