top of page

Top 25 des Meilleures Pratiques de Sécurité Active Directory

Pourquoi la sécurisation d'Active Directory est essentielle

​

  • Dans de nombreuses organisations, Active Directory est le système centralisé qui authentifie et autorise l'accès au réseau. Même dans les environnements cloud ou hybrides, il peut toujours s'agir du système centralisé qui accorde l'accès aux ressources.

  • Lorsque vous accédez à un document sur le réseau, OneDrive, imprimez sur l'imprimante réseau, accédez à Internet, consultez votre courrier électronique, etc., toutes ces ressources passent souvent par Active Directory pour vous accorder l'accès.

  • Active Directory existe depuis longtemps et au fil des ans, des acteurs malveillants ont découvert des vulnérabilités dans le système et des moyens de les exploiter.

  • En plus des vulnérabilités, il devient très facile pour les pirates de simplement voler ou d'obtenir des informations d'identification d'utilisateur qui leur donnent ensuite accès à vos données.
    S'ils peuvent accéder à votre ordinateur ou à votre connexion, ils pourraient potentiellement obtenir un accès complet à Active Directory et infiltrer votre réseau.

​

Plongeons maintenant dans la liste des meilleures pratiques de sécurité Active Directory.

​

1. Limitez l'utilisation des administrateurs de domaine et d'autres groupes privilégiés

  • Les membres des administrateurs de domaine et d'autres groupes privilégiés sont très puissants.
    Ils peuvent avoir accès à l'ensemble du domaine, à tous les systèmes, à toutes les données, aux ordinateurs, aux ordinateurs portables, etc.

  • Il est recommandé de n'avoir aucun compte d'utilisateur dans le groupe Admins du domaine, la seule exception étant le compte d'administrateur de domaine par défaut.
    Les administrateurs de domaine sont ce que les méchants essaient de rechercher.

  • Microsoft recommande que lorsque l'accès Admins du Domaine est nécessaire, vous placiez temporairement le compte dans le groupe Admins du Domaine.

    • Lorsque le travail est terminé, vous devez supprimer le compte du groupe Admins du Domaine.

    • Ce processus est également recommandé pour les groupes Administrateurs d'entreprise, Administrateurs de sauvegarde et Administrateurs de schéma.

ad-security-1_edited.jpg

Quel est le problème ?

  • Il est devenu beaucoup trop facile pour les attaquants d'obtenir ou de déchiffrer les informations d'identification des utilisateurs.
    Une fois que les attaquants ont accès à un système, ils peuvent se déplacer latéralement au sein d'un réseau pour rechercher des autorisations plus élevées (administrateurs de domaine).

  • Une méthode pour ce faire est appelée pass the hash.
    Pass the hash permet à un attaquant d'utiliser le hash du mot de passe pour s'authentifier sur des systèmes distants au lieu du mot de passe normal. Ces hashs peuvent être obtenus à partir des ordinateurs des utilisateurs finaux.

  • Il suffit qu'un ordinateur ou un compte d'utilisateur soit compromis pour qu'un attaquant compromette un réseau.

  • Le nettoyage du groupe des administrateurs de domaine est une excellente première étape pour renforcer la sécurité de votre réseau. Cela peut ralentir fortement un attaquant.

  • Le processus de suppression des comptes du groupe Admins du domaine n'est pas facile. Je sais que j'ai récemment traversé ce processus. Il est très courant d'avoir beaucoup trop de comptes dans le groupe Admins du domaine.

2. Utilisez deux comptes ou plus (compte régulier et compte administrateur)

  • Vous ne devez pas vous connecter tous les jours avec un compte qui est un administrateur local ou qui dispose d'un accès privilégié (Admin du domaine).

  • Créez plutôt deux comptes, un compte normal sans droits d'administrateur et un compte privilégié utilisé uniquement pour les tâches administratives.

MAIS

  • Ne placez pas votre compte secondaire dans le groupe Administrateurs du domaine, du moins de façon permanente.

  • Suivez plutôt le modèle administratif le moins privilégié. En gros, cela signifie que tous les utilisateurs doivent se connecter avec un compte disposant des autorisations minimales pour terminer leur travail.

  • Vous devez utiliser un compte non administrateur régulier pour les tâches quotidiennes telles que la vérification des e-mails, la navigation sur Internet, le système de tickets, etc. Vous n'utiliserez le compte privilégié que lorsque vous devez effectuer des tâches d'administration telles que la création d'un utilisateur dans Active Directory, la connexion à un serveur, l'ajout d'un enregistrement DNS, etc.
     

Deux scénarios:

  • Scénario 1Personnel informatique avec droits de domaine

    • John se connecte à son ordinateur avec un compte privilégié, vérifie son courrier électronique et télécharge par inadvertance un virus. Étant donné que John est membre du groupe Admins du domaine, le virus a tous les droits sur son ordinateur, tous les serveurs, tous les fichiers et l'ensemble du domaine. Cela pourrait causer de graves dommages et entraîner la panne de systèmes critiques.

Maintenant, prenez le même scénario mais cette fois, John est connecté avec son compte non administrateur habituel.

  • Scénario 2Personnel informatique avec droits réguliers

    • John consulte ses e-mails et télécharge par inadvertance un virus. Le virus a un accès limité à l'ordinateur et aucun accès au domaine ou à d'autres serveurs. Cela causerait des dommages minimes et empêcherait le virus de se propager sur le réseau.

    • En utilisant simplement un compte régulier, vous pouvez augmenter la sécurité et éviter de causer de graves dommages.

Voici quelques tâches courantes qui peuvent être déléguées à un compte administrateur secondaire

  • Droits sur les utilisateurs et les ordinateurs Active Directory

  • DNS

  • DHCP

  • Droits d'administrateur local sur les serveurs

  • Stratégie de groupe

  • Exchange

  • Droits d'administrateur local sur les postes de travail

  • Administration de Vsphere ou Hyper-v

Certaines organisations utilisent plus de deux comptes et utilisent une approche à plusieurs niveaux. C'est certainement plus sûr, mais cela peut être un inconvénient pour certains.

