TP5 ‐ Sécurisation - NergYR/SAE-PentestAD GitHub Wiki

Modèle en Tier

Description du modèle en tiers (Tier 0 / 1 / 2) – Sécurité AD et infra

Le modèle en tiers est une stratégie de sécurité visant à cloisonner les droits d'administration selon la criticitée des ressources. Il réduit les risques de compromission en empêchant l'escalade latérale. Le but est que les comptes soient séparé suivant les partie de l'infrastructure sur lesquels l'administrateur va se connecter, ce qui en cas de compromission d'un mot de passe (par exemple réutilisé) l'ensemble de l'infrastructure soit vulnérable. La séparation avec des comptes « old » par tier peut ajouter une couche de protection supplémentaire. En effet, certaines anciennes versions de Windows sont encore utilisées en production aujourd’hui. Il est donc essentiel de les isoler davantage, car elles présentent souvent plus de vulnérabilités, ce qui augmente le risque en cas de compromission. Cette isolation renforce ainsi la sécurité globale de l’infrastructure.

Tier 0 – Identité

  • Contrôleurs de domaine, ADFS, comptes admin AD
  • Accès ultra restreint, administration dédiée

Tier 1 – Serveurs applicatifs

  • Serveurs métiers, bases de données, fichiers
  • Comptes admin séparés des Tier 0 et Tier 2

Tier 2 – Postes utilisateurs

  • PCs, comptes bureautiques

Mise en pratique

La mise en pratique de ce modèle peut paraître complexe, seulement vous pouvez utiliser des outils comme HardenAD qui permettent d'appliquer le modèle via de "simples" scripts Powershell, en créant des utilisateurs, des groupes, des GPOs pour reproduire cette séparation. Vous pouvez aussi créer vous même vos groupes, OU et GPOs. Une fois fait, vous allez créer des GPO pour bloquer la connexion depuis des comptes faisant partie des autres tier. Pour se faire vous allez dans Configuration ordinateur / Paramètres Windows / Paramètres de sécurité / Stratégies locales / Attribution des droits utilisateur puis dans les options Interdire l’accès à cet ordinateur à partir du réseau, Interdire l’ouverture de session locale, Interdire l’ouverture de session en tant que service, Interdire l’ouverture de session en tant que tâche et pour finir Interdire l’ouverture de session par les services Bureau à distance, en y ajoutant le groupe des utilisateurs Tx (avec x le niveau du tier associé aux serveurs sur lesquels cette GPO va s'appliquer).

Désactivation de NTLM

NTLM dans sa première version ou sa deuxième est un protocole qui est obsolète et vulnérable, donc à proscrire de nos jours. Cette migration va se passer en 3 temps :

  • Activation de la journalisation des authentification via NTLM
  • Ajout des exceptions, préventions des effets de bords et désactivation de NTLMv1
  • Désactivation complète du protocole

Journalisation des authentifications via NTLM

L'activation de l'audit se fait en créant une GPO lié au contrôleur de domaine avec pour paramètre Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité > Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine puis dans la case Définir ce paramètre de stratégie on clique sur Activer tout

Vous pourrez consulter dans l'observateur d'événement (eventvwr.msc) avec pour ID d'événement 4624 en vérifiant que l'authentification a été faite avec du NTLM non pas Kerberos, ou alors il existe un journal spécifique à NTLM dans Journaux des applications et des services > Microsoft > Windows > NTLM.

Ajout des exceptions, prévention des effets de bords et désactivation de NTLM v1

Après avoir regardé l'observateur d'événement, on peut dresser une liste de client ou serveur s'authentifiant via NTLM, désormais il faut essayer de découvrir les raisons de ces authentifications. Elles peuvent avoir diverses sources : mauvais SPN, horloge non synchronisée, poste hors domaine accédant à une ressource du domaine, et bien d'autres raisons...

Résoudre les sources de ces problèmes fera au fur et à mesure en sorte que Kerberos soit préféré pour l'authentification, mais parfois ce n'est pas possible. Lorsque ce n'est pas possible de basculer sur Kerberos, il est nécessaire de créer des exceptions avant de désactiver NTLM au global sur le domaine.

Pour procéder, on peut conserver la même GPO que précedément en y ajoutant un paramètre se situant ici Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité avec le paramètre Sécurité résau : Restreindre NTLM : Ajouter des exceptions de serveurs dans ce domaine en y précisant soit les noms d'hôte individuels, soit en y insérant une astérisque (dans le cas d'une convention de nommage définit avec une partie dédié au service ou à la version de Windows cela peut convenir).

Cependant il est nécessaire de désactiver NTLM v1 au vu des failles de sécurités que cela engendre. Toujours dans la même GPO on vient à modifier le paramètre se situant dans Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité et se nommant Sécurité réseau : niveau d'authentification LAN Manager en définissant le paramètre à l'état Envoyer uniquement les réponses NTLM v.2.

Désactivation de NTLM

Enfin, après avoir fait ces vérifications préalable et les ajustements nécessaire pour pouvoir désactiver quasi complètement NTLM dans sa version 2. On revient édite donc notre GPO, en se dirigeant vers Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité et en éditant le paramètre Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine avec pour état Refuser tout .