Identifiez les chemins d’attaque Active Directory avant un adversaire
EtcSec exécute 340 détections nommées sur 14 catégories Active Directory. La couverture est construite autour des défaillances qui reviennent dans les vraies chaînes de compromission : abus Kerberos, dérive Tier 0, chemins de prise de contrôle via ACL, paramètres GPO dangereux, exposition des trusts et escalade par certificats ADCS.
La collecte reste en lecture seule. ETC Collector interroge LDAP ou LDAPS, lit SYSVOL via SMB pour l’analyse GPO, et peut ajouter des sondes réseau opt-in pour DNS, HTTP et TLS. Aucun agent n’est installé sur les contrôleurs de domaine et aucun objet AD n’est modifié.
L’audit nomme les findings concrets derrière le risque : PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_NEVER_EXPIRES, ADMIN_ASREP_ROASTABLE, KERBEROASTING_RISK, GOLDEN_TICKET_RISK, WEAK_ENCRYPTION_DES, ainsi que les findings de délégation sur utilisateurs et ordinateurs.
Au lieu d’un unique bloc “privileged accounts”, la plateforme distingue les admins obsolètes, les flags adminCount orphelins, les comptes de service dans des groupes sensibles, les foreign security principals et les écarts Protected Users.
ACL_GENERICALL, ACL_WRITEDACL, ACL_WRITEOWNER, ACL_SELF_MEMBERSHIP, WRITESPN_ABUSE et les ACE associées remontent comme findings individuels pour montrer quel objet, quel trustee et pourquoi la permission est exploitable.
Le niveau Pro ajoute les contrôles ESC1 à ESC11, trois détecteurs de graphes d’attaque et les mappings CIS, NIST SP 800-53, ANSSI et DISA STIG. C’est essentiel lorsque l’audit doit expliquer des chemins d’escalade et pas seulement un état d’hygiène.
Les 14 catégories correspondent directement aux chemins de compromission AD
Le catalogue est large, mais il n’est pas décoratif. Chaque catégorie ferme un angle mort précis dans la chaîne d’attaque, depuis les mots de passe faibles et Kerberos jusqu’aux certificats ADCS et aux lacunes de monitoring.
Comptes privilégiés et Tier 0
33 détections sur les admins obsolètes, les comptes de service dans les groupes privilégiés, l’abus SID history, les shadow credentials, les écarts Protected Users et les foreign security principals.
Kerberos et délégation
14 détections sur l’AS-REP roasting, le Kerberoasting, les délégations non contraintes ou contraintes, l’âge du krbtgt, les downgrades RC4/DES et les cibles de délégation inconnues.
Mots de passe et authentification
10 détections sur le stockage en clair, le chiffrement réversible, l’ancienneté des mots de passe et les comptes dont les utilisateurs ne peuvent pas assurer la rotation.
GPO et durcissement Windows
33 détections couvrant les mots de passe SYSVOL, WDigest, Zerologon, PrintNightmare, l’UNC hardening, la protection LSA, le pare-feu et les abus de privilèges.
Escalade par certificats ADCS
11 détections couvrant la taxonomie ESC1-ESC11 : templates vulnérables, ACL de CA, SAN permissif, mappings faibles et surfaces HTTP ou RPC relayables.
Permissions, trusts, monitoring, réseau et conformité
Analyse ACL, frontières de confiance, qualité des stratégies d’audit, signature LDAP ou SMB, sécurité DNS et mappings de conformité dans le même workflow.
Pourquoi les équipes sécurité utilisent EtcSec pour les revues AD récurrentes
Beaucoup d’outils AD restent optimisés pour un rapport HTML ponctuel. EtcSec est conçu pour l’exécution répétée, les listes de remédiation concrètes et un modèle de collecte que les équipes sécurité peuvent défendre opérationnellement.
Collecte en lecture seule
ETC Collector s’authentifie avec un compte d’annuaire en lecture seule et un accès SMB lecture pour SYSVOL. Il ne change ni utilisateurs, ni groupes, ni GPO, ni objets PKI.
Assez rapide pour suivre le rythme opérationnel
Le domaine publié de 546 utilisateurs, 100 ordinateurs et 154 groupes termine en 6,58 secondes avec les sondes réseau activées. Les petits et moyens environnements peuvent donc être ré-audités après un changement de rôles ou une fenêtre de maintenance.
Des findings nommés plutôt qu’un score opaque
Les opérateurs reçoivent des findings concrets avec sévérité et contexte objet. C’est ce qu’il faut quand la suite consiste à répartir le travail entre IAM, Windows, PKI ou équipes applicatives.
Un seul workflow pour le mode standalone et le mode SaaS
Le même collector peut tourner localement en mode serveur standalone ou être enrôlé en daemon pour alimenter EtcSec avec du suivi historique et de l’orchestration multi-sites.
Ce qu’un audit Active Directory complet doit expliquer aux opérateurs
Une page AD n’est utile que si elle décrit comment les données sont collectées, quelles catégories comptent réellement et comment les findings se raccordent à la remédiation et à la gouvernance. Les sections ci-dessous suivent le catalogue publié et la documentation du collector.
