Il s'agit de la liste la plus complète des conseils de sécurité Active Directory et des meilleures pratiques que vous trouverez.\nDans ce guide, je partagerai mes conseils sur la sécurisation des administrateurs de domaine, des administrateurs locaux, des stratégies d'audit, de la surveillance des compromis pour AD, des stratégies de mot de passe, du contrôle des vulnérabilités, etc.\nVérifiez-le:\n1. Nettoyez le groupe Admins du domaine\nIl ne doit exister aucun compte d'utilisateur quotidien dans le groupe Admins du domaine. La seule exception est le compte d'administrateur de domaine par défaut.\nLes membres du groupe DA sont trop puissants. Ils ont des droits d'administrateur local sur chaque système associé à un domaine (poste de travail, serveurs, ordinateurs portables, etc.).\nC'est ce que recherchent les méchants.\nMicrosoft vous recommande de placer temporairement le compte dans le groupe DA lorsqu'un accès DA est nécessaire. Lorsque le travail est terminé, vous devez supprimer le compte du groupe DA.\nCe processus est également recommandé pour les groupes Administrateurs d'entreprise, Administrateurs de sauvegarde et Administrateur de schéma.\nQuel est le problème?\nIl devient de plus en plus facile pour les attaquants d’obtenir ou de déchiffrer les informations d’identité des utilisateurs.\nUne fois que les attaquants ont accès à un système, ils peuvent se déplacer latéralement sur un réseau pour rechercher des autorisations plus élevées (administrateurs de domaine).\nUne méthode consiste à passer le hachage.\nPasser le hachage permet à un attaquant d'utiliser le mot de passe hash pour s'authentifier auprès des systèmes distants au lieu du mot de passe habituel.\nCes hachages peuvent être obtenus à partir des ordinateurs des utilisateurs finaux.\nEffrayant non?\nIl suffit d’un ordinateur ou d’un compte utilisateur compromis pour permettre à un attaquant de compromettre un réseau.\nNettoyer le groupe Admins du domaine est un excellent premier pas pour accroître la sécurité de votre réseau. Cela peut ralentir un attaquant.\nLe processus pour supprimer des comptes du groupe DA n'est pas facile. Je sais de première main que j’ai récemment traversé ce processus. Il est très courant d’avoir trop de comptes dans le groupe DA.\nLes choses vont casser alors soyez prêt.\nAvant de commencer à supprimer des comptes de ce groupe, documentez et révisez les comptes avec votre équipe.\nPuis commencez lentement à supprimer les comptes un à un. Cela peut être un processus douloureux, mais cela en vaut la peine.\nC’est un exploit considérable qui réduira considérablement votre surface d’attaque.
"},{"id":"text-2","type":"text","heading":"","plain_text":"Outil recommandé: Gestionnaire de droits d'accès SolarWinds \nSolarWinds Access Rights Manager vous aidera à surveiller, analyser et auditer Active Directory et la stratégie de groupe. Cela permet aux administrateurs de voir instantanément ce qui a été modifié et par qui. Obtenez un meilleur contrôle de l'accès via une application centralisée. Cet outil audite également les partages de fichiers pour éviter les fuites de données et l'accès non autorisé aux fichiers sensibles.\nCaractéristiques supplémentaires: Approvisionnement et gestion des utilisateurs, analyse des autorisations des utilisateurs, création de rapports personnalisés, portail en libre service et surveillance et gestion des points de partage.","html":"Outil recommandé: Gestionnaire de droits d'accès SolarWinds \nSolarWinds Access Rights Manager vous aidera à surveiller, analyser et auditer Active Directory et la stratégie de groupe. Cela permet aux administrateurs de voir instantanément ce qui a été modifié et par qui. Obtenez un meilleur contrôle de l'accès via une application centralisée. Cet outil audite également les partages de fichiers pour éviter les fuites de données et l'accès non autorisé aux fichiers sensibles.\nCaractéristiques supplémentaires: Approvisionnement et gestion des utilisateurs, analyse des autorisations des utilisateurs, création de rapports personnalisés, portail en libre service et surveillance et gestion des points de partage.
"},{"id":"text-3","type":"text","heading":"","plain_text":"Téléchargez votre version d'essai gratuite de 30 jours de SolarWinds Access Rights Manager","html":"Téléchargez votre version d'essai gratuite de 30 jours de SolarWinds Access Rights Manager
"},{"id":"text-4","type":"text","heading":"","plain_text":"2. Utiliser au moins deux comptes (compte régulier et compte administrateur)\nVous ne devez pas vous connecter tous les jours avec un compte administrateur local ou disposant d'un accès privilégié (administrateur de domaine).\nAu lieu de cela, créez deux comptes, un compte standard sans droits d'administrateur et un compte privilégié utilisé uniquement pour les tâches administratives.\nMAIS\nNe mettez pas votre compte secondaire dans le groupe Admins du domaine, au moins de manière permanente.\nAu lieu de cela, suivez les modèle administratif de moindre privilège. En gros, cela signifie que tous les utilisateurs doivent ouvrir une session avec un compte disposant des autorisations minimales pour effectuer leur travail.\nVous pouvez lire d'autres articles et forums pour placer votre compte secondaire dans le groupe Admins du domaine.\nCe n'est pas une meilleure pratique de Microsoft et je vous le déconseille. Encore une fois temporaire est OK, mais il doit être retiré dès que le travail est terminé.\nVous devez utiliser un compte ordinaire non administrateur pour les tâches quotidiennes, telles que la vérification des e-mails, la navigation sur Internet, le système de tickets, etc. Vous n'utiliseriez le compte privilégié que lorsque vous devez effectuer des tâches administratives telles que créer un utilisateur dans Active Directory, vous connecter à un serveur, ajouter un enregistrement DNS, etc.\nRegardez ces deux scénarios.\nScénario 1 – Personnel informatique avec droits de domaine\nSteve se connecte à son ordinateur avec un compte privilégié, vérifie son courrier électronique et télécharge par inadvertance un virus. Étant donné que Steve est membre du groupe DA, le virus dispose de tous les droits sur son ordinateur, tous les serveurs, tous les fichiers et l’ensemble du domaine. Cela pourrait causer de graves dommages et entraîner la panne des systèmes critiques.\nMaintenant, prenons le même scénario mais cette fois-ci, Steve est connecté avec son compte habituel non administrateur.\nScénario 2 – Personnel informatique avec des droits réguliers\nSteve vérifie son courrier électronique et télécharge un virus par inadvertance. Le virus a un accès limité à l'ordinateur et aucun accès au domaine ou à d'autres serveurs. Cela causerait des dommages minimes et empêcherait le virus de se propager à travers le réseau.\nEn utilisant simplement un compte régulier, vous augmentez la sécurité et évitez de causer de graves dommages.\nIl est très facile de déléguer des tâches d’administration sans donner les droits d’administrateur au personnel. Voici quelques tâches courantes pouvant être déléguées à un compte d'administrateur secondaire.","html":"2. Utiliser au moins deux comptes (compte régulier et compte administrateur)\nVous ne devez pas vous connecter tous les jours avec un compte administrateur local ou disposant d'un accès privilégié (administrateur de domaine).\nAu lieu de cela, créez deux comptes, un compte standard sans droits d'administrateur et un compte privilégié utilisé uniquement pour les tâches administratives.\nMAIS\nNe mettez pas votre compte secondaire dans le groupe Admins du domaine, au moins de manière permanente.\nAu lieu de cela, suivez les modèle administratif de moindre privilège. En gros, cela signifie que tous les utilisateurs doivent ouvrir une session avec un compte disposant des autorisations minimales pour effectuer leur travail.\nVous pouvez lire d'autres articles et forums pour placer votre compte secondaire dans le groupe Admins du domaine.\nCe n'est pas une meilleure pratique de Microsoft et je vous le déconseille. Encore une fois temporaire est OK, mais il doit être retiré dès que le travail est terminé.\nVous devez utiliser un compte ordinaire non administrateur pour les tâches quotidiennes, telles que la vérification des e-mails, la navigation sur Internet, le système de tickets, etc. Vous n'utiliseriez le compte privilégié que lorsque vous devez effectuer des tâches administratives telles que créer un utilisateur dans Active Directory, vous connecter à un serveur, ajouter un enregistrement DNS, etc.\nRegardez ces deux scénarios.\nScénario 1 – Personnel informatique avec droits de domaine\nSteve se connecte à son ordinateur avec un compte privilégié, vérifie son courrier électronique et télécharge par inadvertance un virus. Étant donné que Steve est membre du groupe DA, le virus dispose de tous les droits sur son ordinateur, tous les serveurs, tous les fichiers et l’ensemble du domaine. Cela pourrait causer de graves dommages et entraîner la panne des systèmes critiques.\nMaintenant, prenons le même scénario mais cette fois-ci, Steve est connecté avec son compte habituel non administrateur.\nScénario 2 – Personnel informatique avec des droits réguliers\nSteve vérifie son courrier électronique et télécharge un virus par inadvertance. Le virus a un accès limité à l'ordinateur et aucun accès au domaine ou à d'autres serveurs. Cela causerait des dommages minimes et empêcherait le virus de se propager à travers le réseau.\nEn utilisant simplement un compte régulier, vous augmentez la sécurité et évitez de causer de graves dommages.\nIl est très facile de déléguer des tâches d’administration sans donner les droits d’administrateur au personnel. Voici quelques tâches courantes pouvant être déléguées à un compte d'administrateur secondaire.
"},{"id":"text-5","type":"text","heading":"","plain_text":"Droits sur les utilisateurs et ordinateurs Active Directory\nDNS\nDHCP\nDroits d'administrateur local sur les serveurs\nStratégie de groupe\nÉchange\nDroits d'administrateur local sur les postes de travail\nAdministration Vsphere ou Hyper-v","html":"Droits sur les utilisateurs et ordinateurs Active Directory\nDNS\nDHCP\nDroits d'administrateur local sur les serveurs\nStratégie de groupe\nÉchange\nDroits d'administrateur local sur les postes de travail\nAdministration Vsphere ou Hyper-v
"},{"id":"text-6","type":"text","heading":"","plain_text":"Certaines organisations utilisent plus de deux comptes et utilisent une approche à plusieurs niveaux. Ceci est nettement plus sûr mais peut être un inconvénient pour certains.","html":"Certaines organisations utilisent plus de deux comptes et utilisent une approche à plusieurs niveaux. Ceci est nettement plus sûr mais peut être un inconvénient pour certains.
"},{"id":"text-7","type":"text","heading":"","plain_text":"Compte régulier\nCompte pour l'administration du serveur\nCompte pour l'administration du réseau\nCompte pour l'administration du poste de travail","html":"Compte régulier\nCompte pour l'administration du serveur\nCompte pour l'administration du réseau\nCompte pour l'administration du poste de travail
"},{"id":"text-8","type":"text","heading":"","plain_text":"En utilisant deux comptes et en implémentant le modèle le moins privilégié du point de vue administratif, vous réduirez considérablement vos risques de sécurité et éviterez des situations telles que celle du scénario 1.\n3. Sécuriser le compte d'administrateur de domaine\nChaque domaine comprend un compte administrateur, ce compte est par défaut membre du groupe Admins du domaine.\nLe compte administrateur intégré doit uniquement être utilisé pour la configuration du domaine et la récupération après sinistre (restauration d'Active Directory).\nToute personne nécessitant un accès de niveau administratif à des serveurs ou à Active Directory doit utiliser son propre compte individuel.\nPersonne ne devrait connaître le mot de passe du compte d'administrateur de domaine. Définissez un mot de passe très long de plus de 20 caractères et verrouillez-le dans un coffre-fort. Encore une fois, le seul moment où cela est nécessaire est à des fins de récupération.\nEn outre, Microsoft a plusieurs recommandations pour sécuriser le compte administrateur intégré. Ces paramètres peuvent être appliqués à la stratégie de groupe et appliqués à tous les ordinateurs.","html":"En utilisant deux comptes et en implémentant le modèle le moins privilégié du point de vue administratif, vous réduirez considérablement vos risques de sécurité et éviterez des situations telles que celle du scénario 1.\n3. Sécuriser le compte d'administrateur de domaine\nChaque domaine comprend un compte administrateur, ce compte est par défaut membre du groupe Admins du domaine.\nLe compte administrateur intégré doit uniquement être utilisé pour la configuration du domaine et la récupération après sinistre (restauration d'Active Directory).\nToute personne nécessitant un accès de niveau administratif à des serveurs ou à Active Directory doit utiliser son propre compte individuel.\nPersonne ne devrait connaître le mot de passe du compte d'administrateur de domaine. Définissez un mot de passe très long de plus de 20 caractères et verrouillez-le dans un coffre-fort. Encore une fois, le seul moment où cela est nécessaire est à des fins de récupération.\nEn outre, Microsoft a plusieurs recommandations pour sécuriser le compte administrateur intégré. Ces paramètres peuvent être appliqués à la stratégie de groupe et appliqués à tous les ordinateurs.
"},{"id":"text-9","type":"text","heading":"","plain_text":"Activer le compte est sensible et ne peut pas être délégué.\nActiver la carte à puce est requis pour la connexion interactive\nRefuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP","html":"Activer le compte est sensible et ne peut pas être délégué.\nActiver la carte à puce est requis pour la connexion interactive\nRefuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP
"},{"id":"text-10","type":"text","heading":"","plain_text":"Pour plus de détails sur la sécurisation du compte d'administrateur de domaine, voir cet article Microsoft, Sécurisation des comptes d'administrateur intégrés dans Active Directory.\n4. Désactiver le compte d'administrateur local (sur tous les ordinateurs)\nLe compte d'administrateur local est un compte bien connu dans les environnements de domaine et n'est pas nécessaire.\nPas besoin, est-ce vrai?\nOui\nVous devez utiliser un compte individuel disposant des droits nécessaires pour effectuer des tâches.\nQuel est le problème avec le compte administrateur local?\nDeux problèmes","html":"Pour plus de détails sur la sécurisation du compte d'administrateur de domaine, voir cet article Microsoft, Sécurisation des comptes d'administrateur intégrés dans Active Directory.\n4. Désactiver le compte d'administrateur local (sur tous les ordinateurs)\nLe compte d'administrateur local est un compte bien connu dans les environnements de domaine et n'est pas nécessaire.\nPas besoin, est-ce vrai?\nOui\nVous devez utiliser un compte individuel disposant des droits nécessaires pour effectuer des tâches.\nQuel est le problème avec le compte administrateur local?\nDeux problèmes
"},{"id":"text-11","type":"text","heading":"","plain_text":"C'est un compte bien connu, même si renommé, le SID est le même et est bien connu des attaquants.\nIl est souvent configuré avec le même mot de passe sur chaque ordinateur du domaine.","html":"C'est un compte bien connu, même si renommé, le SID est le même et est bien connu des attaquants.\nIl est souvent configuré avec le même mot de passe sur chaque ordinateur du domaine.
