Les 25 meilleures pratiques de sécurité Active Directory – Bien choisir son serveur d impression
Il s'agit de la liste la plus complète des conseils de sécurité Active Directory et des meilleures pratiques que vous trouverez.
Dans ce guide, je partagerai mes conseils sur la sécurisation des administrateurs de domaine, des administrateurs locaux, des stratégies d'audit, de la surveillance des compromis pour AD, des stratégies de mot de passe, du contrôle des vulnérabilités, etc.
Vérifiez-le:
Sommaire
1. Nettoyez le groupe Admins du domaine
Il ne doit exister aucun compte d'utilisateur quotidien dans le groupe Admins du domaine. La seule exception est le compte d'administrateur de domaine par défaut.
Les membres du groupe DA sont trop puissants. Ils ont des droits d'administrateur local sur chaque système associé à un domaine (poste de travail, serveurs, ordinateurs portables, etc.).
C'est ce que recherchent les méchants.
Microsoft vous recommande de placer temporairement le compte dans le groupe DA lorsqu'un accès DA est nécessaire. Lorsque le travail est terminé, vous devez supprimer le compte du groupe DA.
Ce processus est également recommandé pour les groupes Administrateurs d'entreprise, Administrateurs de sauvegarde et Administrateur de schéma.
Quel est le problème?
Il devient de plus en plus facile pour les attaquants d’obtenir ou de déchiffrer les informations d’identité des utilisateurs.
Une fois que les attaquants ont accès à un système, ils peuvent se déplacer latéralement sur un réseau pour rechercher des autorisations plus élevées (administrateurs de domaine).
Une méthode consiste à passer le hachage.
Passer le hachage permet à un attaquant d'utiliser le mot de passe hash pour s'authentifier auprès des systèmes distants au lieu du mot de passe habituel.
Ces hachages peuvent être obtenus à partir des ordinateurs des utilisateurs finaux.
Effrayant non?
Il suffit d’un ordinateur ou d’un compte utilisateur compromis pour permettre à un attaquant de compromettre un réseau.
Nettoyer le groupe Admins du domaine est un excellent premier pas pour accroître la sécurité de votre réseau. Cela peut ralentir un attaquant.
Le processus pour supprimer des comptes du groupe DA n'est pas facile. Je sais de première main que j’ai récemment traversé ce processus. Il est très courant d’avoir trop de comptes dans le groupe DA.
Les choses vont casser alors soyez prêt.
Avant de commencer à supprimer des comptes de ce groupe, documentez et révisez les comptes avec votre équipe.
Puis commencez lentement à supprimer les comptes un à un. Cela peut être un processus douloureux, mais cela en vaut la peine.
C’est un exploit considérable qui réduira considérablement votre surface d’attaque.
Outil recommandé: Gestionnaire de droits d'accès SolarWinds
SolarWinds Access Rights Manager vous aidera à surveiller, analyser et auditer Active Directory et la stratégie de groupe. Cela permet aux administrateurs de voir instantanément ce qui a été modifié et par qui. Obtenez un meilleur contrôle de l'accès via une application centralisée. Cet outil audite également les partages de fichiers pour éviter les fuites de données et l'accès non autorisé aux fichiers sensibles.
Caractéristiques supplémentaires: Approvisionnement et gestion des utilisateurs, analyse des autorisations des utilisateurs, création de rapports personnalisés, portail en libre service et surveillance et gestion des points de partage.
Téléchargez votre version d'essai gratuite de 30 jours de SolarWinds Access Rights Manager
2. Utiliser au moins deux comptes (compte régulier et compte administrateur)
Vous ne devez pas vous connecter tous les jours avec un compte administrateur local ou disposant d'un accès privilégié (administrateur de domaine).
Au lieu de cela, créez deux comptes, un compte standard sans droits d'administrateur et un compte privilégié utilisé uniquement pour les tâches administratives.
MAIS
Ne mettez pas votre compte secondaire dans le groupe Admins du domaine, au moins de manière permanente.
Au lieu de cela, suivez les modèle administratif de moindre privilège. En gros, cela signifie que tous les utilisateurs doivent ouvrir une session avec un compte disposant des autorisations minimales pour effectuer leur travail.
Vous pouvez lire d'autres articles et forums pour placer votre compte secondaire dans le groupe Admins du domaine.
Ce n'est pas une meilleure pratique de Microsoft et je vous le déconseille. Encore une fois temporaire est OK, mais il doit être retiré dès que le travail est terminé.
Vous devez utiliser un compte ordinaire non administrateur pour les tâches quotidiennes, telles que la vérification des e-mails, la navigation sur Internet, le système de tickets, etc. Vous n'utiliseriez le compte privilégié que lorsque vous devez effectuer des tâches administratives telles que créer un utilisateur dans Active Directory, vous connecter à un serveur, ajouter un enregistrement DNS, etc.
Regardez ces deux scénarios.
