Il y a des centaines, voire des milliers, de réglages possibles pour Active Directory, dont les droits utilisateurs, les listes de contrôle d'accès (ACL), les délégations, et tant d'autres. Avec tous ces paramètres, il y a toujours quelques paramètres oubliés ou mal configurés.
3 paramètres de sécurité régulièrement mal configurés dans les environnements AD:
Le groupe Administrateurs de l'entreprise :
Pour la plupart des installations d'Active Directory, le groupe Administrateurs de l'entreprise doit être vide. Ce groupe devrait être vide car ce dernier est rarement utilisé. Ainsi, avoir un utilisateur dans ce groupe expose le compte de cet utilisateur à des attaques et à l'utilisation malveillante des capacités du groupe. Aussi, si vous surveillez et êtes notifié lors des changements affectant le groupe Administrateurs de l'entreprise, vous serez informé immédiatement si un utilisateur est ajouté au groupe, ce qui est idéal pour ce groupe. Vous trouverez dans l'article de notre blog comment mettre en place une surveillance et une alerte pour le groupe Administrateurs de l'entreprise.
La stratégie de verrouillage de compte :
Ce paramètre (défini dans un Objet de Stratégie de Groupe) détermine le nombre de tentatives d'ouverture de session en échec qu'un utilisateur peut obtenir avant que son compte soit verrouillé. Ce réglage a historiquement été fixé à un nombre réduit (généralement trois à cinq) pour répondre aux réglementations de sécurité, faisant penser qu'un faible nombre est un signe de sécurité. Cependant, avec les utilisateurs internes qui ont la capacité d'attaquer avec de meilleurs résultats, ce nombre devrait être porté entre 75 ou 100 pour aider à réduire les chances d'un déni de service. Un déni de service, dans ce cas, consisterait à rendre tous les comptes utilisateurs verrouillés avec un simple script ou un fichier batch. En tentant d'ouvrir une session avec trois à cinq mauvais mots de passe pour chaque utilisateur du domaine, un attaquant interne pourrait verrouiller chaque utilisateur dans Active Directory (mis à part le compte d'administrateur de domaine) en quelques secondes. Si vous définissez cette valeur à un plus grand nombre, l'attaquant interne ne pourrait pas connaitre la valeur du seuil de verrouillage puisqu'il n'arriverait pas à l'atteindre.
Autorisations du compte de service ("log on to") :
Ce paramètre est un contrôle qui peut restreindre l'accès des comptes de services aux ordinateurs sur lesquels ils peuvent se connecter. Ce paramètre fait partie des propriétés des comptes utilisateurs, qui sont faciles à configurer. L'important est de savoir sur quels ordinateurs le compte de service est utilisé, puis simplement les énumérer dans la liste "Log on to". Cela permettra d'empêcher le compte utilisateur (utilisé comme un compte de service) de se connecter à n'importe quel ordinateur, mais seulement sur ceux qui sont répertoriés.