Qu’est-ce que la sécurité d’Active Directory ?
Active Directory est un service d’annuaire offert par Microsoft Windows qui aide les administrateurs à configurer les autorisations et l’accès au réseau. Microsoft Windows Active Directory comprend plusieurs services : services de domaine Active Directory, services de certificats Active Directory et services de fédération Active Directory.
Les administrateurs informatiques utilisent les services Microsoft Active Directory pour exécuter divers processus journaliers, notamment les flux de travail des contrôleurs de domaine. Par exemple, lorsqu’un utilisateur se connecte à un terminal joint à un domaine, les contrôleurs de domaine authentifient le nom d’utilisateur et le mot de passe. Si l’utilisateur est un administrateur système, les contrôleurs de domaine peuvent accorder des autorisations supplémentaires.
Il est important d’assurer la sécurité de Microsoft Active Directory, car ce service détient les clés de l’entreprise, à savoir l’accès aux systèmes, applications et ressources. Les entreprises doivent connaître les vulnérabilités d’Active Directory et prendre des mesures pour renforcer sa sécurité, notamment en utilisant des outils de sécurité ou en appliquant des bonnes pratiques, afin de protéger leurs réseaux des cyberattaques.
See Crowdstrike Falcon In Action
Une approche fluide de la sécurisation de votre précieux référentiel d’identités
TéléchargerPourquoi la sécurité d’Active Directory est-elle essentielle ?
La sécurité d’Active Directory (AD) détermine le niveau global de sécurité d’une entreprise, car ce service contrôle tous les accès aux systèmes. Une gestion efficace d’Active Directory permet de protéger les identifiants, applications et données confidentielles de votre entreprise de tout accès non autorisé. Un niveau de sécurité élevé permet d’empêcher les utilisateurs malveillants de compromettre votre réseau et de porter préjudice à votre entreprise.
Les risques d’une sécurité d’AD négligée
Si vous négligez la sécurité d’Active Directory, vous vous exposez à différents types de cyberattaques et d’élévations des privilèges :
- Au départ, des utilisateurs malveillants peuvent voler des identifiants ou s’introduire au moyen d’un logiciel malveillant pour ensuite surveiller votre activité.
- Ils peuvent alors infiltrer d’autres comptes et se déplacer latéralement dans votre système.
- Grâce à cet accès étendu à votre réseau, ils peuvent voler des données ou corrompre votre système.
Les difficultés du rétablissement de la sécurité d’AD
Après une compromission de la sécurité d’Active Directory, le plus difficile est d’en identifier la source, de déterminer l’étendue des dégâts et de créer un nouvel environnement sécurisé. Selon le rapport d’enquête 2021 sur les compromissions de données de Verizon, 98 % des compromissions de données sont dues à des agents externes et plusieurs semaines ou mois ont été nécessaires pour identifier 85 % d’entre elles.
Les utilisateurs malveillants peuvent accéder à un compte utilisateur et échapper à toute détection avant de s’introduire plus avant dans le système. Plus le délai de détection est long, plus les dommages sont importants. Il est en outre très difficile de répertorier toutes les zones compromises. De ce fait, la correction des vulnérabilités d’un système existant n’est pas forcément efficace. Les entreprises disposant d’une infrastructure complexe ou ancienne ont plutôt intérêt à transférer les comptes utilisateur et les informations les plus importantes vers un nouveau système de moindre capacité dont elles peuvent assurer la sécurité.
Compte tenu de l’importance de la sécurité d’Active Directory, les entreprises doivent élaborer des plans de reprise après sinistre afin de pouvoir réagir rapidement en cas d’attaque. Grâce à une surveillance scrupuleuse des accès non autorisés et à l’élaboration d’un plan, les entreprises seront plus à même de bloquer l’attaque avant qu’elle ne compromette ou ne détruise le système.
Vulnérabilités d’Active Directory
Pour prévenir efficacement toute compromission d’Active Directory, utilisez un système de surveillance des journaux d’événements. Selon le rapport d’enquête 2021 sur les compromissions de données de Verizon, 84 % des entreprises victimes d’une compromission en avaient la preuve dans leurs journaux d’événements. La surveillance de l’activité dans ces journaux permet aux entreprises de repérer les compromissions avant qu’elles ne provoquent des dommages.
Recherchez dans vos journaux d’événements tout signe d’activité suspecte, notamment les événements suivants :
- Activité de compte à privilèges : les cyberattaquants exploitent généralement une vulnérabilité liée aux privilèges et utilisent la technique d’élévation des privilèges pour accroître les privilèges d’un compte utilisateur compromis. Il peut également s’agir d’une activité sur un compte utilisateur à privilèges en dehors des heures de bureau ou d’une soudaine augmentation du volume de données consulté par le compte utilisateur.
- Échecs de connexion : des échecs répétés de connexion à un compte peuvent être le signe d’une tentative d’accès par un cybercriminel.
- Connexions à distance : les cyberattaquants tentent souvent d’accéder à votre système à distance. Si vous remarquez une connexion depuis une adresse IP (Internet Protocol) d’un pays étranger ou d’une autre localité, il peut s’agir d’une compromission d’Active Directory.
De même que les signes de compromission d’Active Directory sont divers, les vulnérabilités peuvent être de différents types. Voici quelques-unes des vulnérabilités les plus courantes pouvant être exploitées par les cyberattaquants.
Tous les utilisateurs ont l’autorisation d’ajouter des postes de travail au domaine
Par défaut, n’importe quel utilisateur du domaine peut y ajouter des postes de travail. Du fait de cette configuration, des utilisateurs risquent d’ajouter leurs ordinateurs personnels pour accéder au domaine de votre entreprise. Malheureusement, tous les ordinateurs personnels ne sont pas dotés d’un antivirus ou d’un logiciel EDR. Les paramètres et les règles de votre entreprise ne s’appliquent pas forcément aux postes de travail ajoutés. Cette configuration d’Active Directory permet également aux utilisateurs de disposer de privilèges administratifs locaux sur leurs machines. Les privilèges administratifs locaux sur des ordinateurs personnels peuvent présenter un risque pour la sécurité, car les utilisateurs peuvent exécuter des actions exposant d’autres systèmes du réseau.
Pour corriger cette vulnérabilité, modifiez la valeur de l’attribut ms-DS-MachineAccountQuota pour limiter la capacité d’ajout d’ordinateurs à votre domaine. Vous pouvez octroyer l’autorisation de créer des comptes ordinateur à des utilisateurs spécifiques ou à un groupe d’utilisateurs à déterminer.
Nombre excessif d’utilisateurs dans des groupes Active Directory à privilèges
Le risque de compromission de domaine augmente parallèlement au nombre d’utilisateurs dans un groupe de sécurité à privilèges, comme un groupe Active Directory d’administrateurs de domaine ou d’administrateurs d’entreprise. Un administrateur de domaine possède le contrôle total du domaine. Il s’agit généralement d’un membre du groupe d’administrateurs gérant l’ensemble des contrôleurs, des postes de travail et des serveurs membres du domaine. Les privilèges de sécurité étendus de ces comptes utilisateur exposent votre domaine aux compromissions si un cybercriminel venait à voler les identifiants des utilisateurs de ces groupes de sécurité.
Pour limiter cette vulnérabilité, vérifiez régulièrement les paramètres et les règles de gestion des accès à privilèges et des groupes. Faites en sorte de n’accorder aux utilisateurs que les autorisations nécessaires à l’exécution de leurs tâches. L’ajout d’utilisateurs à ces groupes de sécurité à privilèges doit être exceptionnel afin d’en limiter la taille.
Règles de mots de passe faibles
L’équilibre entre la sécurité des mots de passe et la commodité pour les utilisateurs peut être obtenu de différentes façons. Si une entreprise exige des mots de passe complexes devant être modifiés fréquemment, les utilisateurs risquent d’oublier leurs mots de passe et de ne pas les stocker en toute sécurité. Si une entreprise autorise les mots de passe moins complexes, les cyberpirates pourront plus facilement s’introduire dans son système.
Pour limiter cette vulnérabilité, les entreprises doivent définir des règles de mots de passe plus traditionnelles et veiller à la mise en place d’autres contrôles de sécurité en cas de compromission d’un mot de passe. Par exemple, si votre responsable des droits d’accès doit effectuer une réinitialisation de mot de passe pour un utilisateur d’Active Directory, des contrôles de sécurité doivent avoir été mis en place pour vérifier l’identité de cet utilisateur.
Outils performants assurant la sécurité d’Active Directory
Vous pouvez utiliser des outils de sécurité pour protéger Active Directory et mettre en place une surveillance de l’intégrité de votre système. L’utilisation d’outils de sécurité d’Active Directory présente plusieurs avantages : commodité, automatisation et sécurité accrue. De nombreux outils Active Directory offrent une interface intuitive pour la réalisation de tâches administratives, permettent d’automatiser certaines tâches comme l’élimination de comptes abandonnés et contribuent à renforcer la sécurité au moyen d’une surveillance et d’alertes.
Active Directory est un service comprenant de nombreuses applications. Ses outils ont donc des fonctions et des usages distincts. Les outils disponibles vont de programmes gratuits qui identifient les signes de base d’une compromission à des services plus performants qui offrent des fonctionnalités complètes de détection et prévention des menaces. Pour comparer les avantages des outils Active Directory disponibles, vous devez d’abord évaluer votre budget et identifier les fonctionnalités les plus importantes pour votre entreprise. Déterminez les processus les plus chronophages ou à risque de votre entreprise et trouvez l’outil répondant à ces besoins.
