Les services de certification Active Directory (ADCS) représentent un pivot critique de l’identité numérique en environnement Windows. Mal configurés, ils peuvent être une cible privilégiée des APT ou d’acteurs internes malveillants. Ce guide présente une méthode de durcissement avancé d’une autorité de certification Microsoft via GPO et pratiques d’entreprise : contrôle des permissions d’émission, audit détaillé, sécurité RPC, durcissement des templates, protection contre les abus d’inscription automatique et détection d’activité anormale par journalisation complète.
1. Restreindre l’émission de certificats aux seuls comptes AD approuvés
Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment
- Issue and Manage Certificates: uniquement les comptes sécurité certifiés2. Forcer l’audit de toutes les requêtes de certificats
Activer :
Audit Certification Services
- Success & Failure
Audit Object Access
- Success & FailureAssure une traçabilité complète dans le journal de sécurité (Event ID 4886, 4887, 4888).
3. Désactiver les modèles de certificats faibles ou surdimensionnés
certutil -deltemplate User
certutil -deltemplate EFS
certutil -deltemplate SmartcardLogonRéduit l’exposition aux attaques comme ESC1 ou ESC5. Ne conserver que les templates dont la sécurité est durcie avec ACL restrictives.
4. Restreindre le port RPC 135 + dynamique à l’usage local via firewall GPO
Configurer les règles entrantes pour limiter l’accès aux hôtes d’administration définis :
New-NetFirewallRule -DisplayName "RPC CA" -Direction Inbound -Protocol TCP -LocalPort 135 -RemoteAddress 10.10.10.0/24 -Action Allow5. Appliquer AppLocker pour bloquer toute exécution tierce sur le serveur CA
Computer Configuration → Windows Settings → Security Settings → Application Control Policies → AppLockerDéployer un jeu de règles AppLocker : seuls les exécutables signés Microsoft, certsrv.exe, mmc.exe et les binaires du rôle ADCS sont autorisés.
6. Sécuriser le template de type Domain Controller Authentication
Utiliser l’outil certtmpl.msc et ajuster les permissions NTSecurityDescriptor :
- Supprimer le droit d’inscription automatique (Autoenroll) pour les groupes non strictement nécessaires
- Désactiver la publication dans Active Directory
7. Bloquer l’inscription automatique sur les clients non managés
Computer Configuration → Policies → Administrative Templates → System → Autoenrollment
- Turn off autoenrollment: EnabledÉvite la génération de certificats non contrôlés ou automatiques par des postes compromis.
8. Activer la journalisation complète sur le serveur CA
Auditpol /set /subcategory:"Certification Services" /success:enable /failure:enable
Auditpol /set /subcategory:"Object Access" /success:enable /failure:enableIntègre les événements ADCS dans les flux SIEM pour analyse comportementale (Event ID 4886, 4888, 4899…)
9. Sauvegarder automatiquement la CA avec planificateur de tâches
certutil -backup C:\BackupCA -p [motdepasse]Créer une tâche planifiée GPO mensuelle exécutée sous SYSTEM avec export du certificat, de la clé privée et des templates configurés.
10. Surveillance et détection d’abus avec Sysmon et règles Sigma
Déployer Sysmon avec les règles suivantes :
Event ID 1: certreq.exe execution
Event ID 7: chargement de DLL dans certsrv.exe
Event ID 11: modification de clé de registre ADCSCorréler dans un SIEM les requêtes suspectes ou spikes de génération de certificats.
Conclusion
Ce durcissement avancé transforme votre infrastructure ADCS en composant défensif sécurisé, résistant aux techniques d’abus identifiées dans des attaques telles que PetitPotam, ESC1/6/13 ou encore ShadowCert. À intégrer à toute stratégie Zero Trust ou environnement aligné ISO 27001/NIS2.