"},{"id":"text-12","type":"text","heading":"","plain_text":"Les attaquants doivent simplement compromettre un système et disposent désormais de droits d’administrateur local sur chaque ordinateur appartenant à un domaine.\nSi vous devez effectuer des tâches administratives sur l'ordinateur (installer un logiciel, supprimer des fichiers, etc.), vous devriez le faire avec votre compte individuel, pas avec le compte administrateur local.\nMême si le compte est désactivé, vous pouvez démarrer en mode sans échec et utiliser le compte d'administrateur local.\nEn tant qu'administrateur, je sais que ces meilleures pratiques ne sont pas toujours pratiques ou introduisent un inconvénient majeur.\nQue se passe-t-il si le réseau est en panne ou si la carte réseau est morte, si vous devez le supprimer du domaine et l'ajouter de nouveau? Il existe des moyens de contourner ce problème, mais cela peut vraiment vous ralentir.\nSi vous ne pouvez pas désactiver le compte, voici des recommandations pour le sécuriser. Une meilleure alternative consiste à utiliser l'outil Microsoft LAPS (voir le conseil n ° 5 ci-dessous).","html":"Les attaquants doivent simplement compromettre un système et disposent désormais de droits d’administrateur local sur chaque ordinateur appartenant à un domaine.\nSi vous devez effectuer des tâches administratives sur l'ordinateur (installer un logiciel, supprimer des fichiers, etc.), vous devriez le faire avec votre compte individuel, pas avec le compte administrateur local.\nMême si le compte est désactivé, vous pouvez démarrer en mode sans échec et utiliser le compte d'administrateur local.\nEn tant qu'administrateur, je sais que ces meilleures pratiques ne sont pas toujours pratiques ou introduisent un inconvénient majeur.\nQue se passe-t-il si le réseau est en panne ou si la carte réseau est morte, si vous devez le supprimer du domaine et l'ajouter de nouveau? Il existe des moyens de contourner ce problème, mais cela peut vraiment vous ralentir.\nSi vous ne pouvez pas désactiver le compte, voici des recommandations pour le sécuriser. Une meilleure alternative consiste à utiliser l'outil Microsoft LAPS (voir le conseil n ° 5 ci-dessous).
"},{"id":"text-13","type":"text","heading":"","plain_text":"Refuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP","html":"Refuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP
"},{"id":"text-14","type":"text","heading":"","plain_text":"Pour plus de détails, voir l'article suivant, Sécurisation des comptes et des groupes d'administrateurs locaux.\n5. Utiliser la solution LAPS (Local Administrator Password)\nLa solution LAPS (Administrateur local) devient un outil populaire pour gérer le mot de passe administrateur local sur tous les ordinateurs.\nLAPS est un outil Microsoft qui permet la gestion du mot de passe du compte local des ordinateurs joints au domaine. Il définira un mot de passe unique pour chaque compte d'administrateur local et le stockera dans Active Directory pour un accès facile.\nC'est l'une des meilleures options gratuites d'atténuation des attaques de haschich et des mouvements latéraux d'un ordinateur à l'autre.\nIl est très courant que les entreprises déploient Windows à l’aide d’un système à base d’images. Cela facilite le déploiement d'une configuration standard sur tous les périphériques.\nMais..\nCela signifie souvent que le compte de l'administrateur local sera le même sur tous les ordinateurs. Étant donné que le compte d'administrateur local dispose de tous les droits sur tout ce qui se trouve sur l'ordinateur, il suffit que l'un d'entre eux soit compromis pour que le pirate informatique puisse accéder à tous les systèmes.\nLAPS est basé sur l'infrastructure Active Directory, il n'est donc pas nécessaire d'installer de serveurs supplémentaires.\nLa solution utilise l'extension côté client de la stratégie de groupe pour effectuer toutes les tâches de gestion sur les postes de travail. Il est pris en charge sur Active Directory 2003 SP1 et supérieur et sur le client Vista Service Pack 2 et supérieur.\nSi vous devez utiliser le compte d’administrateur local sur un ordinateur, vous récupérerez le mot de passe dans Active Directory. Ce mot de passe sera unique pour cet ordinateur.","html":"Pour plus de détails, voir l'article suivant, Sécurisation des comptes et des groupes d'administrateurs locaux.\n5. Utiliser la solution LAPS (Local Administrator Password)\nLa solution LAPS (Administrateur local) devient un outil populaire pour gérer le mot de passe administrateur local sur tous les ordinateurs.\nLAPS est un outil Microsoft qui permet la gestion du mot de passe du compte local des ordinateurs joints au domaine. Il définira un mot de passe unique pour chaque compte d'administrateur local et le stockera dans Active Directory pour un accès facile.\nC'est l'une des meilleures options gratuites d'atténuation des attaques de haschich et des mouvements latéraux d'un ordinateur à l'autre.\nIl est très courant que les entreprises déploient Windows à l’aide d’un système à base d’images. Cela facilite le déploiement d'une configuration standard sur tous les périphériques.\nMais..\nCela signifie souvent que le compte de l'administrateur local sera le même sur tous les ordinateurs. Étant donné que le compte d'administrateur local dispose de tous les droits sur tout ce qui se trouve sur l'ordinateur, il suffit que l'un d'entre eux soit compromis pour que le pirate informatique puisse accéder à tous les systèmes.\nLAPS est basé sur l'infrastructure Active Directory, il n'est donc pas nécessaire d'installer de serveurs supplémentaires.\nLa solution utilise l'extension côté client de la stratégie de groupe pour effectuer toutes les tâches de gestion sur les postes de travail. Il est pris en charge sur Active Directory 2003 SP1 et supérieur et sur le client Vista Service Pack 2 et supérieur.\nSi vous devez utiliser le compte d’administrateur local sur un ordinateur, vous récupérerez le mot de passe dans Active Directory. Ce mot de passe sera unique pour cet ordinateur.
"},{"id":"text-15","type":"text","heading":"","plain_text":"Pour obtenir des instructions détaillées sur l’installation de LAPS, consultez cet article, Comment installer la solution LAPS (Administrateur local)\n6. Utiliser un poste de travail Secure Admin (SAW)\nUn poste de travail admin sécurisé est un système dédié qui ne doit être utilisé que pour effectuer des tâches administratives avec votre compte privilégié.\nIl ne doit pas être utilisé pour consulter ses courriels ou naviguer sur Internet. En fait… il ne devrait même pas avoir accès à Internet.\nQuelles tâches feriez-vous sur une SAW?","html":"Pour obtenir des instructions détaillées sur l’installation de LAPS, consultez cet article, Comment installer la solution LAPS (Administrateur local)\n6. Utiliser un poste de travail Secure Admin (SAW)\nUn poste de travail admin sécurisé est un système dédié qui ne doit être utilisé que pour effectuer des tâches administratives avec votre compte privilégié.\nIl ne doit pas être utilisé pour consulter ses courriels ou naviguer sur Internet. En fait… il ne devrait même pas avoir accès à Internet.\nQuelles tâches feriez-vous sur une SAW?
"},{"id":"text-16","type":"text","heading":"","plain_text":"Administration Active Directory\nStratégie de groupe\nGestion des serveurs DNS et DHCP\nToute tâche nécessitant des droits d'administrateur sur les serveurs\nDroits d'administrateur sur les systèmes de gestion tels que VMware, Hyper-v, Citrix\nAdministration d'Office 365","html":"Administration Active Directory\nStratégie de groupe\nGestion des serveurs DNS et DHCP\nToute tâche nécessitant des droits d'administrateur sur les serveurs\nDroits d'administrateur sur les systèmes de gestion tels que VMware, Hyper-v, Citrix\nAdministration d'Office 365
"},{"id":"text-17","type":"text","heading":"","plain_text":"Vous avez eu l'idée.\nEn gros, lorsque vous devez utiliser votre compte privilégié pour effectuer des tâches administratives, vous devez le faire depuis un SAW.\nLes postes de travail à usage quotidien sont plus vulnérables aux compromis en cas de hachage, d'attaques par hameçonnage, de faux sites Web, de keyloggers, etc.\nL'utilisation d'un poste de travail sécurisé pour votre compte surélevé offre une bien meilleure protection contre ces vecteurs d'attaque.\nLes attaques pouvant provenir d’intérieurs et d’externes, il est préférable d’adopter une attitude de sécurité fondée sur la violation.\nEn raison des menaces constantes et de l'évolution de la technologie, la méthodologie de déploiement d'un SAW change constamment. Il existe également des serveurs PAW et des serveurs de sauts pour rendre la situation encore plus confuse.\nVoici quelques conseils pour vous aider à démarrer:","html":"Vous avez eu l'idée.\nEn gros, lorsque vous devez utiliser votre compte privilégié pour effectuer des tâches administratives, vous devez le faire depuis un SAW.\nLes postes de travail à usage quotidien sont plus vulnérables aux compromis en cas de hachage, d'attaques par hameçonnage, de faux sites Web, de keyloggers, etc.\nL'utilisation d'un poste de travail sécurisé pour votre compte surélevé offre une bien meilleure protection contre ces vecteurs d'attaque.\nLes attaques pouvant provenir d’intérieurs et d’externes, il est préférable d’adopter une attitude de sécurité fondée sur la violation.\nEn raison des menaces constantes et de l'évolution de la technologie, la méthodologie de déploiement d'un SAW change constamment. Il existe également des serveurs PAW et des serveurs de sauts pour rendre la situation encore plus confuse.\nVoici quelques conseils pour vous aider à démarrer:
"},{"id":"text-18","type":"text","heading":"","plain_text":"Utilisez une installation propre du système d'exploitation (utilisez le dernier système d'exploitation Windows)\nAppliquer une sécurité de base de durcissement (voir conseil n ° 25)\nActiver le chiffrement intégral du disque\nRestreindre les ports USB\nUtilisez un pare-feu personnel\nBloquer internet\nUtiliser une machine virtuelle – Terminal Server fonctionne bien\nLogiciel minimal installé\nUtilisez deux facteurs ou une carte à puce pour l'accès\nRestreindre les systèmes pour n'accepter que les connexions de la SAW","html":"Utilisez une installation propre du système d'exploitation (utilisez le dernier système d'exploitation Windows)\nAppliquer une sécurité de base de durcissement (voir conseil n ° 25)\nActiver le chiffrement intégral du disque\nRestreindre les ports USB\nUtilisez un pare-feu personnel\nBloquer internet\nUtiliser une machine virtuelle – Terminal Server fonctionne bien\nLogiciel minimal installé\nUtilisez deux facteurs ou une carte à puce pour l'accès\nRestreindre les systèmes pour n'accepter que les connexions de la SAW
"},{"id":"text-19","type":"text","heading":"","plain_text":"Voici mon flux de travail typique utilisant une SAW:","html":"Voici mon flux de travail typique utilisant une SAW:
"},{"id":"text-20","type":"text","heading":"","plain_text":"Connectez-vous à mon ordinateur avec mon compte habituel pour consulter vos emails et consulter les nouvelles demandes d'assistance. J'ai une demande pour donner à un utilisateur des autorisations sur un dossier partagé.\nJe me connecterai à ma SAW avec mon compte privilégié disposant des droits nécessaires pour modifier l'appartenance au groupe AD et ajouter l'utilisateur au groupe de sécurité AD nécessaire.","html":"Connectez-vous à mon ordinateur avec mon compte habituel pour consulter vos emails et consulter les nouvelles demandes d'assistance. J'ai une demande pour donner à un utilisateur des autorisations sur un dossier partagé.\nJe me connecterai à ma SAW avec mon compte privilégié disposant des droits nécessaires pour modifier l'appartenance au groupe AD et ajouter l'utilisateur au groupe de sécurité AD nécessaire.
"},{"id":"text-21","type":"text","heading":"","plain_text":"Assez simple non?\nCela peut sembler fastidieux, mais je trouve que c'est plus pratique de cette façon. Je peux me connecter à distance en dehors du réseau et disposer d'un serveur doté de tous les outils dont j'ai besoin. Je n'ai pas non plus à craindre de réinstaller tous mes logiciels de support si je dois ré-imager mon ordinateur.\nRessources:\nhttps://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations\n7. Activer les paramètres de la stratégie d'audit avec la stratégie de groupe\nAssurez-vous que les paramètres de stratégie d'audit suivants sont configurés dans la stratégie de groupe et appliqués à tous les ordinateurs et serveurs.\nConfiguration ordinateur -> Stratégies – Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d'audit\nConnexion au compte\nAssurez-vous que ‘Audit Credential Validation’ est réglé sur 'Success and Failure'.\nGestion de compte\nAudit "Gestion des groupes d'applications" est défini sur "Succès et échec"Audit 'Gestion de compte d'ordinateur' est défini sur 'Succès et échec'Audit "Autres événements de gestion de compte" est défini sur "Succès et échec"Audit "Gestion du groupe de sécurité" est défini sur "Succès et échec"Audit "Gestion des comptes d'utilisateurs" est défini sur "Succès et échec"\nSuivi détaillé\nL’audit ‘PNP Activity’ est réglé sur ‘Success’Audit 'Process Creation' est défini sur 'Success'\nConnexion / Déconnexion\nAudit 'Account Lockout' est réglé sur 'Success and Failure'Audit 'Appartenance au groupe' est défini sur 'Succès'Audit 'Logoff' est défini sur 'Success'Audit 'Logon' est défini sur 'Success and Failure'Audit 'Autres événements d'ouverture et de fermeture de session' est paramétré sur 'Succès et échec'Audit 'Connexion spéciale' est paramétré sur 'Réussite'\nAccès aux objets\nAudit 'Stockage amovible' est défini sur 'Réussite et échec'\nChangement de politique\nAudit "Modification de la stratégie d'audit" défini sur "Succès et échec"Audit 'Authentication Policy Change' est défini sur 'Success'Audit "Modification de la politique d'autorisation" est défini sur "Succès"\nUtilisation de privilège\nAudit "Utilisation privilégiée des privilèges" défini sur "Succès et échec"\nSystème\nAudit ‘IPsec Driver’ est paramétré sur 'Success and Failure'Audit 'Other System Events' est défini sur 'Success and Failure'Audit "Changement d'état de sécurité" est défini sur "Succès"Audit "Extension du système de sécurité" est défini sur "Succès et échec"Audit «Intégrité du système» est défini sur «Succès et échec»\nUne activité malveillante commence souvent sur les postes de travail. Si vous ne surveillez pas tous les systèmes, vous risquez de manquer les premiers signes d’une attaque.\nDans la section suivante, je traiterai des événements à surveiller.\n8. Surveiller les événements Active Directory pour détecter les signes de compromission\nVous devez surveiller les événements Active Directory suivants pour aider à détecter les compromissions et les comportements anormaux sur le réseau.\nVoici quelques événements que vous devriez surveiller et examiner toutes les semaines.","html":"Assez simple non?\nCela peut sembler fastidieux, mais je trouve que c'est plus pratique de cette façon. Je peux me connecter à distance en dehors du réseau et disposer d'un serveur doté de tous les outils dont j'ai besoin. Je n'ai pas non plus à craindre de réinstaller tous mes logiciels de support si je dois ré-imager mon ordinateur.\nRessources:\nhttps://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations\n7. Activer les paramètres de la stratégie d'audit avec la stratégie de groupe\nAssurez-vous que les paramètres de stratégie d'audit suivants sont configurés dans la stratégie de groupe et appliqués à tous les ordinateurs et serveurs.\nConfiguration ordinateur -> Stratégies – Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d'audit\nConnexion au compte\nAssurez-vous que ‘Audit Credential Validation’ est réglé sur 'Success and Failure'.\nGestion de compte\nAudit "Gestion des groupes d'applications" est défini sur "Succès et échec"Audit 'Gestion de compte d'ordinateur' est défini sur 'Succès et échec'Audit "Autres événements de gestion de compte" est défini sur "Succès et échec"Audit "Gestion du groupe de sécurité" est défini sur "Succès et échec"Audit "Gestion des comptes d'utilisateurs" est défini sur "Succès et échec"\nSuivi détaillé\nL’audit ‘PNP Activity’ est réglé sur ‘Success’Audit 'Process Creation' est défini sur 'Success'\nConnexion / Déconnexion\nAudit 'Account Lockout' est réglé sur 'Success and Failure'Audit 'Appartenance au groupe' est défini sur 'Succès'Audit 'Logoff' est défini sur 'Success'Audit 'Logon' est défini sur 'Success and Failure'Audit 'Autres événements d'ouverture et de fermeture de session' est paramétré sur 'Succès et échec'Audit 'Connexion spéciale' est paramétré sur 'Réussite'\nAccès aux objets\nAudit 'Stockage amovible' est défini sur 'Réussite et échec'\nChangement de politique\nAudit "Modification de la stratégie d'audit" défini sur "Succès et échec"Audit 'Authentication Policy Change' est défini sur 'Success'Audit "Modification de la politique d'autorisation" est défini sur "Succès"\nUtilisation de privilège\nAudit "Utilisation privilégiée des privilèges" défini sur "Succès et échec"\nSystème\nAudit ‘IPsec Driver’ est paramétré sur 'Success and Failure'Audit 'Other System Events' est défini sur 'Success and Failure'Audit "Changement d'état de sécurité" est défini sur "Succès"Audit "Extension du système de sécurité" est défini sur "Succès et échec"Audit «Intégrité du système» est défini sur «Succès et échec»\nUne activité malveillante commence souvent sur les postes de travail. Si vous ne surveillez pas tous les systèmes, vous risquez de manquer les premiers signes d’une attaque.\nDans la section suivante, je traiterai des événements à surveiller.\n8. Surveiller les événements Active Directory pour détecter les signes de compromission\nVous devez surveiller les événements Active Directory suivants pour aider à détecter les compromissions et les comportements anormaux sur le réseau.\nVoici quelques événements que vous devriez surveiller et examiner toutes les semaines.
