Sécurité Active Directory : 7 GPO indispensables en 2026

Sécurité Active Directory : 7 GPO indispensables en 2026

Image by: Pixabay

Table of contents

Pourquoi les stratégies de groupe sont votre bouclier essentiel

Saviez-vous que 95% des violations de sécurité Active Directory résultent de configurations défaillantes selon Microsoft Security Reports ? Pour les administrateurs système, sécuriser une infrastructure Windows Server exige une approche proactive centrée sur les stratégies de groupe (GPO). Ces politiques constituent l’épine dorsale de votre sécurité, permettant d’appliquer des paramètres cohérents à travers votre domaine. Ce guide détaille 7 GPOs critiques pour renforcer votre environnement contre les attaques modernes, de la neutralisation des protocoles obsolètes comme NTLM à l’implémentation de LAPS pour le contrôle des comptes locaux. Vous apprendrez à réduire drastiquement votre surface d’attaque tout en facilitant l’audit des activités suspectes.

Restriction de l’accès LM/NTLM : éliminer les protocoles vulnérables

Les protocoles LM et NTLMv1 sont des reliques dangereuses : NTLMv1 est cracké en moins de 3 heures avec des outils comme Hashcat sur du matériel standard. Pour les désactiver :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe
  2. Naviguez vers Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité
  3. Modifiez « Sécurité réseau : Niveau d’authentification LAN Manager » et définissez-le sur « Refuser les authentifications LM et NTLM – Utiliser uniquement NTLMv2 »

Implémentez cette politique progressivement via des Groupes de sécurité test pour éviter les interruptions. Une migration vers Kerberos est recommandée pour les environnements complexes.

Désactivation de LLMNR et NetBIOS : couper les vecteurs d’empoisonnement

LLMNR (Link-Local Multicast Name Resolution) et NetBIOS facilitent les attaques d’empoisonnement de cache comme celles utilisées dans Responder.py. Pour les neutraliser :

  • Désactivation LLMNR : Créez une GPO avec une règle de registre (HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DNSClient) définissant « EnableMulticast » à 0
  • Désactivation NetBIOS : Dans les propriétés TCP/IP des cartes réseau, configurez « NetBIOS sur TCP/IP » sur « Désactivé » via une préférence GPO

Ces mesures bloquent jusqu’à 70% des tentatives d’extraction d’identifiants en réseau selon les études de l’ANSSI.

Gestion locale des administrateurs via LAPS : maîtriser les comptes privilégiés

Le Local Administrator Password Solution (LAPS) élimine les mots de passe identiques sur les comptes administrateurs locaux, cible privilégiée des attaquants. Implémentation :

  1. Installez le schéma LAPS via Update-AdmPwdADSchema
  2. Déléguez les permissions aux administrateurs via Set-AdmPwdComputerSelfPermission
  3. Déployez le client LAPS sur les stations avec une GPO dédiée

Configurez les stratégies de rotation dans Administrative Templates > LAPS pour forcer un changement hebdomadaire. Les mots de passe sont stockés dans l’attribut ms-Mcs-AdmPwd de l’objet ordinateur dans l’AD, chiffrés avec AES-256.

Audit des connexions : traquer les activités suspectes en temps réel

Activez l’audit avancé pour détecter les mouvements latéraux et les accès anormaux :

Événement ID Recommandation GPO
Connexions réussies 4624 Activer dans « Audit de connexion »
Échecs de connexion 4625 Définir un seuil d’alerte à 5 tentatives/10min
Utilisation de privilèges sensibles 4672 Activer avec capture du contexte

Centralisez les logs avec un SIEM comme Azure Sentinel et créez des alertes pour les événements 4768 (Kerberos TGT demandé) depuis des IPs non autorisées.

Réduction de la surface d’attaque Active Directory : durcir les fondations

Appliquez ces GPOs pour limiter les mouvements des attaquants :

  • Restriction des droits utilisateur : Refusez « Accéder à cet ordinateur depuis le réseau » au groupe Utilisateurs du domaine
  • Désactivation de SMBv1 : Paramètre « Microsoft network client: Send unencrypted password » à Désactivé
  • Blocage de NTLM : Ajoutez les serveurs cibles dans Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > « Network security: Restrict NTLM »

GPOs complémentaires pour une défense en profondeur

Consolidez votre posture avec ces mesures additionnelles :

  1. AppLocker : Bloquez l’exécution de scripts PowerShell non signés dans System32
  2. Contrôle d’accès réseau (NAC) : Exigez l’intégrité du système via des politiques Health Registration Authority
  3. Protection des services : Restreignez les droits de démarrage aux comptes NT AUTHORITY\LocalService via sc.exe sdset

Testez systématiquement vos GPOs dans un OU dédié avant le déploiement global pour éviter les interruptions de service.

Frequently asked questions

Comment tester l’impact des GPOs de sécurité avant déploiement ?

Utilisez le Mode d’évaluation des stratégies de groupe (RSOP) ou PowerShell Get-GPOReport pour simuler les paramètres. Créez un OU « Laboratoire » avec des serveurs tests, appliquez les GPOs avec des filtres de sécurité temporaires, et surveillez les événements système pendant 72h.

LAPS est-il compatible avec les environnements hybrides Azure AD ?

Oui, mais nécessite une configuration supplémentaire. Pour les machines jointes à Azure AD, utilisez Azure AD Password Rotation ou déployez LAPS version 6.2+ avec l’extension Azure AD Join Integration. Les mots de passe sont alors stockés dans Azure Key Vault.

Quels risques entraîne la désactivation de NetBIOS sur un réseau legacy ?

Les applications dépendantes de la résolution de noms NetBIOS (ex: certains logiciels industriels) peuvent dysfonctionner. Mettez en place un DNS étendu avec des entrées statiques pour ces systèmes critiques avant la désactivation. Utilisez nbtstat -n pour identifier les dépendances.

Comment auditer efficacement les échecs de connexion sans saturer les logs ?

Configurez un filtrage granulaire via les sous-catégories d’audit (GPO : Advanced Audit Policy Configuration). Excluez les comptes de service connus (NT SERVICE\*) et définissez une taille de journal minimale de 1 Go. Des solutions comme Elastic Security permettent l’agrégation et l’analyse intelligente.

Conclusion

Sécuriser un Windows Server exige une approche stratifiée où les stratégies de groupe jouent un rôle central. En implémentant ces 7 GPOs clés – du bannissement des protocoles vulnérables comme NTLM à la gestion rigoureuse des comptes via LAPS – vous réduirez significativement les risques de compromission. N’oubliez pas que la sécurité est un processus continu : réévaluez trimestriellement vos politiques avec des outils comme Microsoft Security Compliance Toolkit, simulez des attaques via des pentests, et documentez toute modification. Commencez dès aujourd’hui par auditer votre configuration actuelle à l’aide du GPO Analyzer intégré à Windows Admin Center – votre infrastructure mérite cette rigueur défensive.