Qui peut lire les donneÌes de mon Active Directory ?
Par dĂ©faut, tout utilisateur authentifiĂ© peut lire la plupart des objets et attributs de ton Active Directory. Cela ne se limite pas seulement Ă la partition de domaine (lĂ oĂč tu stockes tes utilisateurs, ordinateurs, groupes, etc.), mais Ă©galement aux autres partitions (Configuration, SchĂ©ma).
Il est donc inutile de donner des droits avancés à ton compte de service svc-readonly (à moins d'avoir une configuration spécifique dans les ACL de l'AD).
De plus, il est formellement interdit de stocker des informations de sécurité telles que des mots de passe dans les attributs (à l'exception des attributs pour LAPS) !
Il n'est pas en effet pas rare de voir l'attribut description avec mdp : XYZ - ne pas divulguer. Les attaquants vous remercient de leur donner tant d'informations
J'entends souvent ce genre de phrase :
đ "Oui mais moi mes utilisateurs n'ont pas de droits admin local, donc ils ne peuvent pas installer la console AD pour lire mon Active Directory. Je peux donc y mettre n'importe quoi, c'est sĂ©curisĂ© !"
đ„ Eh bien...non ! Les attaquants se fichent des droits attribuĂ©s aux PC du parc, car ils utilisent d'autres mĂ©thodes pour effectuer des reconnaissances.
De plus, il existe des explorateurs LDAP (LDAP browsers) qui sont simplement des exécutables ne nécessitant pas d'installation, ou bien ils utilisent PowerShell, Python ou tout autre mécanisme
Enfin, Microsoft fournit mĂȘme un outil de recherche Active Directory accessible dans tous les versions de Windows
C:\Windows\System32\rundll32.exe dsquery,OpenQueryWindow
En conclusion, on ne stocke jamais d'informations sensibles (mots de passe, code, etc.) dans l'Active Directory et on garde à l'esprit que, par défaut, un Active Directory est comme un livre ouvert pour tous les utilisateurs AD.
Clap
Comments