De nombreux administrateurs de forêt Active Directory pensent que chaque domaine dans une forêt est une entité indépendante d’un point de vue la sécurité.
Cela est faux : la compromission d’un seul domaine dans une forêt Active Directory revient à dire que tous les domaines de la forêt sont compromis.
Les sous domaines dans une forêt ont été conçus par Microsoft pour faciliter la délégation des tâches administratives entre différents administrateurs et non pas pour isoler des domaines de niveaux de sécurité différents.
Il est donc important de bien réfléchir avant d’intégrer un nouveau domaine dans une forêt Active Directory.
Si vous désirez interagir avec un domaine qui n’est pas encore sécurisé, il est préférable, à la place, de créer une simple relation d'approbation (Trust Relationship) entre votre forêt et le nouveau domaine.
De cette manière la compromission du nouveau domaine dont la sécurité est faible ne remettra pas en cause la sécurité de votre forêt.
Pour plus d’informations :
Microsoft indique que la sécurité d’une foret Active Directory dépend directement de la sécurité de chacun de ses domaines :
https://technet.microsoft.com/en-us/library/cc755979(v=ws.10).aspx
HarmJ0y vous prouve « par les armes » que la compromission d’un sous domaine signifie la compromission de l’ensemble des domaines d’une forêt :
http://www.harmj0y.net/blog/redteaming/the-trustpocalypse/
Des questions concernant cet article?
N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.
Vous pouvez aussi nous joindre à ce courriel :
info@oppidumsecurity.com