Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Principales stratégies pour renforcer votre infrastructure Active Directory

Principales stratégies pour renforcer votre infrastructure Active Directory

Apr 28, 2023

Microsoft Active Directory (AD) est le magasin central d'identifiants pour 90 % des organisations dans le monde. En tant que gardien des applications d'entreprise et des données, il n'est pas juste omniprésent, il est tout ! Gérer AD est une tâche sans fin, et le sécuriser est encore plus difficile. Chez Netwrix, nous parlons à beaucoup de clients qui utilisent nos outils pour manage and secure AD, et au fil des années, des stratégies clés pour renforcer la sécurité et durcir AD afin de résister aux attaques ont émergé. Voici 10 conseils pour le durcissement de la sécurité Active Directory security que vous pouvez utiliser dans votre environnement :

Contenu connexe sélectionné :

Conseil n°1 : Nettoyez les objets obsolètes.

Active Directory comprend des milliers d'éléments et de nombreux éléments mobiles à protéger. Une méthode fondamentale pour renforcer la sécurité consiste à réduire le désordre en supprimant les utilisateurs, groupes et machines inutilisés. Les objets AD obsolètes peuvent être exploités par des attaquants, donc les supprimer réduit votre surface d'attaque.

Vous pouvez également trouver des éléments rarement utilisés. Utilisez les données RH et travaillez avec les parties prenantes de l'entreprise pour déterminer leur statut ; par exemple, pour les comptes d'utilisateurs, déterminez le responsable de l'utilisateur. Bien que cela prenne du temps, vous apprécierez de l'avoir fait lors de votre prochain audit ou examen de conformité.

Conseil n°2 : Rendez facile pour les utilisateurs le choix de mots de passe sécurisés.

Pour empêcher les adversaires de compromettre les identifiants des utilisateurs pour pénétrer dans votre réseau et se déplacer latéralement, les mots de passe doivent être difficiles à craquer. Mais les utilisateurs ne peuvent tout simplement pas se souvenir et gérer plusieurs mots de passe complexes par eux-mêmes, alors ils ont recours à des pratiques qui affaiblissent la sécurité, telles que l'écriture de leurs mots de passe sur des notes autocollantes ou simplement l'ajout d'un chiffre à la fin lorsqu'ils doivent les changer. Cela a conduit les experts en sécurité à affaiblir leurs recommandations concernant la complexité et la réinitialisation des mots de passe.

Cependant, avec une solution d'Identity Management, vous pouvez faciliter la création de mots de passe uniques et hautement sécurisés par les utilisateurs et leur gestion efficace, de sorte que vous n'ayez pas à faire de compromis sur les exigences de mots de passe forts. Un utilisateur doit mémoriser juste un mot de passe fort, et l'outil gère tous les autres pour lui.

Conseil n°3 : Ne laissez pas les employés avoir des privilèges d'administrateur sur leurs postes de travail.

Si un attaquant prend le contrôle d'un compte d'utilisateur (ce qui, nous le savons tous, arrive assez souvent), son étape suivante est souvent d'installer un logiciel de piratage sur le poste de travail de l'utilisateur pour l'aider à se déplacer latéralement et à prendre le contrôle d'autres comptes. Si le compte compromis dispose de droits d'administrateur local, cette tâche est facile.

Mais la plupart des utilisateurs professionnels n'ont pas réellement besoin d'installer des logiciels ou de modifier des paramètres très souvent, donc vous pouvez réduire vos risques en ne leur donnant pas les permissions d'administrateur. S'ils ont besoin d'une application supplémentaire, ils peuvent demander au service d'assistance de l'installer. N'oubliez pas d'use Microsoft LAPS pour garantir que tous les comptes d'administrateur local restants aient des mots de passe forts et de les changer selon un calendrier régulier.

Conseil n°4 : Sécurisez les comptes de service.

Les comptes de service sont utilisés par les applications pour s'authentifier auprès de AD. Ils sont souvent ciblés par les attaquants car ils sont rarement surveillés, disposent de privilèges élevés et ont généralement des mots de passe sans expiration. Par conséquent, examinez attentivement vos comptes de service et restreignez leurs permissions autant que possible. Parfois, les comptes de service sont membres du groupe des Admins du domaine, mais n'ont généralement pas besoin de tout cet accès pour fonctionner — vous devrez peut-être vérifier avec le fournisseur de l'application pour connaître les privilèges exacts nécessaires.

Il est également important de changer périodiquement les mots de passe des comptes de service pour rendre leur exploitation encore plus difficile par les attaquants. Le faire manuellement est difficile, donc envisagez d'utiliser la fonctionnalité group managed service account (gMSA) introduite dans Windows Server 2016. Lorsque vous utilisez des gMSAs, le système d'exploitation gérera automatiquement la gestion des mots de passe des comptes de service pour vous.

Conseil n°5 : Éliminez l'adhésion permanente aux groupes de sécurité.

Les groupes de sécurité Enterprise Admin, Schema Admin et Domain Admin sont les joyaux de la couronne d'Active Directory, et les attaquants feront tout ce qu'ils peuvent pour obtenir un membre dans ces groupes. Si vos administrateurs ont une adhésion permanente à ces groupes, un attaquant qui compromet l'un de leurs comptes aura un accès élevé permanent dans votre domaine.