"},{"id":"text-22","type":"text","heading":"","plain_text":"Modifications apportées aux groupes privilégiés tels que les administrateurs de domaine, les administrateurs d'entreprise et les administrateurs de schéma\nUn pic de mauvaises tentatives de mot de passe\nUn pic de comptes bloqués\nVerrouillage de compte\nDésactivation ou suppression du logiciel antivirus\nTous les actifs effectués par des comptes privilégiés\nÉvénements de connexion / déconnexion\nUtilisation de comptes d'administrateurs locaux","html":"Modifications apportées aux groupes privilégiés tels que les administrateurs de domaine, les administrateurs d'entreprise et les administrateurs de schéma\nUn pic de mauvaises tentatives de mot de passe\nUn pic de comptes bloqués\nVerrouillage de compte\nDésactivation ou suppression du logiciel antivirus\nTous les actifs effectués par des comptes privilégiés\nÉvénements de connexion / déconnexion\nUtilisation de comptes d'administrateurs locaux
"},{"id":"text-23","type":"text","heading":"","plain_text":"Comment surveillez-vous les événements dans Active Directory?\nLe meilleur moyen est de collecter tous les journaux sur un serveur centralisé, puis d’utiliser un logiciel d’analyse des journaux pour générer des rapports.\nCertains analyseurs de journaux sont pré-construits avec des rapports de sécurité Active Directory et d’autres vous sont nécessaires pour les créer vous-même.\nVoici quelques-uns des analyseurs de journaux les plus populaires.\nAvec un bon analyseur de journaux, vous serez en mesure de détecter rapidement les activités suspectes dans votre environnement Active Directory.\nVoici quelques captures d'écran d'un analyseur que j'utilise. La première capture d'écran montre un pic dans les verrouillages de compte.\nCe n'est certainement pas normal.","html":"Comment surveillez-vous les événements dans Active Directory?\nLe meilleur moyen est de collecter tous les journaux sur un serveur centralisé, puis d’utiliser un logiciel d’analyse des journaux pour générer des rapports.\nCertains analyseurs de journaux sont pré-construits avec des rapports de sécurité Active Directory et d’autres vous sont nécessaires pour les créer vous-même.\nVoici quelques-uns des analyseurs de journaux les plus populaires.\nAvec un bon analyseur de journaux, vous serez en mesure de détecter rapidement les activités suspectes dans votre environnement Active Directory.\nVoici quelques captures d'écran d'un analyseur que j'utilise. La première capture d'écran montre un pic dans les verrouillages de compte.\nCe n'est certainement pas normal.
"},{"id":"text-24","type":"text","heading":"","plain_text":"Dans cette capture d'écran, vous pouvez voir un pic énorme d'échecs de connexion. Sans un analyseur de journaux, ces événements seraient difficiles à détecter.","html":"Dans cette capture d'écran, vous pouvez voir un pic énorme d'échecs de connexion. Sans un analyseur de journaux, ces événements seraient difficiles à détecter.
"},{"id":"text-25","type":"text","heading":"","plain_text":"9. La complexité du mot de passe est nulle (utilisez plutôt des phrases secrètes)\n8 caractères complexes n’est plus un mot de passe sécurisé. Utilisez plutôt un minimum de 12 caractères et formez les utilisateurs sur les mots de passe.\nPlus le mot de passe est long, mieux c'est.\nLes phrases secrètes sont simplement deux ou plusieurs mots aléatoires mis ensemble. Vous pouvez ajouter des chiffres et des caractères si vous le souhaitez, mais je n’en ferais pas une exigence.\nDes études ont montré que lorsque vous avez besoin de complexité, il est utilisé de la même manière, puis répété. Les pirates l'ont compris et il existe maintenant d'énormes listes de mots de passe (disponibles gratuitement) contenant des millions de mots de passe faciles à deviner.\nConnaissez-vous quelqu'un qui utilise des mots de passe comme celui-ci?\nS @ mmer2018 ou Winter2018! Juin2018 $\nCe sont des mots de passe affreux et faciles à deviner.\nLes mots de passe longs et l'utilisation de la technique de la phrase secrète compliquent la tâche des logiciels de piratage des mots de passe et des pirates informatiques.\nMeilleure politique de mot de passe","html":"9. La complexité du mot de passe est nulle (utilisez plutôt des phrases secrètes)\n8 caractères complexes n’est plus un mot de passe sécurisé. Utilisez plutôt un minimum de 12 caractères et formez les utilisateurs sur les mots de passe.\nPlus le mot de passe est long, mieux c'est.\nLes phrases secrètes sont simplement deux ou plusieurs mots aléatoires mis ensemble. Vous pouvez ajouter des chiffres et des caractères si vous le souhaitez, mais je n’en ferais pas une exigence.\nDes études ont montré que lorsque vous avez besoin de complexité, il est utilisé de la même manière, puis répété. Les pirates l'ont compris et il existe maintenant d'énormes listes de mots de passe (disponibles gratuitement) contenant des millions de mots de passe faciles à deviner.\nConnaissez-vous quelqu'un qui utilise des mots de passe comme celui-ci?\nS @ mmer2018 ou Winter2018! Juin2018 $\nCe sont des mots de passe affreux et faciles à deviner.\nLes mots de passe longs et l'utilisation de la technique de la phrase secrète compliquent la tâche des logiciels de piratage des mots de passe et des pirates informatiques.\nMeilleure politique de mot de passe
"},{"id":"text-26","type":"text","heading":"","plain_text":"Définir des mots de passe de 12 caractères\nMémoriser 10 historiques de mot de passe\nutiliser des phrases de passe\nPolitique de verrouillage 3 tentatives","html":"Définir des mots de passe de 12 caractères\nMémoriser 10 historiques de mot de passe\nutiliser des phrases de passe\nPolitique de verrouillage 3 tentatives
"},{"id":"text-27","type":"text","heading":"","plain_text":"La clé de l’utilisation des phrases secrètes est d’être totalement aléatoire avec chaque mot; vous ne voulez pas taper de phrase où le mot suivant peut être deviné.\nBons mots de passe en utilisant des mots de passe\nBucketguitartire22À la têteRoadbluesaltCloud\nLes exemples ci-dessus sont totalement aléatoires. Ceux-ci prendraient très longtemps à craquer et probablement personne ne les devinerait.\nExemples de phrases secrètes incorrectes\nIreallylikepizza22Theskyisblue44\nNIST a récemment mis à jour ses directives de politique de mot de passe dans la publication spéciale 800-63 pour répondre aux nouvelles exigences en matière de politique de mot de passe.\nSi votre organisation doit respecter certaines normes, assurez-vous qu'elles respectent ces recommandations de mot de passe.\nVeillez également à mettre à jour la politique écrite de votre entreprise.\n10. Utiliser des noms de groupe de sécurité descriptifs\nTout d'abord, assurez-vous que vous appliquez des autorisations aux ressources avec des groupes de sécurité et non des comptes individuels, cela facilite grandement la gestion des ressources.\nEnsuite, ne donnez pas à vos groupes de sécurité un nom générique tel que helpdesk ou HR Training.\nLorsque vous avez des noms génériques comme celui-ci, ils seront utilisés sur toutes sortes de ressources et vous aurez perdu tout contrôle de la sécurité.\nEt il n’existe pas de moyen facile de savoir à quoi un groupe de sécurité dispose d’autorisations. Oui, il existe des outils que vous pouvez utiliser, mais si vous avez un environnement de taille moyenne ou grande, ce sera une tâche énorme.\nVoici un exemple récent de la façon dont cela peut devenir incontrôlable (histoire réelle).\nJe travaillais avec un client sur le nettoyage des autorisations vers Active Directory. Il y avait plusieurs groupes de sécurité ayant délégué des autorisations à Active Directory.\nIl y avait un groupe appelé helpdesk, un autre groupe IS Support et un autre appelé AD Modify.\nJ'avais l'impression que seul le personnel du service d'assistance avait les droits sur Active Directory pour réinitialiser les mots de passe et déverrouiller les comptes.\nVenez découvrir que ces groupes ont été utilisés pour d’autres ressources telles que le logiciel de support technique, le partage réseau et les imprimantes. Donc, il comprenait divers membres du personnel informatique.\nUne fois ces groupes supprimés, des programmeurs et des analystes d’entreprise nous ont appelé pour leur demander pourquoi ils ne pouvaient plus réinitialiser les mots de passe des utilisateurs. Pourquoi les programmeurs réinitialisent-ils les mots de passe des utilisateurs?\nJe clarifie le nom précis du groupe de sécurité aurait empêché cela.\nSi vous ne nommez pas le groupe de sécurité spécifique, cela peut être un piège pour les autorisations sur beaucoup d'autres choses.\nVoici quelques bons exemples sur la façon de nommer des groupes.\nExemple 1: Autoriser le service d'assistance à réinitialiser les mots de passe\nNom du groupe de sécurité: IT-Helpdesk-ActiveDirectory\nÉtant donné que le nom du groupe est précis, cela éviterait qu’il ne soit utilisé sur d’autres ressources, telles qu’une imprimante ou un partage réseau.\nExemple 2: Autoriser les droits HR sur un dossier partagé\nNom du groupe de sécurité: HR-Training-Folder-RW\nEncore une fois, cela a un nom très spécifique et aide à identifier ce pour quoi il devrait être utilisé.\nVous pouvez définir votre propre convention de dénomination en précisant simplement le nom et en évitant les noms génériques d'un groupe de mots.\n11. Nettoyer les anciens comptes d'utilisateurs et d'ordinateurs Active Directory\nVous devez avoir une procédure en place pour détecter les comptes d'utilisateurs et d'ordinateurs inutilisés dans Active Directory.\nVous ne voulez pas que de nombreux comptes inutilisés restent dans Active Directory en attendant qu'un attaquant les découvre et les utilise.\nCela peut également entraîner des problèmes de génération de rapports, de correctifs et de ralentissement de la stratégie de groupe.\nJe lance un processus chaque mois pour détecter et supprimer les comptes inutilisés.\nVoici un guide étape par étape que j'ai écrit pour savoir comment nettoyer les anciens comptes dans Active Directory. \n12. N'installez PAS de logiciels ni de rôles supplémentaires sur les contrôleurs de domaine.\nLes logiciels et les rôles des contrôleurs de domaine doivent être limités.\nLes contrôleurs de domaine sont essentiels pour l’entreprise, vous ne voulez pas augmenter les risques de sécurité en leur faisant exécuter des logiciels supplémentaires.\nWindows Server Core est une excellente option pour exécuter le rôle de contrôleur de domaine et d'autres rôles tels que DHCP, DNS, serveurs d'impression et serveurs de fichiers.\nServer Core fonctionne sans interface graphique et nécessite moins de correctifs de sécurité en raison de son encombrement réduit.\nJe gère plusieurs clients depuis des années et c’est un excellent choix. Très stable\nPlus de logiciels, plus de rôles = risques de sécurité accrus.\nGardez vos CD minces et propres.\n13. Continue à gérer les correctifs et à analyser les vulnérabilités\nLes attaquants exploitent rapidement les vulnérabilités connues.\nSi vous n'analysez pas et ne corrigez pas régulièrement les vulnérabilités découvertes, vous courez un risque beaucoup plus grand.\nIl existe un grand nombre d'outils de vulnérabilité et d'analyse disponibles. Consultez ma liste des 6 meilleurs logiciels de gestion de correctifs comparés.\nConseils pour la gestion continue de la vulnérabilité","html":"La clé de l’utilisation des phrases secrètes est d’être totalement aléatoire avec chaque mot; vous ne voulez pas taper de phrase où le mot suivant peut être deviné.\nBons mots de passe en utilisant des mots de passe\nBucketguitartire22À la têteRoadbluesaltCloud\nLes exemples ci-dessus sont totalement aléatoires. Ceux-ci prendraient très longtemps à craquer et probablement personne ne les devinerait.\nExemples de phrases secrètes incorrectes\nIreallylikepizza22Theskyisblue44\nNIST a récemment mis à jour ses directives de politique de mot de passe dans la publication spéciale 800-63 pour répondre aux nouvelles exigences en matière de politique de mot de passe.\nSi votre organisation doit respecter certaines normes, assurez-vous qu'elles respectent ces recommandations de mot de passe.\nVeillez également à mettre à jour la politique écrite de votre entreprise.\n10. Utiliser des noms de groupe de sécurité descriptifs\nTout d'abord, assurez-vous que vous appliquez des autorisations aux ressources avec des groupes de sécurité et non des comptes individuels, cela facilite grandement la gestion des ressources.\nEnsuite, ne donnez pas à vos groupes de sécurité un nom générique tel que helpdesk ou HR Training.\nLorsque vous avez des noms génériques comme celui-ci, ils seront utilisés sur toutes sortes de ressources et vous aurez perdu tout contrôle de la sécurité.\nEt il n’existe pas de moyen facile de savoir à quoi un groupe de sécurité dispose d’autorisations. Oui, il existe des outils que vous pouvez utiliser, mais si vous avez un environnement de taille moyenne ou grande, ce sera une tâche énorme.\nVoici un exemple récent de la façon dont cela peut devenir incontrôlable (histoire réelle).\nJe travaillais avec un client sur le nettoyage des autorisations vers Active Directory. Il y avait plusieurs groupes de sécurité ayant délégué des autorisations à Active Directory.\nIl y avait un groupe appelé helpdesk, un autre groupe IS Support et un autre appelé AD Modify.\nJ'avais l'impression que seul le personnel du service d'assistance avait les droits sur Active Directory pour réinitialiser les mots de passe et déverrouiller les comptes.\nVenez découvrir que ces groupes ont été utilisés pour d’autres ressources telles que le logiciel de support technique, le partage réseau et les imprimantes. Donc, il comprenait divers membres du personnel informatique.\nUne fois ces groupes supprimés, des programmeurs et des analystes d’entreprise nous ont appelé pour leur demander pourquoi ils ne pouvaient plus réinitialiser les mots de passe des utilisateurs. Pourquoi les programmeurs réinitialisent-ils les mots de passe des utilisateurs?\nJe clarifie le nom précis du groupe de sécurité aurait empêché cela.\nSi vous ne nommez pas le groupe de sécurité spécifique, cela peut être un piège pour les autorisations sur beaucoup d'autres choses.\nVoici quelques bons exemples sur la façon de nommer des groupes.\nExemple 1: Autoriser le service d'assistance à réinitialiser les mots de passe\nNom du groupe de sécurité: IT-Helpdesk-ActiveDirectory\nÉtant donné que le nom du groupe est précis, cela éviterait qu’il ne soit utilisé sur d’autres ressources, telles qu’une imprimante ou un partage réseau.\nExemple 2: Autoriser les droits HR sur un dossier partagé\nNom du groupe de sécurité: HR-Training-Folder-RW\nEncore une fois, cela a un nom très spécifique et aide à identifier ce pour quoi il devrait être utilisé.\nVous pouvez définir votre propre convention de dénomination en précisant simplement le nom et en évitant les noms génériques d'un groupe de mots.\n11. Nettoyer les anciens comptes d'utilisateurs et d'ordinateurs Active Directory\nVous devez avoir une procédure en place pour détecter les comptes d'utilisateurs et d'ordinateurs inutilisés dans Active Directory.\nVous ne voulez pas que de nombreux comptes inutilisés restent dans Active Directory en attendant qu'un attaquant les découvre et les utilise.\nCela peut également entraîner des problèmes de génération de rapports, de correctifs et de ralentissement de la stratégie de groupe.\nJe lance un processus chaque mois pour détecter et supprimer les comptes inutilisés.\nVoici un guide étape par étape que j'ai écrit pour savoir comment nettoyer les anciens comptes dans Active Directory. \n12. N'installez PAS de logiciels ni de rôles supplémentaires sur les contrôleurs de domaine.\nLes logiciels et les rôles des contrôleurs de domaine doivent être limités.\nLes contrôleurs de domaine sont essentiels pour l’entreprise, vous ne voulez pas augmenter les risques de sécurité en leur faisant exécuter des logiciels supplémentaires.\nWindows Server Core est une excellente option pour exécuter le rôle de contrôleur de domaine et d'autres rôles tels que DHCP, DNS, serveurs d'impression et serveurs de fichiers.\nServer Core fonctionne sans interface graphique et nécessite moins de correctifs de sécurité en raison de son encombrement réduit.\nJe gère plusieurs clients depuis des années et c’est un excellent choix. Très stable\nPlus de logiciels, plus de rôles = risques de sécurité accrus.\nGardez vos CD minces et propres.\n13. Continue à gérer les correctifs et à analyser les vulnérabilités\nLes attaquants exploitent rapidement les vulnérabilités connues.\nSi vous n'analysez pas et ne corrigez pas régulièrement les vulnérabilités découvertes, vous courez un risque beaucoup plus grand.\nIl existe un grand nombre d'outils de vulnérabilité et d'analyse disponibles. Consultez ma liste des 6 meilleurs logiciels de gestion de correctifs comparés.\nConseils pour la gestion continue de la vulnérabilité
"},{"id":"text-28","type":"text","heading":"","plain_text":"Analysez tous les systèmes au moins une fois par mois pour identifier toutes les vulnérabilités potentielles. Si vous pouvez numériser plus souvent, c’est encore mieux.\nDonne la priorité à la découverte des analyses de vulnérabilité et corrige d’abord celles qui ont des vulnérabilités connues dans la nature.\nDéployer des mises à jour logicielles automatisées sur les systèmes d'exploitation\nDéployer la mise à jour automatisée vers un logiciel tiers\nIdentifiez les logiciels obsolètes qui ne sont plus pris en charge et mettez-les à jour.","html":"Analysez tous les systèmes au moins une fois par mois pour identifier toutes les vulnérabilités potentielles. Si vous pouvez numériser plus souvent, c’est encore mieux.\nDonne la priorité à la découverte des analyses de vulnérabilité et corrige d’abord celles qui ont des vulnérabilités connues dans la nature.\nDéployer des mises à jour logicielles automatisées sur les systèmes d'exploitation\nDéployer la mise à jour automatisée vers un logiciel tiers\nIdentifiez les logiciels obsolètes qui ne sont plus pris en charge et mettez-les à jour.
