La création de flux de travail autour de la vérification de la réinitialisation des mots de passe peut être difficile pour les organisations, d’autant plus que beaucoup ont changé de travail en raison de la pandémie mondiale COVID-19.

Avec l’explosion du nombre de cyberattaques contre les entreprises et les informations d’identification compromises en étant souvent la cause, les entreprises doivent renforcer la sécurité autour de la réinitialisation des mots de passe sur les comptes d’utilisateurs.

Comment les organisations peuvent-elles renforcer la sécurité des réinitialisations de mot de passe pour les travailleurs à distance? Un flux de travail de sécurité peut impliquer l’approbation du responsable avant que les techniciens du support informatique puissent modifier le mot de passe d’un travailleur distant. De cette manière, le responsable de l’utilisateur est impliqué dans le processus.

En outre, certaines organisations peuvent choisir de permettre aux gestionnaires eux-mêmes de modifier les mots de passe des utilisateurs finaux. Comment cela peut-il être configuré dans Active Directory? Existe-t-il également une solution plus transparente pour exiger l’approbation du responsable pour la réinitialisation des mots de passe?

Pourquoi la sécurité de réinitialisation de mot de passe est essentielle

Cette dernière année a sans aucun doute créé de nombreux défis pour le personnel du service d’assistance informatique, y compris le soutien d’une main-d’œuvre composée principalement de travailleurs distants. L’une des difficultés associées aux employés distants est un défi de sécurité lié à la réinitialisation des mots de passe.

Les cybercriminels utilisent de plus en plus les attaques d’identité pour compromettre les environnements. Il fournit souvent le «chemin de moindre résistance» dans un environnement. Si des informations d’identification valides sont compromises, il s’agit souvent du moyen le plus simple d’attaquer et de compromettre les données et les systèmes critiques pour l’entreprise.

Les employés travaillant à distance, les techniciens du support informatique prenant en charge le déverrouillage des comptes et les changements de mot de passe n’ont plus d’interaction en face à face avec les employés travaillant «à l’intérieur» de l’environnement sur site.

Les organisations peuvent être suffisamment grandes pour que les techniciens informatiques ne connaissent pas personnellement chaque employé qui peut travailler à distance. Cela introduit la possibilité qu’un attaquant se fasse passer pour un employé légitime et le personnel du support technique d’ingénierie sociale pour réinitialiser un mot de passe de compte légitime.

En outre, un périphérique client d’utilisateur final compromis peut conduire à des réinitialisations de mot de passe illégitimes des comptes d’utilisateurs finaux.

Reconnaissant les nouvelles menaces d’identité auxquelles sont confrontées les organisations aujourd’hui, les administrateurs informatiques peuvent souhaiter obtenir l’approbation de la direction pour la réinitialisation des mots de passe des comptes des employés. Cette tâche peut même être déléguée aux responsables des utilisateurs finaux travaillant dans leurs services. Comment les réinitialisations de mot de passe par les responsables de service peuvent-elles être configurées rapidement à l’aide des fonctionnalités intégrées d’Active Directory?

Délégation des autorisations de réinitialisation de mot de passe dans Active Directory

Microsoft Active Directory contient une fonctionnalité qui permet déléguer autorisations à certains utilisateurs ou groupes pour effectuer des tâches très granulaires. Ces tâches comprennent réinitialisation du mot de passe. Pour configurer la délégation des autorisations de réinitialisation de mot de passe, vous pouvez suivre le processus ci-dessous.

Commencer à configurer les options de contrôle délégué dans Active Directory
Commencer à configurer les options de contrôle délégué dans Active Directory

Il lance le Assistant de délégation de contrôle, qui permet d’abord de choisir un utilisateur ou un groupe auquel vous souhaitez attribuer des autorisations. Ici vous cliquez Ajouter… pour ajouter un utilisateur ou un groupe. Nous avons déjà ajouté le groupe ci-dessous – DLGRP_PasswordReset, un groupe local de domaine créé dans Active Directory. Il est toujours préférable d’utiliser des groupes pour gérer la délégation d’autorisations. Il permet d’ajouter ou de supprimer rapidement et facilement des utilisateurs spécifiques sans avoir à passer par l’assistant de délégation d’autorisations à chaque fois.

Choisissez les utilisateurs et les groupes qui assumeront les autorisations
Choisissez les utilisateurs et les groupes qui assumeront les autorisations

Sur le Tâches à déléguer écran, sous Déléguez les tâches courantes suivantes, choisissez Réinitialiser les mots de passe des utilisateurs et forcer le changement de mot de passe à la prochaine connexion option. Cliquez sur Prochain.

Choix de l'option Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine connexion
Choix de l’option Réinitialiser les mots de passe utilisateur et forcer le changement de mot de passe à la prochaine connexion

Terminez l’assistant de délégation de contrôle.

Terminer l'assistant de délégation de contrôle
Terminer l’assistant de délégation de contrôle

Affecter des administrateurs à la réinitialisation des mots de passe

En utilisant le processus illustré ci-dessus, les administrateurs peuvent ajouter des gestionnaires au groupe auquel a été déléguée l’autorisation de réinitialisation des mots de passe. Il permet de pointer vers un utilisateur ou un groupe spécifique pour déléguer des autorisations pour réinitialiser les mots de passe.

