Audit PingCastle • Durcissement AD
Analyse d'un Active Directory existant avec PingCastle, priorisation des vulnérabilités les plus exploitables puis mise en place de corrections orientées authentification, privilèges et gouvernance du domaine.
Dans cet atelier de professionnalisation de 2e année, je devais réaliser un audit de cybersécurité d'un Active Directory existant à l'aide de PingCastle, depuis un poste client membre du domaine.
Le besoin pédagogique était clair: ne pas seulement produire un score, mais comprendre ce que ce score révèle sur l'annuaire, choisir les failles les plus pertinentes à traiter dans le temps imparti et formaliser une remédiation argumentée.
- Outil utilisé: PingCastle pour l'audit AD.
- Environnement ciblé: domaine Windows Server / Active Directory déjà en place.
- Objectif: identifier les points faibles les plus abordables et réduire la surface d'attaque du domaine.
- Point de départ observé: score initial 60/100 au résumé de l'audit.
- Résultat visible dans les captures finales: score final 45/100, soit une baisse totale de 15 points.
Je me suis concentré sur les corrections qui avaient un impact direct sur la sécurité de l'authentification et des privilèges. Je n'ai pas traité cette AP comme un simple relevé d'alertes: j'ai relié chaque recommandation à un risque concret pour le domaine.
L'évolution visible dans mes preuves est la suivante: 60/100 au départ, puis 55/100 après les premières remédiations, pour atteindre 45/100 en fin de séance.
J'ai revu l'affectation de certains utilisateurs à des groupes plus adaptés pour appliquer le principe du moindre privilège et limiter l'exposition de comptes trop puissants.
J'ai mis en avant l'usage de Protected Users pour protéger les comptes sensibles contre le Pass-the-Hash, désactiver les modes d'authentification faibles et réduire la persistance des identifiants.
J'ai désactivé les mécanismes anciens NTLMv1 / LM dans la stratégie des contrôleurs de domaine pour relever le niveau de sécurité des flux d'authentification.
J'ai renommé et sécurisé le compte administrateur. Le point important à retenir est que cette action seule n'a pas suffi à faire baisser immédiatement le score, ce qui montre qu'une remédiation AD efficace repose sur plusieurs corrections cohérentes.
J'ai restreint le nombre de comptes capables d'agir sur les opérations sensibles de récupération ou d'administration de l'AD afin de limiter les privilèges diffus.
J'ai augmenté les exigences de longueur et de robustesse des mots de passe pour rendre le domaine moins vulnérable aux attaques par dictionnaire ou brute force.
J'ai mis le quota d'ajout de machines à 0 pour empêcher les utilisateurs standards de joindre eux-mêmes d'autres ordinateurs au domaine. Seul l'administrateur conserve cette capacité.
Je garde uniquement les captures les plus parlantes pour l'oral: score initial, remédiations sur les groupes, Protected Users, stratégie d'authentification, politique de mot de passe et contrôle d'ajout des machines.
Cette AP illustre une compétence directement utile en entreprise: savoir lire un outil d'audit AD, hiérarchiser les remédiations et relier chaque correction à un risque concret.
- Lecture d'un score et d'indicateurs de sécurité AD.
- Durcissement de l'authentification et des privilèges.
- Application du moindre privilège.
- Formalisation d'un compte-rendu technique orienté E4.
Je peux défendre cette AP sans difficulté à l'oral car elle montre un vrai raisonnement de sécurité: j'analyse l'annuaire, je sélectionne les vulnérabilités les plus intéressantes, j'applique des corrections réalistes puis j'explique l'effet mesuré sur le score.
Le résultat observable est concret: 60/100 au départ, 45/100 à la fin. Cela me permet d'appuyer l'oral avec une progression chiffrée, pas seulement avec une liste de manipulations.