Lab Active Directory à la maison : le guide complet 2026

1. Apprentissage offensif sans risque légal
   Toucher à un AD tiers sans autorisation est illégal (LCEN 323-1)
   Un lab local permet de tester librement toutes les TTP
 
2. Préparation certifications
   OSCP (OffSec) : AD machines dans l'exam 2023+
   CRTP (Altered Security, 249 USD) : focus 100 % AD
   CRTL (Altered Security) : AD avancé, bastions, trusts
   CRTO (Zero-Point Security, 399 GBP) : red team avec AD
   OSEP (OffSec) : AD avancé + evasion
 
3. Validation TTP avant pentest client
   Tester un nouveau payload, une nouvelle technique
   S'assurer qu'il fonctionne avant d'utiliser en mission
 
4. Purple team et détection
   Enchaîner attaque (red) et détection (blue) dans le même env
   Valider les règles Sigma, tuner le SIEM, mesurer MTTD

HackTheBox (plans Academy + Labs)
  AD boxes : Forest, Sauna, Active, Resolute, Mantis, Return
  Plan Pro/Team ~60 EUR/mois
 
TryHackMe
  Windows Fundamentals, AD Basics, AD Enumeration, Attacking AD
  Plan Premium ~11 EUR/mois
 
Altered Security (créateur CRTP/CRTL)
  Labs à 30 jours inclus avec certifs
  Extension possible
 
OffSec labs
  PEN-200 (OSCP), PEN-300 (OSEP), EXP-401 (OSEE)
  Accès inclus avec cours
 
Cybrary, Pluralsight, INE
  Labs AD intégrés à leurs parcours
 
Avantages plateformes : zero setup, machines à jour, progression guidée.
Inconvénient : pas de modification profonde possible, pas de SIEM
personnalisé, pas de détection custom.

Composants :
  1x Domain Controller Windows Server 2019 ou 2022
  1x serveur applicatif Windows Server
  1x Kali Linux pour offensif
 
Matériel :
  CPU  : 4 cœurs modernes (Ryzen 5 3600+, i5 10th gen+)
  RAM  : 16 Go (8 Go minimum mais expérience dégradée)
  SSD  : 150 Go minimum
  OS host : Windows 11, macOS, Linux (Ubuntu/Debian/Arch)

Composants (2 forêts + 3 domaines + trust + attacker) :
  Forest 1 : essos.local
    - DC01 (Kingslanding)
    - SRV01 (Winterfell)
    - WK01 (Winterfell-WK)
  Forest 2 : sevenkingdoms.local
    - DC02 (MEEREEN)
    - SRV02 (Braavos)
    - WK02 (Braavos-WK)
  Trusts inter-forest pré-configurés
  1x Kali Linux offensif
 
Matériel :
  CPU  : 6-8 cœurs (Ryzen 7, i7 12th gen+)
  RAM  : 32 Go recommandé (24 Go tolérable)
  SSD  : 300 Go
  Option : NVMe pour latence disque faible

Composants additionnels :
  DetectionLab stack (Splunk + Sysmon + osquery + Fleet)
  OU Wazuh + Elastic Stack (ES, Kibana, Winlogbeat)
  OU Elastic Security + Fleet Agent
  1-2 VMs victimes supplémentaires pour simulation
 
Matériel :
  CPU  : 8-16 cœurs (Ryzen 9, Core i9)
  RAM  : 48-64 Go
  SSD  : 500 Go NVMe
  Réseau : 2.5 GbE minimum pour transfert SIEM rapide
 
Budget mini-PC dédié 2026 :
  Beelink / Minisforum 64 Go RAM : 600-900 EUR
  Intel NUC Pro 64 Go            : 800-1100 EUR
  Serveur Proxmox récup Dell R620/730 : 300-500 EUR occasion

AWS (t3.medium = ~30 EUR/mois par VM, minimum 3 VMs)
  Avantage : disponibilité 24/7 sans matériel
  Risque : facturation si oubli d'arrêt (planifier auto-stop)
 
Azure Windows Server + AD DS managé
  Pricing proche AWS
  Intégration native Entra ID pour hybrid
 
GCP avec Compute Engine
  Credits 300 USD de bienvenue = 1-2 mois gratuits
  Simpler setup que AWS parfois
 
DigitalOcean, Hetzner, OVH
  VPS moins cher mais moins de services managés
  Bon pour un Kali + AD minimal (~20 EUR/mois)

