C’est le dernier d’une série de posts que nous appelons « QOMPLX Knowledge ». Ces posts sont destinés à fournir des informations de base et des aperçus sur l’activité et les tendances d’attaque qui alimentent les campagnes malveillantes et que les chercheurs de QOMPLX rencontrent dans leur travail d’investigation auprès des clients.
Pour comprendre les relations de confiance inter-forêts dans Active Directory, vous devez d’abord comprendre la structure logique d’Active Directory telle que prescrite par Microsoft. Active Directory suit une hiérarchie claire, de haut en bas. Dans cette hiérarchie, on trouve : les forêts, les arbres et les domaines.
- Les forêts représentent l’instance complète d’Active Directory, et sont des conteneurs logiques composés d’arbres de domaines, de domaines et d’unités d’organisation.
- Les arbres sont des collections de domaines dans le même espace de noms DNS ; ils comprennent des domaines enfants.
- Les domaines sont des regroupements logiques d’objets réseau tels que des ordinateurs, des utilisateurs, des applications et des périphériques sur le réseau tels que des imprimantes.
Les objets de domaine qui composent une forêt partagent de nombreux éléments structurels critiques. Il s’agit notamment des schémas et des configurations et d’une relation de confiance transitive bidirectionnelle qui est automatiquement mise en place lorsque les objets rejoignent un domaine dans Active Directory. Dans ces relations transitives, la confiance est étendue entre les objets parents et enfants d’un domaine et entre les domaines enfants et les objets de confiance de ces domaines. Ces relations de confiance sont automatiques et réflexives.
Une confiance inter-forêts est une fonctionnalité de Windows Server qui permet de gérer la confiance entre le groupement le plus élevé – les forêts Active Directory – à l’intérieur et à l’extérieur de votre organisation.
Points clés
- Les trusts inter-forêts sont des relations de confiance entre les forêts, les arbres et les domaines Active Directory
- Les trusts sont soit transitifs, soit non transitifs, et soit unidirectionnels, soit bidirectionnels
- Les trusts par défaut automatiquement établis dans Active Directory sont les trusts Tree-Root et Parent-Child
- Les autres trusts, tels que external, realm, shortcut, et forest trusts, doivent être déterminés par un administrateur privilégié
Relations de confiance à travers les forêts AD
Les relations de confiance entre les domaines à travers les forêts Active Directory doivent être en place avant que les utilisateurs ne soient autorisés à accéder aux ressources du réseau dans le périmètre de l’entreprise, ou aux ressources externes au-delà du périmètre du réseau. Cette confiance est un élément constitutif de la gestion des identités et des accès. Cela est d’autant plus vrai que les entreprises se développent par le biais de fusions et d’acquisitions et que la main-d’œuvre accède de plus en plus au travail à domicile ou dans d’autres lieux éloignés. La confiance inter-domaines est également importante car les entreprises s’appuient davantage sur les relations tierces avec les fournisseurs et les partenaires pour développer leurs activités.
Les forêts agissent essentiellement comme une frontière de sécurité pour la structure constituant Active Directory, mais certains experts mettent en garde contre les inconvénients de cette approche.
« Une forêt Active Directory peut être conçue avec plusieurs domaines pour atténuer certains problèmes de sécurité, mais ne les atténuera pas réellement en raison de la façon dont les fiducies de domaine dans la forêt fonctionnent », a averti Sean Metcalf, qui dirige le site Web Active Directory Security. « Si un groupe a des exigences de sécurité pour son propre domaine pour des raisons de sécurité, il est probable qu’il ait vraiment besoin de sa propre forêt », a-t-il écrit.
Bien qu’il existe de nombreuses façons différentes d’attaquer Active Directory, les acteurs de la menace peuvent également choisir d’abuser des relations de confiance de domaine. La collecte d’informations sur les relations de confiance pendant les activités de reconnaissance, une fois qu’un attaquant a un pied dans le réseau, lui permet d’identifier potentiellement des voies où un mouvement latéral serait possible. Puisque les relations de confiance de domaine authentifient les utilisateurs sur les contrôleurs de domaine respectifs et que la confiance respective permet aux utilisateurs d’accéder aux ressources, les attaquants peuvent également suivre ces mêmes routes.
Les attaquants pourraient suivre une stratégie commune qui impliquerait d’abord l’énumération des fiducies entre les forêts, les arbres et les domaines qui construit une carte de la portée potentielle qu’un adversaire pourrait avoir. Un certain nombre de méthodes natives de Windows et d’appels API pourraient être utilisés pour énumérer les trusts, certains d’entre eux comprennent NLtest et dsquery, ou des outils tiers open-source tels que Empire, PowerSploit, ou PoshC2.
La même approche peut être adoptée pour énumérer les utilisateurs, les groupes ou les serveurs qui ont des relations de confiance similaires qui pourraient être abusés comme un pont entre les domaines. Un acteur de la menace pourrait alors avoir suffisamment d’informations pour décider quels comptes cibler avec des outils et des attaques connus tels que Pass the Ticket ou Kerberoasting, où les tickets de service ou les hachages de crédence sont volés de la mémoire et utilisés pour l’escalade des privilèges et le mouvement latéral, ou sont craqués dans des attaques hors ligne et utilisés pour permettre d’autres attaques.
