Il cluster di ricerca guida anssi active directory porta spesso a un'aspettativa sbagliata: non esiste un unico PDF dell'ANSSI che, da solo, basti a "mettere in conformità" Active Directory. In un ambiente AD moderno, la base davvero utile è un insieme di guide complementari. Il documento principale è la guida ANSSI pubblicata il 18 ottobre 2023 sull'amministrazione sicura dei sistemi informativi basati su Active Directory. Ma deve essere letta insieme alla guida ANSSI del 2021 sull'amministrazione sicura dei sistemi informativi, alla guida del 2022 sulla journalisation Windows in ambiente Active Directory e alla guida di dicembre 2023 sulla remediation del Tier 0 quando il problema non è più soltanto l'hardening, ma il recupero del controllo dopo una compromissione.
Questa distinzione cambia il modo di usare il materiale. La guida AD 2023 non copre tutto. Indica esplicitamente che gli argomenti cloud e Microsoft Entra ID sono fuori perimetro e rimanda alla guida generale sull'amministrazione sicura per quanto riguarda le workstation amministrative: accesso a Internet, hardening, cifratura e limitazione degli usi. Cercare una "guida ANSSI Active Directory" è quindi utile solo se prima si capisce quale documento serve a quale scopo e solo dopo si trasformano quei principi in controlli tecnici.
Nota importante: le pubblicazioni ANSSI citate qui sono guide tecniche. Servono come riferimento metodologico e architetturale, ma da sole non costituiscono né un obbligo legale automatico né una "certificazione ANSSI per Active Directory". Se il progetto rientra anche in un percorso NIS2, ISO 27001 o simili, occorre distinguere con precisione tra testo normativo e misure tecniche scelte per rispondere a quel quadro.
Che cosa copre la Guida ANSSI Active Directory?
La guida ANSSI del 2023 sull'amministrazione sicura dei sistemi informativi basati su Active Directory affronta il problema centrale che molti team sottovalutano: la compromissione della directory non arriva solo da una "impostazione AD sbagliata", ma spesso da una combinazione di pratiche amministrative deboli, assenza di segmentazione logica e percorsi di controllo lasciati aperti attraverso altre componenti del sistema informativo.
Per questo il testo non va letto come una checklist di caselle da spuntare, ma come un vero modello di fiducia. Spiega come ragionare in zone di fiducia, come identificare il Tier 0, come ridurre i percorsi di controllo verso la directory, perché l'uso di NTLM e Kerberos ha un impatto diretto sulla segmentazione e perché la detection deve essere progettata come componente normale dell'architettura AD e non come uno strato aggiunto alla fine del progetto.
Questa guida non sostituisce gli altri documenti ANSSI. Li completa. Non ha nemmeno lo scopo di coprire tutta la parte cloud, la governance giuridica o il dettaglio completo di una workstation amministrativa sicura. È esattamente per questo che un lettore tecnico che voglia davvero "applicare ANSSI ad AD" deve partire da un corpus di documenti e non da una singola pubblicazione.
Quali documenti ANSSI fanno autorità oggi
La tabella seguente è la griglia di lettura più utile nella pratica:
| Documento | Data | Ruolo reale in un progetto AD |
|---|---|---|
| Recommandations pour l'administration sécurisée des SI reposant sur AD | 18 ottobre 2023 | Documento principale per segmentazione logica, Tier 0, percorsi di controllo AD, rischi legati ai segreti di autenticazione e principi di detection in un ambiente basato su AD. |
| Recommandations relatives à l'administration sécurisée des SI | 11 maggio 2021 | Base metodologica per l'architettura di amministrazione: account dedicati, workstation amministrative, accesso Internet, rete di amministrazione, bastion e separazione degli usi. |
| Sécuriser la journalisation dans un environnement Microsoft Active Directory | 28 gennaio 2022 | Guida operativa per logging Windows/AD: policy di auditing, raccolta centralizzata, WEF/WEC, selezione degli eventi, Sysmon e segmentazione dei server di raccolta. |
| Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory | versione 1.0, dicembre 2023 | Riferimento da usare quando non si tratta più solo di hardening, ma di riprendere il controllo di un AD compromesso, trattare i percorsi di persistenza e ricostruire la fiducia nel cuore di fiducia. |
| Recommandations de sécurité relatives à Active Directory | 29 agosto 2014 | Riferimento storico obsoleto. Rimane utile per capire l'evoluzione del tema, ma non deve più essere considerato la base principale per un AD attuale. |
Il punto importante è semplice: la guida AD del 2014 è ormai obsoleta nel corpus pubblico ANSSI. La base utile oggi è quindi la guida del 2023, completata secondo necessità dalle guide 2021, 2022 e 2023 sulla remediation del Tier 0.