Scénario 1 – Personnel informatique avec droits de domaine
Steve se connecte à son ordinateur avec un compte privilégié, vérifie son courrier électronique et télécharge par inadvertance un virus. Étant donné que Steve est membre du groupe DA, le virus dispose de tous les droits sur son ordinateur, tous les serveurs, tous les fichiers et l’ensemble du domaine. Cela pourrait causer de graves dommages et entraîner la panne des systèmes critiques.
Maintenant, prenons le même scénario mais cette fois-ci, Steve est connecté avec son compte habituel non administrateur.
Scénario 2 – Personnel informatique avec des droits réguliers
Steve vérifie son courrier électronique et télécharge un virus par inadvertance. Le virus a un accès limité à l'ordinateur et aucun accès au domaine ou à d'autres serveurs. Cela causerait des dommages minimes et empêcherait le virus de se propager à travers le réseau.
En utilisant simplement un compte régulier, vous augmentez la sécurité et évitez de causer de graves dommages.
Il est très facile de déléguer des tâches d’administration sans donner les droits d’administrateur au personnel. Voici quelques tâches courantes pouvant être déléguées à un compte d'administrateur secondaire.
- Droits sur les utilisateurs et ordinateurs Active Directory
- DNS
- DHCP
- Droits d'administrateur local sur les serveurs
- Stratégie de groupe
- Échange
- Droits d'administrateur local sur les postes de travail
- Administration Vsphere ou Hyper-v
Certaines organisations utilisent plus de deux comptes et utilisent une approche à plusieurs niveaux. Ceci est nettement plus sûr mais peut être un inconvénient pour certains.
- Compte régulier
- Compte pour l'administration du serveur
- Compte pour l'administration du réseau
- Compte pour l'administration du poste de travail
En utilisant deux comptes et en implémentant le modèle le moins privilégié du point de vue administratif, vous réduirez considérablement vos risques de sécurité et éviterez des situations telles que celle du scénario 1.
3. Sécuriser le compte d'administrateur de domaine
Chaque domaine comprend un compte administrateur, ce compte est par défaut membre du groupe Admins du domaine.
Le compte administrateur intégré doit uniquement être utilisé pour la configuration du domaine et la récupération après sinistre (restauration d'Active Directory).
Toute personne nécessitant un accès de niveau administratif à des serveurs ou à Active Directory doit utiliser son propre compte individuel.
Personne ne devrait connaître le mot de passe du compte d'administrateur de domaine. Définissez un mot de passe très long de plus de 20 caractères et verrouillez-le dans un coffre-fort. Encore une fois, le seul moment où cela est nécessaire est à des fins de récupération.
En outre, Microsoft a plusieurs recommandations pour sécuriser le compte administrateur intégré. Ces paramètres peuvent être appliqués à la stratégie de groupe et appliqués à tous les ordinateurs.
- Activer le compte est sensible et ne peut pas être délégué.
- Activer la carte à puce est requis pour la connexion interactive
- Refuser l'accès à cet ordinateur à partir du réseau
- Refuser la connexion en tant que travail par lots
- Refuser d'ouvrir une session en tant que service
- Refuser la connexion via RDP
Pour plus de détails sur la sécurisation du compte d'administrateur de domaine, voir cet article Microsoft, Sécurisation des comptes d'administrateur intégrés dans Active Directory.
4. Désactiver le compte d'administrateur local (sur tous les ordinateurs)
Le compte d'administrateur local est un compte bien connu dans les environnements de domaine et n'est pas nécessaire.
Pas besoin, est-ce vrai?
Oui
Vous devez utiliser un compte individuel disposant des droits nécessaires pour effectuer des tâches.
Quel est le problème avec le compte administrateur local?
Deux problèmes
- C'est un compte bien connu, même si renommé, le SID est le même et est bien connu des attaquants.
- Il est souvent configuré avec le même mot de passe sur chaque ordinateur du domaine.
Les attaquants doivent simplement compromettre un système et disposent désormais de droits d’administrateur local sur chaque ordinateur appartenant à un domaine.
Si vous devez effectuer des tâches administratives sur l'ordinateur (installer un logiciel, supprimer des fichiers, etc.), vous devriez le faire avec votre compte individuel, pas avec le compte administrateur local.
Même si le compte est désactivé, vous pouvez démarrer en mode sans échec et utiliser le compte d'administrateur local.
En tant qu'administrateur, je sais que ces meilleures pratiques ne sont pas toujours pratiques ou introduisent un inconvénient majeur.
Que se passe-t-il si le réseau est en panne ou si la carte réseau est morte, si vous devez le supprimer du domaine et l'ajouter de nouveau? Il existe des moyens de contourner ce problème, mais cela peut vraiment vous ralentir.
Si vous ne pouvez pas désactiver le compte, voici des recommandations pour le sécuriser. Une meilleure alternative consiste à utiliser l'outil Microsoft LAPS (voir le conseil n ° 5 ci-dessous).
- Refuser l'accès à cet ordinateur à partir du réseau
- Refuser la connexion en tant que travail par lots
- Refuser d'ouvrir une session en tant que service
- Refuser la connexion via RDP
Pour plus de détails, voir l'article suivant, Sécurisation des comptes et des groupes d'administrateurs locaux.
