Meilleures pratiques en matière de sécurité Active Directory
Les attaquants s’obstinent à vouloir compromettre les services Active Directory en raison de leur rôle dans l’autorisation de l’accès aux données critiques et confidentielles.
A mesure que les organisations se développent, leur infrastructure devient de plus en plus complexe, ce qui les rend beaucoup plus vulnérables aux attaques, car il est plus difficile de garder la trace des modifications, des événements et des autorisations importantes du système.
Il devient également beaucoup plus difficile pour les organisations de déterminer où se trouvent leurs données sensibles et le type de politique de sécurité le plus approprié pour protéger ces données.
Dans ce blog, nous allons passer en revue certaines meilleures pratiques Active Directory qui vous aideront à améliorer la sécurité globale de votre environnement Active Directory.
- Pourquoi devriez-vous vous soucier de la sécurité Active Directory ?
- Menaces courantes pour la sécurité d’Active Directory
- Vulnérabilités du système Active Directory
- Menaces internes dans Active Directory
- Les autorisations excessives
- Bonnes pratiques pour la sécurité d’Active Directory
- Gérer les groupes de sécurité de l’Active Directory
- Nettoyer les comptes d’utilisateurs inactifs dans AD
- Surveiller les administrateurs locaux
- Ne pas utiliser les GPO pour définir les mots de passe
- Auditer les connexions des contrôleurs de domaine (DC)
- Assurer une protection LSASS
- Assurer une politique de mot de passe rigoureuse
- Méfiez-vous des groupes imbriqués
- Supprimer l’accès ouvert
- Droits de connexion au serveur d’audit
- Adopter le principe du moindre privilège pour la sécurité de l’AD
- Sauvegarder votre Active Directory et avoir une méthode de récupération
- Activer la surveillance de la sécurité d’Active Directory pour les signes de compromission
- Auditer les changements d’Active Directory
- Comment sécuriser Active Directory avec Lepide
Pourquoi devriez-vous vous soucier de la sécurité Active Directory ?
Active Directory est essentiellement le cœur battant de votre environnement informatique. La plupart des attaques ou des menaces de sécurité auxquelles vous serez confronté impliqueront votre Active Directory d’une manière ou d’une autre.
Une personne extérieure cherchant à accéder à vos données, par exemple, peut chercher à voler des informations d’identification ou à installer un logiciel malveillant pour compromettre un compte. Une fois à l’intérieur de votre AD, ils peuvent escalader leurs privilèges et se déplacer latéralement dans le système, obtenant ainsi l’accès à vos données sensibles.
C’est pourquoi il est vital d’avoir une bonne sécurité Active Directory et de s’assurer que vous surveillez et auditez constamment les changements apportés à AD afin de pouvoir repérer les attaques potentielles et réagir en temps opportun.
Menaces courantes pour la sécurité d’Active Directory
Parce qu’Active Directory existe depuis si longtemps, les attaquants ont trouvé de multiples façons d’exploiter les failles de sécurité.
Microsoft a été proactif dans le colmatage des brèches dans la sécurité d’Active Directory, mais les attaquants trouveront toujours différentes façons d’exploiter le système et les humains qui les utilisent.
Les menaces de sécurité d’Active Directory se répartissent globalement en deux catégories ; les vulnérabilités du système et les menaces des initiés.
Vulnérabilités du système Active Directory
Active Directory utilise l’authentification Kerberos qui présente de nombreuses vulnérabilités, telles que Pass the Hash, Pass the Ticket, Golden Ticket et Silver Ticket. AD prend également en charge le chiffrement NTLM, un vestige de l’époque où le chiffrement NTLM était réellement utilisé dans AD, malgré une sécurité médiocre. Les attaques par force brute sont également une méthode courante pour les attaquants de se frayer un chemin dans AD.
Menaces internes dans Active Directory
La façon la plus courante dont votre sécurité Active Directory est susceptible d’être contournée est par des menaces internes. Les attaques de phishing, l’ingénierie sociale et le spear-phishing réussissent souvent avec vos utilisateurs qui ne sont pas conscients de la sécurité, permettant aux attaquants d’accéder à votre AD avec des informations d’identification volées.
Les autorisations excessives
Les autorisations excessives sont également une menace courante pour la sécurité d’Active Directory, les utilisateurs étant soit négligents, soit intentionnellement malveillants avec des données auxquelles ils n’auraient même pas dû avoir accès en premier lieu.
Bonnes pratiques pour la sécurité d’Active Directory
Afin de contrer efficacement certaines des vulnérabilités et des risques de sécurité d’Active Directory que nous avons abordés dans la section ci-dessus, les experts AD ici chez Lepide ont compilé une liste de bonnes pratiques que vous pouvez adopter.
