Sécurité Active Directory : guide de hardening 2026

La sécurité d'Active Directory est l'un des chantiers les plus critiques de la cybersécurité d'entreprise en 2026, AD restant le pivot d'authentification on-prem dans plus de 90 % des entreprises Windows. Sa surface d'attaque est massive (Domain Controllers, ADCS, comptes service, GPO, ACL, Kerberos, NTLM legacy) et les techniques offensives (Kerberoasting, DCSync, ADCS ESC1-14, Golden Ticket, Pass-the-Hash) sont automatisées dans des outils accessibles (BloodHound, Mimikatz, Impacket) à tout attaquant non sophistiqué. Le hardening AD repose sur sept piliers cumulatifs : application stricte du Tier Model Microsoft (Tier 0/1/2 + Enterprise Access Model 2020+), Protected Users group avec Authentication Policy Silos, LSA Protection (RunAsPPL) et Credential Guard, ADCS lockdown contre les ESC1-14, Just-In-Time Privileged Access (PIM Entra ID + équivalents PAM), monitoring proactif via Defender for Identity et BloodHound défensif, et patch management agressif sur les CVE Domain Controller. Cet article détaille les attaques courantes 2026 avec leurs défenses, l'application opérationnelle du Tier Model, le hardening Kerberos et NTLM, ADCS, le monitoring SIEM aligné MITRE ATT&CK, les outils d'audit (PingCastle, BloodHound Community Edition, Purple Knight, Locksmith) et les CVE prioritaires à patcher.

État de l'Active Directory en 2026

Active Directory a 26 ans en 2026 (publication initiale Windows 2000 Server). Malgré la migration cloud Entra ID, il reste le pivot d'identité on-prem dans la majorité des organisations.

Place actuelle d'AD

Les organisations sans AD on-prem restent minoritaires : ces déploiements représentent une fraction du marché en 2026 mais croissent rapidement avec la modernisation.

Pourquoi AD reste critique

Trois raisons structurelles qui expliquent la persistance d'AD :

• Coût et risque de migration : migrer une organisation de 1 000+ utilisateurs depuis AD vers Entra ID seul prend 3 à 7 ans avec une équipe dédiée. Risques opérationnels élevés.
• Applications dépendantes d'AD : SAP, applications métier internes, outils legacy s'authentifient via Kerberos AD ou LDAP, rarement via OIDC moderne.
• GPO et gestion centralisée : AD GPO reste l'outil de gestion de configuration Windows le plus mature. Microsoft Intune le remplace progressivement mais sans couvrir tous les cas legacy.

Les attaques AD courantes en 2026

Sept familles d'attaques restent dominantes selon les rapports Mandiant M-Trends 2024 et CrowdStrike Global Threat Report 2024.

1. Kerberoasting (T1558.003)

L'attaquant authentifié demande un ticket de service (TGS) pour un compte avec SPN. Le TGS est chiffré avec le hash du mot de passe du compte service. Crack offline avec hashcat → mot de passe en clair.

Étapes typiques :
1. Énumération des comptes avec SPN : Get-ADUser -Filter {ServicePrincipalName -ne "$null"}
2. Demande TGS : Rubeus.exe kerberoast /outfile:hashes.txt
3. Crack offline : hashcat -m 13100 hashes.txt rockyou.txt
4. Authentification avec credentials cassés

Défense :

• Comptes service avec mots de passe forts (25+ caractères aléatoires).
• gMSA (Group Managed Service Accounts) : Microsoft génère et tourne automatiquement les mots de passe (256-bit), résistance crack quasi-totale.
• AES-256 only sur les Authentication encryption types (désactivation RC4-HMAC).
• Monitoring des Event ID 4769 avec EncryptionType faible (RC4 = 0x17, AES = 0x12 ou 0x11).

2. AS-REP Roasting (T1558.004)

Variation où des comptes ont l'attribut "Do not require Kerberos preauthentication" activé (rare mais existe). Permet d'obtenir un AS-REP crackable offline sans authentification préalable.

Défense :

• Audit des comptes avec preauth désactivée : Get-ADUser -Filter {DoesNotRequirePreAuth -eq $true} → corriger.
• Rapport PingCastle remonte ces comptes automatiquement.

3. DCSync (T1003.006)

L'attaquant utilise les permissions de réplication AD (Replicating Directory Changes All) pour demander à un DC de répliquer la base entière AD, incluant tous les hashes NTLM et Kerberos keys.

Mimikatz : lsadump::dcsync /domain:example.test /user:krbtgt
Impacket secretsdump.py : extraction massive

Défense :

• Audit régulier des comptes ayant des permissions de réplication (rares : seuls DCSync légitime = comptes de réplication AD officielles).
• Detection : Event ID 4662 avec object type Directory Service et permissions de réplication, alerter si compte source non listé blanc.
• BloodHound query : MATCH (u)-[:GenericAll|GenericWrite|WriteDacl|WriteOwner|AllExtendedRights*1..]->(d:Domain) RETURN u

4. ADCS abuse (ESC1-ESC14)

Active Directory Certificate Services peut être compromis via des templates de certificats mal configurés. Les vulnérabilités ESC1 à ESC14 ont été identifiées initialement par Will Schroeder et Lee Christensen (SpecterOps) en juin 2021, étendues par d'autres chercheurs depuis.

Défense :

• Audit complet des templates avec Locksmith (open source PowerShell) ou Certify (offensif, peut être utilisé en audit).
• Désactiver Web Enrollment HTTP/HTTPS si pas nécessaire (mitigation ESC8).
• Désactiver flag EDITF_ATTRIBUTESUBJECTALTNAME2 sur les CA.
• Restreindre Enrollment Rights aux populations strictement nécessaires.
• Audit régulier (trimestriel) avec Locksmith.

5. Golden Ticket et Silver Ticket

Golden Ticket : forge d'un TGT (Ticket-Granting Ticket) Kerberos avec le hash krbtgt. Permet d'impersonner n'importe quel utilisateur du domaine pendant 10 ans (durée par défaut). Nécessite compromission préalable du compte krbtgt.

Silver Ticket : forge d'un TGS pour un service spécifique avec le hash du compte service.

Défense :

• Reset krbtgt deux fois (24h d'intervalle) après tout incident suspect AD. Recommandé tous les 6 mois en pratique préventive.
• Microsoft fournit le script Reset-KrbtgtKeyInteractive.ps1 officiel.
• Limite la validité TGT à 4-10 heures (par défaut 10 heures, peut descendre).
• Monitoring Event ID 4769 avec patterns suspects (TGT trop ancien, comptes inexistants).

6. Pass-the-Hash et Pass-the-Ticket (T1550)

Réutilisation d'un hash NTLM ou ticket Kerberos volé sans connaître le mot de passe en clair.

Défense :

• Désactiver NTLM autant que possible (Group Policy "Network security: Restrict NTLM").
• Credential Guard activé pour protéger les hashes en mémoire LSASS.
• Protected Users group pour comptes admin (force Kerberos uniquement, désactive caching).
• Tier Model strict (un compte Tier 0 jamais loggé sur Tier 1/2).

7. Unconstrained Delegation et Constrained Delegation abuse (T1558.001)

Comptes ou ordinateurs avec délégation Kerberos peuvent impersoner d'autres utilisateurs.

Défense :

• Audit des comptes avec UnconstrainedDelegation : Get-ADComputer -Filter {TrustedForDelegation -eq $true} puis remédier (basculer en Constrained ou Resource-Based Constrained Delegation).
• Marker accounts sensibles comme "Account is sensitive and cannot be delegated".

Le Tier Model Microsoft

Architecture défensive de référence depuis 2014, mise à jour en 2020 avec l'Enterprise Access Model.