I principi ANSSI che strutturano un Active Directory hardenizzato
La logica ANSSI non è "indurire una GPO dopo l'altra". Inizia con una domanda più strutturante: quali risorse hanno un livello di fiducia, sensibilità ed esposizione comparabile, e come si impedisce che una compromissione locale risalga verso la directory o il Tier 0?
In questo approccio la segmentazione non è uno schema di rete astratto. È una combinazione di misure:
- identificare le risorse più sensibili;
- analizzare i percorsi di attacco e i percorsi di controllo verso tali risorse;
- categorizzare gli asset in livelli o Tiers;
- applicare pratiche amministrative coerenti con quella categorizzazione;
- ridurre l'esposizione di ciascun Tier;
- hardenizzare sistemi e strumenti che supportano l'amministrazione;
- progettare logging e detection in coerenza con questa architettura.
Questo punto è essenziale per Active Directory, perché il perimetro di rischio non si limita ai domain controller. La guida AD 2023 insiste sul fatto che altre componenti del sistema informativo possono diventare percorsi di controllo verso la directory: virtualizzazione, storage, backup, strumenti di amministrazione, trust, account integrati, contenitori di configurazione o qualunque sistema capace di recuperare o riutilizzare segreti di autenticazione.
In pratica, un AD "indurito" nello spirito ANSSI non è soltanto una directory con buoni parametri. È un ambiente in cui le relazioni di fiducia sono esplicite, i privilegi sono separati e si può dimostrare che un amministratore o una macchina di livello inferiore non dispone di un percorso semplice verso il cuore di fiducia.
Segmentazione, zone di fiducia e amministrazione dedicata
La parola chiave qui è zona di fiducia. Nella guida AD 2023 l'ANSSI si appoggia a questa logica per strutturare la segmentazione del sistema informativo. L'idea non è isolare tutto in modo uniforme, ma raggruppare logicamente le risorse che condividono un livello comparabile di sensibilità ed esposizione, e poi impedire che una compromissione locale si estenda liberamente fino alle zone più critiche.
Sul campo questo obbliga a trattare l'amministrazione come un'attività separata. La guida ANSSI del 2021 sull'amministrazione sicura dei sistemi informativi è molto chiara su diversi punti:
- gli account amministrativi devono essere riservati alle sole azioni di amministrazione;
- non devono servire per la produttività quotidiana o per l'accesso a postazioni non dedicate all'amministrazione;
- gli account built-in nativi non devono costituire la base del funzionamento ordinario;
- è preferibile utilizzare account amministrativi individuali per garantire tracciabilità e separazione dei diritti;
- la workstation amministrativa deve essere gestita come un asset sensibile;
- Internet e la posta elettronica connessa a Internet non devono essere accessibili da quell'ambiente.
Se gli account privilegiati effettuano ancora logon su postazioni utente standard, se i segreti amministrativi transitano su macchine polivalenti o se i salti amministrativi avvengono tramite ambienti meno affidabili, l'architettura contraddice già il modello ANSSI, anche se GPO e ACL sembrano pulite.
Il bastion può far parte della risposta, ma l'ANSSI lo tratta come un caso architetturale, non come una soluzione magica. Le workstation amministrative dedicate hanno valore solo se gli usi sono coerenti: niente navigazione web, niente posta, niente software non necessario, nessuna mescolanza tra amministrazione e produttività.
Se vuoi tradurre questi principi in controlli concreti, l'approccio corretto non è partire dagli strumenti. Bisogna prima verificare chi amministra cosa, da quale macchina, con quale account, attraverso quale percorso di rete e verso quale zona di fiducia. A questo punto diventa utile una checklist pratica per auditare la sicurezza di Active Directory, perché permette di trasformare i principi ANSSI in verifiche osservabili.
Tier 0, account privilegiati e percorsi di amministrazione
La guida AD 2023 riprende la logica storica di segmentazione in Tiers e ricorda che il Tier 0 rappresenta il cuore di fiducia dell'organizzazione. Le risorse di questo livello permettono, direttamente o indirettamente, di assegnare privilegi sugli altri Tiers e quindi di controllare la directory.
L'errore classico consiste nel ridurre il Tier 0 ai soli domain controller. L'ANSSI va oltre. Nella logica della segmentazione come in quella della remediation, bisogna considerare anche oggetti privilegiati, trust, contenitori di sistema e di configurazione, account integrati, segreti di autenticazione e le macchine sulle quali tali segreti possono essere esposti. La guida alla remediation del Tier 0 insiste inoltre su un punto molto concreto: le workstation amministrative sicure e i sistemi che possono contenere segreti di account privilegiati fanno parte del problema, perché un attaccante che conserva un punto d'appoggio su quelle macchine può spesso ritrovare un percorso verso il cuore di fiducia.
