Chemins de contrôle en environnement Active Directory - Chacun son root, chacun son chemin

Par Lucas Bouillot et Emmanuel Gras, article du sujet présenté à Rennes dans le cadre de la conférence SSTIC 2014.

L’audit d’un domaine Active Directory est un sujet complexe : les relations entre objets à inspecter dépassent largement l’appartenance aux groupes de sécurité ou aux unités organisationnelles. Le bureau Audit et Inspection de l’ANSSI a développé une méthodologie et un outillage permettant de prendre en compte et d’agréger de nombreuses relations afin de les représenter sous forme de graphes appelés graphes des chemins de contrôle. Les réponses à des questions comme « Qui peut obtenir les privilèges d’administration du domaine ? » ou bien « Quelles ressources un utilisateur peut-il contrôler ? » peuvent alors être obtenues de façon graphique.