Le durcissement d’Active Directory reste une priorité critique pour la sécurité des environnements Windows en 2026, compte tenu de l’évolution des menaces. Les organisations doivent articuler configuration, politiques de groupe, authentification et gestion des comptes pour limiter la surface d’attaque.
Pour protéger durablement l’annuaire, il faut combiner prévention, détection et plans de récupération testés régulièrement. Un rappel synthétique des priorités figure ci‑dessous pour passer rapidement à l’action.
A retenir :
- Réduction des privilèges permanents des comptes stratégiques du domaine
- Mise en place de PAW et hôtes d’administration sécurisés
- Migration des comptes de service vers gMSA et rotation automatique
- Monitoring actif des événements Kerberos, DCSync et modifications ACL
Durcissement Windows : priorités de configuration pour Active Directory
Suite aux priorités listées, commencez par vérifier la configuration des contrôleurs et des objets de stratégie de groupe. Auditez les paramètres de sécurité, SMB signing, LDAP signing et les niveaux de chiffrement Kerberos. Ces vérifications préparent la mise en œuvre du modèle de tiering et d’une administration dédiée sécurisée.
Audit de configuration Windows et GPO pour le durcissement AD
Cet audit se rattache directement aux contrôleurs et aux GPO mentionnés précédemment, pour garantir des baselines cohérentes. Utilisez des outils comme PingCastle et Purple Knight pour obtenir des indicateurs mesurables et des recommandations. Selon Microsoft, l’application de baselines réduit significativement les risques d’exposition.
Configurations critiques :
- Exiger SMB Signing sur les contrôleurs de domaine
- Activer LDAP Signing et Channel Binding
- Désactiver LLMNR et NBT-NS sur les endpoints
- Forcer l’audit avancé sur les DCP
Mesure
Type
Effet attendu
SMB Signing
Tactique
Réduction du NTLM Relay
LDAP Channel Binding
Tactique
Empêche le relay LDAP
Audit Avancé
Détectrice
Visibilité sur DCSync et modifications ACL
GPO Baseline
Stratégique
Homogénéité des contrôles
Gestion des comptes privilégiés et LAPS
Cette gestion relie directement l’audit des GPO à la réduction des risques par conception. Déployez LAPS, Protected Users et les gMSA pour limiter l’exposition des mots de passe. Selon ANSSI, la rotation des secrets locaux et la séparation des comptes administratifs restent des mesures prioritaires.
« J’ai vu une compromission due à un mot de passe local identique sur deux cents postes, la propagation a été immédiate. »
Antoine N.
Implémenter ces contrôles réduit la probabilité de Pass‑the‑Hash et facilite la remédiation. La mise en place de comptes distincts pour l’administration quotidienne protège les identifiants Tier 0.
Modèle de Tiering Active Directory et segmentation des privilèges
Après avoir stabilisé la configuration, la séparation des rôles devient prioritaire pour briser les chemins d’escalade. Adoptez un modèle Tier 0/1/2, privilégiez les PAW et limitez l’usage des comptes à privilèges. Une fois le tiering posé, focalisez-vous sur Kerberos, NTLM et les protections d’AD CS.
Implémentation pratique du Tiering et PAW
Cette implémentation s’appuie directement sur les GPO et OU définies précédemment pour cloisonner les administrations. Créez des OU dédiées, des groupes Tier0/Tier1/Tier2, et appliquez des GPO de refus de logon croisé. L’approche PAW protège les credentials en interdisant la navigation et les applications non nécessaires.
Étapes de mise en œuvre :
- Créer OU et groupes dédiés pour chaque tier
- Appliquer GPO de Deny logon pour comptes hors tier
- Déployer PAW avec Credential Guard et AppLocker
- Activer JIT pour les élévations temporaires
« L’équipe IT a constaté une baisse des comptes compromis après l’implémentation du tiering et des PAW. »
Claire N.
Gouvernance des comptes privilégiés et JIT
La gouvernance reprend les règles d’appartenance et définit les processus JIT, PIM ou PAM nécessaires pour limiter l’exposition. Implémentez des TTL de groupe et un workflow d’approbation pour l’accès temporaire aux groupes à haute sensibilité. Selon Mandiant, le JIT réduit considérablement la fenêtre d’opportunité pour un attaquant ciblant les comptes administratifs.
Contrôle
Avantage
Notes opérationnelles
JIT / TTL
Réduction du temps d’exposition
Nécessite approbation et journalisation
PAM (ex. CyberArk)
Gestion centralisée des sessions
Coût et intégration à planifier
Group Managed SAs
Rotation automatique des mots de passe
Évite Kerberoasting pour mots faibles
Protected Users
Limitation NTLM et durée TGT
Test préalable requis pour compatibilité
« J’ai configuré JIT et cela a réduit l’utilisation permanente des privilèges dans notre parc. »
Marc N.
Surveillance et audit de sécurité Active Directory, détection des attaques
Lorsque le modèle et les comptes sont durcis, la détection devient la garantie de la résilience opérationnelle. Centralisez les logs, déployez des règles SIEM spécifiques et placez des honey tokens pour obtenir des alertes à faible bruit. Enfin, préparez des plans de récupération et des procédures de remédiation validées.
Définitions des règles SIEM et honey tokens
Ces règles complètent les mesures précédentes en traduisant les indicateurs d’attaque en alertes exploitables. Priorisez la détection Kerberoasting, DCSync et les créations non autorisées dans les groupes privilégiés. Selon Microsoft, l’analyse corrélée réduit le temps moyen de détection des compromissions.
Règles SIEM essentielles :
- Détection multi‑TGS suspectes pour Kerberoasting
- Alertes DCSync depuis machines non-DC
- Ajout aux groupes Domain Admin en temps réel
- Accès aux honey tokens ou comptes leurres
« L’alerte Kerberoasting dans notre SIEM a permis d’interrompre une attaque en phase initiale. »
Laura N.
Exemples d’incidents et exercices de restauration
Les exercices relient la détection aux procédures de restauration pour vérifier la résilience de l’annuaire. Testez la rotation du mot de passe krbtgt, la restauration d’objets via la corbeille AD et la reconstruction d’un contrôleur de domaine isolé. Ces simulations valident les procédures et éclairent les priorités de remédiation.
Scénarios de test :
- Rotation krbtgt deux fois suite à suspicion de Golden Ticket
- Restauration autoritaire d’utilisateurs supprimés via AD Recycle
- Simulation DCSync déclenchée par un compte leurre
- Exercise de reprise complète d’une forêt isolée
« Nous avons réduit la fenêtre d’exposition en combinant monitoring et exercices trimestriels. »
Olivier N.
Source : Microsoft, « Hardening Active Directory », Microsoft Docs, 2024 ; ANSSI, « Guide de l’ANSSI sur la sécurisation de l’Active Directory », ANSSI, 2022 ; Mandiant, « M-Trends », Mandiant, 2025.