Un résumé de notre liste de contrôle des meilleures pratiques de sécurité Active Directory est présenté ci-dessous :
- Gérer les groupes de sécurité Active Directory
- Nettoyer-.Up Inactive User Accounts in AD
- Monitoring Local Administrators
- Don’t Use GPOs to Set Passwords
- Audit Domain Controller (DC) Logons
- Ensure LSASS. protection
- Ayez une politique stricte en matière de mots de passe
- Méfiez-vous des groupes imbriqués
- Supprimez l’accès libre
- Vérifiez les droits de connexion au serveur
- Adoptez le principe du moindre privilège pour AD. du moindre privilège pour la sécurité de l’AD
- Sauvegardez votre Active Directory et disposez d’une méthode de récupération
- Activer la surveillance de la sécurité de l’Active Directory pour les signes de compromission
- Auditer les modifications de l’Active Directory
Gérer les groupes de sécurité de l’Active Directory
Les membres affectés aux groupes de sécurité de l’Active Directory tels que Domain, Enterprise, et Schema Administrators se voient accorder le niveau maximal de privilèges dans un environnement Active Directory. En tant que tel, un attaquant, ou un initié malveillant, affecté à l’un de ces groupes, aura libre cours à votre environnement AD ainsi qu’à vos données critiques.
Le respect des meilleures pratiques pour les groupes de sécurité Active Directory, comme la limitation de l’accès dans la mesure du possible aux seuls utilisateurs qui en ont besoin, ajoutera une autre couche de sécurité à votre AD.
Pour une liste complète des meilleures pratiques pour les groupes de sécurité Active Directory, cliquez ici.
Nettoyer les comptes d’utilisateurs inactifs dans AD
Les comptes d’utilisateurs inactifs présentent un risque de sécurité sérieux pour votre environnement Active Directory car ils sont souvent utilisés par des administrateurs véreux et des pirates pour accéder à des données critiques sans éveiller les soupçons.
C’est toujours une bonne idée de gérer les comptes d’utilisateurs inactifs. Vous pourriez probablement trouver un moyen de garder une trace des comptes utilisateurs inactifs en utilisant PowerShell ou en utilisant une solution comme Lepide Active Directory Cleanup.
Surveiller les administrateurs locaux
Il est très important pour les organisations de savoir ce que font les administrateurs locaux et comment leur accès a été accordé. Lors de l’octroi d’accès aux administrateurs locaux, il est important de suivre la règle du « principe du moindre privilège ».
Ne pas utiliser les GPO pour définir les mots de passe
En utilisant les objets de stratégie de groupe (GPO), il est possible de créer des comptes d’utilisateur et de définir des mots de passe, y compris des mots de passe d’administrateur local, dans Active Directory.
Des attaquants ou des initiés malveillants peuvent exploiter ces GPO pour obtenir et décrypter les données de mot de passe sans droits d’accès élevés. De telles éventualités peuvent avoir de vastes répercussions sur l’ensemble du réseau.
Cela souligne l’importance de s’assurer que les sysadmins disposent d’un moyen de repérer et de signaler les vulnérabilités potentielles des mots de passe.
Auditer les connexions des contrôleurs de domaine (DC)
Il est très important que les sysadmins aient la possibilité d’auditer qui se connecte à un contrôleur de domaine afin de protéger les utilisateurs privilégiés et tous les actifs auxquels ils ont accès.
C’est un angle mort courant pour les organisations car elles ont tendance à se concentrer sur les administrateurs d’entreprise et de domaine et à oublier que d’autres groupes peuvent avoir des droits d’accès inappropriés aux contrôleurs de domaine.
Assurer une protection LSASS
À l’aide d’outils de piratage comme Mimikatz, les attaquants peuvent exploiter le service de sous-système d’autorité de sécurité locale (LSASS) pour extraire les informations d’identification de l’utilisateur, qui peuvent ensuite être utilisées pour accéder aux actifs associés à ces informations d’identification.
Assurer une politique de mot de passe rigoureuse
Assurer une politique de mot de passe efficace est crucial pour la sécurité de votre organisation. Il est important que les utilisateurs changent leurs mots de passe périodiquement. Les mots de passe qui sont rarement, ou jamais changés, sont moins sûrs car cela crée une plus grande opportunité pour qu’ils soient volés.
Enfin, votre organisation devrait avoir un système automatisé qui permet aux mots de passe d’expirer après une période donnée. En outre, le Lepide User Password Expiration Reminder est un outil utile qui rappelle automatiquement aux utilisateurs d’Active Directory lorsque leurs mots de passe sont proches de leur date d’expiration.
