Directory Management: Les 7 erreurs les plus courantes

Les erreurs de gestion d’Active Directory peuvent entraîner des risques de sécurité, des interruptions de service et des problèmes de conformité. Les fautes courantes incluent l’utilisation de comptes administrateur pour les tâches quotidiennes, la surutilisation des Domain Admins au lieu de déléguer les droits, et l’absence de plans de récupération. D’autres erreurs consistent à gérer AD directement depuis les contrôleurs de domaine, à laisser des comptes obsolètes actifs, à appliquer des politiques de mots de passe faibles et à ne pas auditer les modifications. Suivre le principe du moindre privilège, appliquer des politiques robustes et assurer une surveillance continue renforce la sécurité et optimise la gestion d’Active Directory.

Gérer Active Directory n'est pas une tâche facile, mais quelqu'un doit le faire. Si ce “quelqu'un” c'est vous, alors vous devriez toujours garder à l'esprit que les êtres humains font des erreurs, même s'ils sont des gourous de l'AD.

Pour minimiser le risque que de telles erreurs se produisent sous votre surveillance, je vais vous guider à travers les plus courantes et m'assurer que vous ne les fassiez plus jamais.

Erreur n°1. Utiliser des comptes avec des droits d'admin pour un usage quotidien

N’utilisez pas de compte d’administrateur de domaine ou même de compte de domaine local pour vous connecter si vous n’avez pas besoin de tels privilèges. Utilisez un compte normal pour vous connecter à une machine et un compte privilégié/admin pour un accès élevé. La raison de cette séparation est d’éviter les violations de sécurité telles qu’une attaque de phishing ciblée ou une injection de logiciel malveillant pendant que vous êtes connecté au compte avec des droits élevés.

Erreur n°2. Ajouter des utilisateurs au groupe Domain Admins au lieu de déléguer l'accès

Ignorer le concept du moindre privilège est un problème de sécurité majeur. Envisagez un modèle de sécurité Active Directory délégué, en particulier pour les tâches administratives courantes telles que le déverrouillage des comptes et la réinitialisation des mots de passe. Vous devez évaluer soigneusement les fonctions de chaque personne qui doit travailler avec AD. Réfléchissez aux processus spécifiques qui peuvent être automatisés. Par exemple, le rôle du service d'assistance peut inclure des autorisations pour réinitialiser les mots de passe des utilisateurs, connecter des ordinateurs au domaine et modifier certains groupes de sécurité. Utilisez les AD Delegation Best Practices pour une gestion plus efficace de la délégation AD.

Erreur n°3. Avoir de mauvais plans de sauvegarde/récupération

Si quelqu'un supprime un objet Active Directory, à quelle vitesse pouvez-vous vous remettre de ce changement non autorisé ? La planification et le test des options de récupération sont indispensables pour toutes les organisations afin de se remettre rapidement des erreurs. Configurez et utilisez une pierre tombale AD ou une corbeille pour recover AD objects. Considérez un modèle de sécurité Active Directory délégué, en particulier pour les tâches administratives courantes, telles que le déverrouillage de comptes et la réinitialisation des mots de passe

Erreur n°4. Gérer Active Directory depuis vos contrôleurs de domaine

Cela signifie que l'administrateur se connecte physiquement à un contrôleur de domaine et lance les outils de gestion depuis le serveur. Cette mauvaise pratique n'est pas limitée à la gestion habituelle des objets AD—elle peut également se produire avec Group Policy Management, les consoles DHCP et DNS. Comme le suggèrent les meilleures pratiques, les contrôleurs de domaine ne devraient exécuter que les rôles nécessaires aux services de domaine (ce qui inclut le rôle DNS, mais n'utilisez jamais DC pour DNS ; pointez-le toujours vers un autre DC), et toute l'administration quotidienne devrait avoir lieu sur des machines administratives protégées.

Erreur n°5. Ne pas clôturer les comptes obsolètes

Les comptes obsolètes doivent être désactivés puis supprimés, car si vous les laissez intacts, un ancien employé ou un utilisateur malveillant peut les utiliser pour l'exfiltration de données. Un environnement AD sain est un environnement AD propre. Lorsqu'un administrateur laisse des utilisateurs, des ordinateurs, des groupes ou même des GPOs obsolètes, il complique également inutilement son environnement.

Erreur n°6. Avoir des politiques de mots de passe médiocres en place

Avant de rejeter la vulnérabilité des mots de passe sur les mauvaises habitudes des utilisateurs, vous pourriez vouloir examiner vos politiques par rapport à la conformité et aux meilleures pratiques en matière de mots de passe. Voici juste quelques conseils :

• Ne définissez jamais le mot de passe d'un utilisateur pour qu'il n'expire jamais.
• Définissez le mot de passe d'un compte de service pour qu'il n'expire pas, puis planifiez une réinitialisation régulière.
• Utiliser le même mot de passe pour plusieurs comptes signifie qu'un attaquant possède la clé principale dès qu'il compromet un service.
• Utilisez des mots de passe différents pour votre travail, email personnel, compte Facebook, etc.
• Suivez les Password Best Practices pour mieux gérer les mots de passe.

Erreur n°7. Pas d'audit et de surveillance d'Active Directory

Surveillez la santé de votre AD et dépannez rapidement les pannes. Augmentez la taille du journal des événements sur votre contrôleur de domaine au maximum. Suivez toujours les modifications dans votre Active Directory, en particulier les modifications apportées au groupe des administrateurs de domaine. Pour suivre les modifications, vous devez activer la audit policy; suivez les best practices to configure it properly. Le suivi des modifications facilitera certainement votre processus d'investigation et de dépannage.

Avez-vous trouvé que certaines des erreurs répertoriées sont courantes pour votre domaine ? Gardez-le secret, corrigez-les rapidement et faites semblant que vous avez toujours géré Active Directory comme un professionnel !