Altro punto tecnico importante: nel quadro della remediation, l'ANSSI ricorda che il limite di sicurezza è la foresta e non il singolo dominio. Gli obiettivi tecnici sono quindi considerati raggiunti solo quando sono stati realizzati in parallelo su tutti i domini di una foresta compromessa. Altrimenti, un dominio già trattato può essere di nuovo compromesso a partire da un dominio ancora non ripulito.
Questa visione impone di uscire da un audit troppo "oggetto per oggetto". In un AD reale bisogna analizzare:
- gruppi e account privilegiati ancora attivi;
- deleghe troppo ampie;
- percorsi di controllo non documentati;
- segreti privilegiati presenti fuori dal Tier 0;
- dipendenze tecniche verso backup, virtualizzazione, PKI o altre componenti capaci di riottenere diritti AD;
- account vecchi o sovra-privilegiati che non hanno più una giustificazione chiara.
Questa lettura incrocia direttamente temi come account obsoleti e sovra-privilegiati in AD, attacchi ADCS da ESC1 a ESC8 o attacchi di delega Kerberos dalla non vincolata a RBCD. Il punto ANSSI non è accumulare allerte. È ridurre, documentare e poi sorvegliare i percorsi reali che permettono di riprendere il controllo della directory.
Logging e capacità di detection in un ambiente AD
Un altro malinteso frequente consiste nel trattare la detection come uno strato SIEM indipendente, scollegato dal progetto Active Directory. La guida ANSSI del 2022 sulla journalisation in ambiente Microsoft Active Directory dimostra il contrario: il logging utile è una questione di architettura.
Il documento copre l'implementazione delle policy di auditing Windows, lo storage locale e la rotazione dei log, la raccolta centralizzata degli eventi, la selezione delle sorgenti di log utili, l'uso di Sysmon per la telemetria avanzata e una raccolta basata su Windows Event Forwarding (WEF) e Windows Event Collector (WEC). Il messaggio non è "attivate tutto". È piuttosto questo: scegliete i log che sostengono detection e investigazione, centralizzateli in un perimetro coerente e segmentate anche i server di raccolta.
Questa guida è inoltre operativa. Non si limita a dire che bisogna loggare; entra nei meccanismi Windows e nell'organizzazione della raccolta. Ricorda anche un limite utile: il suo perimetro riguarda sistemi connessi in modo regolare. I sistemi isolati o molto poco connessi richiedono quindi meccanismi adattati.
Per un AD hardenizzato nello spirito ANSSI, la detection deve poter rispondere a domande concrete:
- quali azioni amministrative privilegiate si sono verificate;
- da quali workstation e con quali account sono state eseguite;
- quali modifiche riguardano oggetti privilegiati, GPO e percorsi di controllo;
- quali segreti possono ancora circolare fuori dagli ambienti di fiducia;
- quali eventi critici arrivano davvero ai collettori;
- quale profondità investigativa è possibile se il Tier 0 viene toccato.
L'obiettivo non è sostituire l'intero ecosistema di detection. È costruire una base di logging sufficiente per sorvegliare amministrazione, autenticazione, modifiche strutturanti della directory e salute degli asset critici. È anche il punto in cui temi come la firma LDAP disabilitata o Kerberoasting sugli account di servizio diventano utili: mostrano il tipo di esposizione che deve comparire nei controlli preventivi o nella capacità di detection.
Come applicare queste raccomandazioni in un AD reale
Il metodo corretto non è trasformare una guida ANSSI in mille attività atomiche. In una directory reale conviene procedere in sette fasi.
1. Fissare il corpus di riferimento
Stabilisci quale guida supporta quale decisione. La guida AD 2023 per segmentazione e Tier 0. La guida Amministrazione 2021 per account, workstation e reti amministrative. La guida Logging 2022 per raccolta e retention. La guida Tier-0 Remediation 2023 per gli scenari post-compromissione.
2. Mappare zone di fiducia e Tiers
Elenca le risorse che controllano la directory o possono influenzarla: domain controller, PKI, backup, hypervisor, strumenti di amministrazione, account privilegiati, GPO critiche, trust e sistemi amministrativi. Un confronto tra strumenti di audit AD diventa utile se devi oggettivare questi percorsi di controllo su larga scala.
3. Documentare i percorsi di amministrazione
Un amministratore Tier 0 effettua logon da una macchina dedicata? Da quale rete? Con quale account individuale? Esistono ancora usi misti tra produttività e amministrazione? Gli account privilegiati restano confinati al loro perimetro o i loro segreti ricompaiono su sistemi di livello inferiore?
