Sécuriser Active Directory — Le Guide Complet (447 pages)

Guide PDF 447 pages sécuriser Active Directory : 15+ attaques, Tiering Model, durcissement Kerberos/NTLM, monitoring SIEM, outils audit. PDF gratuit.

Ayi NEDJIMI

Expert Cybersécurité & IA

min lecture

PDF offert

Français

Pourquoi ce guide est indispensable

Active Directory est présent dans 95% des entreprises et reste la cible prioritaire des attaquants. En 2025-2026, les attaques sur AD ont augmenté de 42%. Ce guide vous donne les clés pour :

Comprendre les 10 attaques les plus courantes (Kerberoasting, Golden Ticket, DCSync, Pass-the-Hash, NTLM Relay, AD CS abuse...)
Implémenter le Tiering Model (Tier 0/1/2, PAW, Red Forest)
Durcir Kerberos et NTLM avec des configurations concrètes
Déployer un monitoring avancé avec les événements critiques (4624, 4768, 5136...)
Auditer votre AD avec les meilleurs outils (PingCastle, BloodHound, Adalanche, Purple Knight)
Sécuriser AD CS contre les attaques ESC1-ESC15
Préparer la migration vers Entra ID (identité hybride)

Contenu détaillé — 447 pages

Partie 1 : Fondamentaux et état des lieux

Architecture AD, surface d'attaque, inventaire des vulnérabilités courantes, méthodologie d'audit. Pourquoi votre AD est probablement déjà compromis.

Partie 2 : Les attaques Active Directory

Analyse technique complète des 15+ vecteurs d'attaque : Kerberoasting, AS-REP Roasting, Golden/Silver Ticket, DCSync, DCShadow, Pass-the-Hash, Pass-the-Ticket, NTLM Relay, Skeleton Key, ACL abuse, AD CS exploitation (ESC1-ESC15), délégation Kerberos, RBCD, SID History.

Partie 3 : Durcissement et remédiation

Tiering Model complet, hardening Kerberos (AES256, disable RC4), NTLM restrictions, GPO de sécurité CIS Benchmark, Protected Users, LAPS, gMSA, JEA/JIT, AdminSDHolder.

Partie 4 : Monitoring et détection

Événements Windows critiques, règles SIEM, honey tokens, canary objects, threat hunting Active Directory, détection des mouvements latéraux.

Partie 5 : Outils et automation

Scripts PowerShell de durcissement, outils d'audit (PingCastle, BloodHound, Adalanche, ADRecon, Testimo), automation de la conformité, reporting.

Partie 6 : Conformité et gouvernance

AD et NIS2, DORA, RGPD, ISO 27001. Plan de remédiation en 90 jours. Architecture de référence sécurisée.

Pour qui est ce guide ?

RSSI / Responsables sécurité — pour piloter la sécurisation AD
Administrateurs Active Directory — pour durcir et monitorer
Pentesters / Red Teamers — pour comprendre les défenses
Auditeurs / Consultants — pour structurer leurs missions
Architectes sécurité — pour concevoir des architectures AD résilientes

Caractéristiques

Détail	Valeur
Pages	447
Langue	Français
Format	PDF
Prix	Gratuit — Version PDF offerte
Couverture	Windows Server 2019/2022/2025
Auteur	Ayi NEDJIMI — Expert Judiciaire, Auditeur Senior
Dernière mise à jour	2026

À retenir : Ce guide de 447 pages est offert en téléchargement libre. Il est le fruit de plus de 100 missions d'audit et de pentest Active Directory. Si votre organisation utilise AD, ce guide devrait être sur le bureau de chaque membre de votre équipe sécurité.

Articles complémentaires

FAQ

Ce guide est-il vraiment gratuit ?

Oui, le PDF de 447 pages est en téléchargement libre, sans inscription ni contrepartie.

Quel niveau est requis ?

Le guide s'adresse à des profils intermédiaires à experts. Des connaissances en administration Windows Server et Active Directory sont recommandées.

Ce guide couvre-t-il AD CS (certificats) ?

Oui, une section complète couvre la sécurisation d'AD CS, incluant les attaques ESC1 à ESC15 et les mesures de remédiation.