"},{"id":"text-29","type":"text","heading":"","plain_text":"14. Utiliser les services DNS pour bloquer les domaines malveillants\nVous pouvez empêcher une grande quantité de trafic malveillant d'entrer sur votre réseau en bloquant les recherches DNS malveillantes.\nChaque fois qu'un système doit accéder à Internet, il utilisera dans la plupart des cas un nom de domaine.\nLes ordinateurs se parlent par adresse IP. Ils utilisent donc le DNS pour associer un nom de domaine à une adresse IP.\nIl existe plusieurs services disponibles qui vérifient les requêtes DNS et les bloquent.\nComment cela marche-t-il?\nCes services DNS collectent des informations sur les domaines malveillants à partir de diverses sources publiques et privées. Lorsqu'il reçoit une requête pour un domaine qu'il a identifié comme malveillant, il bloque l'accès lorsque votre système tente de le contacter.\nVoici une vidéo de Quad 9 qui explique leur service DNS.","html":"14. Utiliser les services DNS pour bloquer les domaines malveillants\nVous pouvez empêcher une grande quantité de trafic malveillant d'entrer sur votre réseau en bloquant les recherches DNS malveillantes.\nChaque fois qu'un système doit accéder à Internet, il utilisera dans la plupart des cas un nom de domaine.\nLes ordinateurs se parlent par adresse IP. Ils utilisent donc le DNS pour associer un nom de domaine à une adresse IP.\nIl existe plusieurs services disponibles qui vérifient les requêtes DNS et les bloquent.\nComment cela marche-t-il?\nCes services DNS collectent des informations sur les domaines malveillants à partir de diverses sources publiques et privées. Lorsqu'il reçoit une requête pour un domaine qu'il a identifié comme malveillant, il bloque l'accès lorsque votre système tente de le contacter.\nVoici une vidéo de Quad 9 qui explique leur service DNS.
"},{"id":"text-30","type":"text","heading":"","plain_text":"Voici un exemple:","html":"Voici un exemple:
"},{"id":"text-31","type":"text","heading":"","plain_text":"Étape 1: le client clique sur un lien qui mène à example.net\nÉtape 2: le cache local est vérifié\nÉtape 3: le service DNS vérifie si le domaine figure sur sa liste de menaces. Il renvoie donc une réponse bloquée.\nDans l'exemple ci-dessus, étant donné que la requête DNS a renvoyé un bloc, aucun trafic malveillant n'a jamais été entré sur le réseau.\nVoici quelques-uns des services DNS sécurisés les plus populaires\nQuad9OpenDNSDNS sécurisé Comodo\nJ’utilise actuellement Quad9, c’est gratuit et facile à installer.\nDe plus, la plupart des systèmes IPS (Intrusion Prevention Systems) prennent en charge la possibilité de vérifier les recherches DNS par rapport à une liste de domaines malveillants.\n15. Exécuter l'infrastructure critique sur le dernier système d'exploitation Windows\nAvec chaque nouvelle version du système d'exploitation Windows, Microsoft inclut des fonctionnalités de sécurité intégrées et des améliorations.\nRester sur le dernier OS augmentera la sécurité globale.\nNouvelles fonctionnalités de sécurité dans Server 2016","html":"Étape 1: le client clique sur un lien qui mène à example.net\nÉtape 2: le cache local est vérifié\nÉtape 3: le service DNS vérifie si le domaine figure sur sa liste de menaces. Il renvoie donc une réponse bloquée.\nDans l'exemple ci-dessus, étant donné que la requête DNS a renvoyé un bloc, aucun trafic malveillant n'a jamais été entré sur le réseau.\nVoici quelques-uns des services DNS sécurisés les plus populaires\nQuad9OpenDNSDNS sécurisé Comodo\nJ’utilise actuellement Quad9, c’est gratuit et facile à installer.\nDe plus, la plupart des systèmes IPS (Intrusion Prevention Systems) prennent en charge la possibilité de vérifier les recherches DNS par rapport à une liste de domaines malveillants.\n15. Exécuter l'infrastructure critique sur le dernier système d'exploitation Windows\nAvec chaque nouvelle version du système d'exploitation Windows, Microsoft inclut des fonctionnalités de sécurité intégrées et des améliorations.\nRester sur le dernier OS augmentera la sécurité globale.\nNouvelles fonctionnalités de sécurité dans Server 2016
"},{"id":"text-32","type":"text","heading":"","plain_text":"Machines virtuelles blindées\nJuste assez d'administration\nWindows Defender sans tête\nCredential Guard\nDispositif de garde","html":"Machines virtuelles blindées\nJuste assez d'administration\nWindows Defender sans tête\nCredential Guard\nDispositif de garde
"},{"id":"text-33","type":"text","heading":"","plain_text":"Voici une bonne vidéo de Microsoft sur Windows Server 2016 Security.","html":"Voici une bonne vidéo de Microsoft sur Windows Server 2016 Security.
"},{"id":"text-34","type":"text","heading":"","plain_text":"16. Utiliser l'authentification à deux facteurs pour l'accès à distance\nLes comptes compromis sont très courants et peuvent fournir aux attaquants un accès à distance à vos systèmes via un réseau privé virtuel (VPN), Citrix ou d'autres systèmes d'accès distant.\nVérifiez vos journaux Office 365 ou ADFS, vous serez surpris du nombre de tentatives de connexion en provenance de Chine et de Russie.\nL'authentification à deux facteurs est l'un des meilleurs moyens de se protéger contre les comptes compromis. Cela aidera également contre les attaques par spaying par mot de passe.\nDisons qu'un utilisateur est tombé dans une tentative de phishing qui lui a demandé de vérifier son nom d'utilisateur et son mot de passe.\nL’attaquant a maintenant les informations d’identification Active Directory de cet utilisateur. L’attaquant pouvait désormais accéder à plusieurs systèmes à partir de n’importe où.\nSi l'utilisateur avait activé deux facteurs, cela pourrait empêcher l'accès même si le compte avait été compromis. L’attaquant aurait besoin du deuxième jeu d’identifiants pour se connecter.\nIl n’existe vraiment aucun moyen d’empêcher les comptes d’être compromis. Les attaquants disposent de trop de moyens pour obtenir les informations d’identité.\nSi vous utilisez Office 365 et en fonction du package que vous possédez, MFA peut être inclus. Profitez de cette fonctionnalité.\nSolutions d'authentification à deux facteurs populaires\n17. Surveiller les journaux DHCP pour les périphériques connectés\nVous devez savoir ce qui est connecté à votre réseau si vous avez plusieurs sites avec beaucoup d'utilisateurs et d'ordinateurs, cela peut être difficile.\nIl existe des moyens d'empêcher uniquement la connexion de périphériques autorisés, mais cette opération peut être coûteuse et demander beaucoup de travail. Si vous avez les ressources, c'est la voie à suivre.\nUne autre méthode à votre disposition consiste à surveiller les journaux DHCP des périphériques connectés.\nTous les périphériques d’utilisateur final doivent être configurés pour utiliser DHCP. Vous pouvez ensuite consulter les journaux pour voir ce qui se connecte. Vous devez avoir une convention de dénomination pour votre équipement, cela facilitera la détection des éventuels périphériques non autorisés.\nDans la capture d'écran ci-dessous, je peux facilement repérer un périphérique qui ne respecte pas les conventions de dénomination de mon ordinateur.\nminint-1bdvd67 n'est pas quelque chose que je reconnais. Je devrai examiner cela et voir s'il s'agit d'un appareil autorisé.","html":"16. Utiliser l'authentification à deux facteurs pour l'accès à distance\nLes comptes compromis sont très courants et peuvent fournir aux attaquants un accès à distance à vos systèmes via un réseau privé virtuel (VPN), Citrix ou d'autres systèmes d'accès distant.\nVérifiez vos journaux Office 365 ou ADFS, vous serez surpris du nombre de tentatives de connexion en provenance de Chine et de Russie.\nL'authentification à deux facteurs est l'un des meilleurs moyens de se protéger contre les comptes compromis. Cela aidera également contre les attaques par spaying par mot de passe.\nDisons qu'un utilisateur est tombé dans une tentative de phishing qui lui a demandé de vérifier son nom d'utilisateur et son mot de passe.\nL’attaquant a maintenant les informations d’identification Active Directory de cet utilisateur. L’attaquant pouvait désormais accéder à plusieurs systèmes à partir de n’importe où.\nSi l'utilisateur avait activé deux facteurs, cela pourrait empêcher l'accès même si le compte avait été compromis. L’attaquant aurait besoin du deuxième jeu d’identifiants pour se connecter.\nIl n’existe vraiment aucun moyen d’empêcher les comptes d’être compromis. Les attaquants disposent de trop de moyens pour obtenir les informations d’identité.\nSi vous utilisez Office 365 et en fonction du package que vous possédez, MFA peut être inclus. Profitez de cette fonctionnalité.\nSolutions d'authentification à deux facteurs populaires\n17. Surveiller les journaux DHCP pour les périphériques connectés\nVous devez savoir ce qui est connecté à votre réseau si vous avez plusieurs sites avec beaucoup d'utilisateurs et d'ordinateurs, cela peut être difficile.\nIl existe des moyens d'empêcher uniquement la connexion de périphériques autorisés, mais cette opération peut être coûteuse et demander beaucoup de travail. Si vous avez les ressources, c'est la voie à suivre.\nUne autre méthode à votre disposition consiste à surveiller les journaux DHCP des périphériques connectés.\nTous les périphériques d’utilisateur final doivent être configurés pour utiliser DHCP. Vous pouvez ensuite consulter les journaux pour voir ce qui se connecte. Vous devez avoir une convention de dénomination pour votre équipement, cela facilitera la détection des éventuels périphériques non autorisés.\nDans la capture d'écran ci-dessous, je peux facilement repérer un périphérique qui ne respecte pas les conventions de dénomination de mon ordinateur.\nminint-1bdvd67 n'est pas quelque chose que je reconnais. Je devrai examiner cela et voir s'il s'agit d'un appareil autorisé.
"},{"id":"text-35","type":"text","heading":"","plain_text":"18. Surveiller les journaux DNS pour les menaces de sécurité\nLa plupart des connexions commencent par une requête DNS. Tous les systèmes joints à un domaine doivent être configurés pour utiliser votre serveur DNS Windows local.\nAvec cette configuration, vous pouvez enregistrer chaque recherche DNS interne et externe. Lorsqu'un périphérique client établit une connexion à un site malveillant, il enregistre ce nom dans les journaux DNS.\nCes domaines malveillants sont généralement des domaines de caractères aléatoires et impairs qui soulèvent des drapeaux rouges.\nVoici quelques captures d'écran de recherches DNS suspectes dans mes journaux. Celles-ci apparaissent à plusieurs reprises dans mes journaux pour une poignée de périphériques.\nJe doute sérieusement qu'un utilisateur tente d'accéder à ce site intentionnellement. Ce type de recherche doit être examiné pour déterminer s’il est malveillant ou non.","html":"18. Surveiller les journaux DNS pour les menaces de sécurité\nLa plupart des connexions commencent par une requête DNS. Tous les systèmes joints à un domaine doivent être configurés pour utiliser votre serveur DNS Windows local.\nAvec cette configuration, vous pouvez enregistrer chaque recherche DNS interne et externe. Lorsqu'un périphérique client établit une connexion à un site malveillant, il enregistre ce nom dans les journaux DNS.\nCes domaines malveillants sont généralement des domaines de caractères aléatoires et impairs qui soulèvent des drapeaux rouges.\nVoici quelques captures d'écran de recherches DNS suspectes dans mes journaux. Celles-ci apparaissent à plusieurs reprises dans mes journaux pour une poignée de périphériques.\nJe doute sérieusement qu'un utilisateur tente d'accéder à ce site intentionnellement. Ce type de recherche doit être examiné pour déterminer s’il est malveillant ou non.
