L’Anssi détaille les points de contrôle à surveiller sur Active Directory

L’Anssi détaille les points de contrôle à surveiller sur Active Directory

L’Anssi s’intéresse depuis longtemps à Active Directory : dans une attaque, c’est un outil crucial qui, lorsqu’il tombe entre les mains des attaquants, peut mener à une compromission complète du système. Ce système est décrit par l’Anssi comme le « centre névralgique de la sécurité des systèmes d’information Microsoft ». Il permet la gestion des comptes, des ressources et des permissions au sein du système d’information.

« Les observations de l’ANSSI font apparaître un manque de maturité critique et récurrent sur la sécurité des annuaires Active Directory. Le niveau de sécurité décroît ainsi de manière importante en fonction du temps et au rythme de la manipulation de ses objets ou des actions d’administration », indique l’agence dans son introduction au recueil.

publicité

Le recueil liste plus d’une cinquantaine de vulnérabilités ou de configurations défaillantes fréquemment repérées par l’Anssi. Pour chaque point, un score est attribué selon la sévérité du problème, allant de 1, le plus mauvais, à 3, qui signifie « un niveau de sécurité basique non affaibli depuis son installation ». Chaque point est assorti d’une description détaillée du problème, ainsi que d’une recommandation pour sécuriser cet aspect.

Ce système de notation permet de donner une note allant de 1 à 5 pour la sécurité de l’annuaire Active Directory. « Pour obtenir un niveau, un annuaire Active Directory doit passer avec succès tous les points de contrôles des niveaux inférieurs. Un annuaire de niveau 5 a passé avec succès tous les points de contrôle. »

L’Anssi avait commencé à présenter ses efforts sur Active Directory avec l’annonce de son service ADS, Active Directory Security. Ce service, pour l’instant uniquement disponible aux entités publiques ayant accès au Réseau interministériel d’Etat, vise à établir un diagnostic de la sécurité de l’annuaire Active Directory et à lui attribuer une note allant de 1 à 5 pour mieux visualiser l’état de sécurité de l’annuaire.

Leave a Reply

Your email address will not be published. Required fields are marked *