SSTIC 2012 - Audit d'Active Directory
Par des gens de l’ANSSI 🙂
Edit: qui nous ont mis à disposition l’outil ICI On les en remercie !
Un annuaire ne sera jamais refait, même en cas de compromission, car c’est bien trop complexe ! Les outils d’audit à disposition des administrateurs sont bien trop limités. En effet on ne peut contrôler les objets d’un AD qu’un à un, ce qui complique la tâche lors de l’audit d’AD de plusieurs millions d’objets.
Pour travailler sur l’AD, on préfère éviter d’executer du code tiers sur les contrôleurs. La technique consiste donc à copier la base progressivement, à vitesse raisonnable, pour en suite les analyser sur une machine plus puissante. Ainsi l’AD n’est pas surchargé.
Lorsqu’on regarde dans la base de registre les entrées NTDS on peut trouver ou se trouve la base de l’AD, les logs etc… mais ces fichiers sont protégés (normal.) Donc le plus simple c’est d’utiliser le système de cliché de sauvegarde pour faire un backup sur un support externe.
L’exploitation de la base sur le PC de l’auditeur, mais avant il faut re-intégrer les dernières modifications présentes dans les logs pendant la phase de copie de la base. Ainsi lorsqu’on à commit ces informations, on peut procéder à l’audit de la base AD.
Les orateurs nous présentent comment ils effectuent la récupération des objets dans la Base AD, et ensuite une interface d’audit permettant de faciliter le croisement de ces informations et leur analyse.
Ainsi à coup de filtres, on peut récupérer les ACE et checker quels utilisateurs ont accès en écriture à tel ou tel champ. Ainsi on sait à quoi à accès un utilisateur. Pour faire le ménage, les auditeurs éliminent les résultats qui correspondent aux usages standards du système. On peut aussi compter le nombre de permissions accordés par utilisateur… et on peut voir que certain comptes n’ont qu’une entrée, la ou les comptes courants ont un très grand nombre de permissions.
Les AD permettent aussi d’effectuer de la délégation et donc d’accorder à certains utilisateur des droits d’administrations. Il est intéressant de voir ainsi, qui à accès à quel groupe et peut les administrer. De même, analyser et regarder qui à accès aux boites mails de façon légitime ou illégitime est très pertinent surtout lorsqu’on a à faire à la boite mail d’un VIP.
Les AD possèdent des fonctionnalités méconnues qui sont là pour empécher les admin de révoquer leur propres droit (sciant ainsi la branche sur laquelle ils sont assis.).
Les perspectives d’évolution de l’outil sont d’ajouter d’autres sources de données telles que les ACE locales ou les permissions sharepoint. La correllation avec des journaux réseaux ou locaux des évenements avec les logs AD, ou bien des techniques de visualisation. (Un picviz sauce AD ?)