5. Utiliser la solution LAPS (Local Administrator Password)
La solution LAPS (Administrateur local) devient un outil populaire pour gérer le mot de passe administrateur local sur tous les ordinateurs.
LAPS est un outil Microsoft qui permet la gestion du mot de passe du compte local des ordinateurs joints au domaine. Il définira un mot de passe unique pour chaque compte d'administrateur local et le stockera dans Active Directory pour un accès facile.
C'est l'une des meilleures options gratuites d'atténuation des attaques de haschich et des mouvements latéraux d'un ordinateur à l'autre.
Il est très courant que les entreprises déploient Windows à l’aide d’un système à base d’images. Cela facilite le déploiement d'une configuration standard sur tous les périphériques.
Mais..
Cela signifie souvent que le compte de l'administrateur local sera le même sur tous les ordinateurs. Étant donné que le compte d'administrateur local dispose de tous les droits sur tout ce qui se trouve sur l'ordinateur, il suffit que l'un d'entre eux soit compromis pour que le pirate informatique puisse accéder à tous les systèmes.
LAPS est basé sur l'infrastructure Active Directory, il n'est donc pas nécessaire d'installer de serveurs supplémentaires.
La solution utilise l'extension côté client de la stratégie de groupe pour effectuer toutes les tâches de gestion sur les postes de travail. Il est pris en charge sur Active Directory 2003 SP1 et supérieur et sur le client Vista Service Pack 2 et supérieur.
Si vous devez utiliser le compte d’administrateur local sur un ordinateur, vous récupérerez le mot de passe dans Active Directory. Ce mot de passe sera unique pour cet ordinateur.
Pour obtenir des instructions détaillées sur l’installation de LAPS, consultez cet article, Comment installer la solution LAPS (Administrateur local)
6. Utiliser un poste de travail Secure Admin (SAW)
Un poste de travail admin sécurisé est un système dédié qui ne doit être utilisé que pour effectuer des tâches administratives avec votre compte privilégié.
Il ne doit pas être utilisé pour consulter ses courriels ou naviguer sur Internet. En fait… il ne devrait même pas avoir accès à Internet.
Quelles tâches feriez-vous sur une SAW?
- Administration Active Directory
- Stratégie de groupe
- Gestion des serveurs DNS et DHCP
- Toute tâche nécessitant des droits d'administrateur sur les serveurs
- Droits d'administrateur sur les systèmes de gestion tels que VMware, Hyper-v, Citrix
- Administration d'Office 365
Vous avez eu l'idée.
En gros, lorsque vous devez utiliser votre compte privilégié pour effectuer des tâches administratives, vous devez le faire depuis un SAW.
Les postes de travail à usage quotidien sont plus vulnérables aux compromis en cas de hachage, d'attaques par hameçonnage, de faux sites Web, de keyloggers, etc.
L'utilisation d'un poste de travail sécurisé pour votre compte surélevé offre une bien meilleure protection contre ces vecteurs d'attaque.
Les attaques pouvant provenir d’intérieurs et d’externes, il est préférable d’adopter une attitude de sécurité fondée sur la violation.
En raison des menaces constantes et de l'évolution de la technologie, la méthodologie de déploiement d'un SAW change constamment. Il existe également des serveurs PAW et des serveurs de sauts pour rendre la situation encore plus confuse.
Voici quelques conseils pour vous aider à démarrer:
- Utilisez une installation propre du système d'exploitation (utilisez le dernier système d'exploitation Windows)
- Appliquer une sécurité de base de durcissement (voir conseil n ° 25)
- Activer le chiffrement intégral du disque
- Restreindre les ports USB
- Utilisez un pare-feu personnel
- Bloquer internet
- Utiliser une machine virtuelle – Terminal Server fonctionne bien
- Logiciel minimal installé
- Utilisez deux facteurs ou une carte à puce pour l'accès
- Restreindre les systèmes pour n'accepter que les connexions de la SAW
Voici mon flux de travail typique utilisant une SAW:
- Connectez-vous à mon ordinateur avec mon compte habituel pour consulter vos emails et consulter les nouvelles demandes d'assistance. J'ai une demande pour donner à un utilisateur des autorisations sur un dossier partagé.
- Je me connecterai à ma SAW avec mon compte privilégié disposant des droits nécessaires pour modifier l'appartenance au groupe AD et ajouter l'utilisateur au groupe de sécurité AD nécessaire.
Assez simple non?
Cela peut sembler fastidieux, mais je trouve que c'est plus pratique de cette façon. Je peux me connecter à distance en dehors du réseau et disposer d'un serveur doté de tous les outils dont j'ai besoin. Je n'ai pas non plus à craindre de réinstaller tous mes logiciels de support si je dois ré-imager mon ordinateur.
Ressources:
https://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations
7. Activer les paramètres de la stratégie d'audit avec la stratégie de groupe
Assurez-vous que les paramètres de stratégie d'audit suivants sont configurés dans la stratégie de groupe et appliqués à tous les ordinateurs et serveurs.
Configuration ordinateur -> Stratégies – Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d'audit
Connexion au compte
Assurez-vous que ‘Audit Credential Validation’ est réglé sur 'Success and Failure'.
