Durcir un Contrôleur de Domaine Active Directory en ligne de commande

Les contrôleurs de domaine (DC) sont des actifs stratégiques. Leur durcissement est indispensable, surtout en environnement Windows Server Core. Voici un guide détaillé pour renforcer la sécurité d’un DC via PowerShell et ligne de commande.

1. Vérifier la configuration des rôles FSMO

netdom query fsmo

Permet de s’assurer que les rôles sont correctement répartis. Idéalement, un DC ne doit pas détenir tous les rôles si plusieurs DC sont présents.

2. Activer l’audit avancé (DS Access, Account Logon)

auditpol /set /category:"DS Access" /success:enable /failure:enable
auditpol /set /category:"Account Logon" /success:enable /failure:enable

Indispensable pour détecter les accès non autorisés et la manipulation des objets AD.

3. Restreindre les connexions interactives

secpol.msc (via GPO distante ou RSOP.msc si GUI)

Empêche les utilisateurs standards ou service accounts de se connecter directement au DC.

4. Bloquer l’accès RDP depuis l’extérieur

New-NetFirewallRule -DisplayName "Deny External RDP" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress Any -Action Block

Le RDP sur un DC doit être limité au LAN sécurisé.

5. Forcer les connexions LDAPS

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPServerIntegrity" -Value 2 -PropertyType DWORD -Force

Renforce la sécurité des communications entre clients et AD.

6. Vérification des comptes à privilèges

Get-ADGroupMember "Domain Admins" | Select-Object Name, SamAccountName

Permet de détecter les comptes suspects ou non documentés.

7. Interdire l’accès anonyme à LDAP

New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" -Name "LDAPClientIntegrity" -Value 2 -PropertyType DWORD -Force

Protège les informations de l’annuaire contre les requêtes anonymes.

Conclusion

Ce guide propose les configurations de base critiques pour tout contrôleur de domaine, afin de limiter les abus, garantir la traçabilité et s’assurer de la résilience face aux attaques AD modernes. L’approche ligne de commande permet un déploiement scriptable et industrialisabl