Qu'est-ce que les Mauvaises Configurations GPO ?
Les Group Policy Objects (GPOs) sont le principal mécanisme de gestion de configuration dans Active Directory. Ils contrôlent les paramètres de sécurité, le déploiement de logiciels, l'exécution de scripts et les environnements utilisateurs sur chaque machine du domaine.
Les mauvaises configurations GPO sont particulièrement dangereuses car elles combinent deux menaces : le mouvement latéral à grande échelle (une GPO compromise peut pousser des scripts malveillants sur des centaines de machines simultanément) et l'escalade de privilèges (des permissions GPO faibles permettent à des utilisateurs peu privilégiés de modifier des politiques appliquées aux Contrôleurs de Domaine).
Comment ca Fonctionne
Les GPOs sont stockées en tant qu'objets dans AD et en tant que fichiers dans le partage SYSVOL sur les Contrôleurs de Domaine. Chaque GPO a deux composants :
- GPC (Group Policy Container) — l'objet AD, contrôlé par les ACLs AD
- GPT (Group Policy Template) — fichiers dans
\\domaine\SYSVOL\, contrôlés par les ACLs NTFS
Les deux doivent être sécurisés. Un attaquant avec un accès en écriture sur l'un ou l'autre peut injecter du contenu malveillant qui s'exécute sur chaque machine ciblée — y compris les Contrôleurs de Domaine.
La Chaine d'Attaque
Etape 1 - Enumérer les Permissions GPO
Get-GPO -All | ForEach-Object {
$gpo = $_
$acl = Get-GPPermission -Guid $gpo.Id -All
$acl | Where-Object {
$_.Permission -match "GpoEditDeleteModifySecurity|GpoEdit" -and
$_.Trustee.Name -notmatch "Domain Admins|Enterprise Admins|SYSTEM"
} | Select-Object @{N="GPO";E={$gpo.DisplayName}}, @{N="Trustee";E={$_.Trustee.Name}}, Permission
}
Etape 2 - Exploiter les Permissions GPO Dangereuses
Si un compte peu privilégié a des droits GpoEdit sur une GPO liée aux Contrôleurs de Domaine, l'attaquant peut ajouter un script de démarrage malveillant qui s'exécute en tant que SYSTEM sur chaque machine ciblée.
Etape 3 - Exploiter l'Absence de LAPS
Sans LAPS, tous les postes de travail partagent généralement le même mot de passe d'Administrateur local. Une fois cracké sur une machine, l'attaquant a les droits admin locaux sur toutes les machines du domaine :
Get-ADComputer -Filter * -Properties ms-Mcs-AdmPwd |
Where-Object {$_."ms-Mcs-AdmPwd" -eq $null} |
Select-Object Name
Détection
Event IDs Windows
| Event ID | Source | Ce qu'il faut surveiller |
|---|---|---|
| 5136 | DC - Security | Objet AD modifié — GPO GPC changée par un compte inattendu |
| 5141 | DC - Security | Objet AD supprimé — GPO supprimée |
| 4670 | DC - Security | Permissions d'objet modifiées |
Requete SIEM (Elastic KQL)
event.code: "5136" AND
winlog.event_data.ObjectClass: "groupPolicyContainer" AND
NOT winlog.event_data.SubjectUserName: ("*admin*" OR "SYSTEM")
Remédiation
💡 Action Rapide : Déployez LAPS immédiatement. Aucun changement d'infrastructure requis — élimine le risque de mouvement latéral via mots de passe admin local partagés.
1. Corriger les Permissions GPO Dangereuses
Set-GPPermission -Name "Default Domain Controllers Policy" `
-TargetName "Domain Users" -TargetType Group -PermissionLevel None
2. Déployer LAPS
Install-Module -Name LAPS -Force
Update-LapsADSchema
# Configurer via GPO : Computer Configuration > Administrative Templates > LAPS
3. Auditer les Politiques de Mots de Passe GPO
Get-GPO -All | ForEach-Object {
$report = Get-GPOReport -Guid $_.Id -ReportType XML
if ($report -match "MinimumPasswordLength") {
Write-Host "$($_.DisplayName): Contient des paramètres de politique de mots de passe"
}
}
Comment EtcSec Détecte Cela
EtcSec audite chaque GPO du domaine pour les permissions dangereuses, les politiques faibles et les contrôles manquants.
GPO_DANGEROUS_PERMISSIONS identifie les GPOs où des comptes non-privilégiés ont des droits de modification, particulièrement celles liées aux Contrôleurs de Domaine.
GPO_WEAK_PASSWORD_POLICY signale toute GPO déployant une politique de mots de passe en dessous des standards actuels.
GPO_LAPS_NOT_DEPLOYED détecte les environnements où LAPS n'est pas configuré, laissant les mots de passe d'administrateur local non gérés et identiques sur toutes les machines.
ℹ️ Note : EtcSec audite toutes les GPOs automatiquement lors de chaque scan AD. Lancez un audit gratuit pour identifier les configurations dangereuses.
Articles connexes : Sécurité des Mots de Passe AD | Abus ACL et DCSync