"},{"id":"text-36","type":"text","heading":"","plain_text":"Pour afficher les recherches DNS, vous devez d'abord activer les journaux de débogage DNS sur les serveurs Windows.\nÉtapes pour activer les journaux de débogage DNS sur Windows Server\nÉtape 1: ouvrez la console de gestion DNS\nÉtape 2: Faites un clic droit et sélectionnez les propriétés\nÉtape 3: Cliquez sur l'onglet Journalisation du débogage\nÉtape 4: Cochez la case «Journaliser les paquets pour le débogage","html":"Pour afficher les recherches DNS, vous devez d'abord activer les journaux de débogage DNS sur les serveurs Windows.\nÉtapes pour activer les journaux de débogage DNS sur Windows Server\nÉtape 1: ouvrez la console de gestion DNS\nÉtape 2: Faites un clic droit et sélectionnez les propriétés\nÉtape 3: Cliquez sur l'onglet Journalisation du débogage\nÉtape 4: Cochez la case «Journaliser les paquets pour le débogage
"},{"id":"text-37","type":"text","heading":"","plain_text":"Une fois que vous avez configuré les journaux de débogage, vous pouvez les importer dans un analyseur pour détecter rapidement les activités malveillantes.\nVous pouvez également convertir le fichier journal en csv pour faciliter la lecture et le filtrage.\n19. Utiliser les dernières fonctionnalités de sécurité ADFS et Azure\nADFS et Azure disposent d'excellentes fonctionnalités de sécurité. Ces fonctionnalités vous aideront avec la pulvérisation de mot de passe, la modification de compte, le phishing, etc.\nQuel que soit le niveau de votre bureau 365, vous devez examiner certaines fonctionnalités.\nBien entendu, les abonnements premium offrent les meilleures fonctionnalités de sécurité.\nMais\nMicrosoft améliore et ajoute de nouvelles fonctionnalités à tous les niveaux (du moins, c’est ce que j’ai remarqué depuis que je suis sur Office 365).\nVoici quelques caractéristiques qui méritent d’être explorées:","html":"Une fois que vous avez configuré les journaux de débogage, vous pouvez les importer dans un analyseur pour détecter rapidement les activités malveillantes.\nVous pouvez également convertir le fichier journal en csv pour faciliter la lecture et le filtrage.\n19. Utiliser les dernières fonctionnalités de sécurité ADFS et Azure\nADFS et Azure disposent d'excellentes fonctionnalités de sécurité. Ces fonctionnalités vous aideront avec la pulvérisation de mot de passe, la modification de compte, le phishing, etc.\nQuel que soit le niveau de votre bureau 365, vous devez examiner certaines fonctionnalités.\nBien entendu, les abonnements premium offrent les meilleures fonctionnalités de sécurité.\nMais\nMicrosoft améliore et ajoute de nouvelles fonctionnalités à tous les niveaux (du moins, c’est ce que j’ai remarqué depuis que je suis sur Office 365).\nVoici quelques caractéristiques qui méritent d’être explorées:
"},{"id":"text-38","type":"text","heading":"","plain_text":"Smart Lockout – Utilise des algorithmes pour repérer les activités de connexion inhabituelles.\nVerrouillage IP – Utilise la base de données d'adresses IP malveillantes connues de Microsoft pour bloquer les ouvertures de session.\nSimulations d'attaque – Vous devriez effectuer des tests de phishing réguliers pour aider à former les utilisateurs finaux. Microsoft publiera très bientôt un logiciel de simulation de phishing.\nAuthentification MFA – La solution à 2 facteurs de Microsoft\nMots de passe interdits – Vérifie les mots de passe par rapport à une liste connue\nAzure AD Connect Health – Fournit plusieurs bons rapports\nMots de passe incorrects personnalisés – Possibilité d'ajouter des mots de passe interdits personnalisés à vérifier.","html":"Smart Lockout – Utilise des algorithmes pour repérer les activités de connexion inhabituelles.\nVerrouillage IP – Utilise la base de données d'adresses IP malveillantes connues de Microsoft pour bloquer les ouvertures de session.\nSimulations d'attaque – Vous devriez effectuer des tests de phishing réguliers pour aider à former les utilisateurs finaux. Microsoft publiera très bientôt un logiciel de simulation de phishing.\nAuthentification MFA – La solution à 2 facteurs de Microsoft\nMots de passe interdits – Vérifie les mots de passe par rapport à une liste connue\nAzure AD Connect Health – Fournit plusieurs bons rapports\nMots de passe incorrects personnalisés – Possibilité d'ajouter des mots de passe interdits personnalisés à vérifier.
"},{"id":"text-39","type":"text","heading":"","plain_text":"J'exécute actuellement une configuration hybride d'Office 365. En azur, je peux voir plusieurs signes risqués sur les rapports.","html":"J'exécute actuellement une configuration hybride d'Office 365. En azur, je peux voir plusieurs signes risqués sur les rapports.
"},{"id":"text-40","type":"text","heading":"","plain_text":"Azure m'a alerté sur un signe venant de Chine provenant d'un de nos comptes.","html":"Azure m'a alerté sur un signe venant de Chine provenant d'un de nos comptes.
"},{"id":"text-41","type":"text","heading":"","plain_text":"Certaines de ces fonctionnalités sont disponibles avec la dernière version d'ADFS et d'autres sont incluses dans l'abonnement Office 365.\nVérifiez définitivement toutes les fonctionnalités de sécurité disponibles dans ADFS, Office 365 et Azure.\nRessources:\nhttps://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-spray-attacks/\n20. Utiliser le score sécurisé d'Office 365\nSecure Score analyse la sécurité de votre organisation Office 365 en fonction de l'activité et des paramètres de sécurité.\nSecure Score vérifie vos services Office 365, vérifie ensuite vos paramètres et vos activités et vous fournit un score de sécurité.\nUne fois qu'il aura analysé votre score, il fournira une liste détaillée de ce qui a été marqué et des actions recommandées pour résoudre les problèmes.\nVous aurez besoin d'un abonnement Premium ou Entreprise pour accéder à cette fonctionnalité. De plus, vous devrez vous attribuer le rôle d'administrateur général ou personnalisé.\nMicrosoft continue à se développer et à ajouter des fonctionnalités supplémentaires à Secure Score.\nSi vous avez accès à cette fonctionnalité, profitez-en.","html":"Certaines de ces fonctionnalités sont disponibles avec la dernière version d'ADFS et d'autres sont incluses dans l'abonnement Office 365.\nVérifiez définitivement toutes les fonctionnalités de sécurité disponibles dans ADFS, Office 365 et Azure.\nRessources:\nhttps://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-spray-attacks/\n20. Utiliser le score sécurisé d'Office 365\nSecure Score analyse la sécurité de votre organisation Office 365 en fonction de l'activité et des paramètres de sécurité.\nSecure Score vérifie vos services Office 365, vérifie ensuite vos paramètres et vos activités et vous fournit un score de sécurité.\nUne fois qu'il aura analysé votre score, il fournira une liste détaillée de ce qui a été marqué et des actions recommandées pour résoudre les problèmes.\nVous aurez besoin d'un abonnement Premium ou Entreprise pour accéder à cette fonctionnalité. De plus, vous devrez vous attribuer le rôle d'administrateur général ou personnalisé.\nMicrosoft continue à se développer et à ajouter des fonctionnalités supplémentaires à Secure Score.\nSi vous avez accès à cette fonctionnalité, profitez-en.
"},{"id":"text-42","type":"text","heading":"","plain_text":"21. Prévoyez un compromis (ayez un plan de redressement)\nQue feriez-vous si votre réseau était compromis aujourd'hui ou mis en échec avec RansomWare?\nAvez-vous une politique de réponse? Avez-vous testé et formé le personnel sur la manière de gérer un tel événement?\nLes cyberattaques peuvent arrêter des systèmes et mettre un terme aux opérations commerciales.\nLa ville d'Atlanta a été fermée par une cyberattaque, ce qui a empêché les résidents de payer leurs factures de services publics en ligne. En outre, les policiers ont dû rédiger leurs rapports à la main.\nLa dernière fois que j’ai vérifié, il leur en coûtait plus de 5 millions de dollars pour se remettre de l’attaque.\nUn bon plan de réponse aux incidents aurait pu limiter l'impact et permettre aux services de revenir en ligne beaucoup plus rapidement.\nVoici quelques éléments à inclure dans un plan de réponse aux incidents","html":"21. Prévoyez un compromis (ayez un plan de redressement)\nQue feriez-vous si votre réseau était compromis aujourd'hui ou mis en échec avec RansomWare?\nAvez-vous une politique de réponse? Avez-vous testé et formé le personnel sur la manière de gérer un tel événement?\nLes cyberattaques peuvent arrêter des systèmes et mettre un terme aux opérations commerciales.\nLa ville d'Atlanta a été fermée par une cyberattaque, ce qui a empêché les résidents de payer leurs factures de services publics en ligne. En outre, les policiers ont dû rédiger leurs rapports à la main.\nLa dernière fois que j’ai vérifié, il leur en coûtait plus de 5 millions de dollars pour se remettre de l’attaque.\nUn bon plan de réponse aux incidents aurait pu limiter l'impact et permettre aux services de revenir en ligne beaucoup plus rapidement.\nVoici quelques éléments à inclure dans un plan de réponse aux incidents
"},{"id":"text-43","type":"text","heading":"","plain_text":"Créer une politique et un plan de réponse aux incidents\nCréer des procédures pour gérer les incidents et les signaler\nÉtablir des procédures pour communiquer avec des tiers\nMettre en place des équipes d'intervention et des leaders\nPrioriser les serveurs\nProcédure pas à pas et formation","html":"Créer une politique et un plan de réponse aux incidents\nCréer des procédures pour gérer les incidents et les signaler\nÉtablir des procédures pour communiquer avec des tiers\nMettre en place des équipes d'intervention et des leaders\nPrioriser les serveurs\nProcédure pas à pas et formation
"},{"id":"text-44","type":"text","heading":"","plain_text":"Le NIST propose un excellent guide sur la gestion des incidents de sécurité informatique, https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf.\n22. Délégation de documents dans Active Directory\nLe meilleur moyen de contrôler l'accès à Active Directory et aux ressources associées est d'utiliser des groupes de sécurité.\nSi vos droits de délégation aux individus, vous perdez le contrôle de qui a accès.\nCréez des groupes personnalisés avec des noms très spécifiques, indiquez qui a les droits et créez un processus pour ajouter de nouveaux utilisateurs.\nNe laissez pas simplement les utilisateurs s'ajouter à ces groupes personnalisés sans processus d'approbation. Ceci est juste une autre façon dont les autorisations peuvent devenir incontrôlables.\nSachez quels groupes sont délégués à quelles ressources, documentez-les et assurez-vous que votre équipe est sur la même page.\n23. Verrouillage des comptes de service\nLes comptes de service sont les comptes qui exécutent un exécutable, une tâche ou un service, une authentification AD, etc.\nCeux-ci sont très utilisés et ont souvent un mot de passe défini pour ne jamais expirer.\nCes comptes se retrouvent souvent avec trop d'autorisations et sont le plus souvent membres du groupe des administrateurs de domaine.\nMauvais Très mauvais\nParfois, cela est suggéré par le vendeur.\nNe laissez pas cela se produire, il existe des moyens de le faire fonctionner sans accès DA.\nVoici quelques conseils pour verrouiller les comptes de service.","html":"Le NIST propose un excellent guide sur la gestion des incidents de sécurité informatique, https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf.\n22. Délégation de documents dans Active Directory\nLe meilleur moyen de contrôler l'accès à Active Directory et aux ressources associées est d'utiliser des groupes de sécurité.\nSi vos droits de délégation aux individus, vous perdez le contrôle de qui a accès.\nCréez des groupes personnalisés avec des noms très spécifiques, indiquez qui a les droits et créez un processus pour ajouter de nouveaux utilisateurs.\nNe laissez pas simplement les utilisateurs s'ajouter à ces groupes personnalisés sans processus d'approbation. Ceci est juste une autre façon dont les autorisations peuvent devenir incontrôlables.\nSachez quels groupes sont délégués à quelles ressources, documentez-les et assurez-vous que votre équipe est sur la même page.\n23. Verrouillage des comptes de service\nLes comptes de service sont les comptes qui exécutent un exécutable, une tâche ou un service, une authentification AD, etc.\nCeux-ci sont très utilisés et ont souvent un mot de passe défini pour ne jamais expirer.\nCes comptes se retrouvent souvent avec trop d'autorisations et sont le plus souvent membres du groupe des administrateurs de domaine.\nMauvais Très mauvais\nParfois, cela est suggéré par le vendeur.\nNe laissez pas cela se produire, il existe des moyens de le faire fonctionner sans accès DA.\nVoici quelques conseils pour verrouiller les comptes de service.
"},{"id":"text-45","type":"text","heading":"","plain_text":"Use long Strong passwords\nGive access to only what is needed\nTry to avoid granting local administrator rights\nDo not put in Domain Admins\nDeny logon locally\nDeny logon as a batch\nRequire vendors to make their software work without domain admin rights","html":"Use long Strong passwords\nGive access to only what is needed\nTry to avoid granting local administrator rights\nDo not put in Domain Admins\nDeny logon locally\nDeny logon as a batch\nRequire vendors to make their software work without domain admin rights
"},{"id":"text-46","type":"text","heading":"","plain_text":"24. Disable SMBv1\nSMBv1 is 30 years old and Microsoft says to stop using it (They have been saying that for a long time).\nSMB (Server Message Blocks) is a network file and printer sharing protocol.\nSMBv1 has been replaced by SMBv2 and SMBv3.\nMany viruses can spread and exploit flaws in the SMBv1 protocol.\nIn addition, to the security issues with SMBv1 it’s not an efficient protocol, you will lose performance with this old version.\nBeginning with Windows 10 Fall Creators Update SMBv1 will be disabled by default.\nIf you are running an older Windows version or still on Windows 7, here is how you disable it.\nWarning: You will want to test this. Even though most operating systems support smbv2 and smbv3, you can still run into issues with some older application.\nMethod 1: Disable Through Windows Features\nStep1: Go to Programs and Features > Turn Windows features on or off\nStep2: Scroll through the list and uncheck “SMB 1.0/CIFS File Sharing Support”\nYou will be prompted to restart.","html":"24. Disable SMBv1\nSMBv1 is 30 years old and Microsoft says to stop using it (They have been saying that for a long time).\nSMB (Server Message Blocks) is a network file and printer sharing protocol.\nSMBv1 has been replaced by SMBv2 and SMBv3.\nMany viruses can spread and exploit flaws in the SMBv1 protocol.\nIn addition, to the security issues with SMBv1 it’s not an efficient protocol, you will lose performance with this old version.\nBeginning with Windows 10 Fall Creators Update SMBv1 will be disabled by default.\nIf you are running an older Windows version or still on Windows 7, here is how you disable it.\nWarning: You will want to test this. Even though most operating systems support smbv2 and smbv3, you can still run into issues with some older application.\nMethod 1: Disable Through Windows Features\nStep1: Go to Programs and Features > Turn Windows features on or off\nStep2: Scroll through the list and uncheck “SMB 1.0/CIFS File Sharing Support”\nYou will be prompted to restart.
"},{"id":"text-47","type":"text","heading":"","plain_text":"Method 2: Disable in Registry\nIf you are still running Windows 7 you will have to edit the registry to disable SMBv1.\nNavigate to this key\nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters\nRight click the parameters key and choose New > DWORD (32-bit) value.\nName the new value SMB1. It should by default be value 0 which disabled it.","html":"Method 2: Disable in Registry\nIf you are still running Windows 7 you will have to edit the registry to disable SMBv1.\nNavigate to this key\nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters\nRight click the parameters key and choose New > DWORD (32-bit) value.\nName the new value SMB1. It should by default be value 0 which disabled it.
"},{"id":"text-48","type":"text","heading":"","plain_text":"To disable SMBv1 across all computers you can use group policy registry preference. This will allow you to create the above registry setting on all computers.\n25. Use Security Baselines and Benchmarks\nA default install of the Windows Operating system has many features, services, default settings and enabled ports that are not secure.\nThese default settings should be reviewed against known security benchmarks.\nEstablishing a secure configuration on all systems can reduce the attack surface while maintaining functionality.\nThere are several resources that provide security benchmarks.\nMicrosoft has a Security Compliance Toolkit that allows you to analyze and test against Microsoft recommended security configuration baselines.\nAnother great resource is CIS SecureSuite\nIt also provides security configuration baselines. In addition, it provides tools that can scan a system and provide a report on failures.\nMost of the recommended settings can be set up using Group Policy and deployed to all computers.\nHere is a screenshot of the CIS Securesuite tool. It ran a scan on my computer and generated a report on all the settings that passed and failed.","html":"To disable SMBv1 across all computers you can use group policy registry preference. This will allow you to create the above registry setting on all computers.\n25. Use Security Baselines and Benchmarks\nA default install of the Windows Operating system has many features, services, default settings and enabled ports that are not secure.\nThese default settings should be reviewed against known security benchmarks.\nEstablishing a secure configuration on all systems can reduce the attack surface while maintaining functionality.\nThere are several resources that provide security benchmarks.\nMicrosoft has a Security Compliance Toolkit that allows you to analyze and test against Microsoft recommended security configuration baselines.\nAnother great resource is CIS SecureSuite\nIt also provides security configuration baselines. In addition, it provides tools that can scan a system and provide a report on failures.\nMost of the recommended settings can be set up using Group Policy and deployed to all computers.\nHere is a screenshot of the CIS Securesuite tool. It ran a scan on my computer and generated a report on all the settings that passed and failed.
"},{"id":"text-49","type":"text","heading":"","plain_text":"CIS Securesuite can also scan against other systems like cisco, vmware, linux and more.","html":"CIS Securesuite can also scan against other systems like cisco, vmware, linux and more.
"},{"id":"text-50","type":"text","heading":"","plain_text":"Recommended Tool: SolarWinds Server & Application Monitor (SAM)\nThis utility was designed to Monitor Active Directory and other critical applications. It will quickly spot domain controller issues, prevent replication failures, track failed logon attempts and much more.\nWhat I like best about SAM is it’s easy to use dashboard and alerting features. It also has the ability to monitor virtual machines and storage.\nDownload Your Free Trial of SolarWinds Server & Application Monitor.","html":"Recommended Tool: SolarWinds Server & Application Monitor (SAM)\nThis utility was designed to Monitor Active Directory and other critical applications. It will quickly spot domain controller issues, prevent replication failures, track failed logon attempts and much more.\nWhat I like best about SAM is it’s easy to use dashboard and alerting features. It also has the ability to monitor virtual machines and storage.\nDownload Your Free Trial of SolarWinds Server & Application Monitor.
"},{"id":"text-51","type":"text","heading":"","plain_text":"Click to rate this post!\n \n [Total: 0 Average: 0]","html":"Click to rate this post!\n \n [Total: 0 Average: 0]
"}],"sections":[{"id":"text-1","heading":"Text","content":"Il s'agit de la liste la plus complète des conseils de sécurité Active Directory et des meilleures pratiques que vous trouverez.\nDans ce guide, je partagerai mes conseils sur la sécurisation des administrateurs de domaine, des administrateurs locaux, des stratégies d'audit, de la surveillance des compromis pour AD, des stratégies de mot de passe, du contrôle des vulnérabilités, etc.\nVérifiez-le:\n1. Nettoyez le groupe Admins du domaine\nIl ne doit exister aucun compte d'utilisateur quotidien dans le groupe Admins du domaine. La seule exception est le compte d'administrateur de domaine par défaut.\nLes membres du groupe DA sont trop puissants. Ils ont des droits d'administrateur local sur chaque système associé à un domaine (poste de travail, serveurs, ordinateurs portables, etc.).\nC'est ce que recherchent les méchants.\nMicrosoft vous recommande de placer temporairement le compte dans le groupe DA lorsqu'un accès DA est nécessaire. Lorsque le travail est terminé, vous devez supprimer le compte du groupe DA.\nCe processus est également recommandé pour les groupes Administrateurs d'entreprise, Administrateurs de sauvegarde et Administrateur de schéma.\nQuel est le problème?\nIl devient de plus en plus facile pour les attaquants d’obtenir ou de déchiffrer les informations d’identité des utilisateurs.\nUne fois que les attaquants ont accès à un système, ils peuvent se déplacer latéralement sur un réseau pour rechercher des autorisations plus élevées (administrateurs de domaine).\nUne méthode consiste à passer le hachage.\nPasser le hachage permet à un attaquant d'utiliser le mot de passe hash pour s'authentifier auprès des systèmes distants au lieu du mot de passe habituel.\nCes hachages peuvent être obtenus à partir des ordinateurs des utilisateurs finaux.\nEffrayant non?\nIl suffit d’un ordinateur ou d’un compte utilisateur compromis pour permettre à un attaquant de compromettre un réseau.\nNettoyer le groupe Admins du domaine est un excellent premier pas pour accroître la sécurité de votre réseau. Cela peut ralentir un attaquant.\nLe processus pour supprimer des comptes du groupe DA n'est pas facile. Je sais de première main que j’ai récemment traversé ce processus. Il est très courant d’avoir trop de comptes dans le groupe DA.\nLes choses vont casser alors soyez prêt.\nAvant de commencer à supprimer des comptes de ce groupe, documentez et révisez les comptes avec votre équipe.\nPuis commencez lentement à supprimer les comptes un à un. Cela peut être un processus douloureux, mais cela en vaut la peine.\nC’est un exploit considérable qui réduira considérablement votre surface d’attaque."},{"id":"text-2","heading":"Text","content":"Outil recommandé: Gestionnaire de droits d'accès SolarWinds \nSolarWinds Access Rights Manager vous aidera à surveiller, analyser et auditer Active Directory et la stratégie de groupe. Cela permet aux administrateurs de voir instantanément ce qui a été modifié et par qui. Obtenez un meilleur contrôle de l'accès via une application centralisée. Cet outil audite également les partages de fichiers pour éviter les fuites de données et l'accès non autorisé aux fichiers sensibles.\nCaractéristiques supplémentaires: Approvisionnement et gestion des utilisateurs, analyse des autorisations des utilisateurs, création de rapports personnalisés, portail en libre service et surveillance et gestion des points de partage."},{"id":"text-3","heading":"Text","content":"Téléchargez votre version d'essai gratuite de 30 jours de SolarWinds Access Rights Manager"},{"id":"text-4","heading":"Text","content":"2. Utiliser au moins deux comptes (compte régulier et compte administrateur)\nVous ne devez pas vous connecter tous les jours avec un compte administrateur local ou disposant d'un accès privilégié (administrateur de domaine).\nAu lieu de cela, créez deux comptes, un compte standard sans droits d'administrateur et un compte privilégié utilisé uniquement pour les tâches administratives.\nMAIS\nNe mettez pas votre compte secondaire dans le groupe Admins du domaine, au moins de manière permanente.\nAu lieu de cela, suivez les modèle administratif de moindre privilège. En gros, cela signifie que tous les utilisateurs doivent ouvrir une session avec un compte disposant des autorisations minimales pour effectuer leur travail.\nVous pouvez lire d'autres articles et forums pour placer votre compte secondaire dans le groupe Admins du domaine.\nCe n'est pas une meilleure pratique de Microsoft et je vous le déconseille. Encore une fois temporaire est OK, mais il doit être retiré dès que le travail est terminé.\nVous devez utiliser un compte ordinaire non administrateur pour les tâches quotidiennes, telles que la vérification des e-mails, la navigation sur Internet, le système de tickets, etc. Vous n'utiliseriez le compte privilégié que lorsque vous devez effectuer des tâches administratives telles que créer un utilisateur dans Active Directory, vous connecter à un serveur, ajouter un enregistrement DNS, etc.\nRegardez ces deux scénarios.\nScénario 1 – Personnel informatique avec droits de domaine\nSteve se connecte à son ordinateur avec un compte privilégié, vérifie son courrier électronique et télécharge par inadvertance un virus. Étant donné que Steve est membre du groupe DA, le virus dispose de tous les droits sur son ordinateur, tous les serveurs, tous les fichiers et l’ensemble du domaine. Cela pourrait causer de graves dommages et entraîner la panne des systèmes critiques.\nMaintenant, prenons le même scénario mais cette fois-ci, Steve est connecté avec son compte habituel non administrateur.\nScénario 2 – Personnel informatique avec des droits réguliers\nSteve vérifie son courrier électronique et télécharge un virus par inadvertance. Le virus a un accès limité à l'ordinateur et aucun accès au domaine ou à d'autres serveurs. Cela causerait des dommages minimes et empêcherait le virus de se propager à travers le réseau.\nEn utilisant simplement un compte régulier, vous augmentez la sécurité et évitez de causer de graves dommages.\nIl est très facile de déléguer des tâches d’administration sans donner les droits d’administrateur au personnel. Voici quelques tâches courantes pouvant être déléguées à un compte d'administrateur secondaire."},{"id":"text-5","heading":"Text","content":"Droits sur les utilisateurs et ordinateurs Active Directory\nDNS\nDHCP\nDroits d'administrateur local sur les serveurs\nStratégie de groupe\nÉchange\nDroits d'administrateur local sur les postes de travail\nAdministration Vsphere ou Hyper-v"},{"id":"text-6","heading":"Text","content":"Certaines organisations utilisent plus de deux comptes et utilisent une approche à plusieurs niveaux. Ceci est nettement plus sûr mais peut être un inconvénient pour certains."},{"id":"text-7","heading":"Text","content":"Compte régulier\nCompte pour l'administration du serveur\nCompte pour l'administration du réseau\nCompte pour l'administration du poste de travail"},{"id":"text-8","heading":"Text","content":"En utilisant deux comptes et en implémentant le modèle le moins privilégié du point de vue administratif, vous réduirez considérablement vos risques de sécurité et éviterez des situations telles que celle du scénario 1.\n3. Sécuriser le compte d'administrateur de domaine\nChaque domaine comprend un compte administrateur, ce compte est par défaut membre du groupe Admins du domaine.\nLe compte administrateur intégré doit uniquement être utilisé pour la configuration du domaine et la récupération après sinistre (restauration d'Active Directory).\nToute personne nécessitant un accès de niveau administratif à des serveurs ou à Active Directory doit utiliser son propre compte individuel.\nPersonne ne devrait connaître le mot de passe du compte d'administrateur de domaine. Définissez un mot de passe très long de plus de 20 caractères et verrouillez-le dans un coffre-fort. Encore une fois, le seul moment où cela est nécessaire est à des fins de récupération.\nEn outre, Microsoft a plusieurs recommandations pour sécuriser le compte administrateur intégré. Ces paramètres peuvent être appliqués à la stratégie de groupe et appliqués à tous les ordinateurs."},{"id":"text-9","heading":"Text","content":"Activer le compte est sensible et ne peut pas être délégué.\nActiver la carte à puce est requis pour la connexion interactive\nRefuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP"},{"id":"text-10","heading":"Text","content":"Pour plus de détails sur la sécurisation du compte d'administrateur de domaine, voir cet article Microsoft, Sécurisation des comptes d'administrateur intégrés dans Active Directory.\n4. Désactiver le compte d'administrateur local (sur tous les ordinateurs)\nLe compte d'administrateur local est un compte bien connu dans les environnements de domaine et n'est pas nécessaire.\nPas besoin, est-ce vrai?\nOui\nVous devez utiliser un compte individuel disposant des droits nécessaires pour effectuer des tâches.\nQuel est le problème avec le compte administrateur local?\nDeux problèmes"},{"id":"text-11","heading":"Text","content":"C'est un compte bien connu, même si renommé, le SID est le même et est bien connu des attaquants.\nIl est souvent configuré avec le même mot de passe sur chaque ordinateur du domaine."},{"id":"text-12","heading":"Text","content":"Les attaquants doivent simplement compromettre un système et disposent désormais de droits d’administrateur local sur chaque ordinateur appartenant à un domaine.\nSi vous devez effectuer des tâches administratives sur l'ordinateur (installer un logiciel, supprimer des fichiers, etc.), vous devriez le faire avec votre compte individuel, pas avec le compte administrateur local.\nMême si le compte est désactivé, vous pouvez démarrer en mode sans échec et utiliser le compte d'administrateur local.\nEn tant qu'administrateur, je sais que ces meilleures pratiques ne sont pas toujours pratiques ou introduisent un inconvénient majeur.\nQue se passe-t-il si le réseau est en panne ou si la carte réseau est morte, si vous devez le supprimer du domaine et l'ajouter de nouveau? Il existe des moyens de contourner ce problème, mais cela peut vraiment vous ralentir.\nSi vous ne pouvez pas désactiver le compte, voici des recommandations pour le sécuriser. Une meilleure alternative consiste à utiliser l'outil Microsoft LAPS (voir le conseil n ° 5 ci-dessous)."},{"id":"text-13","heading":"Text","content":"Refuser l'accès à cet ordinateur à partir du réseau\nRefuser la connexion en tant que travail par lots\nRefuser d'ouvrir une session en tant que service\nRefuser la connexion via RDP"},{"id":"text-14","heading":"Text","content":"Pour plus de détails, voir l'article suivant, Sécurisation des comptes et des groupes d'administrateurs locaux.\n5. Utiliser la solution LAPS (Local Administrator Password)\nLa solution LAPS (Administrateur local) devient un outil populaire pour gérer le mot de passe administrateur local sur tous les ordinateurs.\nLAPS est un outil Microsoft qui permet la gestion du mot de passe du compte local des ordinateurs joints au domaine. Il définira un mot de passe unique pour chaque compte d'administrateur local et le stockera dans Active Directory pour un accès facile.\nC'est l'une des meilleures options gratuites d'atténuation des attaques de haschich et des mouvements latéraux d'un ordinateur à l'autre.\nIl est très courant que les entreprises déploient Windows à l’aide d’un système à base d’images. Cela facilite le déploiement d'une configuration standard sur tous les périphériques.\nMais..\nCela signifie souvent que le compte de l'administrateur local sera le même sur tous les ordinateurs. Étant donné que le compte d'administrateur local dispose de tous les droits sur tout ce qui se trouve sur l'ordinateur, il suffit que l'un d'entre eux soit compromis pour que le pirate informatique puisse accéder à tous les systèmes.\nLAPS est basé sur l'infrastructure Active Directory, il n'est donc pas nécessaire d'installer de serveurs supplémentaires.\nLa solution utilise l'extension côté client de la stratégie de groupe pour effectuer toutes les tâches de gestion sur les postes de travail. Il est pris en charge sur Active Directory 2003 SP1 et supérieur et sur le client Vista Service Pack 2 et supérieur.\nSi vous devez utiliser le compte d’administrateur local sur un ordinateur, vous récupérerez le mot de passe dans Active Directory. Ce mot de passe sera unique pour cet ordinateur."},{"id":"text-15","heading":"Text","content":"Pour obtenir des instructions détaillées sur l’installation de LAPS, consultez cet article, Comment installer la solution LAPS (Administrateur local)\n6. Utiliser un poste de travail Secure Admin (SAW)\nUn poste de travail admin sécurisé est un système dédié qui ne doit être utilisé que pour effectuer des tâches administratives avec votre compte privilégié.\nIl ne doit pas être utilisé pour consulter ses courriels ou naviguer sur Internet. En fait… il ne devrait même pas avoir accès à Internet.\nQuelles tâches feriez-vous sur une SAW?"},{"id":"text-16","heading":"Text","content":"Administration Active Directory\nStratégie de groupe\nGestion des serveurs DNS et DHCP\nToute tâche nécessitant des droits d'administrateur sur les serveurs\nDroits d'administrateur sur les systèmes de gestion tels que VMware, Hyper-v, Citrix\nAdministration d'Office 365"},{"id":"text-17","heading":"Text","content":"Vous avez eu l'idée.\nEn gros, lorsque vous devez utiliser votre compte privilégié pour effectuer des tâches administratives, vous devez le faire depuis un SAW.\nLes postes de travail à usage quotidien sont plus vulnérables aux compromis en cas de hachage, d'attaques par hameçonnage, de faux sites Web, de keyloggers, etc.\nL'utilisation d'un poste de travail sécurisé pour votre compte surélevé offre une bien meilleure protection contre ces vecteurs d'attaque.\nLes attaques pouvant provenir d’intérieurs et d’externes, il est préférable d’adopter une attitude de sécurité fondée sur la violation.\nEn raison des menaces constantes et de l'évolution de la technologie, la méthodologie de déploiement d'un SAW change constamment. Il existe également des serveurs PAW et des serveurs de sauts pour rendre la situation encore plus confuse.\nVoici quelques conseils pour vous aider à démarrer:"},{"id":"text-18","heading":"Text","content":"Utilisez une installation propre du système d'exploitation (utilisez le dernier système d'exploitation Windows)\nAppliquer une sécurité de base de durcissement (voir conseil n ° 25)\nActiver le chiffrement intégral du disque\nRestreindre les ports USB\nUtilisez un pare-feu personnel\nBloquer internet\nUtiliser une machine virtuelle – Terminal Server fonctionne bien\nLogiciel minimal installé\nUtilisez deux facteurs ou une carte à puce pour l'accès\nRestreindre les systèmes pour n'accepter que les connexions de la SAW"},{"id":"text-19","heading":"Text","content":"Voici mon flux de travail typique utilisant une SAW:"},{"id":"text-20","heading":"Text","content":"Connectez-vous à mon ordinateur avec mon compte habituel pour consulter vos emails et consulter les nouvelles demandes d'assistance. J'ai une demande pour donner à un utilisateur des autorisations sur un dossier partagé.\nJe me connecterai à ma SAW avec mon compte privilégié disposant des droits nécessaires pour modifier l'appartenance au groupe AD et ajouter l'utilisateur au groupe de sécurité AD nécessaire."},{"id":"text-21","heading":"Text","content":"Assez simple non?\nCela peut sembler fastidieux, mais je trouve que c'est plus pratique de cette façon. Je peux me connecter à distance en dehors du réseau et disposer d'un serveur doté de tous les outils dont j'ai besoin. Je n'ai pas non plus à craindre de réinstaller tous mes logiciels de support si je dois ré-imager mon ordinateur.\nRessources:\nhttps://docs.microsoft.com/en-us/windows-server/identity/securing-privileged-access/privileged-access-workstations\n7. Activer les paramètres de la stratégie d'audit avec la stratégie de groupe\nAssurez-vous que les paramètres de stratégie d'audit suivants sont configurés dans la stratégie de groupe et appliqués à tous les ordinateurs et serveurs.\nConfiguration ordinateur -> Stratégies – Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d'audit\nConnexion au compte\nAssurez-vous que ‘Audit Credential Validation’ est réglé sur 'Success and Failure'.\nGestion de compte\nAudit "Gestion des groupes d'applications" est défini sur "Succès et échec"Audit 'Gestion de compte d'ordinateur' est défini sur 'Succès et échec'Audit "Autres événements de gestion de compte" est défini sur "Succès et échec"Audit "Gestion du groupe de sécurité" est défini sur "Succès et échec"Audit "Gestion des comptes d'utilisateurs" est défini sur "Succès et échec"\nSuivi détaillé\nL’audit ‘PNP Activity’ est réglé sur ‘Success’Audit 'Process Creation' est défini sur 'Success'\nConnexion / Déconnexion\nAudit 'Account Lockout' est réglé sur 'Success and Failure'Audit 'Appartenance au groupe' est défini sur 'Succès'Audit 'Logoff' est défini sur 'Success'Audit 'Logon' est défini sur 'Success and Failure'Audit 'Autres événements d'ouverture et de fermeture de session' est paramétré sur 'Succès et échec'Audit 'Connexion spéciale' est paramétré sur 'Réussite'\nAccès aux objets\nAudit 'Stockage amovible' est défini sur 'Réussite et échec'\nChangement de politique\nAudit "Modification de la stratégie d'audit" défini sur "Succès et échec"Audit 'Authentication Policy Change' est défini sur 'Success'Audit "Modification de la politique d'autorisation" est défini sur "Succès"\nUtilisation de privilège\nAudit "Utilisation privilégiée des privilèges" défini sur "Succès et échec"\nSystème\nAudit ‘IPsec Driver’ est paramétré sur 'Success and Failure'Audit 'Other System Events' est défini sur 'Success and Failure'Audit "Changement d'état de sécurité" est défini sur "Succès"Audit "Extension du système de sécurité" est défini sur "Succès et échec"Audit «Intégrité du système» est défini sur «Succès et échec»\nUne activité malveillante commence souvent sur les postes de travail. Si vous ne surveillez pas tous les systèmes, vous risquez de manquer les premiers signes d’une attaque.\nDans la section suivante, je traiterai des événements à surveiller.\n8. Surveiller les événements Active Directory pour détecter les signes de compromission\nVous devez surveiller les événements Active Directory suivants pour aider à détecter les compromissions et les comportements anormaux sur le réseau.\nVoici quelques événements que vous devriez surveiller et examiner toutes les semaines."},{"id":"text-22","heading":"Text","content":"Modifications apportées aux groupes privilégiés tels que les administrateurs de domaine, les administrateurs d'entreprise et les administrateurs de schéma\nUn pic de mauvaises tentatives de mot de passe\nUn pic de comptes bloqués\nVerrouillage de compte\nDésactivation ou suppression du logiciel antivirus\nTous les actifs effectués par des comptes privilégiés\nÉvénements de connexion / déconnexion\nUtilisation de comptes d'administrateurs locaux"},{"id":"text-23","heading":"Text","content":"Comment surveillez-vous les événements dans Active Directory?\nLe meilleur moyen est de collecter tous les journaux sur un serveur centralisé, puis d’utiliser un logiciel d’analyse des journaux pour générer des rapports.\nCertains analyseurs de journaux sont pré-construits avec des rapports de sécurité Active Directory et d’autres vous sont nécessaires pour les créer vous-même.\nVoici quelques-uns des analyseurs de journaux les plus populaires.\nAvec un bon analyseur de journaux, vous serez en mesure de détecter rapidement les activités suspectes dans votre environnement Active Directory.\nVoici quelques captures d'écran d'un analyseur que j'utilise. La première capture d'écran montre un pic dans les verrouillages de compte.\nCe n'est certainement pas normal."},{"id":"text-24","heading":"Text","content":"Dans cette capture d'écran, vous pouvez voir un pic énorme d'échecs de connexion. Sans un analyseur de journaux, ces événements seraient difficiles à détecter."},{"id":"text-25","heading":"Text","content":"9. La complexité du mot de passe est nulle (utilisez plutôt des phrases secrètes)\n8 caractères complexes n’est plus un mot de passe sécurisé. Utilisez plutôt un minimum de 12 caractères et formez les utilisateurs sur les mots de passe.\nPlus le mot de passe est long, mieux c'est.\nLes phrases secrètes sont simplement deux ou plusieurs mots aléatoires mis ensemble. Vous pouvez ajouter des chiffres et des caractères si vous le souhaitez, mais je n’en ferais pas une exigence.\nDes études ont montré que lorsque vous avez besoin de complexité, il est utilisé de la même manière, puis répété. Les pirates l'ont compris et il existe maintenant d'énormes listes de mots de passe (disponibles gratuitement) contenant des millions de mots de passe faciles à deviner.\nConnaissez-vous quelqu'un qui utilise des mots de passe comme celui-ci?\nS @ mmer2018 ou Winter2018! Juin2018 $\nCe sont des mots de passe affreux et faciles à deviner.\nLes mots de passe longs et l'utilisation de la technique de la phrase secrète compliquent la tâche des logiciels de piratage des mots de passe et des pirates informatiques.\nMeilleure politique de mot de passe"},{"id":"text-26","heading":"Text","content":"Définir des mots de passe de 12 caractères\nMémoriser 10 historiques de mot de passe\nutiliser des phrases de passe\nPolitique de verrouillage 3 tentatives"},{"id":"text-27","heading":"Text","content":"La clé de l’utilisation des phrases secrètes est d’être totalement aléatoire avec chaque mot; vous ne voulez pas taper de phrase où le mot suivant peut être deviné.\nBons mots de passe en utilisant des mots de passe\nBucketguitartire22À la têteRoadbluesaltCloud\nLes exemples ci-dessus sont totalement aléatoires. Ceux-ci prendraient très longtemps à craquer et probablement personne ne les devinerait.\nExemples de phrases secrètes incorrectes\nIreallylikepizza22Theskyisblue44\nNIST a récemment mis à jour ses directives de politique de mot de passe dans la publication spéciale 800-63 pour répondre aux nouvelles exigences en matière de politique de mot de passe.\nSi votre organisation doit respecter certaines normes, assurez-vous qu'elles respectent ces recommandations de mot de passe.\nVeillez également à mettre à jour la politique écrite de votre entreprise.\n10. Utiliser des noms de groupe de sécurité descriptifs\nTout d'abord, assurez-vous que vous appliquez des autorisations aux ressources avec des groupes de sécurité et non des comptes individuels, cela facilite grandement la gestion des ressources.\nEnsuite, ne donnez pas à vos groupes de sécurité un nom générique tel que helpdesk ou HR Training.\nLorsque vous avez des noms génériques comme celui-ci, ils seront utilisés sur toutes sortes de ressources et vous aurez perdu tout contrôle de la sécurité.\nEt il n’existe pas de moyen facile de savoir à quoi un groupe de sécurité dispose d’autorisations. Oui, il existe des outils que vous pouvez utiliser, mais si vous avez un environnement de taille moyenne ou grande, ce sera une tâche énorme.\nVoici un exemple récent de la façon dont cela peut devenir incontrôlable (histoire réelle).\nJe travaillais avec un client sur le nettoyage des autorisations vers Active Directory. Il y avait plusieurs groupes de sécurité ayant délégué des autorisations à Active Directory.\nIl y avait un groupe appelé helpdesk, un autre groupe IS Support et un autre appelé AD Modify.\nJ'avais l'impression que seul le personnel du service d'assistance avait les droits sur Active Directory pour réinitialiser les mots de passe et déverrouiller les comptes.\nVenez découvrir que ces groupes ont été utilisés pour d’autres ressources telles que le logiciel de support technique, le partage réseau et les imprimantes. Donc, il comprenait divers membres du personnel informatique.\nUne fois ces groupes supprimés, des programmeurs et des analystes d’entreprise nous ont appelé pour leur demander pourquoi ils ne pouvaient plus réinitialiser les mots de passe des utilisateurs. Pourquoi les programmeurs réinitialisent-ils les mots de passe des utilisateurs?\nJe clarifie le nom précis du groupe de sécurité aurait empêché cela.\nSi vous ne nommez pas le groupe de sécurité spécifique, cela peut être un piège pour les autorisations sur beaucoup d'autres choses.\nVoici quelques bons exemples sur la façon de nommer des groupes.\nExemple 1: Autoriser le service d'assistance à réinitialiser les mots de passe\nNom du groupe de sécurité: IT-Helpdesk-ActiveDirectory\nÉtant donné que le nom du groupe est précis, cela éviterait qu’il ne soit utilisé sur d’autres ressources, telles qu’une imprimante ou un partage réseau.\nExemple 2: Autoriser les droits HR sur un dossier partagé\nNom du groupe de sécurité: HR-Training-Folder-RW\nEncore une fois, cela a un nom très spécifique et aide à identifier ce pour quoi il devrait être utilisé.\nVous pouvez définir votre propre convention de dénomination en précisant simplement le nom et en évitant les noms génériques d'un groupe de mots.\n11. Nettoyer les anciens comptes d'utilisateurs et d'ordinateurs Active Directory\nVous devez avoir une procédure en place pour détecter les comptes d'utilisateurs et d'ordinateurs inutilisés dans Active Directory.\nVous ne voulez pas que de nombreux comptes inutilisés restent dans Active Directory en attendant qu'un attaquant les découvre et les utilise.\nCela peut également entraîner des problèmes de génération de rapports, de correctifs et de ralentissement de la stratégie de groupe.\nJe lance un processus chaque mois pour détecter et supprimer les comptes inutilisés.\nVoici un guide étape par étape que j'ai écrit pour savoir comment nettoyer les anciens comptes dans Active Directory. \n12. N'installez PAS de logiciels ni de rôles supplémentaires sur les contrôleurs de domaine.\nLes logiciels et les rôles des contrôleurs de domaine doivent être limités.\nLes contrôleurs de domaine sont essentiels pour l’entreprise, vous ne voulez pas augmenter les risques de sécurité en leur faisant exécuter des logiciels supplémentaires.\nWindows Server Core est une excellente option pour exécuter le rôle de contrôleur de domaine et d'autres rôles tels que DHCP, DNS, serveurs d'impression et serveurs de fichiers.\nServer Core fonctionne sans interface graphique et nécessite moins de correctifs de sécurité en raison de son encombrement réduit.\nJe gère plusieurs clients depuis des années et c’est un excellent choix. Très stable\nPlus de logiciels, plus de rôles = risques de sécurité accrus.\nGardez vos CD minces et propres.\n13. Continue à gérer les correctifs et à analyser les vulnérabilités\nLes attaquants exploitent rapidement les vulnérabilités connues.\nSi vous n'analysez pas et ne corrigez pas régulièrement les vulnérabilités découvertes, vous courez un risque beaucoup plus grand.\nIl existe un grand nombre d'outils de vulnérabilité et d'analyse disponibles. Consultez ma liste des 6 meilleurs logiciels de gestion de correctifs comparés.\nConseils pour la gestion continue de la vulnérabilité"},{"id":"text-28","heading":"Text","content":"Analysez tous les systèmes au moins une fois par mois pour identifier toutes les vulnérabilités potentielles. Si vous pouvez numériser plus souvent, c’est encore mieux.\nDonne la priorité à la découverte des analyses de vulnérabilité et corrige d’abord celles qui ont des vulnérabilités connues dans la nature.\nDéployer des mises à jour logicielles automatisées sur les systèmes d'exploitation\nDéployer la mise à jour automatisée vers un logiciel tiers\nIdentifiez les logiciels obsolètes qui ne sont plus pris en charge et mettez-les à jour."},{"id":"text-29","heading":"Text","content":"14. Utiliser les services DNS pour bloquer les domaines malveillants\nVous pouvez empêcher une grande quantité de trafic malveillant d'entrer sur votre réseau en bloquant les recherches DNS malveillantes.\nChaque fois qu'un système doit accéder à Internet, il utilisera dans la plupart des cas un nom de domaine.\nLes ordinateurs se parlent par adresse IP. Ils utilisent donc le DNS pour associer un nom de domaine à une adresse IP.\nIl existe plusieurs services disponibles qui vérifient les requêtes DNS et les bloquent.\nComment cela marche-t-il?\nCes services DNS collectent des informations sur les domaines malveillants à partir de diverses sources publiques et privées. Lorsqu'il reçoit une requête pour un domaine qu'il a identifié comme malveillant, il bloque l'accès lorsque votre système tente de le contacter.\nVoici une vidéo de Quad 9 qui explique leur service DNS."