Chapitre 1
Pages 2-3
Introduction : Le Rôle Central d'Active Directory et les Enjeux de Sécurité
L'importance d'Active Directory comme pilier de l'identité et de l'accès
Active Directory (AD) est le service d'annuaire fondamental de Microsoft Windows, servant de pierre angulaire
à la gestion des identités et des accès au sein des infrastructures informatiques d'entreprise. Il orchestre
l'authentification des utilisateurs, la gestion des autorisations et les contrôles d'accès à l'ensemble des
systèmes, applications et ressources d'une organisation.
Cette centralisation du contrôle d'accès confère à Active Directory un rôle critique, en faisant la cible
privilégiée des cyberattaques. Une gestion rigoureuse de la sécurité d'AD est donc impérative pour protéger
les informations d'identification, les applications métiers et les données confidentielles contre les accès non autorisés.
⚠️ La position d'Active Directory en tant que "clé du royaume" signifie que sa compromission peut
entraîner un contrôle total du réseau par un attaquant.
Vue d'ensemble des vulnérabilités courantes et des menaces persistantes
Le paysage des menaces d'Active Directory est complexe, marqué par des vulnérabilités courantes et des
techniques d'attaque sophistiquées. Parmi les lacunes de sécurité les plus fréquentes figurent :
- Déploiements incomplets d'antivirus et d'anti-malware
- Application irrégulière des correctifs de sécurité
- Utilisation d'applications et de systèmes d'exploitation obsolètes
- Erreurs de configuration critiques
Pourquoi Windows Server 2025 est une opportunité pour renforcer la sécurité
Windows Server 2025 représente une évolution significative pour la sécurité d'Active Directory, introduisant
de nombreuses améliorations pour les services de domaine Active Directory (AD DS) et les services d'annuaire
léger Active Directory (AD LDS).
✅ Windows Server 2025 intègre des fonctionnalités de sécurité "security-first" qui, si elles sont
pleinement exploitées, peuvent transformer fondamentalement la posture de sécurité d'AD.
Des changements fondamentaux, tels que le chiffrement LDAP obligatoire par défaut et l'activation par défaut
de Credential Guard, signalent une orientation stratégique de Microsoft vers une approche de conception plus sécurisée.
Chapitre 2
Pages 3-9
Les Nouveautés de Sécurité d'Active Directory dans Windows Server 2025
Améliorations Fondamentales d'AD DS
Taille de page de base de données 32k
Windows Server 2025 lève la limitation historique de 8k en offrant un format de page de base de données
optionnel de 32k, ce qui améliore considérablement les domaines affectés par ces restrictions héritées.
Les attributs à valeurs multiples peuvent désormais contenir environ 3 200 valeurs, soit une augmentation de 2,6 fois.
Chiffrement LDAP par défaut et support TLS 1.3
Windows Server 2025 renforce considérablement la sécurité des communications LDAP :
- Scellement LDAP par défaut après liaison SASL
- Support TLS 1.3 pour les connexions LDAP over TLS
- Opérations sécurisées : attributs confidentiels uniquement sur connexions chiffrées
🔒 Le chiffrement LDAP par défaut et le support de TLS 1.3 sont des améliorations fondamentales pour
la confidentialité et l'intégrité des données transitant vers et depuis Active Directory.
Améliorations de Kerberos
Le protocole Kerberos bénéficie d'améliorations substantielles :
- PKINIT mis à jour : agilité cryptographique, plus d'algorithmes disponibles
- Suppression RC4 : le KDC ne délivrera plus de TGTs utilisant RC4-HMAC
- Configuration via GPO : recommandé au lieu des clés de registre
Windows LAPS - Évolutions majeures
Windows LAPS (Local Administrator Password Solution) reçoit plusieurs améliorations cruciales :
🔄 Gestion automatique
Création et personnalisation de comptes locaux gérés avec noms randomisés
🔍 Détection restauration
Détecte les restaurations d'image et fait pivoter immédiatement le mot de passe
🔑 Phrases de passe
Support de phrases plus simples à mémoriser (ex: "EatYummyCaramelCandy")
🛡️ dMSA
Nouveaux comptes de service gérés délégués avec clés randomisées
Fonctionnalités de Sécurité Système Impactant AD
Credential Guard activé par défaut
Windows Server 2025 renforce la protection des informations d'identification en activant Credential Guard
par défaut sur le matériel compatible. Credential Guard offre une protection significativement meilleure
contre les attaques de vol d'informations d'identification, telles que Pass-the-Hash ou Pass-the-Ticket,
en isolant les secrets dans un conteneur virtualisé.
Améliorations de la sécurité SMB
- Signature SMB obligatoire par défaut pour toutes les connexions sortantes
- Blocage NTLM pour les connexions sortantes
- Limiteur de taux pour prévenir les attaques par force brute
Chapitre 3
Pages 9-15
Bonnes Pratiques Fondamentales pour le Durcissement d'Active Directory
Gestion des Privilèges et Accès
Le Principe du Moindre Privilège (PoLP)
Le Principe du Moindre Privilège (PoLP) est un concept de sécurité fondamental qui stipule que les utilisateurs,
les programmes et les processus ne devraient disposer que des droits d'accès minimaux nécessaires pour accomplir leurs tâches.
