Importance Critique du Tier 0
Le Tier 0 représente le cœur absolu de la sécurité de votre système d'information. Sa compromission entraîne invariablement une compromission totale de l'ensemble de l'infrastructure Active Directory et de toutes les ressources qu'elle protège. L'implémentation rigoureuse des contrôles de sécurité du Tier 0 n'est pas optionnelle : elle constitue la condition sine qua non de l'efficacité de tout le modèle de tiering.
Principes Fondamentaux du Tier 0
L'implémentation du Tier 0 repose sur plusieurs principes fondamentaux qui doivent guider toutes les décisions architecturales et opérationnelles :
Minimisation de la Surface d'Attaque
Le premier principe consiste à réduire au strict minimum le nombre de ressources catégorisées en Tier 0. Chaque ressource ajoutée au Tier 0 augmente la complexité de sa gestion et élargit sa surface d'attaque potentielle. Il faut systématiquement se poser la question : cette ressource doit-elle absolument être en Tier 0, ou existe-t-il une alternative permettant de la catégoriser à un niveau inférieur ?
Cette minimisation s'applique à tous les types de ressources :
- Nombre de contrôleurs de domaine : Déployer uniquement le nombre nécessaire pour assurer la haute disponibilité et les performances requises, sans surplus.
- Comptes privilégiés : Limiter drastiquement le nombre de comptes disposant de privilèges Tier 0. Idéalement, une organisation moyenne ne devrait pas avoir plus de 5 à 10 comptes d'administration de domaine actifs.
- Groupes privilégiés : Restreindre l'appartenance aux groupes comme Domain Admins, Enterprise Admins, Schema Admins au strict nécessaire.
- Applications sur les contrôleurs de domaine : Les contrôleurs de domaine ne devraient exécuter AUCUNE application autre que les services Active Directory eux-mêmes. Pas de serveur de fichiers, pas de serveur d'impression, pas d'agent de sauvegarde non certifié.
- Accès physiques : Limiter drastiquement le nombre de personnes disposant d'un accès physique aux salles hébergeant les ressources Tier 0.
Isolation Maximale
Le Tier 0 doit être isolé des autres tiers par tous les moyens techniques disponibles. Cette isolation doit être multicouche et redondante :
- Isolation réseau : Bien que le filtrage réseau seul soit insuffisant dans un environnement AD, il constitue une couche de défense importante. Les contrôleurs de domaine doivent être dans des segments réseau dédiés avec des règles de pare-feu strictes.
- Isolation administrative : Les comptes et systèmes Tier 0 doivent être administrés exclusivement depuis des ressources Tier 0 dédiées.
- Isolation logique dans Active Directory : Création d'unités organisationnelles dédiées avec blocage de l'héritage des GPO et contrôles d'accès stricts.
- Isolation des secrets : Utilisation de technologies comme Credential Guard pour isoler les secrets d'authentification même au sein des systèmes Tier 0.
Défense en Profondeur Renforcée
Chaque couche de sécurité doit être considérée comme potentiellement contournable. La défense en profondeur implique de multiplier les couches indépendantes, de sorte que la compromission d'une couche ne suffise pas à compromettre l'ensemble :
- Authentification multi-facteurs obligatoire pour tous les accès Tier 0
- Chiffrement complet des disques sur tous les systèmes Tier 0
- Durcissement système selon les standards de sécurité les plus exigeants
- Surveillance continue avec détection d'anomalies comportementales
- Restriction applicative stricte (liste blanche des exécutables autorisés)
- Journalisation exhaustive de toutes les actions administratives
Structure Organisationnelle dans Active Directory
La structure organisationnelle est le fondement de l'implémentation technique du Tier 0 dans Active Directory.