Variants disponibles :
  GOAD-Light : 3 VMs, 1 forêt, 2 domaines (rapide, débutant)
  GOAD       : 5 VMs, 2 forêts, 3 domaines (standard)
  GOAD v3    : 12 VMs, extension purple team (2024+)
  SCCMLAB    : variant focus SCCM exploit
  NHA        : variant Network Access
  GOASS      : variant Azure AD hybrid (moderne 2024+)
 
Vulnérabilités pré-configurées (toutes exploitables) :
  Kerberoastable SPN accounts
  AS-REP roastable users
  Password réutilisés et faibles
  Unconstrained Delegation activée
  Constrained Delegation et RBCD
  ADCS ESC1, ESC2, ESC6, ESC8
  ACL abusable (WriteOwner, GenericAll, GenericWrite)
  SMB shares accessibles avec fichiers intéressants
  Trust inter-forest exploitable
 
Provisioning :
  Vagrant + VirtualBox ou VMware Fusion
  Ansible pour config AD et vulnérabilités
  Scripts shell pour orchestrer (./goad.sh)

# Prérequis (Ubuntu/Debian)
sudo apt update
sudo apt install -y vagrant virtualbox docker.io docker-compose \
                    python3-pip ansible git
 
# Version récente Vagrant (si repo apt est vieux)
wget -O- https://apt.releases.hashicorp.com/gpg | sudo gpg --dearmor \
  -o /usr/share/keyrings/hashicorp-archive-keyring.gpg
echo "deb [signed-by=/usr/share/keyrings/hashicorp-archive-keyring.gpg] \
  https://apt.releases.hashicorp.com $(lsb_release -cs) main" | \
  sudo tee /etc/apt/sources.list.d/hashicorp.list
sudo apt update && sudo apt install vagrant
 
# Cloner GOAD
git clone https://github.com/Orange-Cyberdefense/GOAD.git
cd GOAD
 
# Lancer le script d'installation interactif
./goad.sh

GOAD Main Menu :
  1. Install GOAD           (setup complet par défaut)
  2. Install GOAD-Light     (version rapide 3 VMs)
  3. Install GOAD v3
  4. Update GOAD
  5. Start lab              (démarrer VMs)
  6. Stop lab               (arrêter VMs proprement)
  7. Restart lab
  8. Destroy lab            (reset complet)
  9. Exit

# Pour utilisateurs confortables avec Vagrant
cd ad/GOAD/providers/virtualbox
vagrant up
 
# Ensuite, provisioning Ansible
cd ../../../ansible
ansible-playbook main.yml
 
# Le playbook main.yml est découpé en étapes :
# - build.yml      : base OS config
# - ad-servers.yml : installation AD DS
# - ad-trusts.yml  : configuration trusts inter-forest
# - ad-data.yml    : création users, groups, SPN, vulnérabilités

# Démarrer le lab (prend 3-5 min)
cd GOAD && ./goad.sh start
 
# Se connecter au Kali pour attaques
ssh root@192.168.56.211    # (password = kali)
 
# Arrêter proprement en fin de session
./goad.sh stop
 
# Reset complet en cas de corruption
./goad.sh destroy && ./goad.sh install

Phase 1 - Reconnaissance (30 min)
  nmap -sC -sV 192.168.56.0/24
  BloodHound + SharpHound ingest
  Lister users : nxc smb DC01 -u '' -p '' --users
 
Phase 2 - Initial compromise (1-2 h)
  AS-REP Roasting : GetNPUsers.py
  Password spraying : kerbrute passwordspray
 
Phase 3 - Lateral movement (2-4 h)
  Kerberoasting : GetUserSPNs.py + hashcat
  Pass-the-Hash avec hashes crackés
 
Phase 4 - Domain Admin (4-8 h)
  Unconstrained Delegation abuse
  ADCS ESC1/ESC8 avec Certipy
  DCSync ultime

4 VMs :
  DC01       : Domain Controller Windows Server 2019
  WEF        : Windows Event Forwarder
  WIN10      : poste utilisateur Windows 10
  LOGGER     : Ubuntu avec Splunk + Fleet + OSQuery + Velociraptor
 
Stack logicielle installée automatiquement :
  Splunk Free (500 MB/jour ingestion)
  Sysmon + SwiftOnSecurity config
  osquery via Fleet
  Velociraptor DFIR
  Windows Defender + Defender for Endpoint stub
  Sigma rules importées dans Splunk
  Windows Event Forwarding configuré
 
