Les meilleures pratiques des groupes de sécurité d’Active Directory – Les groupes de sécurité d’Azure Active Directory sont des outils puissants pour les administrateurs afin de contrôler auxquels des serveurs Windows et ressources réseau chaque utilisateur individuel a accès. En ne gérant pas correctement ces groupes, vous pourriez involontairement fournir aux cybercriminels une porte dérobée pour entrer dans votre réseau et voler des informations sensibles.
Les compromissions d’Azure Active Directory résultant du non-respect des meilleures pratiques sont courantes. Cependant, il est possible de maintenir la sécurité de vos systèmes contre les assauts en mettant en place des mesures de sécurité solides, en limitant les vulnérabilités, et en les surveillant constamment.
Cet article est une analyse approfondie des groupes de Azure Active Directory sécurité et des meilleures pratiques de sécurité à suivre pour mieux protéger votre réseau Windows.
Source de l’image : Imanami
Groupes de sécurité Active Directory
Azure Active Directory les groupes dans Azure se présentent sous deux types : les groupes de distribution Active Directory et les groupes de sécurité Active Directory.
Les groupes de distribution Active Directory sont principalement utilisés pour la distribution des e-mails et sont compatibles avec Microsoft Exchange et Outlook. Ils permettent aux administrateurs réseau d’envoyer des e-mails à des sous-ensembles de membres Active Directory.
D’un autre côté, les groupes de sécurité Active Directory gèrent les permissions des utilisateurs et l’accès aux ressources matérielles. Ces groupes sont très importants pour le fonctionnement du réseau et des opérations commerciales d’une organisation.
C’est parce que les groupes de sécurité Active Directory sont si importants pour aider les administrateurs à contrôler qui a accès à des ressources réseau importantes et à empêcher les utilisateurs non autorisés d’accéder à des données sensibles. Ceci est vital, en particulier pour la protection des informations privées et confidentielles.
Azure Active Directory groupes de sécurité se composent d’administrateurs, d’opérateurs de comptes, domaine Admins, DNS Admins, Utilisateurs, Invités, Opérateurs de serveur, Utilisateurs protégés et plusieurs autres.
Scopes de groupes de sécurité Active Directory
Azure Active Directory groupes de sécurité groupes sont classés en 4 catégories en fonction de leur portée : local, domaine local, global et groupes universels.
Groupes locaux: Ces groupes sont créés et uniquement disponibles sur l’ordinateur sur lequel ils ont été créés.
Groupes de domaine locaux: Les groupes de domaine locaux sont utilisés pour gérer les droits d’accès aux ressources à travers le domaine. Les groupes de domaine locaux comprennent des membres de domaines de tout type ainsi que ceux provenant de domaines fiables.
Groupes globaux: Les groupes globaux définissent les objets de domaine (utilisateurs, ordinateurs, groupes) en fonction des rôles professionnels. Les utilisateurs sont organisés en groupes en fonction de leurs rôles (par exemple, « Marketing » ou « Comptables »), et les ordinateurs peuvent être organisés en groupes globaux en fonction de leurs rôles (par exemple, « Postes de travail Marketing »).
Groupes universels: Ces groupes sont utilisés dans les forêts multi-domaines. Ils permettent aux administrateurs de spécifier les rôles et les permissions pour les ressources inter-domaines.
Utilisations des groupes de sécurité Azure Active Directory
Il existe deux utilisations principales pour les groupes de sécurité Active Directory :
Attribution des droits utilisateur : Le répertoire actif de sécurité groupes sont utilisés pour attribuer des droits utilisateur pour spécifier ce que les utilisateurs au sein d’un groupe sont autorisés à faire dans un domaine ou une forêt. Pour des raisons de commodité administrative, les droits utilisateur peuvent être accordés automatiquement à certains groupes de sécurité.
Accorder des autorisations aux ressources : Les autorisations des utilisateurs sont distinctes des droits utilisateur. Alors que les autorisations des utilisateurs régissent quelles ressources les utilisateurs peuvent accéder, les droits utilisateur déterminent quelles capacités les utilisateurs ont.
Il est important de noter que certaines autorisations sont accordées par défaut à des groupes de sécurité spécifiques. Les groupes Account Operators et Domain Admins en sont deux exemples de groupes de sécurité prédéfinis qui reçoivent certaines autorisations par défaut. Ces groupes sont générés automatiquement lorsque vous configurez un domaine Active Directory. Cependant, en raison des risques de sécurité inhérents liés à l’attribution automatique d’autorisations de sécurité, une attention particulière doit être accordée lors de la gestion de ces groupes.
Améliorez votre sécurité Active Directory & Azure AD
Essayez-nous gratuitement, accès à toutes les fonctionnalités. – Plus de 200 modèles de rapports AD disponibles. Personnalisez facilement vos propres rapports AD.