Création de l'Unité Organisationnelle Tier 0
La première étape consiste à créer une structure d'unités organisationnelles dédiée pour héberger tous les objets du Tier 0 :
Structure Recommandée
domain.local
│
└── Tier 0
├── Accounts
│ ├── Users (comptes d'administration Tier 0)
│ ├── Service Accounts (comptes de service gérés Tier 0)
│ └── Break Glass (comptes de secours)
│
├── Groups
│ ├── Administrative (groupes d'administration)
│ ├── Service (groupes de service)
│ └── Restricted (groupes à accès restreint)
│
├── Computers
│ ├── Domain Controllers
│ ├── PAW (postes d'administration privilégiés)
│ ├── Certificate Authority
│ ├── ADFS (si applicable)
│ └── Identity Sync (serveurs de synchronisation)
│
└── Quarantine (objets en cours de catégorisation)
Propriétés cruciales de l'OU Tier 0 :
- Blocage de l'héritage GPO : L'OU Tier 0 principale doit avoir son héritage GPO bloqué pour empêcher l'application de stratégies définies à des niveaux supérieurs et potentiellement contrôlées par des administrateurs de niveau inférieur.
- Contrôle d'accès restrictif : Seuls les administrateurs Tier 0 doivent disposer de droits de modification sur l'OU Tier 0 et ses sous-OU. Les droits par défaut accordés à des groupes comme Account Operators ou Server Operators doivent être révoqués.
- Protection contre la suppression : Activer la protection contre la suppression accidentelle sur toutes les OU Tier 0.
- Journalisation avancée : Activer l'audit SACL (System Access Control List) pour enregistrer toutes les tentatives d'accès et de modification.
Gestion des Stratégies de Groupe Tier 0
Les stratégies de groupe appliquées au Tier 0 constituent un élément critique de sa sécurité. Leur gestion doit respecter des règles strictes :
Principes de Gestion des GPO Tier 0
- Gestion exclusive : Seuls les administrateurs Tier 0 peuvent créer, modifier ou lier des GPO s'appliquant au Tier 0.
- Stockage dédié : Idéalement, créer un dossier spécifique dans SYSVOL pour les GPO Tier 0, bien que techniquement SYSVOL reste accessible en lecture à tous les utilisateurs authentifiés.
- Contrôle de version : Maintenir une documentation stricte de toutes les modifications apportées aux GPO Tier 0, idéalement via un système de gestion de versions.
- Test systématique : Toute modification de GPO Tier 0 doit être testée dans un environnement de lab avant déploiement en production.
- Séparation des GPO : Ne JAMAIS utiliser la même GPO pour des objets Tier 0 et des objets de niveau inférieur.
GPO essentielles pour le Tier 0 :
- GPO de durcissement des contrôleurs de domaine : Désactivation des services inutiles, restriction des protocoles, configuration des pare-feu locaux.
- GPO de durcissement des PAW : Restriction applicative, blocage USB, désactivation Internet et email, Credential Guard, Device Guard.
- GPO de stratégies de mots de passe : Politique de mots de passe renforcée spécifiquement pour les comptes Tier 0 (longueur minimale 20 caractères, complexité maximale, historique étendu).
- GPO d'audit et journalisation : Activation de l'audit avancé pour tous les événements de sécurité critiques.
- GPO de restrictions de connexion : Configuration des restrictions sur où et quand les comptes Tier 0 peuvent être utilisés.
Sécurisation des Contrôleurs de Domaine
Les contrôleurs de domaine sont le cœur battant du Tier 0. Leur sécurisation doit être absolue et sans compromis.