Modèle de collecte, sources de preuve et attentes de runtime
L’audit Active Directory commence par une collecte LDAP parallèle des utilisateurs, groupes, ordinateurs, OU, paramètres de domaine, relations de confiance et security descriptors. L’analyse GPO lit SYSVOL via SMB afin de parser registry.pol, GptTmpl.inf et les scripts référencés. Si de la donnée Entra est configurée, elle reste dans un flux séparé et ne modifie pas le chemin de collecte AD.
Le point opérationnel clé est l’absence d’agent sur les DC. Le workflow est collecte, parsing, analyse, construction de graphe et restitution. Cela rend la chaîne de preuve défendable en revue interne : on peut expliquer quel protocole a été utilisé, quelle classe d’objet a été interrogée et pourquoi un finding a été émis.
Les 14 catégories et ce que chacune prouve
| Catégorie | Contrôles | Ce que l’opérateur peut démontrer |
|---|---|---|
| Password | 10 | Que la configuration des comptes expose déjà des mots de passe clairs, réversibles, anciens ou mal gérés. |
| Kerberos | 14 | Que la billetterie, la pré-auth, la délégation ou le chiffrement ouvrent des chemins de roasting, downgrade ou impersonation. |
| Accounts | 33 | Que les comptes privilégiés et de service ont dérivé vers des états qui augmentent la persistance ou la prise de contrôle. |
| Groups | 15 | Que des memberships de groupes sensibles concentrent ou cachent du pouvoir. |
| Computers | 31 | Que les postes et serveurs laissent ouvertes des surfaces de mouvement latéral ou de délégation exploitable. |
| Advanced | 50 | Que la signature LDAP ou SMB, les droits DCSync, les quotas ou AdminSDHolder ouvrent des attaques plus profondes. |
| Permissions | 21 | Que les ACL donnent assez de contrôle pour réinitialiser des mots de passe, modifier des SPN ou réécrire des DACL. |
| ADCS | 11 | Que l’infrastructure certificats permet des abus ESC et l’escalade par certificats. |
| GPO | 33 | Que la distribution de politiques de domaine fuit des mots de passe ou désactive des protections Windows majeures. |
| Trusts | 7 | Que les frontières de confiance manquent de SID filtering, selective auth ou protections Kerberos modernes. |
| Attack Paths | 3 | Que l’analyse graphe peut montrer explicitement des routes d’escalade vers Domain Admin. |
| Monitoring | 9 | Que la politique d’audit est suffisante pour la détection et la réponse à incident. |
| Compliance | 23 | Que les mêmes findings peuvent être réutilisés comme preuves CIS, NIST, ANSSI ou DISA. |
| Network | 15 | Que LDAP, SMB, DNS et les réglages réseau n’exposent pas encore du relay ou des transports faibles. |
Les familles de détections qui pilotent vraiment la remédiation
Exposition de credentials et mots de passe mal gérés
La catégorie Password nomme les sujets que le helpdesk et l’équipe IAM doivent corriger : PASSWORD_NOT_REQUIRED, REVERSIBLE_ENCRYPTION, PASSWORD_CLEARTEXT_STORAGE, UNIX_USER_PASSWORD, PASSWORD_IN_DESCRIPTION et PASSWORD_VERY_OLD.
- Distingue la configuration de compte de la faiblesse de politique.
- Détecte les descriptions risquées et attributs Unix au lieu des seuls flags UAC.
- Donne des listes d’objets actionnables, pas seulement un score de catégorie.
Abus Kerberos
ADMIN_ASREP_ROASTABLE, ASREP_ROASTING_RISK, GOLDEN_TICKET_RISK, UNCONSTRAINED_DELEGATION, KERBEROASTING_RISK, KERBEROS_AES_DISABLED et DELEGATION_UNKNOWN_TARGET expliquent pourquoi l’environnement est exploitable, pas seulement qu’il est “faible”.
- Isole les cas AS-REP privilégiés du reste du parc.
- Couvre à la fois le downgrade de chiffrement et les erreurs de délégation.
- Rend l’hygiène krbtgt visible comme risque de persistance.
Dérive Tier 0 et comptes de service
L’exposition privilège se répartit entre SERVICE_ACCOUNT_PRIVILEGED, SERVICE_ACCOUNT_INTERACTIVE, ADMIN_COUNT_ORPHANED, PRIVILEGED_ACCOUNT_STALE, NOT_IN_PROTECTED_USERS et FOREIGN_SECURITY_PRINCIPALS.
- Utile quand les propriétaires sont répartis entre IAM, messagerie et équipes applicatives.
- Aide au nettoyage des privilèges résiduels, pas seulement à la détection.
- Rend visibles les groupes opérateurs et built-ins souvent oubliés.
Prise de contrôle via ACL et conditions DCSync
Les findings Permissions remontent GenericAll, WriteDACL, WriteOwner, self-membership, ForceChangePassword et les droits de réplication hors comptes DC normaux, avec l’objet et le trustee responsables.
- La sortie sert la remédiation, pas uniquement le graphe d’attaque.
- Les identités DCSync-capables sont visibles directement.
