Active Directory (AD) est le service d'annuaire Microsoft lancé en 2000 avec Windows 2000 Server, qui centralise la gestion des identités, des ressources et des accès dans un réseau Windows. Il stocke utilisateurs, ordinateurs, imprimantes, groupes, applications et policies dans une base LDAP hiérarchique (forêt → domaine → OU → objets), authentifie via Kerberos et NTLM, et distribue des Group Policy Objects (GPO) pour imposer la configuration des postes. En 2026, AD reste la fondation identity de la majorité des grandes organisations on-premise : plus de 90 % des entreprises du Fortune 1000 et de l'Euro Stoxx 600 l'utilisent, souvent synchronisé avec Microsoft Entra ID (anciennement Azure AD, renommé en 2023) pour le cloud hybride. Sa criticité se mesure aussi à son exposition : 80 % des incidents cyber Mandiant 2024 impliquent une étape AD, et les techniques d'attaque (Kerberoasting, DCSync, Golden Ticket, ADCS abuses) sont massivement industrialisées. Cet article définit précisément AD, ses composants (forêt, domaine, OU, GPO, Kerberos, NTLM), sa relation avec Entra ID, les attaques dominantes, le tiering model défensif, et les outils de durcissement et détection 2026.
Genèse et positionnement
Chronologie AD
1999 Annonce publique par Microsoft
2000 Windows 2000 Server - sortie officielle d'Active Directory
2003 Windows Server 2003 - améliorations fonctionnelles
2008 R2 - Read-Only Domain Controllers, Managed Service Accounts
2012 Dynamic Access Control, Kerberos armoring
2016 PAM (Privileged Access Management), Time-Based Groups
2019 Windows Server 2019 - amélioration sécurité continue
2022 Windows Server 2022 - Secured-core integration
2023 Microsoft renomme Azure AD → Microsoft Entra ID
2025 Windows Server 2025 (release GA) - renforcement Credential GuardPosition d'AD en 2026
AD reste incontournable pour trois raisons :
- Inertie technologique : décennies de GPO, scripts, intégrations métier.
- Applications legacy : ERP, fileshares, imprimantes, VDI sans support cloud natif.
- Coût de migration : remplacer AD exige une refonte complète identity + applications.
Entra ID le complète pour le SaaS et mobile plutôt que de le remplacer. La plupart des grandes organisations sont en « hybrid identity » : AD DS on-prem + Entra ID cloud synchronisés via Entra Connect.
Les composants d'Active Directory
Hiérarchie logique
Forest (forêt)
↓
Domain (domaine) - espace de noms DNS + limite de sécurité
↓
Organizational Unit (OU) - conteneur logique pour objets et GPO
↓
Objects
- Users (utilisateurs et service accounts)
- Computers (postes, serveurs, DC)
- Groups (Security Groups, Distribution Groups)
- GPOs (Group Policy Objects)
- Trusts (relations inter-domaines/forêts)
- Printers, Shared folders, etc.Rôles des composants
| Composant | Rôle |
|---|---|
| Forest | Container global, schéma partagé, Global Catalog |
| Domain | Unité de sécurité et réplication, Domain Controller authorities |
| OU | Unité logique pour appliquer GPO et déléguer administration |
| Domain Controller (DC) | Serveur qui authentifie, héberge NTDS.dit (la base AD) |
| Global Catalog (GC) | Index cross-domain pour recherches forest-wide |
| Trust | Relation de confiance entre domaines/forêts (one-way, two-way, transitive) |
| FSMO roles | 5 rôles maîtres (Schema, Domain Naming, PDC Emulator, RID, Infrastructure) |
La base NTDS.dit
Chaque Domain Controller héberge la base Jet/ESE C:\Windows\NTDS\ntds.dit qui contient tous les objets AD, y compris les hashes NTLM et Kerberos. Un attaquant qui exfiltre NTDS.dit (via DCSync, volume shadow copy, backup) a accès à tous les hashes de mot de passe du domaine - cracking offline à volonté.
