Formation - Compromission et sécurisation de l'Active Directory

1 - Les fondamentaux en sécurité de l’Active Directory

• Décomposer l’architecture d’un Active Directory typique : domaines, forêts, rôles FSMO, services critiques
• Comprendre la méthodologie générale de compromission d’un AD : du poste utilisateur au contrôle du domaine
• Identifier les principaux vecteurs d’attaque : Kerberoasting, Pass-the-Hash/Pass-the-Ticket, NTLM Relay, attaques LDAP, exploitation des GPO
• Revoir les mécanismes d’authentification et d’autorisation : Kerberos, NTLM, tickets, tokens et délégation
• Passer en revue les protocoles et services associés (LDAP, SMB, RPC, DNS, WebDAV...) et leurs zones de faiblesse
• Intégrer les bonnes pratiques fondamentales : segmentation, moindre privilège, hygiène des comptes, gestion des accès et durcissement de base
Atelier

Exploration d’un environnement AD, identification des points d’exposition, analyse des flux d’authentification et des rôles essentiels

2 - Comprendre les risques et les attaques

• Situer l’AD dans les frameworks de gestion des risques SI : exposition, surface d’attaque, scénarios de menace
• Analyser en détail la méthodologie de compromission d’un AD on-premise : reconnaissance, mouvement latéral, élévation de privilèges, domination du domaine
• Décomposer chaque étape d’une attaque réelle : collecte d’informations, exploitation, persistance, exfiltration
• Simuler différentes attaques et étudier les contre-mesures : détection, contention, réponse rapide
• Identifier et détecter les failles de sécurité les plus courantes dans un AD
• Présenter les outils d’attaque et de diagnostic : BloodHound, Mimikatz, Rubeus, SharpHound, PowerView...
Atelier

Simulation d’attaques sur un environnement contrôlé : exploitation de comptes, mouvements latéraux, extraction de secrets, analyse des logs et premiers réflexes défensifs

3 - Durcissement de l’infrastructure AD

• Construire un plan de durcissement structuré : priorisation, isolation des comptes à privilèges, réduction des surfaces d’attaque
• Déployer les directives de sécurité associées (GPO, configuration des services, filtrage des comptes, durcissement Kerberos/NTLM)
• Auditer une infrastructure AD : évaluation des paramètres critiques, revue des comptes sensibles, analyse de la configuration des contrôleurs de domaine
• Organiser la collecte des événements au niveau de l’entreprise : centralisation, corrélation, indicateurs de compromission spécifiques à AD
• Implémenter les mécanismes avancés de durcissement : PAM (Privileged Access Management), JIT (Just-In-Time), JEA (Just-Enough-Administration), ESAE (“bastion forest”)
Atelier

Application concrète du durcissement : création et déploiement d’un ensemble de règles, configuration des comptes privilégiés, mise en place des services PAM/JIT/JEA

4 - Gérer une compromission de son Active Directory

• Suivre les étapes clés de la gestion d’un incident touchant l’AD : identification, confinement, éradication, surveillance renforcée
• Organiser la communication et la gestion de crise : coordination avec la DSI, le SOC, les métiers, les autorités selon le contexte
• Reconstruire un Active Directory compromis : remise à plat, restauration maîtrisée, vérification de la chaîne de confiance, réintégration progressive des services
Atelier

Mise en oeuvre des contre-mesures : confinement, révocation de tickets, nettoyage des artefacts d’attaque, rétablissement d’un environnement sain