Gestion de compte
Audit "Gestion des groupes d'applications" est défini sur "Succès et échec"
Audit 'Gestion de compte d'ordinateur' est défini sur 'Succès et échec'
Audit "Autres événements de gestion de compte" est défini sur "Succès et échec"
Audit "Gestion du groupe de sécurité" est défini sur "Succès et échec"
Audit "Gestion des comptes d'utilisateurs" est défini sur "Succès et échec"
Suivi détaillé
L’audit ‘PNP Activity’ est réglé sur ‘Success’
Audit 'Process Creation' est défini sur 'Success'
Connexion / Déconnexion
Audit 'Account Lockout' est réglé sur 'Success and Failure'
Audit 'Appartenance au groupe' est défini sur 'Succès'
Audit 'Logoff' est défini sur 'Success'
Audit 'Logon' est défini sur 'Success and Failure'
Audit 'Autres événements d'ouverture et de fermeture de session' est paramétré sur 'Succès et échec'
Audit 'Connexion spéciale' est paramétré sur 'Réussite'
Accès aux objets
Audit 'Stockage amovible' est défini sur 'Réussite et échec'
Changement de politique
Audit "Modification de la stratégie d'audit" défini sur "Succès et échec"
Audit 'Authentication Policy Change' est défini sur 'Success'
Audit "Modification de la politique d'autorisation" est défini sur "Succès"
Utilisation de privilège
Audit "Utilisation privilégiée des privilèges" défini sur "Succès et échec"
Système
Audit ‘IPsec Driver’ est paramétré sur 'Success and Failure'
Audit 'Other System Events' est défini sur 'Success and Failure'
Audit "Changement d'état de sécurité" est défini sur "Succès"
Audit "Extension du système de sécurité" est défini sur "Succès et échec"
Audit «Intégrité du système» est défini sur «Succès et échec»
Une activité malveillante commence souvent sur les postes de travail. Si vous ne surveillez pas tous les systèmes, vous risquez de manquer les premiers signes d’une attaque.
Dans la section suivante, je traiterai des événements à surveiller.
8. Surveiller les événements Active Directory pour détecter les signes de compromission
Vous devez surveiller les événements Active Directory suivants pour aider à détecter les compromissions et les comportements anormaux sur le réseau.
Voici quelques événements que vous devriez surveiller et examiner toutes les semaines.
- Modifications apportées aux groupes privilégiés tels que les administrateurs de domaine, les administrateurs d'entreprise et les administrateurs de schéma
- Un pic de mauvaises tentatives de mot de passe
- Un pic de comptes bloqués
- Verrouillage de compte
- Désactivation ou suppression du logiciel antivirus
- Tous les actifs effectués par des comptes privilégiés
- Événements de connexion / déconnexion
- Utilisation de comptes d'administrateurs locaux
Comment surveillez-vous les événements dans Active Directory?
Le meilleur moyen est de collecter tous les journaux sur un serveur centralisé, puis d’utiliser un logiciel d’analyse des journaux pour générer des rapports.
Certains analyseurs de journaux sont pré-construits avec des rapports de sécurité Active Directory et d’autres vous sont nécessaires pour les créer vous-même.
Voici quelques-uns des analyseurs de journaux les plus populaires.
Avec un bon analyseur de journaux, vous serez en mesure de détecter rapidement les activités suspectes dans votre environnement Active Directory.
Voici quelques captures d'écran d'un analyseur que j'utilise. La première capture d'écran montre un pic dans les verrouillages de compte.
Ce n'est certainement pas normal.
Dans cette capture d'écran, vous pouvez voir un pic énorme d'échecs de connexion. Sans un analyseur de journaux, ces événements seraient difficiles à détecter.
9. La complexité du mot de passe est nulle (utilisez plutôt des phrases secrètes)
8 caractères complexes n’est plus un mot de passe sécurisé. Utilisez plutôt un minimum de 12 caractères et formez les utilisateurs sur les mots de passe.
Plus le mot de passe est long, mieux c'est.
Les phrases secrètes sont simplement deux ou plusieurs mots aléatoires mis ensemble. Vous pouvez ajouter des chiffres et des caractères si vous le souhaitez, mais je n’en ferais pas une exigence.
Des études ont montré que lorsque vous avez besoin de complexité, il est utilisé de la même manière, puis répété. Les pirates l'ont compris et il existe maintenant d'énormes listes de mots de passe (disponibles gratuitement) contenant des millions de mots de passe faciles à deviner.
Connaissez-vous quelqu'un qui utilise des mots de passe comme celui-ci?
S @ mmer2018 ou Winter2018! Juin2018 $
Ce sont des mots de passe affreux et faciles à deviner.
Les mots de passe longs et l'utilisation de la technique de la phrase secrète compliquent la tâche des logiciels de piratage des mots de passe et des pirates informatiques.
Meilleure politique de mot de passe
- Définir des mots de passe de 12 caractères
- Mémoriser 10 historiques de mot de passe
- utiliser des phrases de passe
- Politique de verrouillage 3 tentatives
La clé de l’utilisation des phrases secrètes est d’être totalement aléatoire avec chaque mot; vous ne voulez pas taper de phrase où le mot suivant peut être deviné.