  • Compte régulier

  • Compte pour l'administration du serveur

  • Compte pour l'administration du réseau

  • Compte pour l'administration du poste de travail
     

3. Sécurisez le compte administrateur de domaine

  • Chaque domaine comprend un compte Administrateur, ce compte est par défaut membre du groupe Administrateurs du domaine.

  • Le compte Administrateur intégré ne doit être utilisé que pour la configuration du domaine et la reprise après sinistre (restauration d'Active Directory).

  • Toute personne nécessitant un accès de niveau administratif aux serveurs ou à Active Directory doit utiliser son propre compte individuel.

  • Personne ne doit connaître le mot de passe du compte d'administrateur de domaine. Définissez un mot de passe très long de plus de 20 caractères et verrouillez-le dans un coffre-fort. Encore une fois, la seule fois où cela est nécessaire est à des fins de récupération.

  • De plus, Microsoft a plusieurs recommandations pour sécuriser le compte administrateur intégré. Ces paramètres peuvent être appliqués à la stratégie de groupe et appliqués à tous les ordinateurs.

    • Activer le compte est sensible et ne peut pas être délégué.

    • L'activation de la carte à puce est requise pour la connexion interactive

    • Refuser l'accès à cet ordinateur depuis le réseau

    • Refuser la connexion en tant batch job

    • Refuser la connexion en tant que service

    • Refuser la connexion via RDP
       

4. Désactivez le compte administrateur local (sur tous les ordinateurs)

  • Le compte d'administrateur local est un compte bien connu dans les environnements de domaine et n'est pas nécessaire.
    Vous devez utiliser un compte individuel disposant des droits nécessaires pour effectuer des tâches.
     

Quel est le problème avec le compte administrateur local ?

  • Deux problèmes.

    • C'est un compte bien connu, même si vous le renommez, le SID est le même et est bien connu des attaquants.

    • Il est souvent configuré avec le même mot de passe sur chaque ordinateur du domaine.
       

  • Les attaquants n'ont qu'à compromettre un système et ils disposent désormais de droits d'administrateur local sur chaque ordinateur appartenant à un domaine. Ils pourraient ensuite utiliser ce compte pour basculer vers un autre système dans le but de trouver un accès administrateur de domaine.

  • Si vous devez effectuer des tâches d'administration sur l'ordinateur (installer un logiciel, supprimer des fichiers, etc.), vous devez le faire avec votre compte individuel et non avec le compte d'administrateur local.

  • Même si le compte est désactivé, vous pouvez démarrer en mode sans échec et utiliser le compte administrateur local.

  • En tant qu'administrateur, je sais que ces meilleures pratiques ne sont pas toujours pratiques ou introduisent un énorme inconvénient.

  • Que se passe-t-il si le réseau est en panne ou si la carte NIC est morte, et si vous devez la supprimer du domaine et la rajouter ? Il existe des moyens de contourner cela, mais cela peut vraiment vous ralentir.
     

  • Si vous ne pouvez pas désactiver le compte, voici des recommandations pour sécuriser le compte.

    • Une meilleure alternative consiste à utiliser l'outil Microsoft LAPS

    • Refuser l'accès à cet ordinateur depuis le réseau

    • Refuser l'ouverture de session en tant que tâche par lots

    • Refuser la connexion en tant que service

    • Refuser la connexion via RDP
       

5. Utilisez la solution de mot de passe de l'administrateur local (LAPS)

  • La solution de mot de passe de l'administrateur local (LAPS) devient un outil populaire pour gérer le mot de passe de l'administrateur local sur tous les ordinateurs.

  • LAPS est un outil Microsoft qui permet de gérer les mots de passe des comptes locaux des ordinateurs joints à un domaine. Il définira un mot de passe unique pour chaque compte d'administrateur local et le stockera dans Active Directory pour un accès facile.

  • C'est l'une des meilleures options gratuites pour atténuer les attaques par hachage et les mouvements latéraux d'un ordinateur à l'autre.

​

  • LAPS est construit sur l'infrastructure Active Directory, il n'est donc pas nécessaire d'installer des serveurs supplémentaires.

  • La solution utilise l'extension côté client de la stratégie de groupe pour effectuer toutes les tâches de gestion sur les postes de travail.

  • Si vous avez besoin d'utiliser le compte administrateur local sur un ordinateur, vous récupérerez le mot de passe d'Active Directory et il sera unique pour cet ordinateur.

6. Utilisez un poste de travail d'administration sécurisé

  • Un poste de travail administrateur sécurisé est un système dédié qui ne doit être utilisé que pour effectuer des tâches administratives avec votre compte privilégié.

  • Il ne doit pas être utilisé pour consulter des e-mails ou naviguer sur Internet. En fait… il ne devrait même pas avoir accès à Internet.
     

Quelles tâches feriez-vous sur un SAW ?

  • Administration d'Active Directory

  • Stratégie de groupe

  • Gestion des serveurs DNS et DHCP

  • Toute tâche nécessitant des droits d'administrateur sur les serveurs

  • Droits d'administrateur sur les systèmes de gestion tels que VMware, Hyper-v, Citrix

  • Gestion d'Office 365

​

  • L'utilisation d'un poste de travail sécurisé pour votre compte élevé offre une bien meilleure protection contre ces vecteurs d'attaque. Étant donné que les attaques peuvent provenir de l'intérieur et de l'extérieur, il est préférable d'adopter une posture de sécurité présumée.

  • En raison des menaces continues et des changements technologiques, la méthodologie de déploiement d'un SAW ne cesse de changer.
     

