Accueil Articles Active Directory
Active Directory
Sécuriser Active Directory : 10 bonnes pratiques indispensables

Sécuriser Active Directory : 10 bonnes pratiques indispensables

10 Mar 2026 Mis à jour le 10 Jun 2026 MAKHZOUM Hussein
Active Directory Sécurité LAPS Kerberos GPO Privileged Access Domain Admins

Introduction

Active Directory est la cible privilégiée lors d'une intrusion sur un réseau Windows. Une compromission de l'AD signifie une compromission totale de l'organisation. Voici les 10 pratiques indispensables pour le sécuriser.

1. Protéger les comptes à privilèges élevés

  • Réduisez au minimum les membres du groupe Domain Admins
  • N'utilisez jamais un compte admin pour les tâches quotidiennes
  • Appliquez le modèle Tier 0/1/2 (Admin Tiering)
  • Utilisez des Privileged Access Workstations (PAW) dédiées

2. Activer Protected Users et Authentication Policies

# Ajouter un compte au groupe Protected Users
Add-ADGroupMember -Identity "Protected Users" -Members "AdminPrivi01"

# Effet : désactivation de NTLM, RC4, délégation Kerberos non contrainte pour ce compte

3. Auditer les événements critiques

Surveillez ces Event IDs dans vos journaux de sécurité :

  • 4625 : Échec de connexion
  • 4720 / 4722 : Création / activation de compte
  • 4728 / 4732 : Ajout à un groupe sensible
  • 4768 / 4769 : Demandes de tickets Kerberos (TGT/TGS)
  • 4771 : Échec Kerberos pre-auth (indicateur de brute force)

4. Désactiver les protocoles obsolètes

# Désactiver LLMNR via GPO pour prévenir les attaques Responder
# Computer Configuration > Administrative Templates > Network > DNS Client
# "Turn off multicast name resolution" = Enabled

# Forcer NTLMv2 uniquement (GPO)
# Computer Config > Windows Settings > Security Settings > Security Options
# "Network security: LAN Manager authentication level"
# Valeur : "Send NTLMv2 response only. Refuse LM and NTLM"

5. Déployer Microsoft LAPS

LAPS génère et stocke dans AD un mot de passe aléatoire unique pour chaque compte Administrateur local :

# Étendre le schéma AD pour LAPS
Update-LapsADSchema

# Configurer les permissions sur l'OU cible
Set-LapsADComputerSelfPermission -Identity "OU=Postes,DC=contoso,DC=com"

# Lire le mot de passe LAPS d'une machine
Get-LapsADPassword -Identity "POSTE-01" -AsPlainText

6. Contrôler la délégation Kerberos

  • Évitez la délégation non contrainte (Unconstrained Delegation)
  • Préférez la délégation contrainte basée sur les ressources (RBCD)
  • Cochez "Le compte est sensible et ne peut pas être délégué" pour les comptes à privilèges

7. Sécuriser SYSVOL et NETLOGON

  • Migrez vers la réplication DFSR (abandonnez FRS, déprécié)
  • Auditez régulièrement les droits d'accès sur SYSVOL et les scripts de démarrage

8. Sauvegarder les contrôleurs de domaine

  • Sauvegardez régulièrement l'État du système de vos DCs
  • Testez la restauration en mode DSRM dans un environnement isolé
  • Documentez la procédure de restauration faisant autorité

9. Restreindre l'accès RDP aux serveurs sensibles

# Via GPO : Computer Config > Windows Settings > Security Settings
# > Local Policies > User Rights Assignment
# "Allow log on through Remote Desktop Services"
# → Ajouter uniquement les groupes autorisés (retirer "Remote Desktop Users" générique)

10. Déployer Microsoft Defender for Identity

MDI analyse le trafic Kerberos/NTLM/LDAP pour détecter en temps réel : Pass-the-Hash, Pass-the-Ticket, Golden Ticket, DCSync, reconnaissance LDAP et bien d'autres techniques d'attaque AD.

Conclusion

La sécurisation d'Active Directory est un processus continu. Adoptez ces pratiques progressivement, mesurez votre posture avec des outils comme Purple Knight, et restez informé des nouvelles techniques d'attaque pour adapter votre défense.

MAKHZOUM Hussein
Auteur
MAKHZOUM Hussein
Consultant Cloud & Infrastructure Engineer
Voir le profil

Articles similaires