Durcissement Système des Contrôleurs de Domaine
Le durcissement des contrôleurs de domaine va bien au-delà de l'installation par défaut de Windows Server :
Configuration réseau sécurisée :
- Désactivation de IPv6 si non utilisé (ou sécurisation appropriée si utilisé)
- Configuration de SMB signing obligatoire
- Désactivation de SMBv1 (protocole obsolète et vulnérable)
- Configuration LDAP signing et LDAP channel binding
- Activation de l'exigence de Kerberos AES (désactivation de DES et RC4 si possible)
Configuration des services :
- Désactivation de tous les services non essentiels
- Désactivation du service Print Spooler (vecteur d'attaque fréquent)
- Configuration stricte des services RPC
- Désactivation de Windows Update automatique (géré manuellement avec test préalable)
Protection de la base Active Directory :
- Activation de la protection DIT (Directory Information Tree)
- Chiffrement complet du disque hébergeant NTDS.dit
- Sauvegarde quotidienne avec rétention appropriée
- Vérification régulière de l'intégrité de la base via ntdsutil
Gestion des Mises à Jour
La gestion des mises à jour sur les contrôleurs de domaine requiert une approche équilibrée entre sécurité et stabilité :
Processus de Gestion des Correctifs
- Veille de sécurité : Surveillance quotidienne des bulletins de sécurité Microsoft, notamment les correctifs critiques pour Active Directory.
- Évaluation de criticité : Pour chaque correctif, évaluer son importance pour la sécurité versus les risques de régression.
- Test en environnement dédié : Déploiement sur un contrôleur de domaine de test reproduisant l'environnement de production.
- Validation fonctionnelle : Tests approfondis des fonctions critiques : authentification, réplication, groupe policy, DNS.
- Déploiement progressif : Application d'abord sur un seul DC de production, observation pendant 24-48h, puis extension aux autres DC.
- Plan de retour arrière : Sauvegarde complète avant chaque mise à jour et procédure documentée de rollback.
- Fenêtre de maintenance : Planification de fenêtres de maintenance spécifiques, évitant les périodes critiques pour l'entreprise.
Cas particuliers nécessitant une attention spéciale :
- Mises à jour de sécurité critiques pour Active Directory (déploiement accéléré après test)
- Correctifs pour les vulnérabilités activement exploitées (évaluation urgente)
- Mises à jour fonctionnelles non sécuritaires (déploiement optionnel après analyse risques/bénéfices)
- Mises à jour de niveau fonctionnel de la forêt ou du domaine (planification extensive, test approfondi)
Sécurité Physique des Contrôleurs de Domaine
La sécurité physique est souvent négligée mais constitue un point critique :
Menaces Physiques
Un attaquant ayant un accès physique à un contrôleur de domaine peut :
- Démarrer le serveur sur un média externe pour accéder aux données
- Extraire les disques durs pour une analyse hors ligne
- Effectuer une attaque DMA (Direct Memory Access) pour extraire les secrets de la RAM
- Implanter un dispositif de surveillance matériel (keylogger, sniffer réseau)
- Effectuer un reset du mot de passe du compte DSRM (Directory Services Restore Mode)
Mesures de protection physique :
- Salle serveur sécurisée : Contrôle d'accès physique strict, vidéosurveillance, journalisation des accès
- Chiffrement complet des disques : BitLocker avec TPM et code PIN obligatoire au démarrage
- BIOS/UEFI sécurisé : Mot de passe BIOS, désactivation du boot sur USB/CD, Secure Boot activé
- Protection contre les attaques DMA : Désactivation des ports non nécessaires, Kernel DMA Protection sur Windows 10/11
- Détection d'intrusion physique : Capteurs d'ouverture de châssis, alertes en cas de manipulation
- Sites distants : Utilisation de RODC (Read-Only Domain Controllers) pour les sites à sécurité physique limitée
Comptes et Groupes Privilégiés
La gestion rigoureuse des comptes et groupes privilégiés est au cœur de la sécurité du Tier 0.