Les administrateurs Active Directory d’entreprise peuvent atténuer ces attaques en auditant et en cartographiant les relations de confiance entre les forêts et les domaines, en minimisant leur nombre lorsque cela est possible. Une autre meilleure pratique consiste à segmenter les domaines sensibles sur le réseau, réduisant ainsi la surface d’attaque disponible pour les acteurs de la menace.
Types de confiance dans Active Directory
En attendant, comme mentionné ci-dessus, la confiance dans une forêt Active Directory est automatiquement établie comme bidirectionnelle et transitive. Cela signifie que les domaines parents et enfants – arbre et racine – se font intrinsèquement confiance. Cela signifie que les objets Active Directory ont la confiance nécessaire pour accéder aux ressources de ces domaines. De plus : lorsque de nouveaux domaines enfants sont créés, ils héritent de la confiance du domaine parent et sont en mesure de partager des ressources, également.
La confiance non transitive, par conséquent, est une confiance qui s’arrête aux domaines avec lesquels elle a été créée. Dans un tel scénario, les domaines A et B peuvent se faire confiance, et B et C peuvent se faire confiance, mais cette confiance ne s’étend pas entre A et C sans qu’une confiance unidirectionnelle distincte soit créée entre A et C.
La confiance, quant à elle, peut être juste unidirectionnelle. Par exemple, un domaine est considéré comme un domaine de confiance, et un autre est de confiance, donc la confiance est établie soit dans une direction sortante ou entrante.
Un glossaire de haut niveau des trusts au sein d’Active Directory ressemble à ceci:
- Tree-Root Trust : Ce type de trust est créé lorsque de nouveaux domaines racines sont ajoutés à une forêt Active Directory. Il s’agit de trusts transitifs bidirectionnels et seuls les domaines situés au sommet de chaque arbre font partie de ce type de trust.
- Parent-Child Trust : Lorsque de nouveaux domaines enfants sont ajoutés, une confiance transitive bidirectionnelle est automatiquement établie par Active Directory entre le domaine enfant et son parent. Les trusts Parent-Enfant et Tree-Root sont des trusts par défaut automatiquement établis par Active Directory.
- Trust de forêt : Les trusts de forêt doivent être créés par un administrateur privilégié. Il établit une relation de confiance entre deux forêts AD, permettant aux domaines de l’une ou l’autre forêt de se faire confiance de manière transitive. L’administrateur peut déterminer si la confiance est bidirectionnelle ou unidirectionnelle.
- Realm Trust : Ce type est utilisé pour établir des relations de confiance bidirectionnelles ou unidirectionnelles entre une forêt Active Directory et un environnement Kerberos non Windows, tel que les systèmes d’exploitation UNIX, Linux ou de type UNIX.
- Trust externe : Les trusts externes sont des trusts non transitifs créés entre les domaines Active Directory et ceux situés dans une forêt différente, ou entre une forêt AD et un domaine pré-Windows Server 2000 tel que Windows NT.
- Shortcut Trust : Une confiance de raccourci établit manuellement une relation de confiance entre des domaines dans de grandes forêts Active Directory qui permet d’améliorer les temps d’authentification en raccourcissant le chemin de confiance entre les domaines.
La possibilité de créer une relation de confiance inter-forêts est limitée aux utilisateurs privilégiés qui font partie du groupe de sécurité Admins de domaine ou Admins d’entreprise et qui disposent de privilèges de création de confiance. Les administrateurs, quant à eux, peuvent également restreindre l’accès aux ressources à certaines identités au sein d’une forêt, si nécessaire. Microsoft fournit également un snap-in pour les domaines et les trusts AD qui vérifie la confiance entre les forêts, les arbres ou les domaines.
Les relations de confiance entre les forêts, les arbres et les domaines établissent un chemin où les utilisateurs peuvent accéder aux ressources dont ils ont besoin. Comme décrit, certaines de ces relations sont automatiquement établies par Active Directory et permettent une confiance transitive bidirectionnelle. Les fiducies inter-forêts, cependant, nécessitent un examen attentif des relations entre les utilisateurs et les objets au sein des domaines, et la confiance qui doit être établie afin d’accéder facilement aux ressources des deux côtés de la relation.
Lecture supplémentaire
Voici les entrées précédentes de notre série de connaissances QOMPLX ; recherchez-en d’autres dans les jours et les semaines à venir :
Connaissances QOMPLX : Les attaques du ticket d’or expliquées
Connaissance de QOMPLX : Les attaques au ticket d’argent expliquées
QOMPLX Knowledge : Répondre aux attaques Golden Ticket
QOMPLX Connaissances : Les attaques DCSync expliquées
QOMPLX Connaissances : Les attaques DCShadow expliquées
QOMPLX Connaissance : Attaques Pass-the-Ticket expliquées
QOMPLX Connaissance : Attaques Kerberoasting expliquées
QOMPLX Connaissances : Attaques de délégation Kerberos expliquées
Autres liens:
MSMVP : Active Directory Trusts
TechGenix : Gestion des trusts Active Directory dans Windows Server 2016
Microsoft : Considérations de sécurité pour les trusts
Microsoft : Que sont les domaines et les forêts
TechTarget : Comment créer une confiance inter-forêts dans AD
Mitre ATT&CK : Découverte de confiance de domaine
Harmj0y : Un guide pour attaquer les fiducies de domaine
.