Provisioning : Packer + Vagrant + Ansible
Temps d'install : 2-4 heures selon CPU/disque

git clone https://github.com/clong/DetectionLab.git
cd DetectionLab
 
# Méthode 1 - Vagrant + VirtualBox
cd Vagrant
vagrant up
 
# Méthode 2 - ESXi (si serveur VMware)
cd ESXi
# Éditer variables.pkr.hcl puis
packer build win-10.pkr.hcl

Red team scénarios adaptés :
  Pas de vulnérabilités AD pré-configurées comme GOAD
  Installer manuellement : unconstrained delegation, ACL abuse
  Ou utiliser pour tester des payloads et observer la détection
 
Blue team scénarios :
  Ingérer des logs dans Splunk et voir quelles règles Sigma matchent
  Tuner les règles, mesurer les faux positifs
  Valider que Sysmon capture bien les events critiques
 
Purple team :
  Run un attack simulation (Atomic Red Team, CALDERA)
  Observer en parallèle les détections Splunk/Fleet
  Documenter les détections manquantes → règles à ajouter

Étape 1 - Préparer l'hyperviseur
  VirtualBox, VMware, Hyper-V, ou Proxmox
  Créer un réseau virtuel isolé (host-only ou internal)
 
Étape 2 - ISO Windows Server 2022/2025 Evaluation
  Gratuite 180 jours (rewindable)
  Télécharger sur microsoft.com/en-us/evalcenter
 
Étape 3 - Installer premier DC
  Boot ISO, install Standard Desktop Experience
  Configurer hostname, IP statique, rename
  PowerShell : Install-WindowsFeature AD-Domain-Services
              Install-ADDSForest
 
Étape 4 - Promotion deuxième DC (optionnel, réplique)
  Install-ADDSDomainController avec credentials admin
 
Étape 5 - Créer OU, utilisateurs, groupes
  via ADUC GUI ou PowerShell AD module
  Script New-ADUser en batch pour volume
 
Étape 6 - Installer serveurs applicatifs
  Windows Server member servers
  Join domain
  Installer IIS, MSSQL, fileshare selon besoin
 
Étape 7 - Ajouter postes Windows 10/11 clients
  Windows 10/11 Enterprise Evaluation
  Join domain, config GPO
 
Étape 8 - Ajouter attacker VM (Kali ou Parrot)
  Même réseau isolé
  Tester ping/enumération
 
Étape 9 - Introduire vulnérabilités (intentionnelles)
  Comptes SPN Kerberoastable
  GPO permissives
  Partages SMB accessibles
  Mot de passe admin local partagé (casse avec LAPS)
 
Étape 10 - Instrumentation détection
  Sysmon sur toutes les VMs Windows
  SIEM (Wazuh, Elastic, Splunk)
  Centralisation logs

+ Compréhension profonde des internals Windows
+ Customisation totale selon l'objectif
+ Capacité à reproduire un environnement client spécifique
+ Excellent pour préparer rôle sysadmin ou blue team
+ Flexibilité pour tester upgrades OS, migrations, trusts custom
 
- Temps de setup : 2-3 jours vs 2-4 h pour GOAD
- Expertise Windows Server requise
- Vulnérabilités à injecter manuellement (fastidieux)

Azure AD Domain Services (managé Microsoft)
  ~100-150 EUR/mois (selon région et taille)
  Domain Controllers managés, pas d'accès DC direct
  Moins flexible pour tester attaques AD classiques
  Mais excellent pour tester Entra ID hybrid
 
AWS Directory Service (SimpleAD)
  ~40-80 EUR/mois
  Moins complet que Microsoft AD managé
  Utilisation pour test flows applicatifs

Pricing approximatif (VMs t3.medium ou équivalent) :
  3 VMs : ~80-120 EUR/mois si allumées 24/7
  3 VMs avec auto-stop (10h/jour actif) : ~30-50 EUR/mois
  Ajouter stockage EBS/Managed Disk : 10-20 EUR/mois
  Data transfer typiquement inclus pour usage lab
 
Pour lab GOAD déployé dans AWS :
  EC2 instances avec Terraform
  VPC isolé, pas de public IP
  Bastion host pour accès SSH/RDP
  Auto-shutdown via Lambda programmée

+ Disponibilité 24/7 sans consommer électricité maison
+ Accès depuis n'importe où
+ Facile de reset ou redimensionner
+ Pas d'investissement matériel initial
 
