L’annuaire Active Directory (AD) a été introduit avec Windows 2000 Server. Il centralise les informations relatives aux utilisateurs et ressources d’une entreprise en fournissant des mécanismes d’identification et d’authentification tout en sécurisant l’accès aux données. Dans la mesure où l’AD contient des informations secrètes des utilisateurs, comme leurs informations d’identification, il constitue une cible de choix pour des actions malveillantes.
En effet, si un attaquant réussit à obtenir les droits d’administration du domaine, il dispose des privilèges d’administrateur local sur toutes les machines du domaine. Il est alors libre de mener les opérations souhaitées telles que le vol de données ou le sabotage (chiffrement des données contre une rançon).
La compromission d’un seul compte avec des droits privilégiés (administrateur du domaine) peut ainsi faire perdre la maîtrise totale du système d’information. Il est donc primordial de maîtriser et sécuriser son annuaire AD. Pour ce faire, voici 8 recommandations de sécurité à adopter.
Autodiagnostic de sécurité
Protégez votre organisation en réalisant gratuitement un audit de votre sécurité.
En moins de 2 minutes, obtenez votre plan d’action personnalisé.
1. Changez le mot de passe du compte administrateur local sur vos stations de travail et serveurs
Modifiez périodiquement le mot de passe du compte administrateur local de vos stations de travail et serveurs. Du fait de l’utilisation d’image système (master), le mot de passe administrateur local est souvent identique sur toutes les machines (mot de passe de l’image modèle).
Pour y remédier, Microsoft fournit un outil gratuit appelé Local Administrator Password Solution (LAPS). Cette solution permet de générer automatiquement et de manière aléatoire le mot de passe du compte administrateur local de tous les postes de travail du domaine. Le mot de passe est ainsi :
- unique sur chaque station de travail gérée
- généré aléatoirement
- stocké de manière sécurisée dans l’annuaire Active Directory.
2. Appliquez les correctifs sur l’ensemble de l’environnement (applications et systèmes d’exploitation)
Certains utilitaires permettent aux attaquants de récupérer un accès administrateur local sur une machine non à jour. Il est donc nécessaire de mettre à jour vos applications et vos systèmes d’exploitation dès que possible.
Microsoft met à disposition de ses utilisateurs des correctifs de sécurité tous les mois. Pensez à tester les correctifs sur quelques machines pilotes avant de généraliser leur déploiement.
3. Encadrez l’utilisation des mots de passe
Microsoft déconseille désormais aux utilisateurs de changer régulièrement de mot de passe, au risque que l’utilisateur finisse par choisir un mot de passe trop simple ou déjà utilisé pour sécuriser un autre compte. La règle qui demeure en la matière consiste à opter pour un mot de passe long, complexe (une phrase) et différent pour chaque compte. Encouragez donc vos utilisateurs à modifier les mots de passe par défaut et à choisir de bons mots de passe.
Parce que 10 identifiants et mots de passe différents sont utilisés au quotidien par vos utilisateurs, nous avons créé l’offre Mot de passe unique pour que la sécurité de votre infrastructure ne soit pas plus une contrainte pour vos collaborateurs. Consultez notre brochure.
4. Déployer une politique de délégation d’administration fine
Limitez le nombre de comptes administrateurs Active Directory à fort privilèges !
Active Directory dispose de mécanismes de délégation d’administration granulaire. Vous pouvez ainsi déléguer uniquement les droits requis par les administrateurs. Créez des niveaux d’accès à l’annuaire différents pour chaque compte d’administration :
- niveau 0 : utilisateurs en charge de l’administration de l’annuaire
- niveau 1 : administrateurs des serveurs et des applications
- niveau 2 : administrateurs des stations de travail.
Limitez les accès comme suit :
Ce modèle impose de brider les accès des comptes Tier 0 afin que ces derniers ne puissent plus se connecter sur les stations de travail et les serveurs.
5. Utilisez des postes d’administration à sécurité renforcée Secured-core PCs
Pour les postes administrateurs, optez pour des stations de travail à sécurité renforcée, dites Privileged Access Workstation (PAW). Ces machines disposent d’une sécurité renforcée (chiffrement du disque, protection contre des outils d’attaque…).
6. Protégez les contrôleurs de domaine (serveurs), ainsi que les serveurs de Tier 0 (Azure AD Connect…)
Les serveurs Tier 0 (contrôleurs de domaine, serveurs de synchronisation Azure AD Connect…) doivent disposer d’une configuration de sécurité plus stricte :
- chiffrement des machines
- enregistrement des actions des administrateurs (sous forme de vidéo).
- limitation du nombre de personnes autorisées à se connecter sur ces équipements.
Vous souhaitez vous assurer que vos serveurs disposent du niveau de sécurité nécessaire à la protection de vos données ? Réalisez un diagnostic de sécurité de votre organisation. Nos experts en cybersécurité auditent l’existant, vous soumet leurs recommandations détaillées et priorisées, puis vous accompagnent dans leur déploiement.
7. Faites régulièrement des sauvegardes et mettez-les à l’abri
Effectuez des sauvegardes automatiques, régulières et dans au moins 3 emplacements différents.
Dans la mesure du possible, vous devez effectuer une sauvegarde sur un média amovible afin de disposer d’une sauvegarde à froid de vos données. En effet, de nombreux virus ciblent maintenant les logiciels de sauvegarde.
8. Vérifiez régulièrement la configuration d’Active Directory
Réalisez régulièrement un audit de votre configuration Active Directory pour vous assurer de son bon paramétrage.
Conclusion : isolez, supervisez et corrigez
Votre annuaire Active Directory est la porte d’entrée à l’ensemble de votre organisation, pour vos utilisateurs légitimes, comme pour les personnes malveillantes. Il est donc capital de s’assurer que les mots de passe soient sécurisés, que les accès soient limités pour qu’un éventuel intrus ne s’infiltre pas dans l’ensemble du système, de mettre en place des systèmes de protection de votre annuaire et de toujours disposer de sauvegardes pour revenir à tout moment en arrière.
Parce que les cybercriminels ont toujours un coup d’avance, la supervision de son infrastructure n’est pas toujours aisée, même pour un responsable de systèmes d’information (RSI) aguerri. C’est pourquoi nos clients se reposent sur l’expertise de nos ingénieurs réseaux pour assurer la sécurité de leurs données. Labellisé CyberExpert, nous pouvons vous accompagner. Contactez-nous au 01 55 65 17 17 ou via notre formulaire de contact.
Commentaires