Audit des permissions en environnement Active DirectoryGéraud De Drouas,Pierre Capillon

Lors de l'audit d'un environnement Active Directory, les permissions mises en œuvre par le mécanisme de contrôle d'accès discrétionnaire sont le plus souvent examinées de manière sommaire, du fait de leur nombre et des limites inhérentes aux outils intégrés au système. Les privilèges illégitimes ou inadaptés acquis via les permissions de l'annuaire doivent pouvoir être détectés afin de prévenir les risques d'abus ou d'escalade mais aussi de retour ou de persistance d'un attaquant au sein d'un système d'information compromis après remise en état.

La principale contribution de cet article est de proposer une approche pratique d'audit de l'ensemble des permissions d'un environnement Active Directory. Nous expliquerons le modèle de contrôle d'accès et détaillerons une méthode de récupération des descripteurs de sécurité depuis les fichiers de base de données de l'annuaire. Enfin l'outillage développé pour visualiser et analyser ces informations sera présenté.

Commentaire de l'auteur

L'outil est publié sur Github : https://github.com/ANSSI-FR/AD-permissions/