Voici quelques conseils pour vous aider à démarrer :

  • Utilisez une installation propre du système d'exploitation (utilisez le dernier système d'exploitation Windows)

  • Appliquer une Baseline de sécurité renforcée

  • Activer le chiffrement intégral du disque

  • Restreindre les ports USB

  • Activer le pare-feu Windows

  • Bloquer Internet

  • Utiliser une VM

  • Logiciel minimal installé

  • Utilisez deux facteurs ou une carte à puce pour l'accès

  • Restreindre les systèmes pour qu'ils n'acceptent que les connexions du PTA sécurisé.
     

Voici mon flux de travail typique utilisant un SAW (Secure Admin Workstation) :

  • Connectez-vous à votre ordinateur avec votre compte habituel pour consulter les e-mails et afficher les nouvelles demandes d'assistance.

  • Si j'ai une tâche administrative, se connecter au PTA avec le compte privilégié qui a le droit de modifier l'appartenance au groupe AD et d'ajouter l'utilisateur au groupe de sécurité AD nécessaire.

  • Cela peut sembler fastidieux, mais c'est plus pratique de cette façon. Je peux me connecter à distance lorsque je suis hors réseau et disposer d'un serveur doté de tous les outils dont j'ai besoin. Je n'ai pas non plus à me soucier de réinstaller tous mes logiciels de support si j'ai besoin de réimager mon ordinateur.
     

7. Activer les paramètres de stratégie d'audit avec la stratégie de groupe

  • Assurez-vous que les paramètres de stratégie d'audit suivants sont configurés dans la stratégie de groupe et appliqués à tous les ordinateurs et serveurs.

  • Configuration ordinateur -> Stratégies - Paramètres Windows -> Paramètres de sécurité -> Configuration de la stratégie d'audit avancée

    • Connexion au compte

      • Assurez-vous que « Audit Credential Validation » est défini sur « Succès et échec »

    • Gestion de compte

      • L'audit "Gestion du groupe d'applications" est défini sur "Succès et échec"

      • L'audit "Gestion des comptes informatiques" est défini sur "Succès et échec"

      • L'audit "Autres événements de gestion de compte" est défini sur "Succès et échec"

      • L'audit "Gestion du groupe de sécurité" est défini sur "Succès et échec"

      • L'audit "Gestion des comptes d'utilisateurs" est défini sur "Succès et échec"

    • Suivi détaillé

      • L'audit "Activité PNP" est défini sur "Succès"

      • L'audit "Création de processus" est défini sur "Succès"

    • Connexion/Déconnexion

      • L'audit "Verrouillage du compte" est défini sur "Succès et échec"

      • L'audit "Appartenance au groupe" est défini sur "Succès"

      • L'audit "Déconnexion" est défini sur "Succès"

      • L'audit "Connexion" est défini sur "Succès et échec"

      • L'audit "Autres événements de connexion/déconnexion" est défini sur "Succès et échec"

      • L'audit "Connexion spéciale" est défini sur "Succès"

    • Accès aux objets

      • L'audit "Stockage amovible" est défini sur "Succès et échec"

    • Changement de stratégie

      • L'audit "Changement de politique d'audit" est défini sur "Succès et échec"

      • L'audit "Modification de la politique d'authentification" est défini sur "Succès"

      • L'audit "Modification de la politique d'autorisation" est défini sur "Succès"

    • Utilisation privilégiée

      • L'audit "Utilisation sensible des privilèges" est défini sur "Succès et échec"

    • Système

      • L'audit "Pilote IPsec" est défini sur "Succès et échec"

      • Auditer "Autres événements système" est défini sur "Succès et échec"

      • L'audit "Changement d'état de sécurité" est défini sur "Succès"

      • L'audit "Extension du système de sécurité" est défini sur "Succès et échec"

      • Auditer "L'intégrité du système est définie sur "Succès et échec"
         

  • Les activités malveillantes commencent souvent sur les postes de travail. Si vous ne surveillez pas tous les systèmes, vous risquez de manquer les premiers signes d'une attaque.
     

8. Surveillez Active Directory pour les signes de compromis

  • Vous devez surveiller les événements Active Directory suivants pour aider à détecter les comportements anormaux sur le réseau.

Voici quelques événements que vous devriez surveiller et revoir chaque semaine.

  • Modifications apportées aux groupes privilégiés tels que les administrateurs de domaine, les administrateurs d'entreprise et les administrateurs de schéma

  • Un pic de tentatives de mauvais mots de passe

  • Un pic de comptes verrouillés

  • Verrouillages de compte

  • Désactivation ou suppression du logiciel antivirus

  • Tous les actifs effectués par des comptes privilégiés

  • Événements de connexion/déconnexion

  • Utilisation des comptes d'administrateur local

 

Comment surveillez-vous les événements dans Active Directory ?

Le meilleur moyen est de collecter tous les journaux sur un serveur centralisé, puis d'utiliser un logiciel d'analyse de journaux pour générer des rapports.

Certains analyseurs de journaux sont pré-construits avec des rapports de sécurité Active Directory et d'autres que vous devrez créer vous-même.

Voici quelques-uns des analyseurs de journaux les plus populaires.



9. La complexité des mots de passe est nulle (utilisez des phrases secrètes)
 

  • 8 caractères avec complexité n'est plus un mot de passe sécurisé. Au lieu de cela, utilisez un minimum de 12 caractères et formez les utilisateurs sur les mots de passe.

  • Plus le mot de passe est long, mieux c'est.

  • Passphrases sont simplement deux ou plusieurs mots aléatoires assemblés. Vous pouvez ajouter des chiffres et des caractères si vous le souhaitez.

  • Des études ont montré que lorsque vous avez besoin de complexité, il est utilisé dans un schéma similaire, puis répété. Les pirates ont compris cela et il existe maintenant d'énormes listes de mots de passe (disponibles gratuitement) qui contiennent des millions de mots de passe faciles à deviner.