Définition des Tiers

Règles fondamentales

Privileged Access Workstations (PAW)

Postes physiques ou VM dédiés aux opérations Tier 0, hardenisés :

• OS minimal Windows 11 Enterprise.
• Pas de navigateur web (admin AD ne fait pas de navigation Internet).
• Pas de client email.
• Applications limitées : MMC, RSAT, PowerShell, RDP client.
• AppLocker en mode allowlist strict.
• Credential Guard activé.
• Pas de partage de fichiers entrant.
• Connexion réseau limitée aux DC et systèmes Tier 0.

Enterprise Access Model (extension 2020+)

Le modèle Enterprise Access Model étend le Tier Model aux contextes hybrides :

• Control plane : équivalent Tier 0 étendu (incluant Entra ID Global Admins, AWS root, GCP Org Admins).
• Management plane : équivalent Tier 1 étendu (admins serveurs, admins SaaS).
• Data/Workload plane : équivalent Tier 2 (utilisateurs, applications).
• User access : nouvelle dimension (Conditional Access, MFA, device compliance).

Hardening Kerberos et NTLM

Configurations critiques au niveau domaine.

Kerberos durci

Group Policy : Default Domain Policy
└── Computer Configuration
    └── Policies
        └── Windows Settings
            └── Security Settings
                └── Account Policies
                    └── Kerberos Policy
 
Configuration recommandée 2026 :
- Maximum lifetime for service ticket : 600 minutes (10h)
- Maximum lifetime for user ticket : 600 minutes (10h)
- Maximum lifetime for user ticket renewal : 7 jours
- Maximum tolerance for computer clock synchronization : 5 minutes
- Enforce user logon restrictions : Enabled

Encryption types :

# Désactiver RC4-HMAC (faible) au niveau domaine
# Encryption types autorisés
Get-ADDomain | Select msDS-SupportedEncryptionTypes
# Recommandé : 0x18 = AES128 + AES256 uniquement (24 décimal)
 
# Pour chaque compte service avec SPN
Set-ADUser -Identity svc-account -KerberosEncryptionType "AES128, AES256"

NTLM réduit ou supprimé

NTLM est obsolète et vulnérable (Pass-the-Hash, NTLM relay). Microsoft recommande la suppression complète mais c'est rarement faisable en production legacy.

Group Policy : Network Security: Restrict NTLM
- Outgoing NTLM traffic to remote servers : Audit ou Deny
- Incoming NTLM traffic : Audit ou Deny
- NTLM authentication in this domain : Audit ou Deny
- Add server exceptions in this domain : <liste des serveurs nécessitant encore NTLM>

Démarrer en mode Audit pour identifier les flux NTLM légitimes restants, puis basculer en Deny progressivement.

Protected Users group

Groupe spécial AD qui force des protections supplémentaires aux membres :

• Pas de NTLM (Kerberos uniquement).
• Pas de DES ni RC4-HMAC.
• Pas de cache credentials.
• TGT non renouvelable au-delà de la durée initiale (max 4h par défaut).
• Pas de WDigest (passwords en clair).

# Ajouter tous les comptes admin Tier 0 et Tier 1 sensibles
Add-ADGroupMember -Identity "Protected Users" -Members "domainAdmin1", "domainAdmin2"
 
# Vérifier membres
Get-ADGroupMember "Protected Users"

Authentication Policy Silos

Capability avancée AD qui restreint où un compte peut se connecter et comment.

# Créer un silo Tier 0
New-ADAuthenticationPolicySilo -Name "Tier0-Silo" `
  -ProtectedFromAccidentalDeletion $true `
  -Enforce
 
# Créer une policy avec restrictions
New-ADAuthenticationPolicy -Name "Tier0-Policy" `
  -UserTGTLifetimeMins 240 `
  -UserAllowedToAuthenticateFrom "..."
 
# Assigner la policy au silo, puis comptes au silo

LSA Protection et Credential Guard

Deux mécanismes Windows à activer pour protéger les credentials en mémoire.