8 Meilleures pratiques pour les groupes de sécurité Active Directory
1. Évitez les excès
Assurez-vous que les groupes de sécurité par défaut n’ont pas de permissions excessives : Examinez régulièrement les permissions attribuées automatiquement par Active Directory pour les groupes de sécurité par défaut, car certains de ces groupes disposent de permissions considérables. Assurez-vous que les utilisateurs n’ont que les droits d’accès minimum nécessaires pour accomplir leurs responsabilités quotidiennes. Si des privilèges d’accès supérieurs sont requis, ils devraient être accordés sur la base d’un besoin spécifique.
Veillez à n’installer que les outils et fonctionnalités nécessaires et assurez-vous que les comptes n’ont que les droits requis et sont membres des groupes requis. Si vous accordez à tout le monde des droits étendus ou un accès à votre système, il devient beaucoup plus difficile de détecter les menaces internes, et votre système devient vulnérable si un grand nombre de personnes sont dans des groupes de sécurité à haut accès.
2. Mettre à jour régulièrement les logiciels
Source d’image : Pixabay
Microsoft recommande de s’assurer que votre logiciel Windows et les programmes tiers sont mis à jour régulièrement. Afin de compromettre les systèmes, les attaquants exploitent souvent ou tirent parti des vulnérabilités connues. De l’autre côté, les professionnels de la cybersécurité sont constamment à la recherche de fournir des correctifs de sécurité pour ces vulnérabilités. Par conséquent, avoir une routine de patch régulière contribue à garantir que vos systèmes sont à l’abri des cyberattaques.
Pour y parvenir, il est souvent recommandé d’utiliser un gestionnaire de patchs pour maintenir à jour les logiciels de votre système. Un bon système de gestion des patchs vous informera si l’un de vos logiciels présente des vulnérabilités et fournira également des détails sur tous les risques qu’il détecte, y compris les attaquants spécifiquement en train de cibler les lacunes de sécurité d’Active Directory.
3. Mettre en place de bonnes politiques de mot de passe
Au lieu de compter sur des règles de complexité, mettez en œuvre des politiques de mot de passe qui encouragent les utilisateurs à utiliser des phrases de passe qu’ils peuvent facilement se rappeler. Il est important d’avoir une politique exigeant que les utilisateurs définissent des mots de passe avec des paraphrases de trois mots ou plus au lieu de mots de passe difficiles de huit caractères ou moins. Les règles de complexité des mots de passe dissuadent les utilisateurs d’utiliser des mots de passe mémorables et conduisent à la pratique inévitable d’écrire les mots de passe, ce qui annule l’objectif d’avoir un mot de passe en premier lieu. Il est également recommandé de mettre en place des règles qui verrouillent les utilisateurs après un certain nombre d’essais de connexion infructueux.
Par exemple, mettez en place une politique qui garantit qu’un utilisateur est verrouillé après trois tentatives de mot de passe infructueuses. Les mots de passe peuvent être rendus encore plus sécurisés en utilisant l’authentification à deux facteurs authentification. Vous pouvez utiliser Microsoft Multi-Factor Authentication (MFA), Duo et RSA pour mettre en œuvre l’authentification à deux facteurs.
4. Protéger les groupes et comptes par défaut
Lorsqu’un domaine Active Directory est créé, un ensemble de groupes de sécurité par défaut est également créé, et certains de ces groupes ont des autorisations assez larges. Soyez prudent lors de la gestion de ces groupes, car donner à un utilisateur l’accès à l’un d’entre eux leur accorde automatiquement un accès administratif puissant et des rôles de groupe.
Pour ce faire, assurez-vous de suivre les pratiques suivantes :
- Assurez-vous que, à l’exception du « Domain Administrator » par défaut, aucun utilisateur ordinaire n’a accès au groupe « Domain Admins ».
- Veillez à ce que le compte Domain Administrator ne soit utilisé que pour la configuration de domaine et la récupération en cas de catastrophe.
- Accordez un accès temporaire uniquement aux utilisateurs lorsque cela est nécessaire.
- Veillez à ce que les mot de passe soient stockés en lieu sûr où seuls les utilisateurs autorisés ont accès.
- Désactivez le compte d’administrateur local pour l’empêcher de devenir un point d’accès pour les intrus. C’est parce que les cybercriminels peuvent facilement accéder à votre système si vous le laissez activé, car il partage le même SID et le même mot de passe dans toutes les installations.
5. Effectuez régulièrement des audits Active Directory
Il est toujours recommandé de surveiller attentivement et constamment Active Directory, les journaux et les événements. Soyez attentif à tout signe de comportement suspect, tel qu’une augmentation du nombre d’essais de connexion infructueux ou de comptes verrouillés, un changement de la composition de groupes privilégiés, la désactivation ou la suppression de logiciels antivirus, ou un changement dans l’heure des connexions ou des déconnexions.