  • Les mots de passe longs et l'utilisation de la technique de la phrase secrète rendent la tâche plus difficile à deviner pour les logiciels de piratage de mots de passe et pour les pirates.
     

Meilleure Stratégie de mot de passe

  • Définir des mots de passe à 12 caractères

  • Rappelez-vous 10 historique de mot de passe

  •  Utiliser passphrases

  •  Stratégie de verrouillage 5 tentatives

​

De bons mots de passe à l'aide de phrases secrètes

  • Bucketguitartire22

  • Écran jonglé

  • RoutebleuselNuage

​

Exemples de mots de passe incorrects

  • Ivraimentcommelapizza22

  • Lecielestbleu44
     

  • Le NIST a récemment mis à jour ses directives de stratégie de mot de passe dans la publication spéciale 800-63 pour répondre aux nouvelles exigences des politiques de mot de passe.

  • Si votre organisation doit respecter certaines normes, assurez-vous que ces normes prennent en charge ces recommandations de mot de passe.

  • Assurez-vous également de mettre à jour la stratégie écrite de votre entreprise.
     

10. Utilisez des noms de Groupes de sécurité descriptifs

  • Tout d'abord, assurez-vous d'appliquer des autorisations aux ressources avec des groupes de sécurité, et non des comptes individuels, cela facilite grandement la gestion des ressources.

  • Ensuite, ne nommez pas vos groupes de sécurité avec un nom générique comme helpdesk ou HR Training.

  • Lorsque vous avez des noms génériques comme celui-ci, ils seront utilisés sur toutes sortes de ressources et vous aurez perdu tout contrôle de la sécurité.

  • Et il n'y a pas de moyen facile de voir où les groupes de sécurité sont utilisés. Oui, il existe des outils que vous pouvez exécuter, mais si vous avez un environnement de taille moyenne ou grande, ce sera une tâche énorme.

Voici un exemple

ad-security-4_edited.jpg

  • IT_Local est très générique. Rien qu'en regardant le nom, je ne sais pas à quoi cela sert. Oui, il est probablement utilisé par le service informatique, mais où ?

  • C'est ainsi que les autorisations peuvent devenir incontrôlables et que vous pourriez finir par donner aux gens l'accès à des choses auxquelles ils ne devraient pas avoir accès. Certains administrateurs système peuvent recevoir une demande d'accès au partage réseau du service informatique et ajouter des utilisateurs à ce groupe. Mais ce qu'il ne sait pas, c'est que le groupe pourrait être utilisé sur d'autres systèmes.

  • Lorsque vous utilisez un nom descriptif comme le groupe "N Drive HR_Training", vous pouvez regarder le nom et avoir une bonne idée de ce à quoi il sert. Dans cet exemple, c'est pour le lecteur N, c'est pour les RH et cela a quelque chose à voir avec la formation. Votre personnel informatique devrait avoir une bonne idée de ce que c'est juste par le nom.

​

Voici quelques bons exemples de comment nommer des groupes.

  • Exemple 1 : Autoriser le service d'assistance à réinitialiser les mots de passe

  • Nom du groupe de sécurité : IT-Helpdesk-PW-Reset

  • Étant donné que le nom du groupe est précis, cela empêcherait son utilisation sur d'autres ressources comme une imprimante ou un partage réseau.

  • Exemple 2 : Autoriser les droits HR sur un dossier partagé

  • Nom du groupe de sécurité : N Drive HR-Training-Folder-RW

  • Encore une fois, cela a un nom très spécifique et aide à identifier à quoi il doit être utilisé.

  • Vous pouvez créer votre propre convention de dénomination, précisez simplement le nom et évitez les noms génériques de groupes de mots.
     

11. Rechercher et supprimer des comptes d'utilisateurs et d'ordinateurs inactifs

  • Vous devez disposer d'une procédure en place pour détecter les utilisateurs et les comptes d'ordinateurs inactifs dans Active Directory.

  • Vous ne voulez pas qu'un tas de comptes inutilisés restent dans Active Directory en attendant qu'un attaquant les découvre et les utilise. Cela peut également entraîner des problèmes de création de rapports, de correctifs et de ralentissement de la stratégie de groupe.

  • CIS Critical Security Controls indique "Il existe de nombreuses façons d'obtenir secrètement l'accès aux comptes d'utilisateurs, y compris des mots de passe faibles, des comptes toujours valides après qu'un utilisateur a quitté l'entreprise, des comptes de test inactifs ou persistants".

  • CIS recommande de supprimer ou de désactiver les comptes inactifs après 45 jours d'inactivité


12. Supprimer des utilisateurs du groupe d'administrateurs locaux

  • Un utilisateur normal ne doit pas appartenir au groupe d'administrateurs locaux sur les ordinateurs.

  • Un utilisateur avec des droits d'administrateur local a un accès complet à l'ensemble du système d'exploitation Windows. Cela peut entraîner toutes sortes de problèmes de sécurité, tels que l'installation de logiciels, la désactivation de l'antivirus, le téléchargement et l'installation de logiciels malveillants, le vol de données, le piratage d'informations d'identification, le basculement vers d'autres ordinateurs, etc.

  • Un rapport sur les vulnérabilités de Microsoft indique :
    « De toutes les vulnérabilités Windows découvertes en 2018, 169 d'entre elles étaient considérées comme « critiques ».
    La suppression des droits d'administrateur aurait pu atténuer 85 % de ces vulnérabilités critiques »

ad-security-5_edited.jpg

  • En supprimant des utilisateurs du groupe d'administrateurs locaux, vous réduisez considérablement les possibilités pour les attaquants d'accéder à votre ordinateur et à votre réseau.