- WriteSPN et reset de mots de passe sont séparés car leurs abus diffèrent.
GPO et durcissement Windows
GPO_PASSWORD_IN_SYSVOL, HARDENED_UNC_PATHS_WEAK, WDIGEST_ENABLED, LSA_PROTECTION_DISABLED, ZEROLOGON_PATCH_ENFORCEMENT, PRINTNIGHTMARE_VULNERABLE et les abus de privilèges lient sécurité identitaire et durcissement Windows.
- Important quand le risque AD vit dans la policy et pas seulement dans les objets d’identité.
- Couvre l’exfiltration de credentials autant que les surfaces d’exécution à grande échelle.
- Se mappe naturellement aux propriétaires poste ou serveur.
Escalade certificats et analyse graphe
Les findings ADCS comme ESC1_VULNERABLE_TEMPLATE, ESC4_VULNERABLE_TEMPLATE_ACL, ESC8_HTTP_ENROLLMENT et ESC10_WEAK_CERTIFICATE_MAPPING complètent les trois findings attack path qui modélisent l’escalade via le graphe.
- Utile pour les environnements où la PKI est déjà critique.
- Montre où l’infrastructure certificats crée du privilège.
- Associe findings bruts et explication par chemin.
La distribution par sévérité compte car la remédiation est multi-équipes
Le catalogue pondère les findings critiques à 10, les élevés à 3, les moyens à 1 et les faibles à 0,2. Ce modèle est utile pour le scoring, mais le vrai résultat opérateur reste la distribution : quelques sujets critiques exigent souvent un confinement immédiat, alors que la couche High et Medium définit le backlog de durcissement.
En pratique, la remédiation ne repose presque jamais sur une seule équipe. IAM traite les groupes privilégiés et la politique de mots de passe, l’ingénierie Windows possède le hardening GPO et les postes, la PKI gère le backlog ADCS, et la gouvernance s’intéresse aux mappings de conformité. L’audit doit donc séparer les findings de façon assignable.
- Utiliser les Critical pour définir le confinement immédiat ou le hardening d’urgence.
- Regrouper les High par propriétaire : IAM, Windows, PKI ou infrastructure.
- Utiliser les Medium pour le backlog récurrent et la revue trimestrielle.
- Conserver les Low visibles sans laisser ces sujets masquer les vrais chemins de privilège.
Où s’arrête le collector open-source et où EtcSec apporte plus
Le collector est le moteur de preuve. Il gère la collecte, le parsing, la détection, l’analyse graphe optionnelle et la sortie JSON. En mode standalone server, tout peut rester sur votre infrastructure avec une GUI locale et une API REST sur le port 8443. En mode daemon, le même binaire s’enrôle dans la plateforme SaaS et poll les commandes toutes les 30 secondes, tout en gardant la collecte AD locale.
EtcSec ajoute à cette couche de collecte les dashboards, le suivi historique, l’orchestration multi-sites et le workflow de remédiation. Les équipes peuvent ainsi garder la même collecte locale tout en ajoutant une couche d’exploitation centralisée quand elles en ont besoin.
Questions fréquentes
Que couvre exactement l’audit Active Directory ?
Le catalogue publié liste 340 détections sur 14 catégories : Password (11), Kerberos (14), Accounts (34), Groups (17), Computers (33), Advanced (50), Permissions (21), ADCS (11), GPO (34), Trusts (7), Attack Paths (3), Monitoring (9), Compliance (81) et Network (15).
Cette composition est importante parce qu’elle couvre à la fois les objets d’identité et les contrôles Windows autour de l’identité.
L’audit nécessite-t-il des droits élevés ou un agent sur les DC ?
Non. Le modèle documenté repose sur LDAP ou LDAPS en lecture seule et la lecture SMB de SYSVOL. Aucun agent n’est installé sur un contrôleur de domaine et le collector ne modifie pas l’annuaire.
En combien de temps obtient-on un rapport exploitable ?
Le benchmark publié sur un domaine de 546 utilisateurs, 100 ordinateurs et 154 groupes termine en 6,58 secondes avec les sondes réseau activées. Cela permet des revues récurrentes après changements importants et pas seulement des audits annuels.
Comment EtcSec se compare-t-il à PingCastle pour les revues AD ?
La documentation comparative montre ETC Collector à 59 règles PingCastle sur 61 et 876 points de risque sur 896, tout en ajoutant l’analyse ADCS ESC, les graphes d’attaque, la couverture Entra ID et les mappings de conformité absents de PingCastle.
Pages liées à la sécurité identitaire
Voir comment le même collector audite Conditional Access, MFA, PIM, permissions applicatives et gouvernance guest dans Entra ID.
Inspectez les détections nommées et les catégories qui alimentent les pages AD et Entra.
Comprendre le mode standalone, le daemon, la GUI locale, l’API REST et l’empreinte open-source.
Comparer le collector open-source avec la couche SaaS pour les dashboards, le scheduling et le suivi.
Démarrez votre audit Active Directory
Déployez le collector, lancez l’audit avec des identifiants en lecture seule, et obtenez un set de findings que les équipes IAM, Windows, PKI et gouvernance peuvent réellement traiter.