Authentification : Kerberos et NTLM
Kerberos - le protocole dominant
Kerberos (RFC 4120, adopté par AD depuis 2000) est le protocole d'authentification par défaut. Basé sur des tickets signés chiffrés par le KRBTGT account, unique par domaine.
Flow Kerberos simplifié :
1. Utilisateur se logge → envoie AS-REQ au DC
2. DC vérifie mot de passe → renvoie AS-REP avec TGT (Ticket Granting Ticket)
(TGT chiffré avec hash de krbtgt, valide 10h par défaut)
3. Utilisateur veut accéder au service file-server.corp
→ envoie TGS-REQ avec TGT au DC (KDC)
4. DC vérifie TGT → renvoie TGS (Service Ticket) chiffré avec hash du compte service
5. Utilisateur présente TGS au file-server
→ service valide le ticket → accès autoriséNTLM - legacy à bannir
NTLM (New Technology LAN Manager) est le protocole hérité de NT 4.0, toujours présent pour rétrocompatibilité. Vulnérable à Pass-the-Hash et relais NTLM.
Recommandation 2026 :
Désactiver NTLM partout où possible (GPO Network Security: Restrict NTLM)
Microsoft annonce la dépréciation progressive de NTLMv1 depuis 2024
Pour les applications legacy qui exigent NTLM : isoler, auditer, migrerComparaison Kerberos / NTLM
| Aspect | Kerberos | NTLM |
|---|---|---|
| Standardisation | RFC 4120 | Propriétaire Microsoft |
| Authentification mutuelle | Oui | Non (client seulement) |
| Supporte le SSO | Oui | Partiellement |
| Chiffrement par défaut | AES256-CTS-HMAC-SHA1-96 | Hashes MD4 (NTLMv1) ou HMAC-MD5 (NTLMv2) |
| Vulnérable Pass-the-Hash | Partiellement (Overpass-the-hash) | Oui directement |
| Vulnérable Kerberoasting | Oui (SPN-based) | N/A |
| Recommandation 2026 | Par défaut | À désactiver |
Group Policy Objects (GPO)
Les GPO permettent d'imposer des configurations sur les postes et serveurs d'une OU : policies mots de passe, logiciels à installer, scripts de démarrage, pare-feu Windows, Desktop wallpaper, etc.
Ordre d'application (LSDOU) :
1. Local Group Policy (poste lui-même)
2. Site (Active Directory Sites)
3. Domain
4. OU (parent)
5. OU (enfant)
Dernier GPO appliqué gagne en cas de conflit.
Exception : Enforced GPO et Block Inheritance.GPOs critiques pour la sécurité
- Password Policy : longueur, complexité, historique, lockout.
- User Rights Assignment : qui peut se logger localement, en RDP, en batch.
- Security Options : SMB signing, LM hash storage, NTLM restriction.
- Applocker / WDAC : whitelist des binaires autorisés.
- Windows Firewall : règles entrantes et sortantes par zone.
AD DS vs Microsoft Entra ID
En 2026, la coexistence hybride est la norme. Les deux ont des rôles distincts.
| Aspect | Active Directory (AD DS) | Microsoft Entra ID |
|---|---|---|
| Nature | Service d'annuaire on-premise | IdP cloud SaaS |
| Protocoles | LDAP, Kerberos, NTLM | OAuth 2.0, OIDC, SAML, REST |
| Gestion | Via GPMC, PowerShell AD module | Portail Azure, Graph API |
| Applications cibles | Legacy Windows (fileshare, RDP, VDI) | SaaS web et mobile (M365, Salesforce) |
| MFA | Smart card, RSA token, Entra hybrid | Natif : TOTP, Push, FIDO2, Passkeys |
| Conditional Access | Non natif | Natif, pilier Zero Trust |
| Synchronisation hybride | Entra Connect / Cloud Sync | Entra Connect / Cloud Sync |
| Support | En maintenance long terme | Actif, releases fréquentes |
| Roadmap Microsoft 2026 | Maintenance + sécurisation | Focus principal, innovation |
Entra Connect : synchronisation hybride
Entra Connect V1 (legacy) : fin de support progressif 2024-2025
Entra Connect V2 : déploiement serveur + SQL
Cloud Sync : agent léger, moderne, recommandé 2026
Objets synchronisés :
Users, Groups, Contacts
Password hashes (Password Hash Sync, PHS) - option
Pass-Through Authentication (PTA) - alternative à PHS
Federation avec ADFS / Entra - selon architecturePourquoi AD est une cible critique
3 raisons structurelles
- Ubiquité : plus de 90 % des grandes entreprises l'utilisent. Un set de techniques s'applique à tous.