  • Je vous recommande de contrôler le groupe d'administrateurs locaux à l'aide de la stratégie de groupe. Si vous les supprimez de l'ordinateur sans contrôle centralisé, quelqu'un ajoutera simplement les droits. J'ai mené cette bataille à plusieurs reprises avec le service d'assistance. Je supprime les droits, puis ils les rajoutent simplement lors du dépannage d'un problème.

  • L'utilisation de la stratégie de groupe et des groupes restreints empêchera votre personnel de laisser des comptes dans le groupe.

  • J'ai écrit un guide complet à ce sujet ici -> Supprimer des utilisateurs du groupe d'administrateurs locaux à l'aide de la stratégie de groupe.
     

13. N'installez pas de logiciels ou de rôles de serveur supplémentaires sur les DC

  • Les contrôleurs de domaine doivent avoir des logiciels et des rôles limités installés sur eux.

  • Les contrôleurs de domaine sont essentiels pour l'entreprise, vous ne voulez pas augmenter les risques de sécurité en exécutant des logiciels supplémentaires dessus.

  • Windows Server Core est une excellente option pour exécuter le rôle DC et d'autres rôles tels que DHCP, DNS, les serveurs d'impression et les serveurs de fichiers. Server Core s'exécute sans interface graphique et nécessite moins de correctifs de sécurité en raison de son encombrement réduit.

  • Le noyau du serveur peut cependant rencontrer des difficultés, certains logiciels tiers n'étant pas compatibles.
     

14. Gestion des correctifs et analyse des vulnérabilités

  • Les attaquants exploitent rapidement les vulnérabilités connues.

  • Si vous n'analysez pas et ne corrigez pas régulièrement les vulnérabilités découvertes, vous courez un risque beaucoup plus grand de compromis.

  • Il existe un grand nombre d'outils de vulnérabilité et d'analyse disponibles.
     

Conseils pour une gestion continue des vulnérabilités

  • Analysez tous les systèmes au moins une fois par mois pour identifier toutes les vulnérabilités potentielles. Si vous pouvez analyser plus fréquemment, c'est encore mieux.

  • Donnez la priorité à la recherche des analyses de vulnérabilité et corrigez d'abord celles qui ont des vulnérabilités connues.

  • Déployer des mises à jour logicielles automatisées sur les systèmes d'exploitation

  • Déployez des mises à jour automatisées vers des logiciels tiers

  • Identifiez les logiciels obsolètes qui ne sont plus pris en charge et mettez-les à jour.

 

15. Utilisez les services DNS sécurisés pour bloquer les domaines malveillants

  • Vous pouvez empêcher une grande quantité de trafic malveillant d'entrer sur votre réseau en bloquant les recherches DNS malveillantes.

  • Chaque fois qu'un système a besoin d'accéder à Internet, il utilise dans la plupart des cas un nom de domaine. Les ordinateurs communiquent entre eux par adresse IP afin que les ordinateurs utilisent DNS pour mapper un nom de domaine à une adresse IP.

  • Il existe plusieurs services disponibles qui vérifient les requêtes DNS pour les domaines malveillants et les bloquent.
    Ces services DNS recueillent des informations sur les domaines malveillants à partir de diverses sources publiques et privées. Lorsqu'il reçoit une requête pour un domaine qu'il a signalé comme malveillant, il bloque l'accès lorsque votre système tente de le contacter.

Voici un exemple:

  • Étape 1 : Le client clique sur un lien qui mène à example.net

  • Étape 2 : le cache local est vérifié

  • Étape 3 : Le service DNS vérifie si le domaine figure sur sa liste de menaces, c'est pourquoi il renvoie une réponse bloquée.
    Dans l'exemple ci-dessus, puisque la requête DNS a renvoyé un bloc, aucun trafic malveillant n'est jamais entré sur le réseau.

 

Voici quelques-uns des services DNS sécurisés les plus populaires.

  • Quad9

  • OpenDNS

  • Comodo Secure DNS
    En outre, la plupart des systèmes IPS (Intrusion Prevention Systems) prennent en charge la possibilité de vérifier les recherches DNS par rapport à une liste de domaines malveillants.
     

16. Exécutez les systèmes d'exploitation pris en charge

  • Avec chaque nouvelle version du système d'exploitation Windows, Microsoft inclut des fonctionnalités et des améliorations de sécurité intégrées. Plus important encore, vous obtenez des mises à jour de sécurité.

  • Le simple fait de rester sur le dernier système d'exploitation augmentera la sécurité globale.

Nouvelles fonctionnalités de sécurité dans Server 2022 :

  • Serveur sécurisé

  • Racine matérielle de confiance

  • Protection du micrologiciel

  • Démarrage sécurisé UEFI

  • Sécurité basée sur la virtualisation
     

17. Utilisez l'authentification à deux facteurs MFA pour Office 365 et l'accès à distance
 

  • Les comptes compromis sont très courants et peuvent fournir aux attaquants un accès à distance à vos systèmes via VPN, Citrix ou d'autres systèmes d'accès à distance.

  • Vérifiez vos journaux Office 365 ou ADFS, vous serez surpris du nombre de tentatives de connexion provenant de Chine et de Russie.

  • L'authentification à deux facteurs est l'un des meilleurs moyens de se protéger contre les comptes compromis. Cela aidera également contre les attaques par pulvérisation de mot de passe.

  • Disons qu'un utilisateur est tombé dans le piège d'une tentative de phishing qui lui a demandé de vérifier son nom d'utilisateur et son mot de passe.

    • L'attaquant dispose désormais des informations d'identification Active Directory de cet utilisateur. L'attaquant pourrait désormais accéder à un certain nombre de systèmes de n'importe où.

    • Si l'utilisateur avait activé deux facteurs, cela pourrait empêcher l'accès même si le compte a été compromis. L'attaquant aurait besoin du deuxième ensemble d'informations d'identification pour se connecter.