Bons mots de passe en utilisant des mots de passe
Bucketguitartire22
À la tête
RoadbluesaltCloud
Les exemples ci-dessus sont totalement aléatoires. Ceux-ci prendraient très longtemps à craquer et probablement personne ne les devinerait.
Exemples de phrases secrètes incorrectes
Ireallylikepizza22
Theskyisblue44
NIST a récemment mis à jour ses directives de politique de mot de passe dans la publication spéciale 800-63 pour répondre aux nouvelles exigences en matière de politique de mot de passe.
Si votre organisation doit respecter certaines normes, assurez-vous qu'elles respectent ces recommandations de mot de passe.
Veillez également à mettre à jour la politique écrite de votre entreprise.
10. Utiliser des noms de groupe de sécurité descriptifs
Tout d'abord, assurez-vous que vous appliquez des autorisations aux ressources avec des groupes de sécurité et non des comptes individuels, cela facilite grandement la gestion des ressources.
Ensuite, ne donnez pas à vos groupes de sécurité un nom générique tel que helpdesk ou HR Training.
Lorsque vous avez des noms génériques comme celui-ci, ils seront utilisés sur toutes sortes de ressources et vous aurez perdu tout contrôle de la sécurité.
Et il n’existe pas de moyen facile de savoir à quoi un groupe de sécurité dispose d’autorisations. Oui, il existe des outils que vous pouvez utiliser, mais si vous avez un environnement de taille moyenne ou grande, ce sera une tâche énorme.
Voici un exemple récent de la façon dont cela peut devenir incontrôlable (histoire réelle).
Je travaillais avec un client sur le nettoyage des autorisations vers Active Directory. Il y avait plusieurs groupes de sécurité ayant délégué des autorisations à Active Directory.
Il y avait un groupe appelé helpdesk, un autre groupe IS Support et un autre appelé AD Modify.
J'avais l'impression que seul le personnel du service d'assistance avait les droits sur Active Directory pour réinitialiser les mots de passe et déverrouiller les comptes.
Venez découvrir que ces groupes ont été utilisés pour d’autres ressources telles que le logiciel de support technique, le partage réseau et les imprimantes. Donc, il comprenait divers membres du personnel informatique.
Une fois ces groupes supprimés, des programmeurs et des analystes d’entreprise nous ont appelé pour leur demander pourquoi ils ne pouvaient plus réinitialiser les mots de passe des utilisateurs. Pourquoi les programmeurs réinitialisent-ils les mots de passe des utilisateurs?
Je clarifie le nom précis du groupe de sécurité aurait empêché cela.
Si vous ne nommez pas le groupe de sécurité spécifique, cela peut être un piège pour les autorisations sur beaucoup d'autres choses.
Voici quelques bons exemples sur la façon de nommer des groupes.
Exemple 1: Autoriser le service d'assistance à réinitialiser les mots de passe
Nom du groupe de sécurité: IT-Helpdesk-ActiveDirectory
Étant donné que le nom du groupe est précis, cela éviterait qu’il ne soit utilisé sur d’autres ressources, telles qu’une imprimante ou un partage réseau.
Exemple 2: Autoriser les droits HR sur un dossier partagé
Nom du groupe de sécurité: HR-Training-Folder-RW
Encore une fois, cela a un nom très spécifique et aide à identifier ce pour quoi il devrait être utilisé.
Vous pouvez définir votre propre convention de dénomination en précisant simplement le nom et en évitant les noms génériques d'un groupe de mots.
11. Nettoyer les anciens comptes d'utilisateurs et d'ordinateurs Active Directory
Vous devez avoir une procédure en place pour détecter les comptes d'utilisateurs et d'ordinateurs inutilisés dans Active Directory.
Vous ne voulez pas que de nombreux comptes inutilisés restent dans Active Directory en attendant qu'un attaquant les découvre et les utilise.
Cela peut également entraîner des problèmes de génération de rapports, de correctifs et de ralentissement de la stratégie de groupe.
Je lance un processus chaque mois pour détecter et supprimer les comptes inutilisés.
Voici un guide étape par étape que j'ai écrit pour savoir comment nettoyer les anciens comptes dans Active Directory.
12. N'installez PAS de logiciels ni de rôles supplémentaires sur les contrôleurs de domaine.
Les logiciels et les rôles des contrôleurs de domaine doivent être limités.
Les contrôleurs de domaine sont essentiels pour l’entreprise, vous ne voulez pas augmenter les risques de sécurité en leur faisant exécuter des logiciels supplémentaires.
Windows Server Core est une excellente option pour exécuter le rôle de contrôleur de domaine et d'autres rôles tels que DHCP, DNS, serveurs d'impression et serveurs de fichiers.
Server Core fonctionne sans interface graphique et nécessite moins de correctifs de sécurité en raison de son encombrement réduit.
Je gère plusieurs clients depuis des années et c’est un excellent choix. Très stable
Plus de logiciels, plus de rôles = risques de sécurité accrus.