L’outil de sécurité d’Active Directory idéal pour votre entreprise doit offrir tout ou partie des fonctionnalités suivantes :
- Automatisation de la création de comptes utilisateur et de groupes de sécurité
- Analyse des autorisations utilisateur
- Analyse des vulnérabilités, telles que les comptes abandonnés
- Surveillance des modifications apportées aux paramètres d’Active Directory
- Évaluation gratuite pour vérifier que l’outil est adapté à votre entreprise
Vous pouvez également réaliser une évaluation des risques techniques pour identifier les vulnérabilités et les paramètres déficients qui compromettent la sécurité d’Active Directory. Les résultats de cette évaluation vous permettront de déterminer les aspects de la sécurité à renforcer et les outils adaptés.
N’oubliez pas que les outils de détection des menaces peuvent être plus rentables pour votre entreprise s’ils vous permettent de réaffecter des ressources à d’autres tâches. Les outils de détection des menaces peuvent surveiller automatiquement toute activité suspecte et réduire le délai de résolution des incidents. Libérée ainsi du gros du travail, votre équipe pourra se consacrer à d’autres tâches plus rentables pour votre entreprise.
Bonnes pratiques de sécurité d’Active Directory
La plupart des cybercriminels s’introduisent dans votre système à l’aide d’identifiants compromis. Il est donc important de suivre les bonnes pratiques de sécurité d’Active Directory pour éviter tout risque de sécurité inutile. Le meilleur moyen de renforcer la sécurité d’Active Directory est de mettre en place les mesures suivantes :
- Ajustez les paramètres de sécurité par défaut en fonction des besoins de votre entreprise.
- Adoptez des processus de sauvegarde et de restauration.
- Centralisez la gestion de la sécurité et la création de rapports.
1. Ajustez les paramètres de sécurité par défaut
Certains paramètres par défaut d’Active Directory, comme ceux permettant à tous les utilisateurs d’ajouter des postes de travail à votre domaine, octroient des privilèges superflus aux utilisateurs de votre entreprise. Lors de l’installation d’Active Directory, passez en revue la configuration de sécurité et modifiez-la en fonction des besoins de votre entreprise. Vous pouvez également vérifier l’ensemble des autorisations utilisateur et accorder le niveau d’accès minimum nécessaire.
Grâce à la limitation des autorisations, les cybercriminels auront plus de mal à obtenir un accès à privilèges et vos collaborateurs à abuser de leurs privilèges. Pour ajuster les paramètres de sécurité par défaut, modifiez manuellement la valeur des attributs et les autorisations, ou utilisez les outils Active Directory pour vous aider à configurer ces paramètres.
2. Adoptez des processus de sauvegarde et de restauration
Pour protéger efficacement Active Directory, vous devez procéder à des sauvegardes régulières au moins tous les 60 jours. La durée de conservation des objets Active Directory supprimés est de 60 jours. Pour éviter l’élimination définitive d’objets supprimés par erreur dont le délai de conservation a expiré, la fréquence des sauvegardes d’Active Directory doit être inférieure à 60 jours. Il est également conseillé d’effectuer plusieurs sauvegardes et de les stocker dans des emplacements différents au cas où une sauvegarde serait compromise.
Pour assurer une restauration efficace d’Active Directory, élaborez un processus de reprise après sinistre. Ce processus doit spécifier les mesures à prendre par votre équipe de sécurité pour remédier à une compromission. Vous devez déterminer l’ordre des mesures de reprise ainsi que les interdépendances ; il convient, en effet, de restaurer un contrôleur de domaine avant les autres machines.
3. Centralisez la gestion de la sécurité et la création de rapports
La centralisation de la gestion de la sécurité et de la création de rapports permet aux entreprises de confier la responsabilité de la sécurité d’Active Directory à une équipe dédiée. Ces collaborateurs acquerront une expertise qui leur permettra d’intervenir rapidement en cas d’attaque. Un outil de détection des menaces complet peut également aider votre équipe de sécurité à vérifier et à surveiller le système au moyen d’un seul programme, ce qui permettra d’accélérer l’analyse des alertes.
Détection des menaces avec CrowdStrike
Le renforcement de la sécurité d’Active Directory est une nécessité pour la protection de votre entreprise contre les cyberattaques. Du fait de l’évolution des tactiques et outils utilisés par les cybercriminels, les équipes informatiques doivent se tenir informées des nouvelles menaces et rechercher en permanence tout signe de compromission.
CrowdStrike Falcon Identity Threat Detection peut vous aider à détecter en temps réel les menaces liées à l’identité en alliant intelligence artificielle et analyse comportementale afin de neutraliser les attaques modernes, telles que les ransomwares. L’utilisation de cet outil de détection des menaces permet aux équipes informatiques de connaître l’ensemble de leurs comptes réseau, d’identifier les activités suspectes et d’intervenir rapidement en cas d’attaque. CrowdStrike vous propose une évaluation gratuite afin que vous puissiez découvrir par vous-même les avantages de ce service de sécurité du cloud pour votre entreprise.
