Fiche d’audit rapide des flux Active Directory, pensée pour être imprimée, affichée ou glissée dans un dossier d’audit cybersécurité. Elle synthétise les points essentiels à vérifier, avec une colonne "OK/KO" à cocher.
🔍 Point de Contrôle
✅ OK / ❌ KO
🛠️ Actions Recommandées
🔒 Segmentation réseau
Isoler les DC dans un VLAN dédié, interdire tout accès direct depuis postes utilisateurs.
🔥 Filtrage des ports AD
Autoriser uniquement les ports nécessaires : 88 (Kerberos), 389/636 (LDAP/LDAPS), 445 (SMB), 53 (DNS), 464 (changement de mot de passe), 135 + plage RPC restreinte.
📡 LDAP sécurisé activé (LDAPS)
Forcer l’usage de LDAPS (port 636) via GPO + certificat valide. Interdire LDAP simple.
🧱 Pare-feu activé et configuré sur DC
Vérifier les règles avec PowerShell Get-NetFirewallRule. Bloquer tout sauf flux strictement nécessaires.
🛡️ RPC et SMB filtrés
Restreindre les flux 135 et 445 aux seules machines autorisées (admin, backup).
🧬 DNS accessible uniquement aux machines autorisées
Éviter les requêtes DNS AD depuis DMZ, WiFi invité ou VPN.
🧾 Audit des connexions Kerberos activé (4768-4776)
Activer la journalisation des événements de sécurité Kerberos et les analyser régulièrement.
🔎 Surveillance des flux suspects (NetFlow, logs)
Utiliser un outil comme Zeek ou NetFlow pour surveiller les IP qui parlent aux DC.
📉 Détection des connexions LDAP en clair
Script : `Get-NetTCPConnection
🔄 Rotation des comptes de service / SPN
Implémenter des gMSA (group Managed Service Accounts) et faire tourner régulièrement les mots de passe.
🧪 Scan de SPN publics (Kerberoasting)
Vérifier les comptes avec SPN : Get-ADUser -Filter {ServicePrincipalName -ne $null}
🚫 Blocage du trafic VPN non segmenté
Les connexions VPN doivent accéder à des zones DMZ ou via bastion, jamais aux DC directement.
🗃 Support du chiffrement Kerberos (AES256)
Forcer l’usage de l’AES dans Kerberos (GPO) et interdire les anciens protocoles (RC4, DES).