Mise en œuvre du PoLP :
- Séparer les comptes privilégiés et non privilégiés
- Limiter les privilèges des utilisateurs via audits réguliers
- Réduire le nombre d'administrateurs au strict minimum
Gestion des Accès Privilégiés (PAM) et Accès Juste-à-Temps (JIT)
Les solutions de PAM sont conçues pour restreindre l'accès privilégié, isoler l'utilisation des comptes
privilégiés et réduire le risque de vol d'informations d'identification.
L'Accès Juste-à-Temps (JIT) est une approche dynamique qui accorde des droits d'accès uniquement lorsque
cela est spécifiquement requis et pour la période minimale nécessaire.
PAM (Privileged Access Management)
- ✓ Protection des groupes privilégiés
- ✓ Surveillance accrue
- ✓ Visibilité améliorée
- ✓ Contrôles granulaires
JIT (Just-in-Time Access)
- ✓ Droits d'accès temporaires
- ✓ Réduction surface d'attaque
- ✓ Révocation automatique
- ✓ Pistes d'audit claires
Postes de Travail à Accès Privilégié (PAW)
Les PAW fournissent un système d'exploitation dédié et durci, protégé des attaques Internet et des vecteurs
de menaces courants, pour l'exécution de tâches sensibles. Principe fondamental :
ne jamais administrer un système de confiance à partir d'un hôte moins fiable.
Modèle d'Administration Hiérarchisé (Tiered Administration)
🔴
Niveau 0 (Tier 0)
Contrôleurs de domaine, AD FS, PKI, maîtres d'opérations
🟡
Niveau 1 (Tier 1)
Serveurs et applications métiers
🟢
Niveau 2 (Tier 2)
Postes de travail utilisateurs, terminaux mobiles
Politiques de Mots de Passe et Hygiène des Comptes
Politiques de mots de passe modernes
Les politiques traditionnelles sont souvent insuffisantes. Une stratégie efficace implique :
- Longueur minimale : 14 à 25 caractères (privilégier la longueur sur la complexité)
- Entropie élevée : nombres et caractères spéciaux
- Phrases de passe : ex. "EatYummyCaramelCandy" (faciles à mémoriser)
- Éliminer les mots de passe courants : filtres tiers ou Azure AD Password Protection
- Pas d'expiration régulière : mise à jour uniquement en cas de brèche
Authentification Multi-Facteurs (MFA)
La MFA ajoute une couche de sécurité supplémentaire en exigeant au moins deux méthodes de vérification.
Fortement recommandée pour tous les comptes administratifs et les mécanismes de connexion administrative.
Sécurisation des comptes de service
🎯 Les comptes de service sont une cible privilégiée pour les attaques de Kerberoasting
Exigences : Longueur minimale de 25 caractères, complexité élevée, forte entropie,
stockage dans un coffre-fort. Solution recommandée : Utiliser gMSAs ou dMSAs pour une gestion automatique.
Sécurisation des Contrôleurs de Domaine (DCs)
- Restriction stricte de l'accès : interdire navigation web, limiter connexions RDP
- Désactivation services non essentiels : Print Spooler, SMBv1, NTLM
- Sécurité physique : racks/cages sécurisés, utilisation du TPM
- Filtrage SID : sur toutes les approbations de forêt
Chapitre 4
Pages 15-22
Défense Active : Détection, Surveillance et Réponse aux Incidents
Surveillance et Audit Proactifs d'Active Directory
La surveillance vigilante et continue est essentielle pour détecter les accès non autorisés et arrêter une
attaque avant que le système ne soit corrompu. Les attaquants exploitent souvent les configurations erronées
pour escalader les privilèges et rester indétectés.
Configuration des stratégies d'audit avancées
Il est crucial de configurer les stratégies d'audit avancées pour collecter des événements de manière
granulaire et éliminer le "bruit" des journaux. Voici les ID d'événements critiques à surveiller :
| ID Événement |
Criticité |
Description |
| 4618 |
ÉLEVÉE
|
Modèle d'événement de sécurité surveillé |
| 4649 |
ÉLEVÉE
|
Attaque par rejeu détectée |
| 4719 |
ÉLEVÉE
|
Politique d'audit système modifiée |
| 4765 |
ÉLEVÉE
|
Historique SID ajouté à un compte |
| 4624 |
MOYENNE
|
Connexion réussie à un compte |
| 4625 |
MOYENNE
|
Échec de connexion |
| 4768 |
MOYENNE
|
Ticket Kerberos (TGT) demandé |
Intégration avec SIEM et ITDR
Les solutions SIEM (Security Information and Event Management) sont conçues pour collecter, agréger et
analyser les données provenant de diverses sources afin de repérer les menaces.
Les outils ITDR (Identity Threat Detection and Response) complètent les SIEM en aidant à atténuer les
risques d'exploitation des attaques Pass-the-Hash pour le mouvement latéral.
Comprendre et Atténuer les Vecteurs d'Attaque Courants
🎯 Kerberoasting
Description : Extraction et craquage hors ligne des hachages de mots de passe de comptes de service AD.
Atténuations :
- ✓ Mots de passe >25 caractères complexes pour comptes de service
- ✓ Utiliser gMSAs ou dMSAs pour gestion automatique
- ✓ Surveillance des demandes de tickets Kerberos anormales
- ✓ Chiffrement AES 128/256 bits pour tickets
🔑 Pass-the-Hash (PtH)
Description : Vol du hachage du mot de passe pour créer une nouvelle session sans connaître le mot de passe réel.
Atténuations :
- ✓ Activer Windows Defender Credential Guard
- ✓ Limiter privilèges (PoLP, Zero Trust, PAM)
- ✓ Utiliser Microsoft LAPS pour mots de passe uniques
- ✓ Implémenter solution ITDR pour détection comportements anormaux
🎟️ Golden Ticket
Description : Vol du hachage KRBTGT pour forger des TGTs avec permissions arbitraires.
Atténuations :
- ✓ Protéger compte KRBTGT (réinitialisation mot de passe 2x avec délai 10h)
- ✓ Implémenter MFA sur comptes privilégiés
- ✓ Surveiller anomalies activité Kerberos (TGTs durées inhabituelles)
- ✓ Déployer solutions EDR pour détecter outils d'attaque
↔️ Mouvement Latéral
Description : Techniques pour se déplacer dans le réseau après accès initial.
Atténuations :
- ✓ Segmentation réseau pour limiter l'accès entre segments
- ✓ Utiliser PAW pour tâches administratives
- ✓ Déployer IDS/IPS et solutions EDR
- ✓ Maintenir bonne hygiène informatique (patching régulier)
Planification de la Réponse aux Incidents
Même avec les meilleures mesures préventives, les brèches peuvent survenir. L'élaboration d'un plan de
réponse aux incidents (IRP) détaillé et testé est un élément essentiel de la résilience cybernétique.
Phases du plan IRP :
- Préparation : Formation équipes, systèmes prêts
- Détection et Analyse : Identification et évaluation événements
- Confinement, Atténuation et Éradication : Limiter impact, éliminer menace
- Récupération : Restaurer opérations normales
- Activité post-incident : Documentation, leçons apprises, améliorations
Stratégies de sauvegarde et récupération
Un plan de récupération complet d'AD est vital. Il est essentiel de sauvegarder au moins deux contrôleurs
de domaine par domaine et de conserver ces sauvegardes hors ligne pour
prévenir l'infection par malware.
Chapitre 5
Pages 22-23
Conclusion : Vers une Posture de Sécurité AD Résiliente en 2025
La sécurisation active d'Active Directory sous Windows Server 2025 est une entreprise complexe mais indispensable,
qui exige une approche stratégique et multicouche.
Recommandations clés pour une posture résiliente
🔐 Gestion des privilèges
Mettre en œuvre rigoureusement le PoLP, adopter PAM et JIT Access, utiliser PAW dans un modèle
d'administration hiérarchisé pour réduire la surface d'attaque.
🔑 Hygiène des comptes
Appliquer politiques de mots de passe modernes (longueur, entropie, phrases de passe), déployer MFA
pour comptes privilégiés, sécuriser comptes de service avec gMSAs/dMSAs.
🏰 Durcissement des DCs
Restreindre strictement l'accès aux contrôleurs de domaine, désactiver services non essentiels
(Print Spooler, SMBv1, NTLM), renforcer sécurité physique avec TPM.
🛡️ Défense active
Surveillance et audit proactifs, configuration stratégies d'audit avancées, intégration SIEM/ITDR,
compréhension et atténuation des vecteurs d'attaque courants.
📋 Préparation et récupération
Élaborer plan de réponse aux incidents détaillé, tester régulièrement stratégies de sauvegarde et
récupération de forêt AD, privilégier sauvegardes hors ligne.
🎯 Message Final
La sécurité d'Active Directory en 2025 ne repose pas sur une solution unique, mais sur une
combinaison stratégique de mesures préventives,
de détection proactive et de
capacités de réponse robustes.
La synergie entre les nouvelles fonctionnalités de Windows Server 2025 et les meilleures pratiques
établies est la clé d'une posture de sécurité résiliente.
Amélioration continue
Le paysage des menaces évolue constamment, ce qui rend l'adaptation et l'amélioration continues impératives
pour maintenir une défense efficace. Les organisations doivent adopter une mentalité de "penser comme un attaquant"
pour identifier les vulnérabilités.
🔄 Cycle de Vie de la Sécurité AD
✅ La sécurisation active d'Active Directory est un cycle de vie continu
Cet engagement continu d'évaluation, de durcissement, de surveillance, de détection et de réponse
est essentiel pour protéger les actifs numériques les plus précieux d'une organisation.
Date de publication : Octobre 2025
Auteur : Ayi NEDJIMI
Sources : 50+ références citées