​

  • Si vous utilisez Office 365 et selon le package dont vous disposez, MFA peut être inclus. Profitez de cette fonctionnalité.

  • Solutions populaires d'authentification à deux facteurs

18. Surveiller les journaux DHCP pour les appareils connectés

  • Vous devez savoir ce qui est connecté à votre réseau si vous avez plusieurs emplacements avec de nombreux utilisateurs et ordinateurs, cela peut être difficile.

  • Il existe des moyens d'empêcher uniquement les appareils autorisés de se connecter, mais cela peut être coûteux et demander beaucoup de travail à mettre en place.

  • Une autre méthode déjà disponible consiste à surveiller les journaux DHCP des appareils connectés.

    • Tous les appareils des utilisateurs finaux doivent être configurés pour utiliser DHCP. Vous pouvez ensuite consulter les journaux pour voir ce qui se connecte. Vous devez avoir une convention de dénomination pour votre équipement, cela facilitera la détection d'éventuels appareils non autorisés.

    • Dans la capture d'écran ci-contre, je peux facilement repérer un appareil qui ne suit pas la convention de dénomination de mon ordinateur.

    • minint-1bdvd67 n'est pas quelque chose que je reconnais.
      Il faut examiner cela et voir s'il s'agit d'un appareil autorisé.

19. Surveiller les journaux DNS pour détecter toute activité réseau malveillante

  • La plupart des connexions commencent par une requête DNS.
    Tous les systèmes joints à un domaine doivent être configurés pour utiliser votre serveur DNS Windows local.

  • Avec cette configuration, vous pouvez enregistrer chaque recherche DNS interne et externe.
    Lorsqu'un appareil client se connecte à un site malveillant, il enregistre ce nom de site dans les journaux DNS.

  • Voici quelques captures d'écran de recherches DNS suspectes à partir de journaux.
    Ceux-ci apparaissent à plusieurs reprises dans les journaux pour une poignée d'appareils.

  • Je doute sérieusement qu'un utilisateur essaie d'aller sur ce site intentionnellement. Ces types de recherche doivent être examinés pour déterminer s'ils sont malveillants ou non.

  • Pour afficher les recherches DNS, vous devez d'abord activer les journaux de débogage DNS sur les serveurs Windows.

Étapes pour activer les journaux de débogage DNS sur Windows Server

  • Étape 1 : Ouvrir la console de gestion DNS

  • Étape 2 : Faites un clic droit et sélectionnez les propriétés

  • Étape 3 : Cliquez sur l'onglet Journalisation du débogage

  • Étape 4 : Cochez la case « Journaliser les paquets pour le débogage

​

Une fois que vous avez configuré les journaux de débogage, vous pouvez importer ces journaux dans un analyseur pour repérer rapidement les activités malveillantes.
Vous pouvez également convertir le fichier journal en CSV pour faciliter la lecture et le filtrage.

20. Utiliser les dernières fonctionnalités de sécurité ADFS et Azure

  • ADFS et Azure ont d'excellentes fonctionnalités de sécurité.
    Ces fonctionnalités aideront à la pulvérisation de mots de passe, à la compromission de compte, au phishing, etc.

  • Quel que soit le niveau d'Office 365 sur lequel vous vous trouvez, vous devez examiner certaines fonctionnalités.

  • Bien sûr, les abonnements premium ont les meilleures fonctionnalités de sécurité.
     

MAIS

  • Microsoft améliore et ajoute de nouvelles fonctionnalités à tous les niveaux
     

Voici quelques fonctionnalités qui méritent d'être examinées :

  • Smart Lockout - Utilise des algorithmes pour repérer les activités de connexion inhabituelles.

  • IP Lockout - Utilise la base de données Microsoft d'adresses IP malveillantes connues pour bloquer les ouvertures de session.

  • Simulations d'attaques - Vous devriez faire des tests de phishing réguliers pour aider à former les utilisateurs finaux. Microsoft publiera très prochainement un logiciel de simulation de phishing.

  • Authentification MFA - La solution à 2 facteurs de Microsoft

  • Mots de passe interdits – Vérifie les mots de passe par rapport à une liste connue

  • Azure AD Connect Health – Fournit plusieurs bons rapports

  • Mauvais mots de passe personnalisés - Possibilité d'ajouter des mots de passe interdits personnalisés à vérifier.

  • Dans AZURE, on peut voir plusieurs signes risqués sur les rapports.

21. Utiliser le score sécurisé d'Office 365

  • Le score de sécurité analyse la sécurité de votre organisation Office 365 en fonction de l'activité et des paramètres de sécurité.

  • Secure Score vérifie vos services Office 365, puis vérifie vos paramètres et vos activités et vous fournit un score de sécurité.

  • Une fois qu'il aura analysé votre score, il fournira une liste détaillée de ce qui a été noté et des actions recommandées pour résoudre les problèmes.

  • Vous aurez besoin d'un abonnement Premium ou Enterprise pour accéder à cette fonctionnalité. De plus, vous devrez vous voir attribuer le rôle d'administrateur global ou personnalisé.

​

22. Plan de récupération

  • Si votre réseau était compromis aujourd'hui ou touché par un RansomWare, que feriez-vous ?

  • Avez-vous une politique de réponse?

  • Avez-vous testé et formé le personnel sur la façon de gérer un tel événement ?

  • Avez-vous une sauvegarde de l'état du système d'Active Directory ?

  • Les cyberattaques peuvent fermer les systèmes et interrompre les opérations commerciales.

  • Un bon plan de réponse aux incidents aurait pu limiter l'impact et permettre aux services de revenir en ligne beaucoup plus rapidement.
     

