Sécuriser les contrôleurs de domaine

Dans cet article, je vais m’efforcer de réunir (au fur et à mesure) certaines des recommandations les plus importantes pour ce qui est de sécuriser nos contrôleurs de domaine (DC).

  1. Héberger les DC dans un emplacement sécurisé

Si une personne mal intentionnée à la possibilité d’avoir un accès physique non surveillé à vos serveurs, ce ne sont plus vos serveurs. Par exemple, il suffit à cette personne de démarrer (booter) le serveur sur un média d’installation de Windows Server 2008 R2 ou Windows Server 2012 R2 pour pouvoir ré-initialiser tous les mots de passe locaux de ce serveur, et effectuer n’importe quelle manipulation sur le système de fichier ou la base de registre. Sur un contrôleur de domaine, cette attaque pourra permettre d’obtenir un accès complet sur le domaine Active Directory !

L’attaque expliquée

Une fois le serveur démarré sur le CD d’installation de Windows Server, accéder à une invite de commande (sélectionner Repair, et non Install). Ensuite, exécuter les commandes suivantes (où le lecteur C:\ fais référence au disque système) :

Redémarrer ensuite le serveur, et, à l’écran de login, appuyer 5 fois sur la touche Shift. Une invite de commande se lance en tant que System. A ce moment, l’attaquant à un accès total au serveur. S’il s’agit d’un DC, il lui suffit taper dsa.msc pour lancer une console Active Directory Users and Computers. Et voilà, il a un accès illimité à votre domaine Active Directory (le compte System a un accès total sur l’annuaire et ses objets). Il peut donc re-initialiser les mots de passe de tout utilisateur, même des comptes Domain Admins. Il peut également mettre en place une stratégie lui permettant de gagner les privilège d’admin du domaine de manière quasi-invisible, ou encore se créer une copie de votre base de donnée Active Directory afin de cracker les mots de passe à son aise.

Cette attaque ne durant que quelques minutes, il peut être dur de la détecter.

Se protéger

On l’aura compris, il est extrêmement important de protéger l’accès physique aux serveurs en général, mais plus particulièrement aux Contrôleurs de Domaine. Ces serveurs doivent être stockés dans un emplacement sécurisé, avec un accès autorisé au personnel de confiance uniquement. Ceci afin d’empêcher une personne de pouvoir démarrer un DC depuis un OS parallèle (LiveCD, Setup Windows) et de modifier les fichiers et la base de registre de Windows.

La suite très prochainement !

Laisser un commentaire