Chemins de contrôle en environnement Active DirectoryEmmanuel Gras,Lucas Bouillot

Cet article présente une méthode d'analyse de la sécurité des environnements Active Directory fondée sur l'établissement de relations entre les différents éléments composant un domaine et traduisant la maîtrise d'un objet sur un autre. Ces relations sont issues de sources multiples : analyse des permissions, appartenances aux groupes de sécurité, propriétés et hiérarchie des objets de l'annuaire, fichiers de GPO, mais aussi propriétés liées aux machines locales. La finalité de cette analyse est d'agréger ces relations sous forme de graphes afin de mettre en évidence des chemins de contrôle mettant en jeu des enchaînements non triviaux de relations et d'objets. En fournissant des outils permettant de mieux appréhender un domaine complexe, cette méthode peut servir à vérifier la bonne isolation d'un groupe d'administration du reste du domaine ou à mesurer l'étendue effective du pouvoir d'un compte. Toutes les étapes de notre méthode seront abordées : définition d'un ensemble de relations de contrôle, méthodes de relevés possibles, représentation et agrégation dans une base de données orientée graphe, puis exploitation et interprétation au travers de scénarios d'analyse.

Commentaire de l'auteur

L'outillage est disponible à l'adresse suivante : https://github.com/ANSSI-FR/AD-control-paths