Le guide est-il à jour pour Windows Server 2025 ?

Oui, la dernière mise à jour intègre les spécificités de Windows Server 2025 et les nouvelles fonctionnalités de sécurité.

Sécuriser Active Directory : méthodologie par couches

La sécurisation d'un Active Directory efficace repose sur une approche par couches successives, chacune réduisant la surface d'attaque et la capacité d'un attaquant à progresser horizontalement dans le réseau. Cette méthodologie distingue trois priorités : éliminer les vecteurs d'escalade de privilèges critiques, réduire les surfaces d'attaque permanentes, et renforcer la détection des comportements anormaux.

Tier Model AD : la fondation d'une architecture sécurisée

Le modèle de tiering (ou modèle en couches) est la mesure architecturale la plus efficace pour contenir les compromissions AD. Il divise le SI en trois niveaux d'isolation :

Tier 0 (Contrôle) : Contrôleurs de domaine, PKI d'entreprise, systèmes de gestion des identités (AD FS, Microsoft Entra Connect). Seuls les comptes dédiés Tier 0 peuvent administrer ces systèmes. Aucun accès Internet, aucune application métier.
Tier 1 (Serveurs) : Serveurs d'application, serveurs de fichiers, serveurs de base de données. Seuls les comptes dédiés Tier 1 peuvent administrer ces systèmes. Pas d'utilisation quotidienne pour la navigation web ou la messagerie.
Tier 2 (Postes de travail) : Postes utilisateurs, équipements mobiles. Les comptes utilisateurs standards opèrent à ce niveau. Les administrateurs Tier 1 et Tier 0 n'utilisent jamais leurs comptes privilégiés sur les postes de travail.

Sans tiering, un attaquant qui compromet un poste utilisateur via phishing peut récupérer des credentials d'administrateur de domaine en quelques heures grâce aux attaques pass-the-hash ou Kerberoasting. Avec le tiering, la compromission d'un poste Tier 2 ne donne accès qu'aux ressources Tier 2.

Les 10 vecteurs d'attaque AD les plus exploités en 2026

Les groupes de menaces avancées et les opérateurs ransomware ciblent systématiquement les mêmes faiblesses AD. Voici les 10 techniques les plus observées dans les incidents de 2025-2026 :

Kerberoasting : demande de tickets Kerberos pour des comptes de service avec SPN, cassage offline des hashes. Contre-mesure : mots de passe de comptes de service de 25+ caractères, comptes gMSA.
AS-REP Roasting : exploitation des comptes avec "Do not require Kerberos preauthentication". Contre-mesure : activer la pré-authentification Kerberos sur tous les comptes.
Pass-the-Hash / Pass-the-Ticket : réutilisation des credentials extraits de la mémoire LSASS. Contre-mesure : Credential Guard, Protected Users Security Group.
DCSync : simulation d'un contrôleur de domaine pour répliquer les hashes NTLM de tous les comptes. Contre-mesure : auditer les permissions de réplication, limiter les comptes avec droits DCSync.
Golden Ticket : falsification de tickets Kerberos via le hash du compte KRBTGT. Contre-mesure : renouvellement du mot de passe KRBTGT tous les 6 mois (deux fois successivement).
BloodHound / SharpHound : cartographie automatique des chemins d'attaque vers les Domain Admins. Contre-mesure : éliminer les ACL dangereuses, réduire les membres des groupes privilégiés.
Zerologon (CVE-2020-1472) : exploit permettant de réinitialiser le mot de passe du compte machine d'un DC. Contre-mesure : patches appliqués, Secure Channel enforced.
PrintNightmare et variantes : exploitation du service Spooler pour exécution de code avec privilèges SYSTEM. Contre-mesure : désactiver le service Print Spooler sur les DCs.
ADCS ESC1-ESC8 : abus des Services de Certificats Active Directory pour émettre des certificats d'authentification arbitraires. Contre-mesure : auditer les templates de certificats, activer le mode approuvé.
Délégation Kerberos non contrainte : exploitation des serveurs avec délégation non contrainte pour capturer des TGT d'utilisateurs privilégiés. Contre-mesure : migrer vers la délégation contrainte basée sur les ressources (RBCD).

