SSTIC 2012 - Audit d'Active Directory

Par des gens de l’ANSSI 🙂

Edit: qui nous ont mis Ă  disposition l’outil ICI On les en remercie !

Un annuaire ne sera jamais refait, mĂŞme en cas de compromission, car c’est bien trop complexe ! Les outils d’audit Ă  disposition des administrateurs sont bien trop limitĂ©s. En effet on ne peut contrĂ´ler les objets d’un AD qu’un Ă  un, ce qui complique la tâche lors de l’audit d’AD de plusieurs millions d’objets.

Pour travailler sur l’AD, on prĂ©fère Ă©viter d’executer du code tiers sur les contrĂ´leurs. La technique consiste donc Ă  copier la base progressivement, Ă  vitesse raisonnable, pour en suite les analyser sur une machine plus puissante. Ainsi l’AD n’est pas surchargĂ©.

Lorsqu’on regarde dans la base de registre les entrĂ©es NTDS on peut trouver ou se trouve la base de l’AD, les logs etc… mais ces fichiers sont protĂ©gĂ©s (normal.) Donc le plus simple c’est d’utiliser le système de clichĂ© de sauvegarde pour faire un backup sur un support externe.

L’exploitation de la base sur le PC de l’auditeur, mais avant il faut re-intĂ©grer les dernières modifications prĂ©sentes dans les logs pendant la phase de copie de la base. Ainsi lorsqu’on Ă  commit ces informations, on peut procĂ©der Ă  l’audit de la base AD.

Les orateurs nous prĂ©sentent comment ils effectuent la rĂ©cupĂ©ration des objets dans la Base AD, et ensuite une interface d’audit permettant de faciliter le croisement de ces informations et leur analyse.

Ainsi Ă  coup de filtres, on peut rĂ©cupĂ©rer les ACE et checker quels utilisateurs ont accès en Ă©criture Ă  tel ou tel champ. Ainsi on sait Ă  quoi Ă  accès un utilisateur. Pour faire le mĂ©nage, les auditeurs Ă©liminent les rĂ©sultats qui correspondent aux usages standards du système. On peut aussi compter le nombre de permissions accordĂ©s par utilisateur… et on peut voir que certain comptes n’ont qu’une entrĂ©e, la ou les comptes courants ont un très grand nombre de permissions.

Les AD permettent aussi d’effectuer de la dĂ©lĂ©gation et donc d’accorder Ă  certains utilisateur des droits d’administrations.  Il est intĂ©ressant de voir ainsi, qui Ă  accès Ă  quel groupe et peut les administrer. De mĂŞme, analyser et regarder qui Ă  accès aux boites mails de façon lĂ©gitime ou illĂ©gitime est très pertinent surtout lorsqu’on a Ă  faire Ă  la boite mail d’un VIP.

Les AD possèdent des fonctionnalités méconnues qui sont là pour empécher les admin de révoquer leur propres droit (sciant ainsi la branche sur laquelle ils sont assis.).

Les perspectives d’Ă©volution de l’outil sont d’ajouter d’autres sources de donnĂ©es telles que les ACE locales ou les permissions sharepoint. La correllation avec des journaux rĂ©seaux ou locaux des Ă©venements  avec les logs AD, ou bien des techniques de visualisation. (Un picviz sauce AD ?)