Gardez vos CD minces et propres.
13. Continue à gérer les correctifs et à analyser les vulnérabilités
Les attaquants exploitent rapidement les vulnérabilités connues.
Si vous n'analysez pas et ne corrigez pas régulièrement les vulnérabilités découvertes, vous courez un risque beaucoup plus grand.
Il existe un grand nombre d'outils de vulnérabilité et d'analyse disponibles. Consultez ma liste des 6 meilleurs logiciels de gestion de correctifs comparés.
Conseils pour la gestion continue de la vulnérabilité
- Analysez tous les systèmes au moins une fois par mois pour identifier toutes les vulnérabilités potentielles. Si vous pouvez numériser plus souvent, c’est encore mieux.
- Donne la priorité à la découverte des analyses de vulnérabilité et corrige d’abord celles qui ont des vulnérabilités connues dans la nature.
- Déployer des mises à jour logicielles automatisées sur les systèmes d'exploitation
- Déployer la mise à jour automatisée vers un logiciel tiers
- Identifiez les logiciels obsolètes qui ne sont plus pris en charge et mettez-les à jour.
14. Utiliser les services DNS pour bloquer les domaines malveillants
Vous pouvez empêcher une grande quantité de trafic malveillant d'entrer sur votre réseau en bloquant les recherches DNS malveillantes.
Chaque fois qu'un système doit accéder à Internet, il utilisera dans la plupart des cas un nom de domaine.
Les ordinateurs se parlent par adresse IP. Ils utilisent donc le DNS pour associer un nom de domaine à une adresse IP.
Il existe plusieurs services disponibles qui vérifient les requêtes DNS et les bloquent.
Comment cela marche-t-il?
Ces services DNS collectent des informations sur les domaines malveillants à partir de diverses sources publiques et privées. Lorsqu'il reçoit une requête pour un domaine qu'il a identifié comme malveillant, il bloque l'accès lorsque votre système tente de le contacter.
Voici une vidéo de Quad 9 qui explique leur service DNS.
Voici un exemple:
Étape 1: le client clique sur un lien qui mène à example.net
Étape 2: le cache local est vérifié
Étape 3: le service DNS vérifie si le domaine figure sur sa liste de menaces. Il renvoie donc une réponse bloquée.
Dans l'exemple ci-dessus, étant donné que la requête DNS a renvoyé un bloc, aucun trafic malveillant n'a jamais été entré sur le réseau.
Voici quelques-uns des services DNS sécurisés les plus populaires
Quad9
OpenDNS
DNS sécurisé Comodo
J’utilise actuellement Quad9, c’est gratuit et facile à installer.
De plus, la plupart des systèmes IPS (Intrusion Prevention Systems) prennent en charge la possibilité de vérifier les recherches DNS par rapport à une liste de domaines malveillants.
15. Exécuter l'infrastructure critique sur le dernier système d'exploitation Windows
Avec chaque nouvelle version du système d'exploitation Windows, Microsoft inclut des fonctionnalités de sécurité intégrées et des améliorations.
Rester sur le dernier OS augmentera la sécurité globale.
Nouvelles fonctionnalités de sécurité dans Server 2016
- Machines virtuelles blindées
- Juste assez d'administration
- Windows Defender sans tête
- Credential Guard
- Dispositif de garde
Voici une bonne vidéo de Microsoft sur Windows Server 2016 Security.
16. Utiliser l'authentification à deux facteurs pour l'accès à distance
Les comptes compromis sont très courants et peuvent fournir aux attaquants un accès à distance à vos systèmes via un réseau privé virtuel (VPN), Citrix ou d'autres systèmes d'accès distant.
Vérifiez vos journaux Office 365 ou ADFS, vous serez surpris du nombre de tentatives de connexion en provenance de Chine et de Russie.
L'authentification à deux facteurs est l'un des meilleurs moyens de se protéger contre les comptes compromis. Cela aidera également contre les attaques par spaying par mot de passe.
Disons qu'un utilisateur est tombé dans une tentative de phishing qui lui a demandé de vérifier son nom d'utilisateur et son mot de passe.
L’attaquant a maintenant les informations d’identification Active Directory de cet utilisateur. L’attaquant pouvait désormais accéder à plusieurs systèmes à partir de n’importe où.
Si l'utilisateur avait activé deux facteurs, cela pourrait empêcher l'accès même si le compte avait été compromis. L’attaquant aurait besoin du deuxième jeu d’identifiants pour se connecter.
Il n’existe vraiment aucun moyen d’empêcher les comptes d’être compromis. Les attaquants disposent de trop de moyens pour obtenir les informations d’identité.
Si vous utilisez Office 365 et en fonction du package que vous possédez, MFA peut être inclus. Profitez de cette fonctionnalité.
Solutions d'authentification à deux facteurs populaires
17. Surveiller les journaux DHCP pour les périphériques connectés
Vous devez savoir ce qui est connecté à votre réseau si vous avez plusieurs sites avec beaucoup d'utilisateurs et d'ordinateurs, cela peut être difficile.
