Audit des permissions Active Directory
Auteurs : Pierre Capillon et Géraud de Drouas de l'ANSSI.
Cet article explique le modèle de contrôle d'accès, détaille une méthode de récupération des descripteurs de sécurité depuis les fichiers de base de données de l'annuaire et présente l'outillage développé pour visualiser et analyser ces informations.
Lors de l'audit d'un environnement Active Directory, les permissions mises en œuvre par le mécanisme de contrôle d'accès discrétionnaire sont le plus souvent examinées de manière sommaire, du fait de leur nombre et des limites inhérentes aux outils intégrés au système.
Les privilèges illégitimes ou inadaptés acquis via les permissions de l'annuaire doivent pouvoir être détectés afin de prévenir les risques d'abus ou d'escalade mais aussi de retour ou de persistance d'un attaquant au sein d'un système d'information compromis après remise en état. La principale contribution de cet article est de proposer une approche pratique d'audit de l'ensemble des permissions d'un environnement Active Directory.
Nous expliquerons le modèle de contrôle d'accès et détaillerons une méthode de récupération des descripteurs de sécurité depuis les fichiers de base de données de l'annuaire. Enfin l'outillage développé pour visualiser et analyser ces informations sera présenté.
NB : ces outils sont disponibles sous licence de logiciel libre CeCILLv2, sur la forge publique GitHub.