4. Riesaminare protocolli e meccanismi che rompono la segmentazione
La guida AD 2023 dedica un intero capitolo ai rischi di NTLM e Kerberos per la segmentazione. Occorre quindi verificare i meccanismi che permettono riuso di segreti, diffusione ampia di materiale d'identità o deleghe troppo aperte. È il momento di incrociare i controlli con temi come delega Kerberos, conformità AD e Azure per NIS2, ISO 27001 e CIS o esposizioni ADCS se la PKI gioca un ruolo nei percorsi di controllo.
5. Costruire un logging sostenibile
Attiva i log utili, centralizzali, metti in sicurezza i collector e sincronizza il tempo. Non cercare di "vedere tutto" dal primo giorno. Rendi prima visibili le azioni amministrative privilegiate, le modifiche critiche e le attività che possono toccare il cuore di fiducia.
6. Produrre un backlog di remediation strutturato
Non tutte le non conformità hanno lo stesso peso. Un vecchio account admin ancora attivo, una delega eccessiva su un oggetto privilegiato, una workstation amministrativa non dedicata, una trust mal controllata o una raccolta log inefficace non hanno lo stesso impatto. Il backlog corretto non va ordinato per famiglia tecnologica, ma per impatto su segmentazione e Tier 0.
7. Capire quando uscire dalla logica di hardening ed entrare nella remediation
Se individui già percorsi di compromissione attivi, persistenze su asset privilegiati o una perdita di fiducia nel cuore di fiducia, devi cambiare quadro. In quel caso la guida alla remediation del Tier 0 diventa più pertinente di una semplice checklist di hardening.
Validazione dopo l'hardening
Un AD non è "allineato ad ANSSI" solo perché esiste un dossier documentale. Bisogna poter rispondere a domande di validazione precise.
Sulla segmentazione
- È ancora possibile raggiungere il Tier 0 da una workstation, da un account o da uno strumento di livello inferiore?
- Risorse di backup, virtualizzazione, PKI o amministrazione terza aprono un percorso di controllo verso la directory?
- Trust e deleghe sono state riviste con una logica di fiducia e non soltanto di funzionalità?
Sull'amministrazione
- Gli account privilegiati sono individuali e riservati alle sole azioni amministrative?
- Le workstation amministrative sono dedicate, controllate e prive di Internet o posta connessa a Internet?
- I segreti degli account privilegiati possono ancora finire nella memoria di sistemi che non fanno parte del cuore di fiducia?
Sulla detection
- I log critici sono davvero attivi e centralizzati?
- I server di raccolta sono essi stessi segmentati e monitorati?
- Con i dati disponibili è realisticamente possibile investigare una modifica di oggetto privilegiato, un'amministrazione anomala o una possibile compromissione del Tier 0?
Sulla dottrina
- I team sanno quale guida ANSSI usare per quale argomento?
- La guida del 2014 è stata realmente rimossa dal corpus di riferimento?
- I requisiti NIS2 o ISO sono trattati come temi collegati ma distinti, senza attribuire alla guida ANSSI AD affermazioni che non contiene?
Come EtcSec aiuta a verificare questi scarti
EtcSec non ha lo scopo di trasformare una guida tecnica in un'etichetta marketing. Il valore di un audit specializzato è altrove: rendere visibili gli scarti che i testi ANSSI descrivono, ma che i team faticano spesso a oggettivare su un ambiente reale.
In concreto, un audit allineato con questa logica deve permettere di:
- mappare i percorsi di controllo verso il Tier 0 e gli oggetti privilegiati;
- inventariare account privilegiati, diritti delegati ed esposizioni che non hanno più una giustificazione chiara;
- evidenziare le aree in cui la segmentazione logica è contraddetta dagli usi reali;
- verificare se logging e raccolta permettono davvero detection e investigazione;
- prioritizzare remediation che riducono il rischio di ripresa del controllo della directory.
In questa logica, EtcSec aiuta a verificare scarti tecnici. Non sostituisce né le scelte architetturali né la governance interna né il lavoro di remediation post-incidente quando il cuore di fiducia è già stato perso.
Riferimenti primari
- ANSSI - Recommandations pour l'administration sécurisée des SI reposant sur AD (18 octobre 2023)
- ANSSI - Recommandations relatives à l'administration sécurisée des SI (11 mai 2021)
- ANSSI - Sécuriser la journalisation dans un environnement Microsoft Active Directory (28 janvier 2022)
- ANSSI - Cyberattaques et remédiation : la remédiation du Tier 0 Active Directory (version 1.0, décembre 2023)
- ANSSI - Recommandations de sécurité relatives à Active Directory (29 août 2014, obsoleta)
- Microsoft Learn - Use Windows Event Forwarding to help with intrusion detection
- Microsoft Learn - Sysmon Overview