- Richesse cryptographique exposée : TGT Kerberos, TGS, hashes NTLM, certificats ADCS - autant d'artefacts exploitables.
- Privilèges concentrés : compromettre un Domain Admin ou le krbtgt = contrôle total. Un seul incident détruit le SI.
Statistiques incidents 2024-2025
Mandiant M-Trends 2024 :
80 % des incidents majeurs impliquent une étape AD
Temps moyen avant compromise domain admin : 1,5 jour en 2024
(5 jours en 2020)
CrowdStrike Global Threat Report 2024 :
AD abuse est le vecteur #1 de propagation post-intrusion
Kerberoasting, DCSync et ADCS abuses cités dans toutes les campagnes APT
ANSSI publications 2024 :
Guide « Cyber attaques et remédiation Active Directory Tier 0 »
Recommandations officielles pour restauration post-compromiseLes 7 attaques AD dominantes en 2026
1. Kerberoasting
Tout compte avec un SPN (Service Principal Name) peut recevoir des TGS demandés par n'importe quel utilisateur authentifié. Le TGS est chiffré avec le hash du compte service - si l'attaquant en obtient plusieurs, il peut cracker offline le mot de passe du compte service.
# Avec Rubeus (attaquant)
Rubeus.exe kerberoast /nowrap /outfile:hashes.txt
# Cracking offline
hashcat -m 13100 hashes.txt rockyou.txt -r best64.ruleParade : comptes services avec mots de passe > 25 caractères aléatoires, Kerberos AES256 uniquement (pas RC4), Group Managed Service Accounts (gMSA).
2. AS-REP Roasting
Les comptes avec l'attribut DONT_REQ_PREAUTH peuvent recevoir un AS-REP sans mot de passe, chiffré avec leur hash. Cracking offline.
# Impacket GetNPUsers
GetNPUsers.py corp.local/ -usersfile users.txt -no-pass -outputfile asrep.txt
hashcat -m 18200 asrep.txt rockyou.txtParade : ne jamais désactiver la pre-authentification Kerberos.
3. Password spraying
Tester un mot de passe commun (Winter2026!, Password123) sur des milliers de comptes. Évite le lockout.
# Kerbrute
kerbrute passwordspray -d corp.local users.txt 'Winter2026!'Parade : MFA sur tous les comptes, détection des tentatives d'échec répétées (Sigma rule sur Event ID 4625 cross-user).
4. DCSync
Usurpation de l'API de réplication Active Directory pour dumper tous les hashes NTLM du domaine.
# Mimikatz
mimikatz # lsadump::dcsync /domain:corp.local /user:krbtgt
# Impacket secretsdump
secretsdump.py -just-dc corp.local/admin@dc01Parade : limiter les permissions de réplication aux seuls DC légitimes, alerter sur tentatives depuis non-DC (Microsoft Defender for Identity).
5. Golden Ticket
Avec le hash du compte KRBTGT, forge d'un TGT pour n'importe quel utilisateur et n'importe quelle durée (jusqu'à 10 ans). Persistance quasi indétectable.
Parade : rotation du krbtgt 2 fois consécutives après compromise (procédure Microsoft documentée), monitoring des tickets avec durée anormale.
6. Silver Ticket
Variante du Golden : forge d'un TGS directement avec le hash d'un compte service. Accès ciblé à un service précis sans passer par le DC.
7. ADCS abuses (ESC1 à ESC15)
Active Directory Certificate Services vulnérabilités documentées par SpecterOps 2021 (SharpCert). ESC1 à ESC15 décrivent des misconfigurations de templates qui permettent à un utilisateur standard d'obtenir un certificat authentifiant en Domain Admin.
