Revenir au site
La sécurité d'une forêt Active Directory est égale à la sécurité de son domaine le moins sécurisé
27 février 2019

De nombreux administrateurs de forêt Active Directory pensent que chaque domaine dans une forêt est une entité indépendante d’un point de vue la sécurité. 

Cela est faux : la compromission d’un seul domaine dans une forêt Active Directory revient à dire que tous les domaines de la forêt sont compromis.

Les sous domaines dans une forêt ont été conçus par Microsoft pour faciliter la délégation des tâches administratives entre différents administrateurs et non pas pour isoler des domaines de niveaux de sécurité différents.

Il est donc important de bien réfléchir avant d’intégrer un nouveau domaine dans une forêt Active Directory.

Si vous désirez interagir avec un domaine qui n’est pas encore sécurisé, il est préférable, à la place, de créer une simple relation d'approbation (Trust Relationship) entre votre forêt et le nouveau domaine.

De cette manière la compromission du nouveau domaine dont la sécurité est faible ne remettra pas en cause la sécurité de votre forêt.

Pour plus d’informations :

Microsoft indique que la sécurité d’une foret Active Directory dépend directement de la sécurité de chacun de ses domaines :

https://technet.microsoft.com/en-us/library/cc755979(v=ws.10).aspx

HarmJ0y vous prouve « par les armes » que la compromission d’un sous domaine signifie la compromission de l’ensemble des domaines d’une forêt :
http://www.harmj0y.net/blog/redteaming/the-trustpocalypse/

 

Des questions concernant cet article?

N’hésitez pas à laisser un commentaire pour en faire profiter tout le monde.

Vous pouvez aussi nous joindre à ce courriel :


info@oppidumsecurity.com