Groupes Privilégiés Natifs
Active Directory intègre plusieurs groupes privilégiés par défaut. Leur gestion doit être particulièrement stricte :
| Groupe | Portée | Privilèges | Recommandation |
|---|---|---|---|
| Enterprise Admins | Forêt | Administration complète de tous les domaines de la forêt | Membres : 0 en temps normal. Ajouter temporairement uniquement pour opérations exceptionnelles nécessitant une portée forêt |
| Domain Admins | Domaine | Administration complète du domaine, admin local sur tous les systèmes | Membres : 2 à 5 maximum. Comptes utilisés uniquement pour administration DC et AD |
| Schema Admins | Forêt | Modification du schéma Active Directory | Membres : 0 en temps normal. Ajout temporaire uniquement pour modifications de schéma planifiées |
| Administrators | Domaine | Administration du domaine et des DC | Membres : Uniquement les comptes strictement nécessaires. Revue trimestrielle |
| Backup Operators | Domaine | Sauvegarde et restauration de fichiers | Éviter l'utilisation. Utiliser des comptes de service gérés avec délégations fines |
| Account Operators | Domaine | Gestion de comptes (hors comptes privilégiés) | Éviter l'utilisation. Utiliser des délégations fines spécifiques |
| Server Operators | Domaine | Administration de serveurs | Ne JAMAIS utiliser. Privilèges excessifs et mal délimités |
Stratégie de Comptes Dédiés
Chaque administrateur Tier 0 doit disposer de plusieurs comptes distincts pour différents usages :
Exemple de Nomenclature de Comptes
Pour un administrateur nommé Jean Dupont :
jean.dupont- Compte utilisateur standard (Tier 2) pour email, bureautique, navigationjean.dupont-adm1- Compte d'administration Tier 1 pour serveurs applicatifsjean.dupont-adm0- Compte d'administration Tier 0 pour DC et infrastructure ADjean.dupont-bg0- Compte break-glass Tier 0 (secours, usage exceptionnel uniquement)
Règles d'utilisation strictes :
- Chaque compte est utilisé UNIQUEMENT pour son tier désigné
- Les mots de passe sont différents entre tous les comptes
- Les comptes Tier 0 ne peuvent JAMAIS se connecter à des systèmes Tier 1 ou Tier 2
- Les comptes privilégiés ne doivent JAMAIS être utilisés pour email ou navigation
- Authentification multi-facteurs obligatoire pour les comptes Tier 0
Comptes Break-Glass (Bris de Glace)
Les comptes break-glass sont des comptes de secours permettant de reprendre le contrôle de l'Active Directory en cas de situation d'urgence :
Caractéristiques des comptes break-glass :
- Membres du groupe Domain Admins ou Administrators
- Mots de passe ultra-complexes (40+ caractères), stockés dans un coffre-fort physique scellé
- Configurés pour ne JAMAIS expirer
- Exclus des politiques de verrouillage de compte
- Alertes immédiates en cas d'utilisation
- Revue mensuelle pour vérifier qu'ils sont toujours fonctionnels (sans les utiliser)
- Procédure documentée et testée annuellement pour leur utilisation
Situations d'utilisation légitimes :
- Tous les comptes d'administration normaux sont verrouillés ou compromis
- Problème critique de réplication empêchant l'administration normale
- Corruption de l'annuaire nécessitant une restauration d'urgence
- Défaillance du système MFA bloquant tous les accès privilégiés
Postes d'Administration Privilégiée (PAW)
Les PAW (Privileged Access Workstations) constituent un élément absolument critique de la sécurité Tier 0. Ils sont les seuls systèmes depuis lesquels l'administration des ressources Tier 0 doit être effectuée.
Principe et Architecture des PAW
Un PAW est un poste de travail durci, dédié exclusivement à l'administration, et isolé de tout vecteur d'attaque courant :
Caractéristiques Essentielles d'un PAW Tier 0
Isolation fonctionnelle :
- AUCUN accès Internet
- AUCUN client de messagerie
- AUCUNE application bureautique (Word, Excel, PDF readers)
- UNIQUEMENT des outils d'administration : RSAT, PowerShell, outils AD, RDP
Durcissement système :
- Windows 10/11 Enterprise (jamais Home ou Pro)
- Credential Guard activé
- Device Guard / Application Control (liste blanche stricte des exécutables)
- Virtualization-Based Security (VBS)
- Attack Surface Reduction rules
- Chiffrement BitLocker avec TPM + PIN
- Toutes les mises à jour de sécurité appliquées
Contrôle d'accès physique :
- Emplacement physique sécurisé
- Ports USB désactivés (sauf si clé de sécurité MFA requise)
- Lecteurs CD/DVD désactivés
- Boot sur réseau désactivé
- Écran de confidentialité pour éviter le shoulder surfing
Authentification renforcée :
- Authentification multi-facteurs obligatoire (carte à puce, clé FIDO2, Windows Hello for Business)
- Pas d'authentification par mot de passe seul
- Délai de verrouillage automatique court (2-3 minutes d'inactivité)
Déploiement et Gestion des PAW
Le déploiement des PAW doit suivre un processus rigoureux :
- Image de référence : Création d'une image maître durcie, validée par l'équipe sécurité, servant de base à tous les PAW.
- Déploiement sécurisé : Installation dans un environnement contrôlé, jamais connecté au réseau de production avant configuration complète.
- Configuration initiale : Application de toutes les GPO de sécurité, installation des outils d'administration, configuration MFA.
- Tests de validation : Vérification que toutes les restrictions sont effectives et que les outils nécessaires fonctionnent.
- Assignation : Attribution à un administrateur spécifique, avec traçabilité et responsabilité.
- Maintenance : Mises à jour mensuelles de l'image de référence, redéploiement périodique pour éviter la dérive de configuration.
Nombre de PAW nécessaires :
- Au minimum : 1 PAW par administrateur Tier 0
- Idéalement : 2 PAW par administrateur (un principal, un de secours)
- Plus : PAW de secours partagés pour situations d'urgence
Protocoles d'Authentification et Restrictions
La maîtrise des protocoles d'authentification est cruciale pour empêcher les attaques latérales.
Désactivation de NTLM
NTLM est un protocole d'authentification hérité présentant de nombreuses faiblesses de sécurité, notamment sa vulnérabilité aux attaques Pass-the-Hash. Sa désactivation progressive est fortement recommandée :
Stratégie de Désactivation NTLM
Phase 1 - Audit (Durée : 1-2 mois) :
- Activation de l'audit NTLM via GPO pour identifier toutes les authentifications NTLM
- Collecte et analyse des logs pour identifier les systèmes et applications utilisant encore NTLM
- Création d'un plan de migration vers Kerberos pour chaque utilisation identifiée
Phase 2 - Migration (Durée : variable selon complexité) :
- Configuration de SPN (Service Principal Names) pour permettre l'authentification Kerberos
- Mise à jour des applications et scripts pour utiliser Kerberos
- Tests approfondis de chaque migration
Phase 3 - Restriction Tier 0 :
- Blocage de NTLM pour les comptes Tier 0 (via groupe Protected Users ou silos d'authentification)
- Configuration des DC pour refuser les authentifications NTLM des comptes Tier 0
- Surveillance des tentatives bloquées
Phase 4 - Blocage Généralisé (optionnel, selon contexte) :
- Blocage de NTLM au niveau du domaine pour tous les comptes
- Maintien d'exemptions uniquement pour applications héritées critiques sans alternative
Groupe Protected Users
Le groupe Protected Users, introduit dans Windows Server 2012 R2, applique automatiquement des restrictions de sécurité renforcées à ses membres :
Protections automatiques :
- Impossibilité d'utiliser NTLM, Digest ou CredSSP pour l'authentification
- Impossibilité de pré-authentification Kerberos avec DES ou RC4
- Tickets Kerberos TGT avec durée de vie limitée à 4 heures (non renouvelables)
- Impossibilité de délégation Kerberos (contrainte ou non contrainte)
- Impossibilité de mise en cache des identifiants
Membres recommandés :
- Tous les comptes d'administration Tier 0 (sauf comptes de service si incompatibilité)
- Tous les comptes membres de Domain Admins, Enterprise Admins, Schema Admins
- Comptes de service privilégiés (après tests de compatibilité)
Précautions avant ajout :
- Vérifier que le niveau fonctionnel du domaine est Windows Server 2012 R2 minimum
- Tester l'impact sur l'authentification des comptes concernés
- S'assurer que les applications supportent ces restrictions
- Ne JAMAIS ajouter le compte Administrator intégré (risque de blocage total en cas de problème)
Silos d'Authentification
Les silos d'authentification permettent de restreindre précisément où et comment les comptes privilégiés peuvent être utilisés :
Un silo d'authentification définit :
- Quels comptes en font partie
- Sur quels systèmes ces comptes peuvent s'authentifier
- Quels services peuvent utiliser ces comptes
- Les restrictions de délégation Kerberos applicables
Exemple de configuration Tier 0 :
- Silo "Tier0-DomainAdmins" contenant tous les comptes Domain Admins
- Authentification autorisée uniquement vers : les contrôleurs de domaine et les PAW Tier 0
- Toute tentative d'authentification vers d'autres systèmes est bloquée et journalisée
Infrastructures Support du Tier 0
Les infrastructures support hébergeant des ressources Tier 0 doivent elles-mêmes être catégorisées et sécurisées en Tier 0.
Infrastructure de Virtualisation
Si les contrôleurs de domaine sont virtualisés (configuration de plus en plus courante) :
- Hyperviseurs dédiés : Idéalement, les VM Tier 0 doivent être sur des hyperviseurs dédiés, administrés uniquement par des comptes Tier 0 depuis des PAW Tier 0.
- Isolation réseau : Les vSwitches et segments réseau hébergeant les VM Tier 0 doivent être isolés.
- Gestion des snapshots : Les snapshots de VM Tier 0 contiennent la RAM avec potentiellement des secrets. Leur gestion doit être strictement contrôlée.
- Accès à la console : L'accès aux consoles de gestion (vCenter, SCVMM, Hyper-V Manager) doit nécessiter authentification Tier 0 depuis PAW.
- Sauvegardes des fichiers VM : Les fichiers VMDK/VHDX doivent être sauvegardés avec chiffrement et accès restreint.
Autorité de Certification PKI
Les autorités de certification délivrant des certificats utilisables pour l'authentification Tier 0 doivent être catégorisées en Tier 0 :
- CA racine hors ligne, dans un environnement physiquement sécurisé
- CA subordinées pour l'émission de certificats, administrées depuis PAW Tier 0
- Templates de certificats pour authentification Tier 0 avec ACL strictes
- Révocation de certificats processée et surveillée
- Clés privées de la CA protégées par HSM (Hardware Security Module) idéalement
Serveurs de Synchronisation Cloud
Les serveurs de synchronisation comme Azure AD Connect ou les serveurs ADFS doivent être catégorisés en Tier 0 car leur compromission permet généralement de compromettre le domaine :
- Serveurs dédiés, ne servant AUCUNE autre fonction
- Administration depuis PAW Tier 0 uniquement
- Surveillance accrue des synchronisations et des tentatives d'authentification
- Clés de chiffrement et secrets stockés de manière sécurisée
Conclusion du Chapitre
L'implémentation du Tier 0 constitue la pierre angulaire de tout le modèle de tiering. Sans un Tier 0 correctement sécurisé et rigoureusement géré, les efforts de sécurisation des autres tiers seront vains. Les principes et pratiques présentés dans ce chapitre ne sont pas optionnels : ils représentent le minimum requis pour protéger efficacement le cœur de confiance de votre système d'information.
Le chapitre suivant abordera l'implémentation des Tiers 1 et 2, qui, bien que moins critiques que le Tier 0, nécessitent également des contrôles de sécurité appropriés pour assurer la protection globale du système d'information.