Un audit de sécurité Active Directory doit faire plus que lister des mauvaises configurations. Il doit aider votre équipe à répondre à trois questions très concrètes :
- Quelles découvertes exposent Tier 0 ou des identités privilégiées ?
- Quels chemins peuvent réellement être exploités ensuite ?
- Quelles remédiations doivent être traitées en premier ?
Si vous voulez aller au plus court, commencez par un workflow dédié Active Directory security audit et lancez le collecteur localement via ETC Collector. Si vous préférez d’abord la checklist complète, utilisez le guide ci-dessous.
1. Commencer par les identités privilégiées et le Tier 0
La plupart des programmes d’audit AD perdent du temps parce qu’ils commencent par l’hygiène générale au lieu de l’exposition privilégiée. Le premier passage doit se concentrer sur :
- les groupes intégrés privilégiés comme Domain Admins, Enterprise Admins et Schema Admins
- les chemins d’administration déléguée
- les comptes disposant de droits de réplication
- les comptes privilégiés avec mots de passe anciens ou protections faibles
- les anomalies
adminCountet protections orphelines
À ce stade, l’objectif est de savoir quelles identités peuvent modifier les limites de confiance du domaine, pas seulement quelles options semblent mal rangées.
2. Examiner Kerberos et les chemins d’abus de délégation
Les faiblesses Kerberos restent au cœur de nombreuses découvertes à fort impact dans AD. Un audit pratique doit rechercher :
- les comptes kerberoastables
- les comptes AS-REP roastables
- la délégation non contrainte
- la délégation contrainte avec cibles risquées
- l’abus de délégation contrainte basée sur les ressources
- les comptes privilégiés portant des SPN
- les comptes encore dépendants de chiffrements faibles
Ces contrôles comptent parce qu’ils relient directement le vol d’identifiants, le mouvement latéral et l’escalade de privilèges.
3. Vérifier la politique de mot de passe et l’hygiène des comptes
La revue des politiques de mot de passe reste utile, mais elle doit être reliée à l’exposition et à l’impact de remédiation. Concentrez-vous sur :
- password never expires
- password not required
- reversible encryption
- les comptes privilégiés obsolètes
- les comptes désactivés présents dans des groupes d’administration
- la couverture insuffisante des fine-grained password policies
Si votre environnement contient encore des exceptions, documentez si elles sont justifiées, temporaires et portées par un owner identifié.
4. Auditer ADCS et les chemins d’abus de certificats
ADCS est souvent oublié dans les revues internes alors qu’il peut créer des chemins d’escalade directs. Votre audit doit couvrir :
- les modèles de certificats vulnérables
- les ACL dangereuses sur les templates
- l’abus d’enrollment agent
- le certificate mapping faible
- les flags de CA risqués et certains réglages RPC
Si votre processus actuel n’évalue pas les chemins d’abus de certificats de type ESC, l’audit reste incomplet pour une défense AD moderne.
5. Inspecter les ACL, droits de réplication et chemins d’attaque
Une simple revue brute des ACL ne suffit pas. Il faut comprendre quelles permissions peuvent s’enchaîner en abus réellement exploitables. Un audit solide doit faire ressortir :
- l’abus de
GenericAll,WriteDacl,WriteOwneret des droits étendus - les droits de réplication et les principaux capables de DCSync
- les permissions dangereuses sur les OU, les GPO et AdminSDHolder
- les attack paths qui atteignent des actifs de niveau domaine en un ou deux sauts
C’est là qu’une analyse approfondie se distingue d’un simple contrôle de posture.
6. Inclure les GPO, la journalisation et le hardening
Les GPO et le hardening du plan de contrôle restent des sources de gains rapides. Vérifiez notamment :
- une politique de mot de passe trop faible dans la Default Domain Policy
- l’absence de LDAP signing ou de channel binding
- une journalisation PowerShell insuffisante
- un UNC path hardening manquant
- des scripts d’ouverture de session risqués
- une exposition SMB et TLS trop faible sur les contrôleurs de domaine
Ces découvertes semblent parfois purement opérationnelles, mais ce sont précisément les contrôles qui modifient le coût d’attaque dans la réalité.
7. Prioriser la remédiation selon l’impact sur l’identité
Ne traitez pas les remédiations comme une file plate. Groupez plutôt la sortie par impact :
- critique : exposition privilégiée directe, raccourcis d’attack path, abus de certificats, capacité DCSync
- élevé : abus de délégation, comptes privilégiés roastables, ACL risquées, protocoles anciens ou paramètres faibles
- moyen : dérive d’hygiène et de politique qui augmente la surface d’attaque
- faible : nettoyage informatif avec valeur d’exploitation limitée
Si vous avez besoin d’un workflow aligné sur ce modèle, la page Active Directory security audit montre comment structurer la revue, et EtcSec pricing explique quand la couche SaaS de suivi devient utile en complément de ETC Collector.
8. Répéter la revue après les changements
Un audit AD ne doit pas devenir un artefact annuel. Répétez les mêmes contrôles après :
- des changements de rôles
- des mises à jour de GPO
- des changements sur les services de certificats
- des modifications d’administration déléguée
- des fusions, nouveaux sites ou nouveaux domaines
C’est aussi pour cette raison que des équipes évaluent une PingCastle alternative : le vrai problème n’est souvent pas le premier rapport, mais l’absence de boucle de revue répétable ensuite.
Conclusion
Un audit de sécurité AD efficace est une revue répétable de l’exposition privilégiée, pas juste un rapport de santé. Commencez par Tier 0, Kerberos, la délégation, ADCS et les chemins d’abus d’ACL. Ensuite, priorisez la remédiation en fonction de ce qui change réellement la portée d’un attaquant.
Si vous voulez un workflow dédié, partez de la page Active Directory security audit ou regardez comment ETC Collector exécute la collecte technique localement.
