Les applications et les systèmes sont par nature configurés par défaut afin notamment d'assurer une compatibilité maximale. Dès lors, il est crucial de comprendre que l'annuaire Active Directory est exposé à des risques et sa sécurisation constitue un enjeu majeur pour toute organisation. Il est impératif de mettre en place les recommandations de l'éditeur Microsoft, accompagné par les outils d'audit PurpleKnight et PingCastle.

Une réduction significative des risques

L'implémentation maximale des contrôles Purple Knight et PingCastle offre une couverture étendue des vulnérabilités AD les plus critiques. Si elle ne constitue pas une solution miracle, elle établit néanmoins les fondations indispensables d'une stratégie de sécurité moderne et solide, réduisant drastiquement l'exposition aux attaques courantes.

Les points clés de cette implémentation technique:

- 185 indicateurs Purple Knight (IoE + IoC)

- 32 règles : Objets obsolètes

- 78 règles : Comptes privilégiés

- 23 règles : Relations d'approbation

- 53 règles : Anomalies

- 55 règles ANSSI : conformes (niveaux 1 à 4)

- 26 techniques : MITRE ATT&CK couvertes

- 371 contrôles de sécurité implémentés au total

Méthodologie de l'implémentation

Le durcissement d'un environnement Active Directory en production exige une planification minutieuse et une gestion de projet adaptée aux contraintes opérationnelles. Appliquer efficacement les 371 contrôles sans impacter les utilisateurs et les appareils peut être complexe. Cette section détaille la démarche que j'ai appliquée avec succès.

Phase de Découverte

1. Lecture des bonnes pratiques Microsoft AD

2. Apprentissage des bonnes pratiques Microsoft AD

3. Audit avec Purple Knight

4. Audit avec PingCastle

5. Analyse des résultats

6. Priorisation par criticité

7. Cartographie des interdépendances entre les contrôle

8. Planification des maintenances avec justification

Phase d'Implémentation technique

1. Objets obsolètes et comptes inactifs : suivi des 32 règles PingCastle

2. Comptes privilégiés et délégations : suivi des 78 règles PingCastle

3. Trusts et relations inter-domaines suivi des 23 règles PingCastle)

4. Anomalies et configurations avancées suivi des 53 règles PingCastle et 185 indicateurs Purple Knight.

Phase de Validation

1. Tests de non régression sur l'ensemble des services

2. Validation fonctionnelle des applications métiers

3. Audit de conformité final avec les deux outils

4. Documentation des procédures opérationnelles

Purple Knight

185 Indicateurs de Sécurité

Purple Knight, développé par Semperis, effectue un scan complet de l'environnement AD à la recherche d'Indicateurs d'Exposition (IoE) et d'Indicateurs de Compromission (IoC). L'outil propose environ 185 contrôles de sécurité répartis en plusieurs catégories disponibles sur le lien suivant.

Voici notre score en date du 8 août 2025, (version v 5.0.2506.11001 | Community) :

Les Indicateurs d'Expositions trouvés :

Chaque anomalie peut être corrigée via des procédures standardisées, assurant une amélioration progressive du score de sécurité.

PingCastle

186 Règles de Contrôle

PingCastle développé initialement par Vincent Le Toux et racheté par Netwrix, propose une approche méthodologique basée sur un modèle de risque à 4 catégories principales, avec 186 règles de contrôle détaillées disponible au lien suivant.

Voici notre score en date du 8 août 2025, (version 3.4.1.38 | Free ) :

Ici encore ses anomalies peuvent être corrigées selon les procédures recommandées pour améliorer le score de sécurité. Une interruption planifiée été jusqu'ici acceptable pour la restauration du DC principal. Le déploiement d'un second contrôleur de domaine physique s'impose si nous souhaitons assurer la redondance.

Conclusion

Cette expérience démontre qu'une approche rigoureuse et complète du durcissement AD, s'appuyant sur des recommandations officielles et des outils complémentaires, permet d'atteindre un niveau de sécurité optimal tout en conservant la fonctionnalité opérationnelle des services d'annuaire.

La combinaison Purple Knight + PingCastle offre une couverture suffisamment bonne pour démarrer : Purple Knight est bon dans la détection des IoE/IoC et des vulnérabilités émergentes, tandis que PingCastle fournit une approche méthodologique structurée avec un modèle de risque éprouvé. La corrélation avec le framework de sécurité MITRE ATT&CK est un plus non négligeable pour les équipes SOC.