Il existe des moyens d'empêcher uniquement la connexion de périphériques autorisés, mais cette opération peut être coûteuse et demander beaucoup de travail. Si vous avez les ressources, c'est la voie à suivre.
Une autre méthode à votre disposition consiste à surveiller les journaux DHCP des périphériques connectés.
Tous les périphériques d’utilisateur final doivent être configurés pour utiliser DHCP. Vous pouvez ensuite consulter les journaux pour voir ce qui se connecte. Vous devez avoir une convention de dénomination pour votre équipement, cela facilitera la détection des éventuels périphériques non autorisés.
Dans la capture d'écran ci-dessous, je peux facilement repérer un périphérique qui ne respecte pas les conventions de dénomination de mon ordinateur.
minint-1bdvd67 n'est pas quelque chose que je reconnais. Je devrai examiner cela et voir s'il s'agit d'un appareil autorisé.
18. Surveiller les journaux DNS pour les menaces de sécurité
La plupart des connexions commencent par une requête DNS. Tous les systèmes joints à un domaine doivent être configurés pour utiliser votre serveur DNS Windows local.
Avec cette configuration, vous pouvez enregistrer chaque recherche DNS interne et externe. Lorsqu'un périphérique client établit une connexion à un site malveillant, il enregistre ce nom dans les journaux DNS.
Ces domaines malveillants sont généralement des domaines de caractères aléatoires et impairs qui soulèvent des drapeaux rouges.
Voici quelques captures d'écran de recherches DNS suspectes dans mes journaux. Celles-ci apparaissent à plusieurs reprises dans mes journaux pour une poignée de périphériques.
Je doute sérieusement qu'un utilisateur tente d'accéder à ce site intentionnellement. Ce type de recherche doit être examiné pour déterminer s’il est malveillant ou non.
Pour afficher les recherches DNS, vous devez d'abord activer les journaux de débogage DNS sur les serveurs Windows.
Étapes pour activer les journaux de débogage DNS sur Windows Server
Étape 1: ouvrez la console de gestion DNS
Étape 2: Faites un clic droit et sélectionnez les propriétés
Étape 3: Cliquez sur l'onglet Journalisation du débogage
Étape 4: Cochez la case «Journaliser les paquets pour le débogage
Une fois que vous avez configuré les journaux de débogage, vous pouvez les importer dans un analyseur pour détecter rapidement les activités malveillantes.
Vous pouvez également convertir le fichier journal en csv pour faciliter la lecture et le filtrage.
19. Utiliser les dernières fonctionnalités de sécurité ADFS et Azure
ADFS et Azure disposent d'excellentes fonctionnalités de sécurité. Ces fonctionnalités vous aideront avec la pulvérisation de mot de passe, la modification de compte, le phishing, etc.
Quel que soit le niveau de votre bureau 365, vous devez examiner certaines fonctionnalités.
Bien entendu, les abonnements premium offrent les meilleures fonctionnalités de sécurité.
Mais
Microsoft améliore et ajoute de nouvelles fonctionnalités à tous les niveaux (du moins, c’est ce que j’ai remarqué depuis que je suis sur Office 365).
Voici quelques caractéristiques qui méritent d’être explorées:
- Smart Lockout – Utilise des algorithmes pour repérer les activités de connexion inhabituelles.
- Verrouillage IP – Utilise la base de données d'adresses IP malveillantes connues de Microsoft pour bloquer les ouvertures de session.
- Simulations d'attaque – Vous devriez effectuer des tests de phishing réguliers pour aider à former les utilisateurs finaux. Microsoft publiera très bientôt un logiciel de simulation de phishing.
- Authentification MFA – La solution à 2 facteurs de Microsoft
- Mots de passe interdits – Vérifie les mots de passe par rapport à une liste connue
- Azure AD Connect Health – Fournit plusieurs bons rapports
- Mots de passe incorrects personnalisés – Possibilité d'ajouter des mots de passe interdits personnalisés à vérifier.
J'exécute actuellement une configuration hybride d'Office 365. En azur, je peux voir plusieurs signes risqués sur les rapports.
Azure m'a alerté sur un signe venant de Chine provenant d'un de nos comptes.
Certaines de ces fonctionnalités sont disponibles avec la dernière version d'ADFS et d'autres sont incluses dans l'abonnement Office 365.
Vérifiez définitivement toutes les fonctionnalités de sécurité disponibles dans ADFS, Office 365 et Azure.
Ressources:
https://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-spray-attacks/
20. Utiliser le score sécurisé d'Office 365
Secure Score analyse la sécurité de votre organisation Office 365 en fonction de l'activité et des paramètres de sécurité.
Secure Score vérifie vos services Office 365, vérifie ensuite vos paramètres et vos activités et vous fournit un score de sécurité.
Une fois qu'il aura analysé votre score, il fournira une liste détaillée de ce qui a été marqué et des actions recommandées pour résoudre les problèmes.
Vous aurez besoin d'un abonnement Premium ou Entreprise pour accéder à cette fonctionnalité. De plus, vous devrez vous attribuer le rôle d'administrateur général ou personnalisé.
Microsoft continue à se développer et à ajouter des fonctionnalités supplémentaires à Secure Score.
