DCSync

Description

DCSync est une fonctionnalité Active Directory légitime que les contrôleurs de domaine n'utilisent que pour répliquer des modifications, mais que les principaux de sécurité illégitimes peuvent également utiliser.

Le principal de sécurité source peut demander des secrets sensibles (hachages de mot de passe, clés Kerberos, etc.) à un domaine cible en utilisant la fonctionnalité DCSync, ce qui a pour effet de compromettre entièrement le domaine.

Pour récupérer des secrets, deux autorisations de sécurité sont requises : « Réplication des modifications d'annuaire » (DS-Replication-Get-Changes) et « Réplication de toutes les modifications de l'annuaire » (DS-Replication-Get-Changes-All). La relation se produit uniquement si vous accordez ces deux autorisations à la source, soit directement, soit par l'appartenance à un groupe imbriqué.

Exploitation

Les attaquants qui compromettent le principal de sécurité source peuvent récupérer des secrets à l'aide d'outils de piratage dédiés tels que mimikatz ou impacket.

• Golden Ticket : résulte de l'obtention de l'empreinte du mot de passe du compte « krbtgt », qui permet de falsifier un TGT Kerberos et d'emprunter l'identité de n'importe qui sur n'importe quel ordinateur ou service. Cela confère notamment des privilèges administratifs sur n'importe quel ordinateur du domaine.

• Silver Ticket : il résulte de l'obtention de l'empreinte du mot de passe d'un compte d'ordinateur/service, ce qui permet de falsifier un ticket de service Kerberos et d'emprunter l'identité de n'importe qui sur l'ordinateur ou service en question.

Remédiation

Les principaux de sécurité légitimes autorisés par défaut à utiliser DCSync sont les suivants :

• Administrateurs

• Administrateurs de domaine

• Administrateurs d'entreprise

• SYSTEM

De plus, la configuration Microsoft Entra ID Connect permet à son compte de service de synchronisation de l'empreinte du mot de passe (MSOL_...) d'exploiter DCSync.

Enfin, il est possible de découvrir des comptes de service pour certains outils de sécurité, notamment des solutions d'audit de mots de passe. Vérifiez leur légitimité auprès des responsables.

Vous devez supprimer cette autorisation pour les principaux de sécurité source qui n'ont pas un besoin légitime d'exécuter DCSync.

Pour modifier le descripteur de sécurité du domaine cible :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit de la souris sur le nom du domaine et sélectionnez Propriétés > Sécurité.

2. Supprimez les autorisations « Réplication des modifications d'annuaire » et « Réplication de toutes les modifications de l'annuaire » pour les principaux de sécurité illégitimes.

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• Attribuer autorisé à agir

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Réinitialiser mot de passe

• Gestion RODC

• Modifier DACL

• Modifier propriétaire