Voici quelques éléments à inclure dans un plan de réponse aux incidents

  • Créer une politique et un plan de réponse aux incidents

  • Créer des procédures pour effectuer la gestion des incidents et les rapports

  • Établir des procédures de communication avec des tiers

  • Mettre en place des équipes d'intervention et des leaders

  • Prioriser les serveurs

  • Procédure pas à pas et formation

  • Le NIST a un excellent guide de gestion des incidents de sécurité informatique que je recommande de consulter.
     

23. Délégation de documents à AD

  • La meilleure façon de contrôler l'accès à Active Directory et aux ressources associées consiste à utiliser des groupes de sécurité.

  • Si vous déléguez des droits à des individus, vous perdez le contrôle de qui a accès.

  • Créez des groupes personnalisés avec des noms très spécifiques, documentez qui a des droits et un processus pour ajouter de nouveaux utilisateurs. Ne vous contentez pas d'autoriser l'ajout d'utilisateurs à ces groupes personnalisés sans processus d'approbation.

  • Sachez quels groupes sont délégués à quelles ressources, documentez-les et assurez-vous que votre équipe est sur la même longueur d'onde.
     

24. Verrouiller les comptes de service

  • Les comptes de service sont les comptes qui exécutent un exécutable, une tâche ou un service, l'authentification AD, etc.

  • Ceux-ci sont très utilisés et ont souvent un mot de passe défini pour ne jamais expirer.

  • Ces comptes se retrouveront souvent avec trop d'autorisations et le plus souvent sont membres du groupe des administrateurs de domaine.

​

Voici quelques conseils pour verrouiller les comptes de service.

  • Utilisez plutôt des comptes de service gérés

  • Utilisez des mots de passe forts longs

  • Donner accès uniquement à ce qui est nécessaire

  • Essayez d'éviter d'accorder des droits d'administrateur local

  • Ne pas mettre les administrateurs de domaine

  • Refuser la connexion localement

  • Refuser la connexion as batch

  • Exiger des fournisseurs qu'ils fassent fonctionner leurs logiciels sans droits d'administrateur de domaine
     

25. Utilisez des lignes de base et des repères de sécurité

  • Une installation par défaut du système d'exploitation Windows comporte de nombreuses fonctionnalités, services, paramètres par défaut et ports activés qui ne sont pas sécurisés.

  • Ces paramètres par défaut doivent être revus par rapport aux références de sécurité connues.

  • L'établissement d'une configuration sécurisée sur tous les systèmes peut réduire la surface d'attaque tout en conservant la fonctionnalité. Il existe plusieurs ressources qui fournissent des repères de sécurité.

  • Microsoft dispose d'un kit d'outils de conformité de sécurité qui vous permet d'analyser et de tester par rapport aux lignes de base de configuration de sécurité recommandées par Microsoft.

  • Une autre excellente ressource est CIS SecureSuite
    Il fournit également des bases de configuration de sécurité. En outre, il fournit des outils capables d'analyser un système et de fournir un rapport sur les pannes.
    La plupart des paramètres recommandés peuvent être configurés à l'aide de la stratégie de groupe et déployés sur tous les ordinateurs.
    Voici une capture d'écran de l'outil CIS Securesuite. Il a exécuté une analyse sur mon ordinateur et généré un rapport sur tous les paramètres qui ont réussi et échoué.

Active Directory Security Checklist

1 - Limitez l'utilisation des administrateurs de domaine et d'autres groupes privilégiés

Les membres des administrateurs de domaine et d'autres groupes privilégiés sont très puissants.

Ils peuvent avoir accès à l'ensemble du domaine, à tous les systèmes, à toutes les données, aux ordinateurs, aux ordinateurs portables, etc.

Il est recommandé de n'avoir aucun compte d'utilisateur au jour le jour dans le groupe Admins du domaine, la seule exception étant le compte d'administrateur de domaine par défaut.

2 - Utilisez au moins deux comptes

Vous devez utiliser un compte standard sans droits d'administrateur pour les tâches quotidiennes telles que la consultation des e-mails, la navigation sur Internet, etc.

Utilisez un compte secondaire lorsque vous devez effectuer des tâches d'administration.

Utilisez le modèle de moindre privilège, accordez des autorisations uniquement à ce qui est nécessaire.

3 - Sécurisez le compte administrateur de domaine

Le compte administrateur intégré ne doit être utilisé que pour la configuration et la récupération du domaine.

Définissez un mot de passe de plus de 20 caractères dessus et verrouillez le mot de passe dans un coffre-fort. Personne ne doit connaître le mot de passe ou utiliser ce compte

4 - Désactiver le compte administrateur local

Désactivez le compte administrateur local sur tous les ordinateurs et utilisez plutôt votre compte de domaine individuel. L'administrateur local est un compte bien connu que les attaquants essaieront de compromettre et qui a souvent le même mot de passe sur chaque ordinateur.

5 - Utilisez LAPS (solution de mot de passe administrateur local)

Si vous ne parvenez pas à désactiver le compte d'administrateur local, utilisez Microsoft LAPS.

Cela définira un mot de passe unique aléatoire sur tous les ordinateurs. Le mot de passe est stocké dans Active Directory.

6 - Utilisez un poste de travail sécurisé pour les tâches d'administrateur

Utilisez un poste de travail sécurisé dédié pour effectuer des tâches administratives.

Le poste de travail administrateur sécurisé ne doit pas avoir accès à Internet ni être utilisé pour vérifier les e-mails.

Connectez-vous à ce poste de travail avec votre compte administrateur et non votre compte habituel.

7 - Enable Audit Policy Settings

Use group policy to set an audit policy on all computers. Malicious activity often starts on end user devices, so it is important that auditing is enabled on all computers.

8 - Monitor AD Events for Compromise

Monitor changes to privileged groups, spike in bad password attempts, account lockouts, use of administrator accounts and other abnormal behavior.

Recommended Tool: Security Event Log Manager

9 - Utilisez des mots de passe longs

Si la politique de votre entreprise le permet, définissez la longueur minimale du mot de passe sur 15 caractères.

