Active Directory (AD) est un puissant service d’authentification et d’annuaire utilisé par les organisations du monde entier. Cette ubiquité et ce pouvoir s’accompagnent d’un potentiel d’abus. Les menaces internes offrent l’un des plus grands potentiels de destruction. De nombreux utilisateurs internes disposent d’un accès et d’une visibilité surdimensionnés sur le réseau interne.
Le niveau d’accès et de confiance des initiés dans un réseau entraîne des vulnérabilités uniques. La sécurité du réseau se concentre souvent sur l’éloignement d’un acteur menaçant, et non sur la sécurité des utilisateurs existants et les vulnérabilités potentielles. Rester au courant des menaces potentielles signifie se protéger contre les menaces internes et externes.
Vulnérabilités d’Active Directory
De l’extérieur, un domaine AD correctement configuré offre une solution d’authentification et d’autorisation sécurisée. Mais avec des attaques complexes d’ingénierie sociale et de phishing par e-mail, un utilisateur AD existant peut être compromis. Une fois à l’intérieur, les pirates disposent de nombreuses options pour attaquer Active Directory.
Appareils non sécurisés
Avec la croissance du « Bring Your Own Device » (BYOD), la prise en charge des appareils et la complexité de la sécurité augmentent. Si les utilisateurs connectent un appareil déjà compromis ou doté de mesures de sécurité inadéquates, les attaquants disposent d’un moyen simple d’accéder au réseau interne.
Dans le passé, un attaquant devait se faufiler pour installer un appareil malveillant. Maintenant, cependant, un utilisateur avec un appareil compromis fait le travail acharné pour lui. De plus, de nombreux travailleurs peuvent également connecter leurs smartphones ou tablettes au réseau. Cela signifie qu’au lieu d’un seul ordinateur portable fourni par le travail, vous pouvez avoir deux ou trois appareils utilisateur qui ne sont pas soumis aux mêmes mesures de sécurité.
Accès surprovisionné
L’ajout de complexité à la sécurité interne est le problème courant de l’accès surdimensionné. Les organisations ont souvent tendance à étendre l’accès au lieu de le restreindre. Un simple acte de convenance pour résoudre un problème peut avoir pour conséquence involontaire de créer un vecteur d’attaque potentiel, qui est alors souvent oublié.
Pour les utilisateurs qui sont également administrateurs, il n’y a pas toujours de compte « Administrateur » hautement sécurisé créé pour séparer les différents niveaux d’accès. De cette façon, la commodité d’autoriser les tâches administratives via un compte d’utilisateur standard ouvre la porte à des abus endémiques en raison d’un compte compromis et hautement privilégié.
Politiques de mot de passe faible
De nombreuses organisations, en particulier les plus grandes, peuvent avoir des politiques de mot de passe plus faibles en raison des diverses applications qu’elles prennent en charge. Toutes les applications ne sont pas identiques et certaines ne prennent pas en charge les dernières normes de sécurité. Par exemple, ceux qui ne prennent pas en charge la signature LDAP ou TLS sur LDAP avec LDAPS.
Une politique de mot de passe faible associée à un manque d’authentification multifacteur facilite le crackage d’un hachage récupéré grâce à une technique telle que Keberoasting via un compte interne privilégié. Cela contraste fortement avec une politique de mots de passe forte et une authentification multifacteur, qui rendent beaucoup plus difficile l’accès à un système ou à un réseau en cassant un hachage.
Meilleures pratiques pour sécuriser Active Directory
Pour sécuriser Active Directory, il existe de nombreuses bonnes pratiques à suivre. Sur la base des thèmes de sécurité décrits précédemment, en voici plusieurs :
Il est essentiel de former les utilisateurs à identifier les e-mails de phishing potentiels et les attaques d’ingénierie sociale. De plus, les utilisateurs doivent être découragés de cliquer sur les pièces jointes et les organisations doivent utiliser des systèmes qui analysent les contenus malveillants. Ces mesures peuvent aider à réduire le risque d’une attaque réussie.
Mais supposons qu’AD ait déjà été compromis. Une organisation peut et doit examiner en profondeur les autorisations attribuées aux utilisateurs et aux systèmes actifs et inactifs ou mis hors service. Existe-t-il des moyens de séparer les autorisations des comptes d’utilisateurs typiques et de les attribuer à des comptes administratifs spéciaux avec un niveau de sécurité plus élevé ?
L’activation de l’authentification multifacteur avec une politique de mot de passe fort est essentielle pour créer certaines des protections les plus solides disponibles. Comme de nombreuses attaques d’ingénierie sociale reposent sur l’apprentissage et la compromission des sites externes d’un utilisateur où un mot de passe réutilisé pourrait offrir un pied, une organisation doit imposer des mots de passe forts.
Maintenir la sécurité d’Active Directory avec la politique de mot de passe Specops
De nombreuses recommandations de sécurité reposent sur une politique de mot de passe solide. Les configurations par défaut d’Active Directory et les outils utilisateur sont inadéquats. Pour s’assurer que les utilisateurs respectent les politiques de mot de passe telles que NIST, CJIS et PCI, et bloquer les mots de passe faibles, les organisations peuvent utiliser Politique de mot de passe Specops. Il donne à votre organisation la possibilité de créer des listes de dictionnaires personnalisés et de bloquer les noms d’utilisateur, les noms d’affichage, les mots spécifiques, les caractères consécutifs, les mots de passe incrémentiels et de réutiliser une partie du mot de passe actuel ; tout en fournissant des commentaires en temps réel aux utilisateurs.
Le module complémentaire Breached Password Protection améliore encore la sécurité en alertant les utilisateurs en temps réel si le mot de passe choisi figure sur une liste de mots de passe violés. Il fournit également une analyse approfondie pour détecter plus de 3 milliards de mots de passe compromis sur les comptes d’un domaine AD.
Protection d’Active Directory contre les menaces internes
Bien qu’il puisse être impossible de se protéger contre toutes les menaces, en examinant en profondeur les structures d’autorisation existantes, les utilisateurs actifs et la mise en œuvre technique d’Active Directory, une organisation peut faire beaucoup pour sécuriser son environnement. Avec Politique de mot de passe Specopsfaites passer votre politique de mot de passe au niveau supérieur grâce à la protection contre les violations de mot de passe et en imposant des mots de passe uniques et sécurisés à tous les niveaux.