# Certipy (enumeration + exploitation)
certipy find -u user@corp.local -p password
certipy req -u user@corp.local -p password -target ca01 -template VulnTemplate -upn administrator@corp.localParade : audit régulier avec Certipy/PingCastle, suppression des templates vulnérables, activation de la Enrollment Agent restriction.
Tiering model : isolation des privilèges
Modèle Microsoft documenté depuis 2013 pour empêcher la propagation d'un compromis du poste utilisateur vers le Domain Controller.
Les 3 tiers
Tier 0 - Critical Assets
Contenu : Domain Controllers, ADFS servers, PKI/ADCS,
backup infrastructure, AD admin accounts
Règle : Tier 0 ne logue JAMAIS sur Tier 1 ou 2
Admin accounts : Domain Admins, Enterprise Admins, Schema Admins
Tier 1 - Management Servers
Contenu : serveurs applicatifs (DB, ERP, middleware),
fichiers partagés critiques, hypervisors VDI
Règle : Tier 1 ne logue pas sur Tier 0 (impossible techniquement)
et ne logue pas sur Tier 2
Admin accounts : Server Admins dédiés
Tier 2 - User Workstations
Contenu : postes utilisateurs, helpdesk, imprimantes
Règle : zone la plus exposée, doit être containée
Admin accounts : Helpdesk tiered, pas de Domain Admin iciEnterprise Access Model (évolution 2020+)
Microsoft a étendu le tiering en Enterprise Access Model qui ajoute les « planes » :
- Privileged Access Plane : comptes privilégiés pour administrer.
- Control Plane : infrastructure d'identité (ex-Tier 0).
- Management Plane : infrastructure de management (ex-Tier 1).
- Data Plane : où vivent les données (applications, users).
- User Access Plane : accès utilisateur standard (ex-Tier 2).
Les 10 contrôles de hardening AD 2026
1. Tiering model appliqué strictement
Comptes Tier 0 ne loguent jamais hors Tier 0
GPO Authentication Policies / Silos
2. LAPS (Local Administrator Password Solution)
Rotation automatique des mots de passe admin local
Stockage dans AD, accès contrôlé
3. Disable NTLM et SMBv1 partout
GPO Network Security: Restrict NTLM
SMB2+ uniquement avec signing
4. Kerberos hardening
AES256-CTS-HMAC-SHA1-96 uniquement
Désactiver RC4 (utilisé pour Kerberoasting efficace)
Kerberos armoring (FAST) activé
5. MFA sur comptes privilégiés
Smart cards, FIDO2 keys, Windows Hello for Business
Via Entra ID Conditional Access pour comptes hybrides
6. PAW (Privileged Access Workstations)
Postes physiques dédiés à l'administration Tier 0
Hardened, pas d'email, pas de navigation web
7. Audit complet
Windows Security events 4624, 4625, 4648, 4672, 4688, 4769
EDR (Defender for Endpoint, CrowdStrike, SentinelOne)
SIEM corrélation avec règles Sigma AD
8. Microsoft Defender for Identity (ex-ATA)
Détection comportementale sur DC
Golden Ticket, DCSync, Pass-the-Hash, Kerberoasting
9. Audit annuel PingCastle ou Purple Knight
Score de maturité AD
Identification des misconfigurations
10. Backup et rollback plan
Backup NTDS.dit testé
Rollback krbtgt documenté
Exercice restauration Tier 0 annuelOutils AD essentiels 2026
Outils Microsoft natifs
Active Directory Users and Computers (ADUC) : GUI classique
Active Directory Administrative Center (ADAC): GUI moderne
PowerShell AD module : Get-ADUser, Set-ADGroupMember
Group Policy Management Console (GPMC) : GPO management
DFS Management, DNS Manager : services associésOutils d'audit et posture
PingCastle (Vincent Le Toux, FR)
Audit rapide de santé AD, score global, remédiations
Gratuit, standard de l'industrie francaise
Purple Knight (Semperis, gratuit)
100+ contrôles de sécurité AD
Rapport PDF executive
ADACLScanner
Audit des ACL sur objets AD
BloodHound (offensive et défensive)
Graph d'escalade de privilèges
Community Edition (SpecterOps) et Enterprise
Certipy
Audit ADCS (ESC1-ESC15)Outils offensifs (red team / pentest)
Voir outils de base du pentester en 2026 pour détail. En bref : BloodHound + SharpHound, Impacket suite, NetExec (ex-CrackMapExec), Responder, Rubeus, Mimikatz, Certipy.
