Nouvelle approche pour étendre le zéro trust à Active Directory
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
1. Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
2. Quel avenir pour Active Directory
DEMAN Thierry
DAKHAMA Mehdi
27 octobre 2022 - PARIS
Identity Days 2022
3. Mehdi DAKHAMA
Expert AD
Chercheur Cyber Sécurité
Thierry DEMAN
MS MVP depuis 2002
Senior System Architect
• Présentation rapide de l’AD
• Rappel des enjeux de l'Active Directory
• Pourquoi doutons nous de l'AD ?
• Quelques alternatives de l'AD ?
• Azure AD remplacera-til l'AD ?
• Conclusions
Plan de présenation
27 octobre 2022 - PARIS
Identity Days 2022
5. Rôle de l'Active Directory
L'Active Directory est service d'annuaire responsable de la gestion d'identité
apparu sur Windows 2000 pour la première fois.
Active directory (Kerberos+LDAP) est basé sur des Contrôleurs de domaine, qui
constituent le cœur de notre infrastructure sous Microsoft (appelé aussi domaine)
Identity Days 2022
27 octobre 2022 - PARIS
6. Les avantages de l'Active Directory
L'Active Directory permet de gérer l'ensemble du parc informatique dans un
périmètre (domaine). Les objets sont contrôlés à partir de l'annuaire, et des
actions sont automatisés à partir des gestionnaires offerts (GPO ..). Cette gestion
se fait en suivant le principe AAA.
Identity Days 2022
27 octobre 2022 - PARIS
7. Fonctionnalités de l'Active Directory
L'Active Directory est un gestionnaire d'identité et d'accès (Identity and Access
Management), c'est une incarnation du modèle AAA.
Authentification : Secret (MDP, Login, …)
Autorisation : (ACL, DACL, NTFS …)
Compte : Jetons (TGT)
Identity Days 2022
27 octobre 2022 - PARIS
8. Rappel des enjeux de
l'Active Directory
Identity Days 2022
27 octobre 2022 - PARIS
9. Pourquoi Active Directory?
L’administration au premier niveau est assez facile (les Admins faciles à trouver)
L’architecture des Unités d’Organisation permet une délégation facile
L’administration des stratégies permet de gérer des combinaisons infinies et
complexes de situation
Une quantité importante d’applications « prêtes », « compatibles » (Legacy)
La possibilité de « scripter » et de vérifier différentes situations.
La possibilité de s’adapter à l’implantation de l’entreprise (Sites, Domaines,Forêts)
Les interactions entre entités (Approbation, Fédération, partages et migration)
Intégration de nombreux services : DNS, DHCP, PKI, IIS, FS, IMP, Radius, ADFS, etc
Identity Days 2022
27 octobre 2022 - PARIS
10. Quand peut on et doit arrêter AD?
Impression de risques trop importants, non gérés sur AD.
AD corrompu, non fiable avec bascule en urgence
Les applications utilisées sont toutes accessibles sur le web
Les outils d’administration sur le cloud deviennent suffisants (Intune-MEM)
Compliance et sécurité bien gérées sur le cloud (Outils matures)
Possibilité de remplacer TOUS les services (qui étaient fournis par AD)
Sous-titre
Identity Days 2022
27 octobre 2022 - PARIS
12. Le problème
Active Directory est de plus en plus pris pour cible d'attaque, non pour sa
vulnérabilité ou sa faiblesse (OS ou rôles), mais plutôt pour l’intérêt qu'ils
représentent (gestionnaires d'accès, coffre-fort), prendre la main sur un AD
ouvrira des portes.
Identity Days 2022
27 octobre 2022 - PARIS
13. Les inquiétudes
La sécurité d'Active Directory n'est pas si simple à atteindre. L'embarras du choix:
- Faut-il un Budget ?
- Quelle solution/protection (AI, EDR) ?
- Quelles charges (nouveaux recrutements, former les salariés)??
Rappel : un AD en mode suivant suivant n'est pas un AD mais plutôt une passoire
27 octobre 2022 - PARIS
Et si j'abandonne
L'AD
14. Configuration « trop » simple
Historiquement les administrateurs configuraient AD à leur guise.
- On cherchait la simplicité et la rapidité en détriment de la sécurité et des bonnes
pratiques.