Cela est souvent motivé par diverses exigences de conformité.

10 - Utiliser des groupes de sécurité descriptifs

Évitez de nommer des groupes de sécurité avec des noms aléatoires ou sans signification.

Il n'est pas facile de savoir où et comment les groupes sont utilisés et de meilleures conventions de nommage peuvent aider.

Exemple, N-Drive-HR-RW

11 - Nettoyer les comptes d'utilisateurs et d'ordinateurs inactifs

Mettez en place un processus pour rechercher et désactiver les comptes d'ordinateurs et d'utilisateurs Active Directory obsolètes/inutilisés.

12 - Supprimer des utilisateurs du groupe d'administrateurs locaux

Les utilisateurs réguliers ne doivent pas disposer de droits d'administrateur local sur les ordinateurs.

Cela permet aux attaquants d'installer facilement des fichiers malveillants et de compromettre un réseau. Utilisez PowerShell ou un outil tiers pour répertorier les personnes disposant des droits d'administrateur local.

13 - N'installez pas de logiciel supplémentaire sur les contrôleurs de domaine

Les contrôleurs de domaine doivent avoir des logiciels et des rôles très limités installés sur eux.

Plus vous installez de logiciels, plus le risque de sécurité est grand.

Ce sont les serveurs les plus importants de votre domaine, alors protégez-les en limitant ce qui s'exécute dessus.

14 - Analyse des correctifs et des vulnérabilités

Les attaquants exploitent rapidement les vulnérabilités connues, vous devez continuellement analyser et corriger les systèmes.

Assurez-vous de corriger les programmes tiers et de mettre à niveau ou de supprimer les logiciels qui ne sont plus pris en charge.

15 - Utilisez les services DNS sécurisés pour bloquer le trafic malveillant

Vous pouvez facilement bloquer le trafic malveillant en utilisant un service DNS sécurisé tel que QUAD9 ou OpenDNS.

16 - Exécuter le système d'exploitation pris en charge

Conserver les systèmes sur le dernier système d'exploitation contribuera à accroître la sécurité globale. Chaque nouvelle version de Windows inclut de nouvelles fonctionnalités et améliorations de sécurité intégrées.

17 - Utiliser l'authentification à deux facteurs

Il est facile pour les attaquants de compromettre les comptes, ce qui peut permettre un accès non autorisé à distance.

L'authentification à deux facteurs doit être utilisée pour tous les accès à distance.

18 - Surveiller les journaux DHCP

Vous devez savoir ce qui se connecte à votre réseau. Un moyen simple de vérifier cela consiste à consulter les journaux DHCP, à rechercher les noms d'hôte que vous ne reconnaissez pas. Si vous avez une convention de nommage, il devrait être facile d'identifier les appareils non autorisés.

19 - Surveiller les journaux DNS

Les journaux DNS peuvent être utilisés pour identifier les recherches DNS malveillantes.

Vous devrez activer les journaux de débogage Windows DNS ; les étapes sont fournies en post complet.

La journalisation DNS est également fournie sur les pare-feu de nouvelle génération.

Les recherches DNS pour les noms de domaine aléatoires sont un bon signe de trafic malveillant sur votre réseau.

Exemple, efdvessdtgsdg.3dfxo.com

20 - Utiliser ADFS et Azure Security

Profitez des dernières fonctionnalités de sécurité ADFS et Azure.

Microsoft continue de développer et de fournir des améliorations de sécurité aux deux services.

21 - Utilisez Office 365 Secure Score

Le score sécurisé analyse votre client Office 365 et fournit un score basé sur vos paramètres.

Il fournit une liste des problèmes et des actions recommandées à résoudre. Peut nécessiter un abonnement.

22 - Plan de relance

Ayez un plan de réponse sur la façon de gérer une cyber-attaque.

Consultez le Guide de gestion des incidents de sécurité informatique du NIST pour obtenir des directives sur la gestion des incidents.

23 - Délégation de documents à Active Directory

Les autorisations de délégation et AD peuvent facilement devenir incontrôlables.

Documentez ces autorisations ou utilisez PowerShell pour créer un rapport et l'examiner régulièrement.

24 - Verrouiller les comptes de service

Les comptes de service sont utilisés pour exécuter des exécutables, des tâches, des services, l'authentification, etc.

Ces comptes sont souvent définis avec des mots de passe qui n'expirent jamais et reçoivent plus d'autorisations que nécessaire.

Une meilleure option consiste à utiliser des comptes de service gérés.

25 - Utilisez des lignes de base sécurisées

Les installations par défaut ne sont pas sécurisées, utilisez des références et des lignes de base sécurisées pour sécuriser les paramètres par défaut.

Ces paramètres peuvent être déployés avec une stratégie de groupe.

Microsoft Security Compliance Toolkit et CIS SecureSuite fournissent des modèles et des outils de base.

26 - Activer le pare-feu Windows

Utilisez la stratégie de groupe pour déployer et contrôler le pare-feu Windows sur tous les ordinateurs de votre organisation.

Le pare-feu peut contrôler le trafic entrant/sortant vers vos systèmes.

27 - Utiliser la liste blanche des applications

Avec la liste blanche d'applications, vous pouvez bloquer l'exécution de programmes indésirables.

Il existe des programmes tiers qui offrent ces fonctionnalités, Windows Enterprise possède également cette fonctionnalité.

28 - Bloquer PowerShell pour les utilisateurs réguliers

Les virus utilisent souvent PowerShell pour exécuter des commandes sur les ordinateurs.

 La plupart du temps, les utilisateurs réguliers n'ont pas besoin d'exécuter PowerShell.

Vous pouvez contrôler qui a les autorisations pour exécuter PowerShell avec la stratégie de groupe.

​

bottom of page