Comme mentionné, il est toujours recommandé lors de la création d’une délégation d’autorisations dans Active Directory de l’attribuer à un groupe, même si vous déléguez des autorisations à un utilisateur. Cela rend la gestion du cycle de vie de la délégation d’autorisations beaucoup plus gérable.

Cependant, la ressource de groupe Active Directory est assez statique dans ce contexte. En dehors de Microsoft Exchange Server et groupes de distribution dynamique, Active Directory n’a pas de méthode native intégrée pour créer dynamique groupes de sécurité qui sont remplis en fonction des attributs Active Directory.

Y a-t-il un moyen d’avoir groupes de sécurité dynamiques dans Active Directory en utilisant une approche scriptée? Oui il y a. Utilisation de PowerShell et du get-aduser applets de commande et quelques autres applets de commande PowerShell liées à Active Directory, vous pouvez interroger efficacement Active Directory pour les utilisateurs contenant des caractéristiques spécifiques, puis ajouter ou supprimer ces utilisateurs de groupes spécifiques.

Vous pouvez créer des scripts PowerShell personnalisés pour ce faire. Cependant, quelques ressources peuvent vous permettre de vous familiariser rapidement avec un script PowerShell personnalisé pour ajouter et supprimer des utilisateurs des groupes de sécurité en fonction de l’emplacement, des attributs et d’autres fonctionnalités de l’utilisateur.

Pensons à un cas d’utilisation lié à l’approbation de la direction pour la réinitialisation des mots de passe. Supposons que vous vouliez accorder aux gestionnaires les autorisations de réinitialiser les mots de passe. Dans ce cas, vous pouvez effectuer des scripts PowerShell conjointement avec l’assistant de délégation et disposer d’un processus automatisé pour ajouter et supprimer des gestionnaires d’Active Directory dans un groupe configuré pour les réinitialisations de mot de passe.

Notez les ressources PowerShell suivantes pour cela:

Voici un exemple basé sur le Code OSHub Windows comment utiliser PowerShell et rechercher “Manager” dans le Titre attribut.

Vous pouvez planifier le script PowerShell ci-dessus pour qu’il s’exécute à des intervalles planifiés avec une tâche planifiée pour ajouter ou supprimer des utilisateurs des autorisations de réinitialisation de mot de passe déléguées du groupe de manière dynamique.

Specops uReset – Une meilleure approche des approbations du gestionnaire de réinitialisation de mot de passe

Le logiciel Specops offre une bien meilleure approche automatisée pour permettre l’approbation du gestionnaire pour les réinitialisations de mot de passe. Specops uReset est un solution de réinitialisation de mot de passe en libre-service (SSPR) qui permet aux utilisateurs finaux de réinitialiser leurs mots de passe en toute sécurité.

De plus, avec Specops uReset, vous pouvez ajouter la possibilité de Identification du gestionnaire. Lorsqu’un utilisateur s’authentifie avec l’identification du responsable, la demande d’authentification est envoyée à son responsable sous la forme d’un message texte ou d’une communication par courrier électronique. Le responsable de l’utilisateur doit ensuite confirmer l’identité de l’utilisateur pour approuver la demande de réinitialisation du mot de passe.

Il améliore considérablement la sécurité de la fonctionnalité de réinitialisation de mot de passe puisque deux personnes sont impliquées. Il permet également de fournir un workflow de contrôle des modifications pour demandes de réinitialisation de mot de passe et piste d’audit.

Il y a deux conditions requises par Specops pour utiliser l’approbation du gestionnaire:

  • Chaque compte utilisateur doit avoir un responsable qui leur est attribué dans Active Directory.
  • Chaque compte administrateur doit avoir une adresse e-mail / un numéro de téléphone mobile associé à son compte dans Active Directory, pour pouvoir recevoir des demandes d’authentification des utilisateurs.

Pour attribuer un gestionnaire à l’aide de PowerShell à tous les membres du groupe Active Directory, vous pouvez utiliser le code Powershell suivant.

get-aduser -filter “département -eq ‘Comptabilité’ -AND samaccountname | set-aduser -manager jdoe

Dans l’administration de Specops uReset Services d’identité configuration, vous pouvez configurer Identification du gestionnaire. Vous pouvez choisir entre les notifications par e-mail et par SMS.

Configuration de l'identification du gestionnaire dans Specops uReset
Configuration de l’identification du gestionnaire dans Specops uReset

Emballer

La sécurisation de la réinitialisation des mots de passe est un domaine critique des organisations de sécurité dont les organisations doivent s’occuper pour sécuriser les comptes d’utilisateurs finaux distants. Bien que vous puissiez utiliser une approche PowerShell scriptée pour créer des groupes de sécurité Active Directory dynamiques, sa maintenance peut être problématique et elle ne s’adapte pas très bien.

Specops uReset fournit un moyen simple de mettre en œuvre des réinitialisations de mot de passe en libre-service (SSPR) avec des contrôles de sécurité supplémentaires tels que l’approbation du gestionnaire. Grâce à Specops uReset, les entreprises peuvent facilement demander aux gestionnaires d’approuver les demandes de réinitialisation de mot de passe des utilisateurs finaux.

En savoir plus sur Réinitialisation du mot de passe en libre-service Specops uReset avec des fonctionnalités d’approbation du gestionnaire.



Leave a Reply