LSA Protection (RunAsPPL)

Active depuis Windows 8.1 / Server 2012 R2. Marque le processus LSASS comme Protected Process Light, bloquant l'accès en lecture par les processus non signés Microsoft.

# Activer via registry
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
  -Name "RunAsPPL" -Value 1 -PropertyType DWORD -Force
 
# Vérifier
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name RunAsPPL
 
# Reboot requis

Bloque Mimikatz sekurlsa::logonpasswords standard. Bypass possibles via drivers vulnérables (CVE-2022-21882, CVE-2024-21338, etc.) → patch management critique.

Credential Guard (Windows 10/11 Enterprise)

Isolation des credentials dans une enclave virtuelle (VBS - Virtualization Based Security). Disponible Windows 10 Enterprise et Windows Server 2016+.

# Activer via Group Policy
# Computer Configuration → Administrative Templates → System → Device Guard
# Turn On Virtualization Based Security : Enabled
# - Select Platform Security Level : Secure Boot and DMA Protection
# - Credential Guard Configuration : Enabled with UEFI lock
 
# Vérifier statut
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Bloque Mimikatz sekurlsa::logonpasswords même bypass LSA Protection. Référence pour 2026 sur tous postes admin.

ADCS hardening

Active Directory Certificate Services est devenu vecteur d'attaque majeur depuis la disclosure SpecterOps de 2021.

Audit avec Locksmith

# Locksmith (open source PowerShell, par Jake Hildreth)
Install-Module -Name Locksmith -Scope CurrentUser
Import-Module Locksmith
 
# Audit complet ADCS
Invoke-Locksmith -Mode 0
# Détecte ESC1, ESC2, ESC3, ESC4, ESC5, ESC6, ESC8, ESC11, ESC13
 
# Mode remediation guidé
Invoke-Locksmith -Mode 4

Configurations critiques

Defender for Identity ADCS detection

Microsoft Defender for Identity (depuis 2023) détecte les exploitations ADCS courantes :

• ESC1 abuse via Certify ou similar tooling.
• ESC8 via NTLM relay.
• Anomalous certificate enrollment.

Monitoring AD essentiel

Six familles d'événements à surveiller en SIEM (Microsoft Sentinel, Splunk, Elastic Security).

Authentification

Privileged groups

Credential dumping

Règle Sigma type pour DCSync

title: DCSync via Replicating Directory Changes
id: 1efb5b1d-d4de-4ea9-8f30-95f5879c2f8d
status: stable
description: >
  Detects DCSync attack pattern via abuse of Replicating Directory Changes
  permissions to extract credential material from Domain Controller.
references:
  - https://attack.mitre.org/techniques/T1003/006/
  - https://blog.stealthbits.com/extracting-user-password-data-with-mimikatz-dcsync/
logsource:
  product: windows
  service: security
detection:
  selection:
    EventID: 4662
    Properties|contains:
      - '1131f6aa-9c07-11d1-f79f-00c04fc2dcd2'  # DS-Replication-Get-Changes
      - '1131f6ad-9c07-11d1-f79f-00c04fc2dcd2'  # DS-Replication-Get-Changes-All
      - '89e95b76-444d-4c62-991a-0facbeda640c'  # DS-Replication-Get-Changes-In-Filtered-Set
  filter_legitimate:
    SubjectUserName|endswith:
      - '$'                  # Comptes machine (DC légitimes)
      - 'MSOL_'              # Microsoft 365 sync
  condition: selection and not filter_legitimate
falsepositives:
  - Synchronisation légitime entre Domain Controllers
  - Azure AD Connect / Microsoft 365 sync
level: high
tags:
  - attack.credential_access
  - attack.t1003.006

Outils d'audit AD

Cinq outils incontournables en 2026 pour auditer la posture sécurité AD.

PingCastle (Vincent Le Toux, gratuit)

Audit complet AD avec score de maturité, rapport HTML détaillé.

