Depuis plusieurs années, il est admis que la frontière de sécurité d’un Active Directory n’est pas le domaine, mais la forêt, notamment du fait d’attaques telles que l’injection de SIDHistory détaillée dans l’article « La face cachée des relations d’approbation » du MISC n°103. De récentes recherches ont cependant démontré que la forêt ne permettait pas non plus d’assurer une frontière hermétique. Ainsi, il est possible, dans certains cas, de rebondir de forêt en forêt pour compromettre l’ensemble des actifs d’une entreprise.
Les concepts d’Active Directory et de relations d’approbation, nécessaires à la compréhension de cet article, ne seront pas détaillés ici, mais peuvent être retrouvés dans l’article « La face cachée des relations d’approbation » du MISC n°103. Pour rappel, l’Active Directory est l’implémentation par Microsoft d’un annuaire LDAP permettant de regrouper l’ensemble des objets d’un domaine Windows (machines, utilisateurs, groupes, etc.), ainsi que leurs attributs (système d’exploitation, date de dernier changement de mot de passe, etc.).
Les domaines Windows peuvent être regroupés dans une même forêt, selon une structure d’arbre, ou séparés dans des forêts distinctes. Ils peuvent alors posséder des relations d’approbations entre eux, qu’ils soient dans la même forêt ou non (un domaine parent et un domaine fils d’une même forêt ayant nécessairement une relation d’approbation). Ces relations d’approbations permettent notamment...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première