Si vous avez accès à cette fonctionnalité, profitez-en.
21. Prévoyez un compromis (ayez un plan de redressement)
Que feriez-vous si votre réseau était compromis aujourd'hui ou mis en échec avec RansomWare?
Avez-vous une politique de réponse? Avez-vous testé et formé le personnel sur la manière de gérer un tel événement?
Les cyberattaques peuvent arrêter des systèmes et mettre un terme aux opérations commerciales.
La ville d'Atlanta a été fermée par une cyberattaque, ce qui a empêché les résidents de payer leurs factures de services publics en ligne. En outre, les policiers ont dû rédiger leurs rapports à la main.
La dernière fois que j’ai vérifié, il leur en coûtait plus de 5 millions de dollars pour se remettre de l’attaque.
Un bon plan de réponse aux incidents aurait pu limiter l'impact et permettre aux services de revenir en ligne beaucoup plus rapidement.
Voici quelques éléments à inclure dans un plan de réponse aux incidents
- Créer une politique et un plan de réponse aux incidents
- Créer des procédures pour gérer les incidents et les signaler
- Établir des procédures pour communiquer avec des tiers
- Mettre en place des équipes d'intervention et des leaders
- Prioriser les serveurs
- Procédure pas à pas et formation
Le NIST propose un excellent guide sur la gestion des incidents de sécurité informatique, https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf.
22. Délégation de documents dans Active Directory
Le meilleur moyen de contrôler l'accès à Active Directory et aux ressources associées est d'utiliser des groupes de sécurité.
Si vos droits de délégation aux individus, vous perdez le contrôle de qui a accès.
Créez des groupes personnalisés avec des noms très spécifiques, indiquez qui a les droits et créez un processus pour ajouter de nouveaux utilisateurs.
Ne laissez pas simplement les utilisateurs s'ajouter à ces groupes personnalisés sans processus d'approbation. Ceci est juste une autre façon dont les autorisations peuvent devenir incontrôlables.
Sachez quels groupes sont délégués à quelles ressources, documentez-les et assurez-vous que votre équipe est sur la même page.
23. Verrouillage des comptes de service
Les comptes de service sont les comptes qui exécutent un exécutable, une tâche ou un service, une authentification AD, etc.
Ceux-ci sont très utilisés et ont souvent un mot de passe défini pour ne jamais expirer.
Ces comptes se retrouvent souvent avec trop d'autorisations et sont le plus souvent membres du groupe des administrateurs de domaine.
Mauvais Très mauvais
Parfois, cela est suggéré par le vendeur.
Ne laissez pas cela se produire, il existe des moyens de le faire fonctionner sans accès DA.
Voici quelques conseils pour verrouiller les comptes de service.
- Use long Strong passwords
- Give access to only what is needed
- Try to avoid granting local administrator rights
- Do not put in Domain Admins
- Deny logon locally
- Deny logon as a batch
- Require vendors to make their software work without domain admin rights
24. Disable SMBv1
SMBv1 is 30 years old and Microsoft says to stop using it (They have been saying that for a long time).
SMB (Server Message Blocks) is a network file and printer sharing protocol.
SMBv1 has been replaced by SMBv2 and SMBv3.
Many viruses can spread and exploit flaws in the SMBv1 protocol.
In addition, to the security issues with SMBv1 it’s not an efficient protocol, you will lose performance with this old version.
Beginning with Windows 10 Fall Creators Update SMBv1 will be disabled by default.
If you are running an older Windows version or still on Windows 7, here is how you disable it.
Warning: You will want to test this. Even though most operating systems support smbv2 and smbv3, you can still run into issues with some older application.
Method 1: Disable Through Windows Features
Step1: Go to Programs and Features > Turn Windows features on or off
Step2: Scroll through the list and uncheck “SMB 1.0/CIFS File Sharing Support”
You will be prompted to restart.
Method 2: Disable in Registry
If you are still running Windows 7 you will have to edit the registry to disable SMBv1.
Navigate to this key
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
Right click the parameters key and choose New > DWORD (32-bit) value.
Name the new value SMB1. It should by default be value 0 which disabled it.
To disable SMBv1 across all computers you can use group policy registry preference. This will allow you to create the above registry setting on all computers.
25. Use Security Baselines and Benchmarks
A default install of the Windows Operating system has many features, services, default settings and enabled ports that are not secure.
These default settings should be reviewed against known security benchmarks.
Establishing a secure configuration on all systems can reduce the attack surface while maintaining functionality.
There are several resources that provide security benchmarks.
Microsoft has a Security Compliance Toolkit that allows you to analyze and test against Microsoft recommended security configuration baselines.
Another great resource is CIS SecureSuite
It also provides security configuration baselines. In addition, it provides tools that can scan a system and provide a report on failures.
Most of the recommended settings can be set up using Group Policy and deployed to all computers.
Here is a screenshot of the CIS Securesuite tool. It ran a scan on my computer and generated a report on all the settings that passed and failed.
CIS Securesuite can also scan against other systems like cisco, vmware, linux and more.
Commentaires
Laisser un commentaire