Chacun de ces événements pourrait être un signe d’avertissement d’une tentative ou d’une compromission existante de vos systèmes. De plus, il est essentiel de suivre qui a accès à quoi et d’apporter des ajustements ou des suppressions au besoin pour s’assurer que personne n’a plus de privilèges que nécessaire en termes de sécurité.
6. Mettre en place une politique de Zéro Confiance
La confiance zéro signifie qu’aucun membre de l’organisation n’est considéré comme digne de confiance par défaut. Mettez en place une politique de « zéro confiance », dans laquelle aucun utilisateur, interne ou externe, n’a accès automatique aux zones protégées du réseau sans avoir été préalablement vérifié.
A lot of system compromises are carried out by insiders. Therefore, no company should underestimate the risk posed by insider threats. Please follow the concept of least privilege by not giving users too much control over the network’s resources.
Accordez seulement à vos employés ou membres de votre organisation l’accès dont ils ont besoin, et seulement quand ils en ont besoin. Supprimez cet accès dès qu’il n’est plus nécessaire, et, si possible, accordez toujours l’accès de manière temporaire.
7. Supprimer les Groupes Active Directory Vides
Idéalement, groupes Active Directory sans membres ne devraient pas exister. Cela sape complètement l’intérêt d’avoir des groupes en premier lieu. Cependant, il n’est pas rare qu’un réseau en croissance Active Directory compte plusieurs groupes vides.
Un groupe de sécurité Active Directory vide pose deux problèmes majeurs. Premièrement, ils ajoutent un encombrement inutile et compliquent la gestion du répertoire actif, même lorsqu’ils sont associés à des outils de gestion Active Directory conviviaux pour les utilisateurs.La deuxième chose la plus importante à noter est que les groupes vides représentent un risque de sécurité pour votre réseau.
I personally view every inactive security group in Active Directory as an additional and potential point of entry for attackers. Empty groups are much simpler for hackers to find a backdoor and steal sensitive information.
Heureusement, il existe des outils qui sont disponibles pour vous aider à vous débarrasser des groupes AD inactifs. Les outils varient en fonction du logiciel d’administration de groupes Active Directory que vous utilisez. Utilisez ces outils pour localiser les groupes Active Directory vides et les éliminer soit en les fusionnant, soit en les supprimant complètement. Par exemple, vous fusionnez des groupes connexes s’ils ont tous besoin des mêmes autorisations.
8. Activer l’authentification multifacteur (MFA) Azure AD
Image Source: Unsplash
Azure AD MFA réduit le danger de l’authentification uniquement par mot de passe en obligeant les utilisateurs à fournir une combinaison de deux ou plusieurs facteurs : «
- Quelque chose qu’ils connaissent (par exemple, un mot de passe).
- Quelque chose qu’ils possèdent (par exemple, un appareil de confiance comme un téléphone).
- Quelque chose qu’ils sont (par exemple, une empreinte digitale).
Il existe plusieurs méthodes pour activer l’authentification à facteurs multiples dans Azure:
Avec les paramètres de sécurité par défaut d’Azure AD : Cette option permet aux administrateurs de déployer rapidement MFA et d’appliquer des paramètres qui exigent MFA en utilisant Microsoft Authenticator pour tous les utilisateurs. Cette méthode vous permet également, en tant qu’administrateur, de prohiber les protocoles d’authentification hérités.
En utilisant des stratégies d’accès conditionnelles : Ces stratégies vous donnent la liberté d’exiger MFA dans certaines situations, comme lorsque vous vous connectez à partir d’un endroit inhabituel, d’un appareil que vous ne faites pas confiance, ou d’une application risquée. En ne demandant une vérification supplémentaire que lorsque des risques plus importants sont détectés, cette méthode réduit la charge pour les utilisateurs.Cette technique réduit la charge pour les utilisateurs en exigeant une vérification supplémentaire uniquement lorsque des risques supplémentaires sont identifiés.
Grâce à des modifications d’état utilisateur individuelles : Cette approche est prise en charge à la fois par le MFA Azure AD basé sur le cloud et le serveur d’authentification Azure MFA. Elle contourne les restrictions d’accès conditionnel et force les utilisateurs à utiliser une authentification à deux facteurs chaque fois qu’ils se connectent.
Lire aussi Déployer Azure AD Monitoring
Meilleures pratiques des groupes de sécurité d’Active Directory (Conclusion)
Active Directory est un service robuste permettant de contrôler l’accès des utilisateurs individuels aux serveurs Windows et aux ressources réseau. Il est possible de protéger vos systèmes contre les attaques en mettant en place des mesures de sécurité solides, en limitant les vulnérabilités et en les surveillant en permanence.
Suivez les pratiques recommandées ci-dessus pour éviter les désagréments coûteux et maintenir la sécurité de vos systèmes.
Source:
https://infrasos.com/active-directory-security-groups-best-practices/