5 outils pour auditer l’Active Directory
Qu'avons-nous dans la boîte ?
Vous souhaitez auditer l’Active Directory de votre entreprise, mais vous ne savez pas comment faire ? Cet article va vous aiguiller puisqu’il référence 5 logiciels incontournables pour réaliser un audit d’un annuaire Active Directory. Grâce aux analyses de ces logiciels, vous allez pouvoir booster le niveau de sécurité de votre annuaire AD car vous allez obtenir une liste de points à améliorer !
Cet article présente simplement les logiciels que je vous recommande pour auditer l’Active Directory et il contient des liens vers des ressources externes (sites officiels, tutoriels, etc.) pour que vous puissiez approfondir le sujet.
L’Active Directory est très fréquemment ciblé par les pirates lors des attaques informatiques. Lorsque cet annuaire est compromis, les pirates peuvent accéder à de nombreuses ressources puisqu’il gère l’accès aux ressources et la partie authentification. Puisque c’est une cible de choix, il convient de le sécuriser correctement !
1. PingCastle
PingCastle est un logiciel français édité par Vincent Le Toux qui fait partie des références pour auditer un annuaire Active Directory. La dernière version intègre aussi la possibilité d’auditer Azure Active Directory.
Ce logiciel est gratuit si vous auditez vous-même votre annuaire Active Directory. A contrario, vous devez acquérir une licence si vous envisagez de l’utiliser dans le cadre d’une prestation commerciale pour une entreprise. La licence sert aussi à déverrouiller certaines fonctionnalités.
En quelques secondes, il analyse l’Active Directory et génère un rapport qui contient une note globale : elle représente le niveau de risque de votre Active Directory. Plus le score est faible, mieux c’est ! Des explications sont données sur chaque point de sécurité : indispensable pour vous aider à améliorer la sécurité de votre annuaire.
Ressources associées :
2. Purple Knight
Purple Knight est un logiciel américain édité par l’entreprise Semperis qui est entièrement gratuit et qui génère des rapports de sécurité complet au sujet de l’Active Directory et d’Azure Active Directory.
Purple Knight s’utilise gratuitement et pour aller plus loin, Semperis commercialise un autre logiciel plus complet. Celui-ci, en version gratuite, est déjà très complet, et ce que j’adore c’est le lien entre ses recommandations et celles du guide de l’ANSSI !
Lui aussi analyse votre annuaire Active Directory en quelques secondes et il vérifie 100 points de sécurité différents. Un rapport est généré pour vous indiquer ce qui est bien et ce qui est moins bien. Plus la note est élevée, mieux c’est, contrairement à PingCastle. C’est un outil avec une interface agréable qui s’avère complémentaire à PingCastle (l’inverse est vrai aussi).
Ressources associées :
3. BloodHound
BloodHound (oui, oui, qui signifie chien de Saint-Hubert en français) est un outil très populaire pour auditer l’Active Directory et il est incontournable pour les personnes qui effectuent des pentests. C’est un outil open source sous licence GPL-3.0 qui a pour objectif de représenter sous la forme d’un graphique votre annuaire Active Directory. Une version entreprise, et payante, disponible en mode SaaS est aussi proposée.
Grâce à lui, vous obtenez une cartographie de l’annuaire Active Directory avec les différents objets, les propriétés de ces objets et les relations entre les différents objets. Lorsque l’on envisage une attaque, dans le cadre d’un test d’intrusion par exemple, il va être très utile puisqu’il contient des requêtes prédéfinies permettant d’être aiguillé. Par exemple, en prenant la machine BloodHound comme point de départ, on peut connaître le chemin le plus court vers les comptes Administrateur du domaine. Ainsi, on peut identifier un chemin d’attaque.
L’outil SharpHound (inclus dans BloodHound) est utilisé pour analyser votre AD, et ensuite BloodHound analyse les résultats. BloodHound s’installe sur Linux mais aussi sur Windows (même si Windows Defender n’est pas très content de sa présence). Comme pour les outils précédents, il y a une prise en charge d’Azure Active Directory nommée AzureHound.
Ressources associées :
4. Netwrix Auditor
Netwrix Auditor est un logiciel pour auditer l’Active Directory qui est intéressant au quotidien, car il va permettre de suivre l’évolution de l’annuaire Active Directory. Il est disponible en édition communautaire, gratuite, mais avec peu de fonctionnalités, et payante, avec beaucoup plus de fonctionnalités.
Contrairement à PingCastle et Purple Knight, il ne va pas fournir un score qui reflète le niveau de sécurité ou le niveau de risque de votre annuaire Active Directory. Lui, il va plutôt auditer l’Active Directory, ou plutôt surveiller votre annuaire à la recherche de changements dans la configuration, y compris les changements suspects. Par exemple, est-ce que quelqu’un a ajouté un nouvel utilisateur au groupe « Admins du domaine » de votre Active Directory ? Une information très intéressante qui peut être le signe qu’une attaque est en cours. Cet audit continu est très intéressant dans la gestion des privilèges.
Netwrix Auditor prend en charge l’Active Directory mais il peut aussi surveiller d’autres services et environnements : Azure AD, Microsoft Exchange, SQL Server, SharePoint, SharePoint Online, Microsoft Teams, etc.
Ressources associées :
5. ORADAD
Pour finir cette série d’outils utile pour auditer l’Active Directory, je souhaitais mentionner cet outil plutôt vous votre culture personnelle que par réel intérêt. Lisez la suite, et vous comprendrez pourquoi…
ORADAD pour « Outil de Récupération Automatique des Données de l’Active Directory » est un outil développé par l’ANSSI, à savoir l’Agence nationale de la sécurité des systèmes d’information. Il existe un équivalent pour Azure nommé ORADAZ, développé par l’ANSSI également et disponible sur GitHub.
L’ANSSI utilise cet outil lors de prestations d’audit effectuées dans le cadre du service « Active Directory Security« . Dans un premier temps, il permet de collecter des informations sur l’état de votre AD. En plus de celui-ci, un autre outil non disponible publiquement est utilisé. Même s’il est possible d’utiliser cet outil pour générer un rapport au format MLA, c’est l’exploitation et la lecture de ce rapport qui n’est réalisable sans un outil adapté.
Ressources associées :
6. Conclusion
Suite à la lecture de cet article de la boîte à tutoriels informatique, vous êtes en mesure de vous orienter vers les bons outils pour auditer l’Active Directory. Pour aller plus loin, je vous invite à consulter cette page de Wavestone (d’où est issue l’image ci-dessous) qui contient un radar des outils pour renforcer la sécurité de l’Active Directory.