Outils défensifs EDR et XDR
Microsoft Defender for Identity (ex-Azure ATP, ex-ATA)
Agent sur DC, détection comportementale
Corrélation avec Defender for Endpoint dans Defender XDR
Microsoft Defender for Endpoint P2
EDR Windows natif, télémétrie riche
CrowdStrike Falcon, SentinelOne, Cortex XDR
EDR tiers avec détections AD spécifiquesPlan d'apprentissage AD en 2026
Débutant (0-3 mois) :
TryHackMe Active Directory Basics (path)
HackTheBox Academy : Windows Fundamentals, AD Enumeration
Labs GOAD (Game of Active Directory, OSS)
DetectionLab (Chris Long)
Livre : Active Directory Administration Cookbook (Jeff Peters 2024)
Intermédiaire (3-9 mois) :
CRTP (Certified Red Team Professional, Altered Security) : ~249 USD
HackTheBox AD boxes (Forest, Sauna, Active, Resolute, Mantis)
PowerShell pour AD (Adam the Automator tutorials)
BloodHound deep dive
Avancé (9+ mois) :
OSCP + OSEP (Offensive Security Experienced Penetration Tester)
CRTL (Certified Red Team Lead)
SANS SEC588 Cloud Penetration Testing (incluant Entra ID)
Recherche ADCS ESC1-ESC15 et PKI offensive
Blue team défensive :
Microsoft SC-200 (Security Operations Analyst)
GCFA (SANS Forensic Analyst) - forensic Windows
Microsoft Defender for Identity hands-on
Règles Sigma AD (https://github.com/SigmaHQ/sigma)Points clés à retenir
- Active Directory = service d'annuaire Microsoft depuis 2000, fondation identity de 90 % des grandes entreprises on-premise en 2026. Reste incontournable malgré Entra ID cloud.
- Composants : forêt → domaine → OU → objets. Kerberos et NTLM pour l'auth, GPO pour la configuration. NTDS.dit sur les Domain Controllers héberge tous les hashes.
- Entra ID (ex-Azure AD renommé 2023) complète AD pour cloud/mobile/SaaS, pas un remplacement. Hybrid identity via Entra Connect standard.
- 7 attaques AD dominantes 2026 : Kerberoasting, AS-REP Roasting, password spraying, DCSync, Golden Ticket, Silver Ticket, ADCS abuses ESC1-ESC15. Outils offensifs : BloodHound, Impacket, Rubeus, Mimikatz, Certipy, NetExec.
- Tiering model Microsoft (Tier 0, 1, 2) + Enterprise Access Model plus moderne (Control Plane, Management Plane, Data Plane). Isolation des comptes privilégiés impérative.
- 10 contrôles hardening 2026 : tiering strict, LAPS, disable NTLM/SMBv1, Kerberos AES256 + armoring, MFA FIDO2/smart card privileged, PAW, audit events 4624-4769, Defender for Identity, audit PingCastle annuel, backup et rollback plan Tier 0.
- Ressources françaises : ANSSI « Cyber attaques et remédiation Active Directory Tier 0 », PingCastle (Vincent Le Toux), labs GOAD.
Pour approfondir les outils offensifs utilisés contre AD, voir outils de base du pentester en 2026. Pour la détection comportementale Windows avec EDR, lire qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026. Pour le logging des événements AD dans un SIEM, consulter journalisation de sécurité : les bases à maîtriser en 2026. Pour activer MFA sur les comptes AD/Entra privilégiés, voir MFA : définition, méthodes, attaques et phishing-resistant 2026.