# Téléchargement et exécution
.\PingCastle.exe --healthcheck --server example.test
 
# Génère HealthCheck-example.test.html avec score sur 100
# Score < 50 = critique, > 75 = mature

Couvre : configuration globale, comptes privilégiés, ancientelogon, ACL anomalies, trusts, SMB signing, CVE majeures.

BloodHound Community Edition (SpecterOps, gratuit depuis octobre 2023)

Visualisation graphique des chemins d'attaque AD.

# Collecte avec SharpHound
SharpHound.exe -c All --zipfilename collection.zip
 
# Import dans BloodHound CE puis queries Cypher
# Exemple : utilisateurs Kerberoastable
MATCH (u:User {hasspn:true}) RETURN u
# Exemple : chemins vers Domain Admin
MATCH p=shortestPath((u:User)-[*1..]->(g:Group {name: 'DOMAIN ADMINS@EXAMPLE.TEST'}))
RETURN p

Purple Knight (Semperis, gratuit)

Audit AD défensif avec recommandations de remédiation.

Locksmith (Jake Hildreth, gratuit)

Spécialisé ADCS (ESC1-14 detection et remediation).

ADRecon

Énumération AD complète, rapport Excel multi-feuilles.

Just-In-Time Privileged Access

Convergence Tier Model + PAM moderne en 2026.

Pattern Microsoft Entra ID PIM

Pour environnements hybrides AD + Entra ID :

• Aucun membre permanent de Domain Admins / Global Admins.
• Élévation à la demande via PIM avec MFA + approval workflow.
• Durée par défaut 1-4 heures, prolongeable sur nouvelle approval.
• Audit logging complet.

Pattern alternatif AD pur (sans cloud)

Pour environnements 100 % on-prem sans Entra ID :

• Solutions PAM commerciales (CyberArk, Delinea) avec connecteurs AD.
• Workflow : utilisateur demande accès Domain Admin via portail, approval, ajout temporaire au groupe, suppression auto à expiration.
• Session brokering pour masquer le credential.

Patch management AD

Six CVE majeures à patcher en priorité absolue (les six dernières années).

Patching mensuel via Patch Tuesday + audit annuel PingCastle pour identifier les configurations vulnérables persistantes.

Points clés à retenir

• AD reste le pivot identité on-prem dans plus de 90 % des entreprises Windows en 2026, en mode hybride avec Entra ID Connect. La migration complète vers Entra ID seul prend 5 à 10 ans.
• Sept attaques courantes restent dominantes : Kerberoasting, AS-REP Roasting, DCSync, ADCS abuse (ESC1-14), Golden/Silver Ticket, Pass-the-Hash/Ticket, Unconstrained Delegation. Toutes automatisées dans BloodHound, Mimikatz, Impacket.
• Le hardening AD repose sur 7 piliers cumulatifs : Tier Model + PAW, Protected Users + Authentication Policy Silos, LSA Protection + Credential Guard, ADCS lockdown, JIT Privileged Access, monitoring SIEM aligné MITRE ATT&CK, patch management agressif.
• Outils d'audit incontournables : PingCastle (score maturité), BloodHound Community Edition (chemins d'attaque), Locksmith (ADCS), Purple Knight (Semperis), ADRecon. Audit semestriel minimum.
• CVE prioritaires : Zerologon (CVE-2020-1472, encore exploité 5 ans après), sAMAccountName spoofing (CVE-2021-42278/42287), PetitPotam (CVE-2022-26925), Outlook NTLM hash (CVE-2023-23397). Patching mensuel non négociable.

Pour aller plus loin

• Qu'est-ce que le PAM - solutions PAM pour gérer les comptes privilégiés AD.
• RBAC vs ABAC - modèles d'autorisation appliqués à AD et Entra ID.
• Qu'est-ce que l'IAM - cadre IAM dont AD est une instance historique.
• Pourquoi l'identité est centrale en cybersécurité - pillar IAM moderne.