PG Software, distributeur historique des solutions ManageEngine en France, depuis 2004
Pourquoi devez-vous définir des stratégies de verrouillage de comptes ?
Chaque jour, les administrateurs systèmes ont la lourde tâche de traiter de nombreux tickets, dont beaucoup sont générés par des utilisateurs qui se font verrouiller leur compte après avoir oublié ou mal saisi leur mot de passe une fois de trop. La résolution de ces verrouillages fait perdre du temps et de l'argent à l'entreprise, le coût moyen du traitement d'un ticket s'élevant à près de 13,47 €*. Il est important que les entreprises configurent de manière réfléchie leurs stratégies de verrouillage de comptes afin de réduire le nombre de verrouillages sans compromettre la sécurité de leur réseau. Bien qu'il ne soit pas possible d'empêcher tous les verrouillages, la mise en œuvre de ces bonnes pratiques peut réduire leur nombre de manière significative.
Activez la stratégie "Durée de verrouillage du compte"
La durée de verrouillage du compte dépend d'informations spécifiques à l'entreprise, telles que le nombre d'utilisateurs ou le type de secteur d'activité. Si vous fixez la durée à zéro, le compte sera sécurisé en le verrouillant jusqu'à ce qu'un administrateur le déverrouille. Cependant, cela entraîne également un nombre excessif de demandes au helpdesk.
La durée recommandée se situe entre 30 et 60 minutes.
Tirez parti de la stratégie "Seuil de verrouillage du compte"
Si le seuil de verrouillage du compte est trop bas, les verrouillages accidentels seront fréquents. Cela pourrait également rendre le compte vulnérable aux attaques par déni de service, car il est plus facile pour le pirate de saisir intentionnellement les mauvais mots de passe pour verrouiller le compte. D'autre part, si le seuil est trop élevé, la probabilité de réussite d'une attaque par brute force augmente car le pirate a plus d'occasions d'essayer de deviner les informations d'identification.
Le seuil recommandé est de 15 à 50.
Configurez la stratégie "Réinitialiser le compteur de verrouillage du compte après"
Lors du calcul de la valeur "réinitialiser le compteur de verrouillage du compte après", les entreprises doivent garder à l'esprit le type et le niveau des menaces de sécurité auxquelles elles sont confrontées, ainsi que le coût des appels au helpdesk. Cette valeur doit être inférieure ou égale à la durée de verrouillage du compte.
Le paramètre recommandé est inférieur à 30 minutes.
Ces mesures supplémentaires peuvent minimiser les verrouillages de comptes dans votre entreprise.
Définir des stratégies en fonction du niveau de sécurité de l'utilisateur
Différentes combinaisons des valeurs de la stratégie doivent être définies pour les utilisateurs de divers niveaux de sécurité. Ceci est rendu possible par la fonction de stratégie de mot de passe affinée dans l'Active Directory (AD). Pour les utilisateurs à faible niveau de sécurité, le verrouillage des comptes peut être désactivé en fixant le seuil à zéro. Pour les utilisateurs à haut niveau de sécurité, comme les administrateurs et les responsables, la durée de verrouillage des comptes doit être fixée à zéro, de sorte qu'un compte verrouillé ne puisse être déverrouillé que par un administrateur. Un seuil de verrouillage de compte bas doit être défini pour ces utilisateurs, car ils doivent se souvenir de leurs mots de passe et saisir leurs informations d'identification avec prudence.
Former les utilisateurs finaux
90% des violations de la cybersécurité sont dues à une erreur humaine**. Les entreprises peuvent réduire ce chiffre en organisant régulièrement des formations de sensibilisation à la cybersécurité pour apprendre aux employés comment éviter le verrouillage de comptes.
Surveiller les activités inhabituelles
L'analyse du comportement de l'utilisateur (UBA) peut être utilisée pour détecter les pics inhabituels d'activité de verrouillage de comptes utilisateurs. Cela s'avère utile lorsque les entreprises comptent un grand nombre d'employés et qu'il est impossible de suivre l'activité de verrouillage de compte de chaque utilisateur.
Mise à jour des informations d'identification expirées
L'une des principales causes de verrouillage de comptes est l'utilisation d'informations d'identification expirées par des services système, des tâches planifiées ou des sessions Terminal déconnectées. Le fait de vider le gestionnaire d'informations d'identification et de redémarrer l'ordinateur permet de résoudre la plupart de ces problèmes.
Définir des alertes pour les verrouillages utilisateurs
Activer les notifications pour recevoir des alertes en temps réel sur les verrouillages de comptes utilisateurs de haute sécurité, ce qui peut aider à débloquer ces comptes plus rapidement. Utiliser des outils tiers qui peuvent exécuter des scripts pour déverrouiller instantanément les comptes verrouillés de haute priorité.
Gérer les connexions à plusieurs appareils
Les applications mobiles qui utilisent les informations d'identification AD (par exemple Outlook et Microsoft Exchange Server) peuvent également utiliser des informations d'identification expirées. Les utilisateurs doivent se méfier et mettre à jour leurs informations d'identification après deux changements de mot de passe ou plus. Dans Windows Server 2003 et supérieur, si le mot de passe saisi est l'un des deux mots de passe précédemment définis, il n'est pas considéré comme un mauvais mot de passe.
Le coût moyen de traitement d'un ticket est de
13,47 €*
-MetricNet-
90%
des cyberattaques sont dues à une erreur humaine**
-MetricNet-
Valeurs recommandées pour les stratégies de verrouillage de comptes
- Durée de verrouillage du compte : 30 à 60 minutes
- Seuil de verrouillage du compte : 15 à 50
- Réinitialiser le compteur de verrouillage du compte après : 30 minutes ou moins
Essayez ADAudit Plus pour trouver et résoudre de manière transparente les comptes utilisateurs verrouillés.
Téléchargez un essai gratuit de 30 jours.Derniers blogs
- Le Patch Tuesday de novembre 2024 propose des correctifs pour 89 vulnérabilités, dont 4 zero day.
- Le Patch Tuesday d'octobre 2024 contient des correctifs pour 117 vulnérabilités, dont 5 zero-days.
- Les états des données, Intro : Pourquoi protéger les données au repos, en cours d'utilisation et en mouvement ?
- Revue de l'USB, Partie 2 : Comment gérer les devices USB ?
Dernières mises à jour
- PAM360 : Nouvelle version 7300
- Key Manager Plus : Nouvelle version 7000
- ADSelfService Plus : Nouvelle version 6507
- SharePoint Manager Plus - Version 4503
- ADManager Plus MSP : Nouvelle version 7252
- Password Manager Pro : Nouvelle version 12460
- ADManager Plus : Nouvelle version 7252
- RecoveryManager Plus : Nouvelle version 6205