Ex : Désactiver le pare-feu, mettre tout le monde Admin du domaine, les clusters
Dans l'opérateur de compte …
Identity Days 2022
27 octobre 2022 - PARIS
15. Les faiblesses d’AD
Pas assez sécurisé par défaut, pas d’outils « in the box », pas de MFA.
Souvent mal géré, mauvaises pratiques des admins et utilisateurs
Mise à jour des failles « tardives », patchs pas ou mal gérés
Beaucoup de composants externes (Pilotes, Applications, Matériels)
Cible privilégiée, il est fortement attaqué.
Pas d’outil de compliance par défaut
Pas de centralisation native des événements/risques/alertes
Souvent très ouvert sur l’extérieur (ADFS, VPN, …): Effet Covid/Travail à distance
Nouvelles conditions d’utilisation d’AD
Identity Days 2022
27 octobre 2022 - PARIS
16. Les faits
Le problème d’origine est souvent « humain » : Phishing, Laxisme
Certains comptes ont trop de privilèges, pas assez de segmentation
La détection des intrusions est souvent tardive, voire trop tard.
Il faut investir dans des outils d’analyse, de surveillance, sécurisation, compliance
Certains de ces problèmes sont communs à toutes les solutions !
Sous-titre
Identity Days 2022
27 octobre 2022 - PARIS
18. Quelques alternatives
De nombreuses alternatives existent pour la gestion d'accès.
Une analyse du besoin est primordiale (parc informatique OS, compatibilité,
applications, taille, budget).
DIRaaS, IDaaS: Annuaire et identité en tant que services, disponibles sur le web.
Quel(s) gestionnaire(s) d'identité (parfois/souvent combinés):
- Azure AD,
- JumpCloud
- Okta
- OneLogin
- PingIdentity
- OpenLDAP
Identity Days 2022
27 octobre 2022 - PARIS
19. Open LDAP + Samba
La solution Miracle à 0€ et plein de soucis. OpenLdap a été conçu à la base
comme alternative à l'AD dans l'environnement Linux. Quelques uns l'associent à
Samba pour gérer des parcs de milliers de machines (généralement les
universités).
Cette solution gratuite mais plus couteuse pour la gestion n'est pas recommandée
ni adaptée au monde professionnel.
Limites :
- Difficile à configurer pour les débutants
- Pas de compatibilité avec des extensions Cloud
- Pas de GPO sans Samba (versions anciennes, pas de hardening/baseline, admx
pas toujours compatibles et beaucoup moins complet)
- Niveau de forêt et fonctionnalité en décalage (exp Silos, PAM, identité etc…)
Identity Days 2022
27 octobre 2022 - PARIS
27 octobre 2022 - PARIS
20. JumpCloud
Un concurrent « sérieux » à l'AD basé sur le SaaS, facile à gérer, sécurisé et pas
encombrant au niveau des patches et de maintenance, il authentifie et
connecte l'ensemble des utilisateurs aux systèmes, fichiers et applications.
Avantages :
- Prend en charge du MFA
- Compatible avec les versions Windows les plus récentes
- Prend en charge plusieurs protocole d'authentification
- Prend en charge LDAP, SAML
- Multi plateformes, gestion centralisée des objets.
- Compatible avec des applications Cloud telles que :
(AWS, Azure, O365, Gsuite, Saleforce,…)
Identity Days 2022
27 octobre 2022 - PARIS
22. Azure Active Directory Domain Service
Une autre belle alternative prométeuse
permettant de remplacer en quelque sorte
Notre AD.
Avantages :
- Permet d’installer des applications
nécessitant un domaine
- Permet des requêtes LDAP (sécurisée)
- On retrouve Kerberos (natif)
- Permet de gérer serveurs et stations
intégrées à Azure.
AADS n'a pas pu s'imposer ou pas encore
rencontré son public.
