Qui peut lire les données de mon Active Directory ?
Par défaut, tout utilisateur authentifié peut lire la plupart des objets et attributs de ton Active Directory. Cela ne se limite pas seulement à la partition de domaine (là où tu stockes tes utilisateurs, ordinateurs, groupes, etc.), mais également aux autres partitions (Configuration, Schéma).
Il est donc inutile de donner des droits avancés à ton compte de service svc-readonly (à moins d'avoir une configuration spécifique dans les ACL de l'AD).
De plus, il est formellement interdit de stocker des informations de sécurité telles que des mots de passe dans les attributs (à l'exception des attributs pour LAPS) !
Il n'est pas en effet pas rare de voir l'attribut description avec mdp : XYZ - ne pas divulguer. Les attaquants vous remercient de leur donner tant d'informations
J'entends souvent ce genre de phrase :
🙋 "Oui mais moi mes utilisateurs n'ont pas de droits admin local, donc ils ne peuvent pas installer la console AD pour lire mon Active Directory. Je peux donc y mettre n'importe quoi, c'est sécurisé !"
🥊 Eh bien...non ! Les attaquants se fichent des droits attribués aux PC du parc, car ils utilisent d'autres méthodes pour effectuer des reconnaissances.
De plus, il existe des explorateurs LDAP (LDAP browsers) qui sont simplement des exécutables ne nécessitant pas d'installation, ou bien ils utilisent PowerShell, Python ou tout autre mécanisme
Enfin, Microsoft fournit même un outil de recherche Active Directory accessible dans tous les versions de Windows
C:\Windows\System32\rundll32.exe dsquery,OpenQueryWindow
En conclusion, on ne stocke jamais d'informations sensibles (mots de passe, code, etc.) dans l'Active Directory et on garde à l'esprit que, par défaut, un Active Directory est comme un livre ouvert pour tous les utilisateurs AD.
Clap
Comments