Comment WALLIX Bastion sécurise l’Active Directory ?

Par le Lab Sécurité de WALLIX

Ces dernières années, on observe une recrudescence des cyberattaques ciblant l’Active Directory (AD). Cela s’explique par l’obsolescence de l’architecture Active Directory déployée par la plupart des grandes entreprises il y a plus de 10 ans. A cette époque, les préoccupations autour de la cybersécurité n’étaient pas les mêmes qu’aujourd’hui et l’architecture – qui repose exclusivement sur le DIT (Directory Information Tree), le modèle de délégation d’administration et la logique d’application des GPOs – est, par conséquent, extrêmement vulnérable aux cyberattaques. Au cours des années, l’Active Directory a connu de nombreuses évolutions. Microsoft a préconisé différents changements d’architectures – sans prise en compte de la sécurité – générant, avec le temps, des problèmes de configuration, multipliant ainsi les vulnérabilités. De plus, les mauvaises pratiques de cybersécurité comme l’utilisation de mots de passe faibles ou identiques pour plusieurs applications exposent d’autant plus l’Active Directory.

Sécuriser l’Active Directory devient donc un véritable casse-tête pour les entreprises qui ont tout simplement « baissé les bras » face à l’ampleur de la tâche. Or, l’Active Directory est le point névralgique du Système d’Information d’une entreprise. L’AD répertorie tous les postes sous Windows et leurs utilisateurs et fournit les mécanismes d’identification et d’authentification de ces derniers. On comprend donc aisément pourquoi l’AD représente une cible de choix pour les hackers. Si une personne malveillante arrive à prendre le contrôle de comptes utilisateurs et particulièrement ceux des administrateurs système (utilisateurs root) qui disposent de tous les privilèges, en volant les identifiants et mots de passe, cette personne aura accès à toutes les données de l’entreprise y compris les plus sensibles, et pourra par exemple lancer une attaque de type ransomware.

L’ANSSI – l’Agence Nationale pour la Sécurisation des Systèmes d’information – sensibilise depuis 2014 les entreprises et délivre des recommandations de pour sécuriser l’AD. Or, avec la recrudescence des cyberattaques ciblant l’Active Directory – on se rappelle notamment du CHU de Rouen en 2019 dont le SI a été paralysé par un ransomware pendant plusieurs jours, propagé grâce à une élévation de privilèges via des comptes de l’AD de l’hôpital – l’ANSSI renforce peu de temps après ses mesures et lance Active Directory Security, un service d’audit et de conseil à destination des acteurs critiques pour la sécurisation de l’AD.

Comment protéger l’Active Directory ?

Pour sécuriser efficacement l’AD, l’ANSSI recommande tout d’abord que les administrateurs du Système d’Information de l’entreprise aient un compte spécifique dans l’AD, différent de leur compte administrateur « classique ». Ainsi, l’administrateur se connecte avec un couple identifiant/mot de passe unique, sur un poste dédié à l’administration, sur lequel il ne peut que gérer l’AD (pas de connexion internet et aucune autre application). Cela limite drastiquement le vol d’identifiants et de mots de passe et augmente ainsi le niveau de sécurité.

Ensuite, pour renforcer le niveau de sécurité, l’architecture Active Directory optimale d’après Microsoft repose sur la création de 3 silos d’administration :

  • 1 silo nommé Tier-0 pour l’administration des ressources critiques du SI (AD, serveurs de mise à jour, postes d’administrateurs…)
  • 1 silo nommé Tier-1 pour les ressources vitales du SI (serveurs de mails, serveurs métiers…)
  • 1 silo Tier-2 pour les ressources non-vitales (postes utilisateurs, imprimantes…)

Avec cette architecture, lorsqu’un utilisateur cherche à se connecter sur un poste, l’AD va vérifier que l’utilisateur est en droit de le faire, qu’il dispose bien des droits requis. Ainsi, un administrateur Tier-0 ne peut pas se connecter sur un poste Tier-2.

Une fois cette vérification effectuée et validée, Windows va demander le mot de passe de l’utilisateur. Ce principe garantit la non-dissémination des mots de passe. Ils ne peuvent pas être utilisés en dehors du silo.

Cependant, malgré cela, le risque d’usurpation d’identité n’est pas encore écarté. La seule réponse est de mettre en place une solution de gestion des comptes à privilège, qui va venir apporter une couche supplémentaire de sécurité et garantir ainsi la protection des données.

Cette architecture est adaptée aux infrastructures on-premise. Le nouveau modèle de Microsoft de sécurisation des accès à privilège, bien que plus orienté cloud, est compatible avec cette approche : il n’en constitue qu’un raffinement.

WALLIX Bastion, pour sécuriser de manière renforcée l’Active Directory

WALLIX Bastion, la solution phare de gestion des comptes à privilèges (PAM) du portefeuille de solutions unifiées de WALLIX, certifiée CSPN par l’ANSSI, sécurise ainsi l’Active Directory de 1300 organisations à travers le monde dont de nombreux OIV, OSE, et administrations.

Concrètement, WALLIX Bastion va renforcer la sécurité de l’AD en s’intégrant dans l’architecture en silos. Il va être possible de scinder ses silos en 2, avec d’un côté, les ressources informatiques et de l’autre, les utilisateurs (dont les administrateurs). WALLIX Bastion va gérer les accès à ces ressources informatiques. Cela signifie que l’administrateur ne va pas se connecter directement à l’Active Directory. Il y accèdera indirectement via WALLIX Bastion. Seul WALLIX Bastion possède les identifiants et les mots de passe nécessaires à cette connexion et ne sont pas connus de l’administrateur. De plus, WALLIX Bastion enregistre toutes les actions réalisées ce qui permet d’avoir une traçabilité totale des actions réalisées dans l’AD, et plus généralement sur le SI, et d’intervenir en cas de comportement suspect.

Pour plus d’informations : https://www.wallix.com/privileged-access-management/