- Coût mensuel récurrent (30-150 EUR selon config)
- Dépendance à Internet et latence
- Attention aux oublis d'arrêt (facturation surprise)
- Certains labs offensifs peuvent violer ToS cloud provider
  (vérifier avant de lancer scanning massif)

1. Enumeration avec BloodHound
   Run SharpHound sur un poste compromise
   Import dans BloodHound CE
   Explorer les paths vers Domain Admin
 
2. Password spraying
   kerbrute passwordspray -d domain.local users.txt 'Winter2026!'
   netexec smb dc01 -u users.txt -p passwords.txt
 
3. AS-REP Roasting
   GetNPUsers.py domain/ -no-pass -dc-ip DC_IP
   hashcat -m 18200 hashes.txt rockyou.txt
 
4. Kerberoasting
   GetUserSPNs.py domain/user -request -dc-ip DC_IP
   hashcat -m 13100 hashes.txt rockyou.txt -r best64.rule
 
5. Pass-the-Hash
   psexec.py -hashes :NTLM_HASH domain/user@target
   netexec smb target -u user -H NTLM_HASH -x "whoami"
 
6. SMB Relay avec Responder + ntlmrelayx
   Responder -I eth0 --no-auth
   ntlmrelayx.py -tf targets.txt --smb2support
 
7. Unconstrained Delegation abuse
   Identifier avec BloodHound (Find Principals with Unconstrained...)
   Coerce auth (PetitPotam, PrinterBug)
   Captured TGT → Pass-the-Ticket
 
8. Constrained Delegation et RBCD
   Rubeus s4u + asktgs
   Impersonation de Domain Admin
 
9. ADCS ESC1 à ESC15
   certipy find -u user -p password
   certipy req pour exploit template vulnerable
 
10. Golden Ticket et Persistence
    DCSync avec Impacket secretsdump
    krbtgt hash → Rubeus golden
    Access persistent indétectable

# Sur chaque VM Windows du lab
Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Sysmon.zip" -OutFile "sysmon.zip"
Expand-Archive sysmon.zip
 
# Config SwiftOnSecurity (référence communauté)
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml" -OutFile "sysmonconfig.xml"
 
# Installation avec config
.\Sysmon64.exe -accepteula -i sysmonconfig.xml

Wazuh (OSS, gratuit, simple)
  docker-compose up
  Agents Wazuh sur VMs
  Dashboard Kibana pré-configuré
 
Elastic Stack complet (ELK)
  Elasticsearch + Kibana + Winlogbeat + Elastic Agent
  Elastic Defend (EDR) en option
  Règles communautaires via Elastic Security Rules repo
 
Splunk Free (500 MB/jour, suffit pour lab)
  Forwarders Windows sur chaque VM
  Apps : Splunk App for Windows, Sigmac pour règles Sigma
 
Microsoft Sentinel (payant par ingestion)
  Pour tester Sentinel spécifiquement
  Free tier 31 jours exploitable

# Clone SigmaHQ/sigma (3000+ règles)
git clone https://github.com/SigmaHQ/sigma.git
 
# Conversion via pySigma vers votre SIEM
pip install pysigma pysigma-backend-splunk pysigma-backend-elasticsearch
 
# Exemple : règles lateral movement vers format Splunk
sigma convert -t splunk rules/windows/process_creation/*.yml > splunk_rules.conf

1. Attaque depuis Kali (une technique MITRE à la fois)
2. Collecte des logs vers le SIEM
3. Vérifier : la technique a-t-elle été détectée ?
   - Si oui : quelle latence ? quel niveau de confiance ?
   - Si non : quelle règle manque ? Comment la créer ?
4. Améliorer la détection (nouvelles règles Sigma, tuning)
5. Répéter avec la technique suivante
 
Objectif : construire une matrice MITRE ATT&CK couverte/non couverte
et augmenter la couverture progressivement.

Configuration recommandée :
  Réseau virtuel host-only (VirtualBox) ou internal (Hyper-V)
  Pas de carte réseau pontée vers Internet
  Pas de partage de fichiers entre hôte et lab sauf ISO
 
Si besoin d'Internet dans le lab (updates, Chocolatey) :
  Réseau NAT avec firewall restrictif
  Après setup, désactiver l'interface Internet

Usernames, noms de domaine, emails : fictifs
Passwords : faibles pour le lab mais pas des vrais mots de passe
            de vos comptes réels (évite contamination)
Données : pas de PII réelle, pas de données client