Un problème que beaucoup semblent incapables de surmonter est que les mots de passe complexes ne peuvent pas être mémorisés facilement. Cela conduit les utilisateurs à noter le mot de passe ou à le stocker sur leur machine. Pour surmonter ce problème, les organisations utilisent des phrases de passe au lieu de mots de passe pour augmenter la complexité sans rendre les mots de passe impossibles à retenir.
Méfiez-vous des groupes imbriqués
Il est courant pour les administrateurs d’imbriquer des groupes à l’intérieur d’autres groupes comme moyen d’organiser rapidement l’appartenance à un groupe. Cependant, une telle imbrication de groupes représente un défi pour les administrateurs car il est plus difficile pour eux de déterminer qui a accès à quel groupe, et pourquoi.
Il est important que vous puissiez identifier les groupes qui ont le plus grand nombre de groupes imbriqués et combien de niveaux d’imbrication un groupe a. Il est également important de savoir qui, quoi, où et quand les changements de stratégie de groupe ont lieu.
Supprimer l’accès ouvert
Il est courant que des identifiants de sécurité bien connus, tels que Tout le monde, Utilisateurs authentifiés et Utilisateurs du domaine, soient utilisés pour accorder des privilèges d’utilisateur inappropriés à des ressources réseau telles que des partages de fichiers. L’utilisation de ces identifiants de sécurité peut permettre aux pirates d’exploiter le réseau de l’organisation, car ils auront accès à un grand nombre de comptes utilisateurs.
Droits de connexion au serveur d’audit
Les politiques de sécurité locales sont contrôlées par la politique de groupe via un certain nombre d’affectations de droits d’utilisateur, notamment :
- Autoriser la connexion localement
- La connexion en tant que travail par lots
- Autoriser la connexion via les services de bureau à distance
- La connexion en tant que service, etc.
Ces affectations permettent aux non-administrateurs d’exécuter des fonctions qui sont généralement réservées aux administrateurs. Si ces fonctions ne sont pas analysées, restreintes et soigneusement auditées, des attaquants pourraient les utiliser pour compromettre le système en volant des informations d’identification et d’autres informations sensibles.
Adopter le principe du moindre privilège pour la sécurité de l’AD
Le principe du moindre privilège est l’idée que les utilisateurs ne devraient avoir que les droits d’accès minimums requis pour exécuter leurs fonctions professionnelles – tout ce qui est supérieur est considéré comme excessif.
Vous devriez auditer votre Active Directory pour déterminer qui a accès à vos données les plus sensibles et lesquels de vos utilisateurs ont des privilèges élevés. Vous devriez viser à restreindre les permissions à tous ceux qui n’en ont pas besoin.
Sauvegarder votre Active Directory et avoir une méthode de récupération
Il est recommandé de sauvegarder votre Active Directory régulièrement, avec des intervalles qui ne dépassent pas 60 jours. En effet, la durée de vie des objets AD tombstone est, par défaut, de 60 jours. Vous devriez essayer d’inclure votre sauvegarde AD dans votre plan de reprise après sinistre pour vous aider à vous préparer à tout événement désastreux. En règle générale, au moins un contrôleur de domaine doit être sauvegardé.
Vous pouvez envisager d’utiliser une solution de récupération plus sophistiquée qui vous aidera à sauvegarder et à restaurer les objets AD dans leur état d’origine. L’utilisation de solutions au lieu de compter sur les méthodes de récupération natives finira par vous faire gagner des seaux de temps.
Activer la surveillance de la sécurité d’Active Directory pour les signes de compromission
Pouvoir auditer et surveiller de manière proactive et continue votre Active Directory vous permettra de repérer les signes d’une brèche ou d’une compromission. Dans la plupart des cas, les violations graves de la sécurité peuvent être évitées par l’utilisation de solutions de surveillance.
Des enquêtes récentes ont suggéré que, malgré les preuves que la surveillance aide à améliorer la sécurité, plus de 80% des organisations ne le font toujours pas activement.
Auditer les changements d’Active Directory
Il est crucial que vous devez garder une trace de tous les changements apportés à Active Directory. Toute modification non désirée ou non autorisée peut causer de graves dommages à la sécurité de votre Active Directory.
Comment sécuriser Active Directory avec Lepide
Chez Lepide, notre solution d’audit et de surveillance de l’Active Directory vous permet d’obtenir un aperçu en temps réel et exploitable des modifications apportées à votre Active Directory. Vous serez en mesure de repérer les signes de compromission en temps réel et d’agir plus rapidement pour éviter des incidents potentiellement désastreux.
Si vous recherchez une solution d’audit d’Active Directory qui fournit des alertes en temps réel et des rapports prédéfinis, cela vaut la peine de vérifier Lepide Active Directory Auditor. Il est livré avec un essai gratuit de 15 jours pour vous aider à évaluer la solution.