Durcissement des contrôleurs de domaine : mesures prioritaires

Les contrôleurs de domaine sont les cibles ultimes de toute attaque AD. Leur durcissement doit être traité comme une priorité absolue, avant même les postes de travail ou les serveurs d'application :

Patches et mises à jour : les DCs doivent être patchés dans les 48 heures pour les CVE critiques AD (Zerologon, PrintNightmare, ADCS ESC). Configurez Windows Server Update Services (WSUS) avec une approbation automatique pour les patchs critiques sur les DCs.
Ségrégation réseau : les DCs ne doivent pas être accessibles depuis les postes de travail sur les ports non nécessaires. Filtrage pare-feu strict entre le segment DCs et le reste du réseau.
Désactivation des services inutiles : Print Spooler, Remote Registry, SMBv1 doivent être désactivés sur tous les DCs. Chaque service actif est une surface d'attaque potentielle.
Protected Users Security Group : ajoutez tous les comptes administrateurs sensibles à ce groupe. Il désactive NTLM, la délégation Kerberos, et force le chiffrement AES pour les tickets Kerberos.
Credential Guard : activez Credential Guard sur les DCs et les serveurs Tier 0 pour protéger les credentials en mémoire contre les attaques LSASS.

Audit et surveillance continue d'Active Directory

La détection des attaques AD repose sur l'audit des événements critiques dans les journaux Windows. Voici les Event IDs essentiels à surveiller et ce qu'ils signalent :

4624/4625 : connexion réussie / échouée. Les patterns de 4625 répétés depuis une même source indiquent une attaque par force brute ou password spraying.
4672 : connexion avec droits spéciaux (SeDebugPrivilege, SeTcbPrivilege). Toute connexion avec ces droits depuis un poste Tier 2 est suspecte.
4768/4769 : demande de ticket Kerberos (AS-REQ / TGS-REQ). Un volume anormal de 4769 depuis une même source indique un Kerberoasting en cours.
4776 : validation NTLM. Toute authentification NTLM vers un DC depuis un compte administrateur doit être auditée — les administrateurs modernes ne devraient pas utiliser NTLM.
4720/4732/4728 : création de compte, ajout à un groupe local/global. Tout ajout à Domain Admins, Enterprise Admins ou Schema Admins doit déclencher une alerte immédiate.
4662 : opération sur un objet AD (écriture d'attributs). Un volume anormal sur les objets de type domaine peut indiquer un DCSync en cours.

Foire aux questions — Sécurisation Active Directory

Par où commencer quand AD n'a jamais été audité ?

Commencez par un audit BloodHound/SharpHound en lecture seule pour cartographier les chemins d'attaque existants vers les Domain Admins. Cela vous donnera une liste priorisée des correctifs les plus urgents. Combinez avec un Purple Team, un outil comme PingCastle (gratuit) pour générer un rapport de maturité AD avec scoring. Ces deux étapes peuvent être réalisées en moins d'une journée et donnent une vue claire des priorités.

Quel est le délai réaliste pour sécuriser un Active Directory legacy ?

Un chantier de sécurisation AD complet (tiering, élimination des vulnérabilités critiques, mise en place de la surveillance) prend typiquement 6 à 18 mois selon la taille et la complexité de l'environnement. Les mesures d'urgence (désactivation SMBv1, correction des ACL les plus dangereuses, protection des comptes KRBTGT et DSRM) peuvent être déployées en 2 à 4 semaines. Le tiering complet est le chantier le plus long car il nécessite de réécrire les habitudes d'administration.

LAPS est-il suffisant pour sécuriser les comptes administrateurs locaux ?

LAPS (Local Administrator Password Solution) est nécessaire mais pas suffisant. Il résout le problème des mots de passe identiques sur tous les postes (qui permet le mouvement latéral pass-the-hash), mais ne protège pas contre les attaques sur les comptes de domaine. Déployez LAPS en priorité, puis travaillez sur la protection des credentials de domaine (Credential Guard, Protected Users, tiering).