Introduction : Les GPO, Système Nerveux de la Sécurité Windows
Les Stratégies de Groupe (GPO) sont l'outil de configuration centralisé le plus puissant dans un environnement Active Directory. Elles sont aussi l'une des surfaces d'attaque les plus critiques. Une GPO mal configurée peut exposer l'ensemble du parc informatique. Ce guide s'adresse aux administrateurs confirmés et a pour but de présenter des techniques d'audit et de durcissement essentielles pour un environnement de production.
Section 1 : L'Audit Actif - Ne Sécuriser que ce que l'on Voit
Avant toute modification, une cartographie précise des vulnérabilités existantes est indispensable.
- Audit automatisé avec PingCastle : C'est un outil open-source incontournable pour obtenir un rapport de santé rapide et complet de votre AD. Il évalue les risques (confiance, anomalies, désuétude) et fournit un score de maturité.
# Exécution de base de PingCastle en mode healthcheck .\PingCastle.exe --healthcheck --server votre-dc.domaine.local - Analyse des chemins d'attaque avec BloodHound : BloodHound utilise la théorie des graphes pour visualiser les relations de permissions et les chemins d'escalade de privilèges qu'un attaquant pourrait exploiter. C'est essentiel pour comprendre les relations de confiance complexes et les permissions cachées.
- Audit via PowerShell : Utilisez des scripts pour des vérifications ciblées. Par exemple, pour trouver les comptes d'ordinateur inactifs depuis plus de 90 jours :
# Import du module Active Directory Import-Module ActiveDirectory # Définition de la date limite $StaleDate = (Get-Date).AddDays(-90) # Recherche des comptes ordinateurs inactifs Get-ADComputer -Filter 'PasswordLastSet -lt $StaleDate' -Properties PasswordLastSet | Select-Object Name, DistinguishedName, PasswordLastSet
Section 2 : Durcissement des Stratégies de Comptes
Les stratégies de mots de passe et de verrouillage sont la première ligne de défense contre les attaques par force brute.
- Fine-Grained Password Policies (FGPP) : La "Default Domain Policy" est souvent trop générique. Les FGPP permettent d'appliquer des stratégies de mots de passe différentes à des groupes spécifiques (ex: des contraintes beaucoup plus fortes pour les administrateurs). Elles se configurent via le "Centre d'administration Active Directory" (ADAC) ou PowerShell.
- Stratégie de Verrouillage de Compte : Configurez une GPO de verrouillage robuste pour bloquer les tentatives de force brute. Paramètres clés : `Seuil de verrouillage du compte`, `Durée de verrouillage du compte`, et `Réinitialiser le compteur de verrouillages après`.
Section 3 : Verrouillage des Postes de Travail et Serveurs via GPO
Utilisez les GPO pour appliquer une configuration sécurisée et homogène sur l'ensemble de votre parc.
- Contrôle d'Application avec AppLocker : Configurez des règles de liste blanche pour n'autoriser que les exécutables, scripts et installeurs validés. C'est une défense extrêmement efficace contre les ransomwares et autres malwares.
- Déploiement de LAPS (Local Administrator Password Solution) : LAPS est un outil Microsoft gratuit qui neutralise les attaques par mouvement latéral (ex: Pass-the-Hash) en créant des mots de passe d'administrateur local uniques et aléatoires pour chaque machine, stockés de manière sécurisée dans l'AD.
- Durcissement du Pare-feu Windows : Créez une GPO pour configurer le pare-feu Windows sur tous les postes et serveurs. Le principe est de bloquer tout le trafic entrant par défaut et de n'autoriser que les flux explicitement nécessaires au fonctionnement de l'entreprise.
Section 4 : Modèle d'Administration à Paliers (Tiered Administration)
C'est un concept fondamental pour protéger les comptes à hauts privilèges. Le principe est de segmenter l'administration en niveaux (ou "Tiers") et d'interdire qu'un compte d'un niveau élevé ne se connecte à un actif d'un niveau inférieur.
- Tier 0 : Cœur de l'identité (Contrôleurs de domaine). Géré uniquement par les Admins du Domaine.
- Tier 1 : Serveurs d'entreprise. Géré par les Admins des Serveurs.
- Tier 2 : Postes de travail des utilisateurs. Géré par les techniciens support.
Cette segmentation, appliquée via des GPO et des droits d'accès stricts, empêche qu'un malware compromettant un poste de travail (Tier 2) puisse se propager pour atteindre un contrôleur de domaine (Tier 0).