},{"id":"text-30","heading":"Text","content":"Voici un exemple:"},{"id":"text-31","heading":"Text","content":"Étape 1: le client clique sur un lien qui mène à example.net\nÉtape 2: le cache local est vérifié\nÉtape 3: le service DNS vérifie si le domaine figure sur sa liste de menaces. Il renvoie donc une réponse bloquée.\nDans l'exemple ci-dessus, étant donné que la requête DNS a renvoyé un bloc, aucun trafic malveillant n'a jamais été entré sur le réseau.\nVoici quelques-uns des services DNS sécurisés les plus populaires\nQuad9OpenDNSDNS sécurisé Comodo\nJ’utilise actuellement Quad9, c’est gratuit et facile à installer.\nDe plus, la plupart des systèmes IPS (Intrusion Prevention Systems) prennent en charge la possibilité de vérifier les recherches DNS par rapport à une liste de domaines malveillants.\n15. Exécuter l'infrastructure critique sur le dernier système d'exploitation Windows\nAvec chaque nouvelle version du système d'exploitation Windows, Microsoft inclut des fonctionnalités de sécurité intégrées et des améliorations.\nRester sur le dernier OS augmentera la sécurité globale.\nNouvelles fonctionnalités de sécurité dans Server 2016"},{"id":"text-32","heading":"Text","content":"Machines virtuelles blindées\nJuste assez d'administration\nWindows Defender sans tête\nCredential Guard\nDispositif de garde"},{"id":"text-33","heading":"Text","content":"Voici une bonne vidéo de Microsoft sur Windows Server 2016 Security."},{"id":"text-34","heading":"Text","content":"16. Utiliser l'authentification à deux facteurs pour l'accès à distance\nLes comptes compromis sont très courants et peuvent fournir aux attaquants un accès à distance à vos systèmes via un réseau privé virtuel (VPN), Citrix ou d'autres systèmes d'accès distant.\nVérifiez vos journaux Office 365 ou ADFS, vous serez surpris du nombre de tentatives de connexion en provenance de Chine et de Russie.\nL'authentification à deux facteurs est l'un des meilleurs moyens de se protéger contre les comptes compromis. Cela aidera également contre les attaques par spaying par mot de passe.\nDisons qu'un utilisateur est tombé dans une tentative de phishing qui lui a demandé de vérifier son nom d'utilisateur et son mot de passe.\nL’attaquant a maintenant les informations d’identification Active Directory de cet utilisateur. L’attaquant pouvait désormais accéder à plusieurs systèmes à partir de n’importe où.\nSi l'utilisateur avait activé deux facteurs, cela pourrait empêcher l'accès même si le compte avait été compromis. L’attaquant aurait besoin du deuxième jeu d’identifiants pour se connecter.\nIl n’existe vraiment aucun moyen d’empêcher les comptes d’être compromis. Les attaquants disposent de trop de moyens pour obtenir les informations d’identité.\nSi vous utilisez Office 365 et en fonction du package que vous possédez, MFA peut être inclus. Profitez de cette fonctionnalité.\nSolutions d'authentification à deux facteurs populaires\n17. Surveiller les journaux DHCP pour les périphériques connectés\nVous devez savoir ce qui est connecté à votre réseau si vous avez plusieurs sites avec beaucoup d'utilisateurs et d'ordinateurs, cela peut être difficile.\nIl existe des moyens d'empêcher uniquement la connexion de périphériques autorisés, mais cette opération peut être coûteuse et demander beaucoup de travail. Si vous avez les ressources, c'est la voie à suivre.\nUne autre méthode à votre disposition consiste à surveiller les journaux DHCP des périphériques connectés.\nTous les périphériques d’utilisateur final doivent être configurés pour utiliser DHCP. Vous pouvez ensuite consulter les journaux pour voir ce qui se connecte. Vous devez avoir une convention de dénomination pour votre équipement, cela facilitera la détection des éventuels périphériques non autorisés.\nDans la capture d'écran ci-dessous, je peux facilement repérer un périphérique qui ne respecte pas les conventions de dénomination de mon ordinateur.\nminint-1bdvd67 n'est pas quelque chose que je reconnais. Je devrai examiner cela et voir s'il s'agit d'un appareil autorisé."},{"id":"text-35","heading":"Text","content":"18. Surveiller les journaux DNS pour les menaces de sécurité\nLa plupart des connexions commencent par une requête DNS. Tous les systèmes joints à un domaine doivent être configurés pour utiliser votre serveur DNS Windows local.\nAvec cette configuration, vous pouvez enregistrer chaque recherche DNS interne et externe. Lorsqu'un périphérique client établit une connexion à un site malveillant, il enregistre ce nom dans les journaux DNS.\nCes domaines malveillants sont généralement des domaines de caractères aléatoires et impairs qui soulèvent des drapeaux rouges.\nVoici quelques captures d'écran de recherches DNS suspectes dans mes journaux. Celles-ci apparaissent à plusieurs reprises dans mes journaux pour une poignée de périphériques.\nJe doute sérieusement qu'un utilisateur tente d'accéder à ce site intentionnellement. Ce type de recherche doit être examiné pour déterminer s’il est malveillant ou non."},{"id":"text-36","heading":"Text","content":"Pour afficher les recherches DNS, vous devez d'abord activer les journaux de débogage DNS sur les serveurs Windows.\nÉtapes pour activer les journaux de débogage DNS sur Windows Server\nÉtape 1: ouvrez la console de gestion DNS\nÉtape 2: Faites un clic droit et sélectionnez les propriétés\nÉtape 3: Cliquez sur l'onglet Journalisation du débogage\nÉtape 4: Cochez la case «Journaliser les paquets pour le débogage"},{"id":"text-37","heading":"Text","content":"Une fois que vous avez configuré les journaux de débogage, vous pouvez les importer dans un analyseur pour détecter rapidement les activités malveillantes.\nVous pouvez également convertir le fichier journal en csv pour faciliter la lecture et le filtrage.\n19. Utiliser les dernières fonctionnalités de sécurité ADFS et Azure\nADFS et Azure disposent d'excellentes fonctionnalités de sécurité. Ces fonctionnalités vous aideront avec la pulvérisation de mot de passe, la modification de compte, le phishing, etc.\nQuel que soit le niveau de votre bureau 365, vous devez examiner certaines fonctionnalités.\nBien entendu, les abonnements premium offrent les meilleures fonctionnalités de sécurité.\nMais\nMicrosoft améliore et ajoute de nouvelles fonctionnalités à tous les niveaux (du moins, c’est ce que j’ai remarqué depuis que je suis sur Office 365).\nVoici quelques caractéristiques qui méritent d’être explorées:"},{"id":"text-38","heading":"Text","content":"Smart Lockout – Utilise des algorithmes pour repérer les activités de connexion inhabituelles.\nVerrouillage IP – Utilise la base de données d'adresses IP malveillantes connues de Microsoft pour bloquer les ouvertures de session.\nSimulations d'attaque – Vous devriez effectuer des tests de phishing réguliers pour aider à former les utilisateurs finaux. Microsoft publiera très bientôt un logiciel de simulation de phishing.\nAuthentification MFA – La solution à 2 facteurs de Microsoft\nMots de passe interdits – Vérifie les mots de passe par rapport à une liste connue\nAzure AD Connect Health – Fournit plusieurs bons rapports\nMots de passe incorrects personnalisés – Possibilité d'ajouter des mots de passe interdits personnalisés à vérifier."},{"id":"text-39","heading":"Text","content":"J'exécute actuellement une configuration hybride d'Office 365. En azur, je peux voir plusieurs signes risqués sur les rapports."},{"id":"text-40","heading":"Text","content":"Azure m'a alerté sur un signe venant de Chine provenant d'un de nos comptes."},{"id":"text-41","heading":"Text","content":"Certaines de ces fonctionnalités sont disponibles avec la dernière version d'ADFS et d'autres sont incluses dans l'abonnement Office 365.\nVérifiez définitivement toutes les fonctionnalités de sécurité disponibles dans ADFS, Office 365 et Azure.\nRessources:\nhttps://cloudblogs.microsoft.com/enterprisemobility/2018/03/05/azure-ad-and-adfs-best-practices-defending-against-password-spray-spray-attacks/\n20. Utiliser le score sécurisé d'Office 365\nSecure Score analyse la sécurité de votre organisation Office 365 en fonction de l'activité et des paramètres de sécurité.\nSecure Score vérifie vos services Office 365, vérifie ensuite vos paramètres et vos activités et vous fournit un score de sécurité.\nUne fois qu'il aura analysé votre score, il fournira une liste détaillée de ce qui a été marqué et des actions recommandées pour résoudre les problèmes.\nVous aurez besoin d'un abonnement Premium ou Entreprise pour accéder à cette fonctionnalité. De plus, vous devrez vous attribuer le rôle d'administrateur général ou personnalisé.\nMicrosoft continue à se développer et à ajouter des fonctionnalités supplémentaires à Secure Score.\nSi vous avez accès à cette fonctionnalité, profitez-en."},{"id":"text-42","heading":"Text","content":"21. Prévoyez un compromis (ayez un plan de redressement)\nQue feriez-vous si votre réseau était compromis aujourd'hui ou mis en échec avec RansomWare?\nAvez-vous une politique de réponse? Avez-vous testé et formé le personnel sur la manière de gérer un tel événement?\nLes cyberattaques peuvent arrêter des systèmes et mettre un terme aux opérations commerciales.\nLa ville d'Atlanta a été fermée par une cyberattaque, ce qui a empêché les résidents de payer leurs factures de services publics en ligne. En outre, les policiers ont dû rédiger leurs rapports à la main.\nLa dernière fois que j’ai vérifié, il leur en coûtait plus de 5 millions de dollars pour se remettre de l’attaque.\nUn bon plan de réponse aux incidents aurait pu limiter l'impact et permettre aux services de revenir en ligne beaucoup plus rapidement.\nVoici quelques éléments à inclure dans un plan de réponse aux incidents"},{"id":"text-43","heading":"Text","content":"Créer une politique et un plan de réponse aux incidents\nCréer des procédures pour gérer les incidents et les signaler\nÉtablir des procédures pour communiquer avec des tiers\nMettre en place des équipes d'intervention et des leaders\nPrioriser les serveurs\nProcédure pas à pas et formation"},{"id":"text-44","heading":"Text","content":"Le NIST propose un excellent guide sur la gestion des incidents de sécurité informatique, https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-61r2.pdf.\n22. Délégation de documents dans Active Directory\nLe meilleur moyen de contrôler l'accès à Active Directory et aux ressources associées est d'utiliser des groupes de sécurité.\nSi vos droits de délégation aux individus, vous perdez le contrôle de qui a accès.\nCréez des groupes personnalisés avec des noms très spécifiques, indiquez qui a les droits et créez un processus pour ajouter de nouveaux utilisateurs.\nNe laissez pas simplement les utilisateurs s'ajouter à ces groupes personnalisés sans processus d'approbation. Ceci est juste une autre façon dont les autorisations peuvent devenir incontrôlables.\nSachez quels groupes sont délégués à quelles ressources, documentez-les et assurez-vous que votre équipe est sur la même page.\n23. Verrouillage des comptes de service\nLes comptes de service sont les comptes qui exécutent un exécutable, une tâche ou un service, une authentification AD, etc.\nCeux-ci sont très utilisés et ont souvent un mot de passe défini pour ne jamais expirer.\nCes comptes se retrouvent souvent avec trop d'autorisations et sont le plus souvent membres du groupe des administrateurs de domaine.\nMauvais Très mauvais\nParfois, cela est suggéré par le vendeur.\nNe laissez pas cela se produire, il existe des moyens de le faire fonctionner sans accès DA.\nVoici quelques conseils pour verrouiller les comptes de service."},{"id":"text-45","heading":"Text","content":"Use long Strong passwords\nGive access to only what is needed\nTry to avoid granting local administrator rights\nDo not put in Domain Admins\nDeny logon locally\nDeny logon as a batch\nRequire vendors to make their software work without domain admin rights"},{"id":"text-46","heading":"Text","content":"24. Disable SMBv1\nSMBv1 is 30 years old and Microsoft says to stop using it (They have been saying that for a long time).\nSMB (Server Message Blocks) is a network file and printer sharing protocol.\nSMBv1 has been replaced by SMBv2 and SMBv3.\nMany viruses can spread and exploit flaws in the SMBv1 protocol.\nIn addition, to the security issues with SMBv1 it’s not an efficient protocol, you will lose performance with this old version.\nBeginning with Windows 10 Fall Creators Update SMBv1 will be disabled by default.\nIf you are running an older Windows version or still on Windows 7, here is how you disable it.\nWarning: You will want to test this. Even though most operating systems support smbv2 and smbv3, you can still run into issues with some older application.\nMethod 1: Disable Through Windows Features\nStep1: Go to Programs and Features > Turn Windows features on or off\nStep2: Scroll through the list and uncheck “SMB 1.0/CIFS File Sharing Support”\nYou will be prompted to restart."},{"id":"text-47","heading":"Text","content":"Method 2: Disable in Registry\nIf you are still running Windows 7 you will have to edit the registry to disable SMBv1.\nNavigate to this key\nHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters\nRight click the parameters key and choose New > DWORD (32-bit) value.\nName the new value SMB1. It should by default be value 0 which disabled it."},{"id":"text-48","heading":"Text","content":"To disable SMBv1 across all computers you can use group policy registry preference. This will allow you to create the above registry setting on all computers.\n25. Use Security Baselines and Benchmarks\nA default install of the Windows Operating system has many features, services, default settings and enabled ports that are not secure.\nThese default settings should be reviewed against known security benchmarks.\nEstablishing a secure configuration on all systems can reduce the attack surface while maintaining functionality.\nThere are several resources that provide security benchmarks.\nMicrosoft has a Security Compliance Toolkit that allows you to analyze and test against Microsoft recommended security configuration baselines.\nAnother great resource is CIS SecureSuite\nIt also provides security configuration baselines. In addition, it provides tools that can scan a system and provide a report on failures.\nMost of the recommended settings can be set up using Group Policy and deployed to all computers.\nHere is a screenshot of the CIS Securesuite tool. It ran a scan on my computer and generated a report on all the settings that passed and failed."},{"id":"text-49","heading":"Text","content":"CIS Securesuite can also scan against other systems like cisco, vmware, linux and more."},{"id":"text-50","heading":"Text","content":"Recommended Tool: SolarWinds Server & Application Monitor (SAM)\nThis utility was designed to Monitor Active Directory and other critical applications. It will quickly spot domain controller issues, prevent replication failures, track failed logon attempts and much more.\nWhat I like best about SAM is it’s easy to use dashboard and alerting features. It also has the ability to monitor virtual machines and storage.\nDownload Your Free Trial of SolarWinds Server & Application Monitor."},{"id":"text-51","heading":"Text","content":"Click to rate this post!\n \n [Total: 0 Average: 0]"}],"media":{"primary_image":"https://tutos-gameserver.fr/wp-content/uploads/2019/10/Top-25-Active-Directory-Security-Best-Practices.jpg"},"relations":[{"rel":"canonical","href":"https://tutos-gameserver.fr/2019/10/13/les-25-meilleures-pratiques-de-securite-active-directory-bien-choisir-son-serveur-d-impression/"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/13/les-25-meilleures-pratiques-de-securite-active-directory-bien-choisir-son-serveur-d-impression/llm","type":"text/html"},{"rel":"alternate","href":"https://tutos-gameserver.fr/2019/10/13/les-25-meilleures-pratiques-de-securite-active-directory-bien-choisir-son-serveur-d-impression/llm.json","type":"application/json"},{"rel":"llm-manifest","href":"https://tutos-gameserver.fr/llm-endpoints-manifest.json","type":"application/json"}],"http_headers":{"X-LLM-Friendly":"1","X-LLM-Schema":"1.1.0","Content-Security-Policy":"default-src 'none'; img-src * data:; style-src 'unsafe-inline'"},"license":"CC BY-ND 4.0","attribution_required":true,"allow_cors":false}