Sécuriser un Active Directory en 2026
Les bonnes pratiques actuelles pour durcir un Active Directory et limiter les surfaces d'attaque.
L'Active Directory reste une cible privilégiée des attaquants. Sa sécurisation est un travail continu qui combine technique et organisationnel.
Synthèse des axes prioritaires pour durcir un AD en 2026.
01Le tier model
Le modèle Tier 0 / Tier 1 / Tier 2 sépare les comptes administrateurs selon le niveau de privilèges. Un admin Tier 2 (postes utilisateurs) ne doit jamais se connecter sur un Tier 0 (contrôleurs de domaine).
Cette segmentation limite la propagation d'une compromission : si un compte de helpdesk est compromis, l'attaquant ne peut pas atteindre les DC.
02Désactiver les protocoles obsolètes
NTLM v1 et SMBv1 doivent être désactivés. Ils sont vulnérables à de nombreuses attaques connues (relay, downgrade).
03LAPS pour les comptes locaux
Local Administrator Password Solution génère et stocke des mots de passe uniques pour chaque compte admin local. Empêche le pass-the-hash entre postes.
Points clés à retenir
- 01Adopter le modèle Tier 0 / Tier 1 / Tier 2
- 02Désactiver NTLM v1 et SMBv1
- 03Déployer LAPS pour les comptes admin locaux
- 04Auditer régulièrement avec PingCastle
- 05Surveiller les Event IDs sensibles dans les journaux