Identity Days 2022
27 octobre 2022 - PARIS
24. Identity Days 2022
27 octobre 2022 - PARIS
Non disponible Standard Entreprise Premium
AAD DS Core Service
Charge d’authentification
suggérée (pic, par heure)
1
De 0 à 3,000 De 3 000 à 10 000 De 10 000 à 70 000
Nombre d’objets suggéré
2
De 0 à 25,000 De 25 000 à 100 000 De 100 000 à 500 000
Fréquence de sauvegarde Tous les 5 jours Tous les 3 jours Quotidiennement
3
Approbations de forêt de
ressources
S.O. 5 10
Instances
Forêt utilisateur
4
113,71 €/mois/jeu 303,21 €/mois/jeu 1 212,82 €/mois/jeu
Forêt de ressources
4
S.O. 303,21 €/mois 1 212,82 €/mois
Tarification abordable
26. Azure Active Directory (Annuaire)
Azure Active Directory est un service qui permet de gérer l'identité de l'utilisateur final à
travers une synchronisation avec une source internet (AD), AAD permet de gérer l'accès aux
applications Azure Cloud en appliquant IAM
Avantages d'Azure AD
- Utilisation du SSO pour une authentification unique à plusieurs services SaaS
- MFA, gestion de groupes et utilisateurs
- Rapport de sécurité et suivi d'utilisation
- Protocoles pris en charges SAML 2,0, OAuth 2,0
- Hashage de MDP pas besoin d'ADFS
Limites Azure AD
- Nécessite une source d'authentification AD interne
- Ne supporte pas NTLM, Kerberos, LDAP
- Ne gère pas les objets directement, pas d'OU
Identity Days 2022
27 octobre 2022 - PARIS
27. MEM/Intune + 365 (Gestion des devices, …)
Intune associé à Microsoft 365 offre une indépendance partielle à l'AD, on retrouve les
avantages de l'Azure Active Directory, et la gestion des machines à distance (Stratégies,
Autopilot, patching, inventaire …)
Limites :
Le service télémétrie doit synchroniser régulièrement avec le cloud pour récupérer les
informations,
Il est difficile de gérer d'autres objets comme
les imprimantes, partages local (dfs …)
Identity Days 2022
27 octobre 2022 - PARIS
28. Exemple de possibilité d’administration dans Intune
Convertir les GPOs en Packages
(Group Policy analytics (preview))
Ceci a des limites
Importation des fichiers ADMX
(et ADML correspondant)
Identity Days 2022
27 octobre 2022 - PARIS
30. Quelle architecture pour l’identité?
Le mode AD uniquement est de plus plus rare
Le mode AD + ADFS a été la première étape
Le mode AD Hébergé/centralisé sur Azure (VMs)
Le mode Hybride (AD + synchronisation vers un Cloud ou fédération)
Le mode « Cloud » + Azure Domain Services (Pour palier certains manques)
Le mode « Cloud only » encore assez rare (Azure AD ou autres)
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS
Axe
d’évolu
tion
31. Plusieurs choix d’administration
Gestionnaire d’identité (où placer les identités? Source principale?)
=> 1 ou plusieurs annuaires?
Gestionnaire d’Authentification (Où placer la ou les authentifications?)
=> Plusieurs facteurs/modes
Gestionnaire d’administration (Où placer la ou les administrations?)
Admins, supports, niveau de connaissances des produits
Qualité des Outils disponibles et automatisation
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS
32. Dans tous les cas, il faut améliorer et Protéger AD
Mettre en place des nouvelles pratiques d’administration
Utiliser et installer des outils de sécurisation et d’Audit:
TENABLE-AD,
Ping-Castle, PurpleKnight, Harden-AD (Voir session de Loic)
Ceci est une quasi-obligation pour les 5 à 10 ans à venir.
Pour donner une idée, il y a 7 millions d’Ads sont déjà (synchronisés) dans le cloud.
550 Millions de comptes s’authentifient tous les jours sur les 22 Datacenters.
(Données 2016)
(Et c’est géré par un AD! ☺ )
Identity Days 2022
27 octobre 2022 - PARIS
34. Conclusions
AD « on premises » (en mode hybride) va probablement rester le mode dominant
sur 5 à 15 ans. (Equivalent de la migration Exchange 2010 vers Exchange OnLine)
La bascule vers le mode « Cloud only » sera progressive, sauf s’il y a des attaques
majeures sur les AD locaux. (Replis sur Azure AD en mode PHS)
Les autres architectures vont répondre à des situations particulières
(centralisation, vieille application non migrée en mode SAML).
La bascule vers le cloud va dépendre de la vitesse d’adaptation des applications,
des équipes IT et des outils d’administration.
Sachant que le retour en arrière est difficile, les choix radicaux sont à éviter
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS