Active Directory : attention aux ACL mal placées sur les GPO

I. Présentation

Lors d’un audit de sécurité récurrent sur un environnement AD, il m’est apparu qu’un point de contrôle essentiel concernant les GPO était régulièrement omis. Cet article met en lumière les risques liés aux ACL inhabituelles sur les fichiers du partage SYSVOL.

Pour valider cette observation, j’ai échangé avec plusieurs personnes, notamment Florian Burnel, Loïc Veirman et Guillaume Mathieu, membres actifs de la communauté HardenAD. Leur retour a confirmé que cette faiblesse, bien que peu connue, est réelle et potentiellement critique.

Cachée dans l’obscurité du dossier SYSVOL, cette faille repose sur un mécanisme rarement surveillé, mais tout à fait exploitable. Le risque ne vient pas d’une exploitation complexe, mais du fait que la plupart des outils d’audit et de surveillance se concentrent sur des indicateurs classiques, en négligeant certains comportements pourtant révélateurs...

II. À propos de l'audit AD

Malheureusement, encore aujourd’hui, de nombreuses entreprises ou responsables sécurité associent la sécurité d’un environnement Active Directory, pourtant au cœur de l’identité et de l’accès à un simple score attribué par tel ou tel outil d’audit.

Qu’il s’agisse d’outils gratuits ou payants, leur popularité ne garantit pas une couverture exhaustive, surtout lorsqu’ils passent à côté de faiblesses simples, mais mal configurées.

A. Usage des partages AD

Historiquement, les contrôleurs de domaine ont été utilisés à tort pour héberger toutes sortes de rôles ou de services, comme DFS, DHCP, ou encore des autorités de certification (CA). Cette mauvaise habitude, notamment dans les environnements mixtes ou hérités, a souvent conduit à des configurations hasardeuses.

Concernant les dossiers partagés comme SYSVOL et NETLOGON, ils sont censés héberger des éléments critiques : des scripts de connexion, des fichiers de configuration, voir...
[Courte citation de 8% de l'article original]