Pour réduire ce risque, limitez strictement l'appartenance à tous ces groupes hautement privilégiés et, de plus, rendez l'appartenance temporaire. Les groupes Admin Enterprise et Admin Schema ne sont pas fréquemment utilisés, donc pour ceux-ci, cela ne posera pas de problème. Le groupe Admin Domain est beaucoup plus nécessaire, donc un système d'octroi d'appartenance temporaire devra être mis en place.

Conseil n°6 : Éliminez les permissions élevées partout où c'est possible.

Il existe trois autorisations assez courantes dont les attaquants ont besoin pour exécuter des attaques contre AD : Réinitialiser le mot de passe, Modifier l'appartenance à un groupe et la Réplication. Ces autorisations sont plus difficiles à sécuriser car elles sont si fréquemment utilisées dans les opérations quotidiennes.

En conséquence, vous devriez surveiller tous les changements apportés aux permissions de groupe de sécurité ou aux adhésions qui accorderaient ces droits à des utilisateurs supplémentaires. Mieux encore, mettez en œuvre une solution de Privileged Access Management (PAM) qui permet une attribution temporaire de ces privilèges juste-à-temps.

Conseil n°7 : Mettez en œuvre l'authentification multifacteur (MFA)

L'authentification multifacteur ajoute une couche supplémentaire de sécurité en exigeant des utilisateurs de vérifier leur identité en fournissant au moins deux des types suivants de facteurs d'authentification :

  • Quelque chose qu'ils connaissent, comme un mot de passe, un code PIN ou la réponse à une question de sécurité
  • Quelque chose qu'ils possèdent, comme un code provenant d'un jeton physique ou d'une carte à puce
  • Quelque chose qu'ils sont, ce qui signifie la biométrie comme une empreinte digitale, un scan de l'iris ou du visage

Conseil n°8 : Auditez de près votre Active Directory.

Il est important de auditer Active Directory tant pour les paramètres non sécurisés que pour les activités suspectes. En particulier, vous devriez effectuer régulièrement une évaluation des risques pour atténuer les failles de sécurité, surveiller les activités utilisateurs anormales et identifier rapidement les dérives de configuration dans les fichiers systèmes critiques. Il est idéal d’investir dans des outils qui vous alerteront automatiquement des événements suspects et qui pourront même répondre automatiquement pour bloquer les menaces.

Conseil n°9 : Sécurisez le DNS.

Sécuriser le DNS peut vous aider à bloquer une variété d'attaques, y compris le détournement de domaine et le spoofing DNS. Les mesures à prendre incluent l'implémentation de DNSSEC, l'utilisation d'un serveur DNS sécurisé et la révision régulière des paramètres DNS.

Conseil n°10 : Sauvegardez régulièrement Active Directory.

Avoir une sauvegarde récente de votre Active Directory est crucial pour la récupération après des incidents cybernétiques, y compris les attaques de rançongiciels et les catastrophes naturelles. Les sauvegardes doivent être stockées de manière sécurisée, testées régulièrement et être facilement accessibles pour garantir que vos paramètres critiques d'AD settings are recoverable en cas de désastre.

Conclusion

Active Directory est un système incroyable pour contrôler l'accès. Cependant, il n'est sécurisé que lorsqu'il est propre, compris, correctement configuré, étroitement surveillé et strictement contrôlé. Ces conseils sont des moyens pratiques pour vous de renforcer la sécurité et de durcir votre Active Directory.

Questions Fréquemment Posées

Qu'est-ce que le durcissement dans Active Directory ?

Le durcissement dans Active Directory est le processus de sécurisation et de renforcement du service d'annuaire pour réduire le risque de data breaches et d'indisponibilité. Il implique de contrôler l'accès aux données sensibles, de supprimer les objets inutiles, d'appliquer des password policies et de surveiller les activités suspectes.

Qu'est-ce que le durcissement des contrôleurs de domaine ?

Le durcissement des contrôleurs de domaine est le processus de renforcement des serveurs qui exécutent Active Directory afin de réduire le risque d'accès non autorisé, de violations de données et de perturbations de service. Cela inclut la désactivation des services superflus, le déploiement de correctifs et mises à jour de sécurité, l'établissement de règles de pare-feu et l'application de pratiques de mots de passe forts.

Que se passe-t-il si un contrôleur de domaine est compromis ?

Un adversaire qui compromet un contrôleur de domaine peut causer des dommages importants, allant de l'accès à des données sensibles à la création, la modification et la suppression de comptes d'utilisateurs et d'autres objets critiques d'AD.

Comment sécuriser Active Directory ?

Sécuriser Active Directory est un processus continu qui implique plusieurs niveaux de contrôles de sécurité. En particulier, les organisations doivent mettre en œuvre des politiques de mots de passe strictes, limiter l'accès des utilisateurs, surveiller les activités suspectes, maintenir les machines corrigées et à jour, sécuriser les contrôleurs de domaine, utiliser l'authentification multifacteur (MFA) pour ajouter une sécurité supplémentaire, et former les employés sur les meilleures pratiques de cybersécurité et les menaces potentielles.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Confiances dans Active Directory

Attaques de rançongiciels sur Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité