Quels ports utilise Active Directory ?
La liste complète des ports nécessaires à un contrôleur de domaine — Kerberos, LDAP, SMB, RPC, catalogue global — et pourquoi ils ne doivent jamais être exposés.
Active Directory est l'un des services les plus bavards d'un réseau Windows. Un seul contrôleur de domaine écoute sur plus d'une douzaine de ports en TCP et UDP, et les serveurs membres, les postes de travail et les applications ont tous besoin de chemins prévisibles pour l'atteindre. Configurer correctement les règles de pare-feu est essentiel — à la fois pour que l'authentification fonctionne réellement et pour qu'aucun de ces ports ne se retrouve exposé sur Internet. Cet article liste chaque port utilisé par un contrôleur de domaine, explique le rôle de chacun, et aborde les angles de segmentation et d'attaque. Vous pouvez consulter chacun de ces ports sur ProtocolPorts ou parcourir tous les ports.
La référence des ports Active Directory
| Port | Protocole / Service | Rôle |
|---|---|---|
| 53 | DNS (TCP/UDP) | Résolution de noms et localisation des contrôleurs de domaine via les enregistrements SRV |
| 88 | Kerberos (TCP/UDP) | Authentification — émission de tickets pour les utilisateurs et les machines |
| 123 | NTP (UDP) | Synchronisation de l'heure ; Kerberos échoue si les horloges dérivent de plus de 5 minutes |
| 135 | Mappeur de points de terminaison RPC (TCP) | Localise les services RPC dynamiques pour la réplication et l'administration |
| 137 | Service de noms NetBIOS (UDP) | Résolution de noms héritée |
| 139 | Session NetBIOS (TCP) | Trafic hérité SMB-sur-NetBIOS de fichiers et d'authentification |
| 389 | LDAP (TCP/UDP) | Requêtes d'annuaire et authentification sur un domaine |
| 445 | SMB (TCP) | Distribution des stratégies de groupe, partages SYSVOL/NETLOGON, RPC sur SMB |
| 636 | LDAPS (TCP) | LDAP chiffré par TLS |
| 3268 | Catalogue global (TCP) | Recherches d'annuaire à l'échelle de la forêt |
| 3269 | Catalogue global sur TLS (TCP) | Recherches chiffrées à l'échelle de la forêt |
| 5985 | WinRM / HTTP (TCP) | Administration à distance et PowerShell remoting |
| 5986 | WinRM / HTTPS (TCP) | Administration à distance chiffrée |
| 9389 | AD Web Services (TCP) | ADWS — utilisé par le module PowerShell AD et les outils d'administration |
Ports d'authentification et d'annuaire
Kerberos — port 88
Kerberos est le protocole d'authentification principal d'un domaine moderne. Lorsqu'un utilisateur se connecte, le centre de distribution de clés (KDC) du contrôleur de domaine émet des tickets via le port 88, en TCP comme en UDP. Sans ce port ouvert entre les clients et les contrôleurs de domaine, les connexions basculent en mode dégradé ou échouent totalement.
LDAP et LDAPS — port 389 et port 636
LDAP sur le port 389 permet aux applications et aux clients d'interroger l'annuaire et d'effectuer une authentification par liaison simple. Comme le LDAP en clair peut transporter des identifiants, il faut privilégier LDAPS sur le port 636, qui encapsule le même protocole dans du TLS.
Catalogue global — port 3268 et port 3269
Dans une forêt multi-domaines, le catalogue global fournit une réplique partielle de chaque domaine. Des applications comme Exchange interrogent le port 3268 (ou son équivalent TLS port 3269) pour effectuer une recherche sur toute la forêt en une seule fois.
DNS et NTP — port 53 et port 123
Active Directory repose sur le DNS. Les clients utilisent le port 53 pour trouver les enregistrements SRV qui pointent vers les contrôleurs de domaine. L'heure compte aussi : Kerberos rejette les tickets lorsque les horloges diffèrent de plus de cinq minutes, c'est pourquoi le NTP sur le port 123 maintient le domaine synchronisé.
Ports de fichiers, RPC et administration
SMB — port 445
SMB sur le port 445 transporte les stratégies de groupe, les partages SYSVOL et NETLOGON, ainsi qu'une grande quantité de trafic RPC. Chaque machine jointe au domaine communique avec un contrôleur de domaine via ce port au démarrage et à chaque actualisation des stratégies.
Mappeur de points de terminaison RPC — port 135
La réplication entre contrôleurs de domaine et de nombreux appels d'administration utilisent RPC. Les clients contactent d'abord le mappeur de points de terminaison sur le port 135, qui les redirige ensuite vers un port haut attribué dynamiquement. Dans les environnements fortement filtrés, vous pouvez restreindre cette plage dynamique.
NetBIOS hérité — port 137 et port 139
Le port 137 (service de noms) et le port 139 (service de session) sont des vestiges de NetBIOS. Les domaines modernes fonctionnent parfaitement avec SMB sur le port 445, et il vaut mieux désactiver NetBIOS — c'est le protocole exploité par l'empoisonnement NBT-NS.
WinRM et AD Web Services — port 5985, port 5986, port 9389
L'administration à distance s'effectue via WinRM sur le port 5985 (HTTP) et le port 5986 (HTTPS). Le module PowerShell AD et plusieurs consoles d'administration communiquent avec AD Web Services sur le port 9389.
Pare-feu et segmentation : gardez AD hors d'Internet
Aucun de ces ports n'a sa place sur Internet. Un contrôleur de domaine accessible depuis l'extérieur est une invitation ouverte au password spraying, au Kerberoasting (demande de tickets de service pour les cracker hors ligne) et au vol d'identifiants. Placez les contrôleurs de domaine dans un niveau strictement segmenté et n'autorisez que les ports ci-dessus depuis des sous-réseaux de confiance.
Surveillez aussi les attaques classiques sur le LAN. L'empoisonnement LLMNR et NBT-NS permet à un attaquant de répondre aux requêtes de résolution de noms en diffusion et de récolter des hachages NTLM — désactivez LLMNR et NetBIOS pour y mettre fin. Ces hachages alimentent les attaques de relais SMB contre le port 445, alors imposez la signature SMB sur tous les contrôleurs de domaine. Si du personnel distant a besoin d'AD, exposez-le derrière un VPN plutôt que d'ouvrir l'un de ces ports.
Conclusion
Un contrôleur de domaine est un écouteur très actif : Kerberos sur le port 88, LDAP sur le port 389, le catalogue global sur le port 3268, SMB sur le port 445 et RPC sur le port 135 en forment le cœur, complétés par DNS, NTP, WinRM et ADWS. Ouvrez exactement ces ports entre les clients et les contrôleurs de domaine, désactivez le NetBIOS hérité, imposez la signature SMB et LDAPS, et ne laissez jamais rien de tout cela toucher Internet. Utilisez ProtocolPorts pour confirmer le rôle de n'importe quel port, ou parcourir tous les ports.