Active Directory sécurisé Mis à jour : Juin 2026

Pass-the-Hash : capturer le hash NTLM d'un compte et l'utiliser sans connaître le mot de passe. Kerberoasting : extraire des tickets Kerberos de comptes de service et les cracker hors ligne. DCSync : simuler un contrôleur de domaine pour extraire tous les hashes. Golden Ticket : forger un ticket Kerberos avec accès total. Ces attaques sont toutes détectables avec la bonne surveillance.

Tier 0 : actifs les plus critiques (contrôleurs de domaine, PKI, ADFS). Comptes d'admin uniquement utilisés pour gérer Tier 0. Tier 1 : serveurs membres, applications. Comptes d'admin séparés. Tier 2 : postes de travail, utilisateurs. Les comptes Tier 0 ne doivent jamais se connecter à des postes Tier 2 (risque de vol de credentials).

Règles absolues : compte admin ≠ compte utilisateur quotidien, MFA sur tous les comptes à privilèges, mot de passe admin > 20 caractères (managed par LAPS), pas de comptes de service avec des droits d'admin de domaine, comptes admin nommés (pas de compte générique 'admin'), audit de connexion activé. Revue trimestrielle des memberships des groupes admin.

GPO prioritaires : (1) Blocage de NTLM v1 (forcer NTLMv2 ou Kerberos), (2) Credential Guard (Windows 10+), (3) Désactivation des protocoles legacy (SMBv1, LanManager), (4) Politique de mots de passe (complexité, LAPS pour locaux), (5) Restriction des logiciels (AppLocker ou WDAC), (6) Désactivation des autorun/autoplay, (7) Audit avancé des événements.

Outils : BloodHound/SharpHound (cartographie des chemins d'attaque), PingCastle (score de sécurité AD), AD ACL Scanner. Questions à vérifier : qui a des droits GenericAll sur des OUs ? Quels comptes ont AdminCount=1 ? Qui peut modifier le groupe Domain Admins ? Les comptes de service ont-ils des SPN inutiles ? Planifier un audit trimestriel.

MDI surveille le trafic AD pour détecter : les attaques Pass-the-Hash, Kerberoasting, reconnaissance LDAP, mouvements latéraux. Il s'intègre dans Microsoft 365 Defender. Pour les PME sans MDI : activer l'audit avancé Windows Event Logging (événements 4625, 4768, 4769, 4771, 4776) et centraliser dans un SIEM.

Sauvegarder l'état système de chaque DC quotidiennement. Tester la restauration d'un DC tombered (Tombstone Reanimation). Connaître la procédure de restauration authoritative (NTDSUTIL). Avoir la documentation du schéma AD. En cas de ransomware ciblant AD : capacité à reconstruire l'AD depuis les sauvegardes en moins de 4h.