Protection des identifiants dans Windows Server 2016

Les identifiants sont les clés d'un compte. En récoltant des identifiants, les attaquants peuvent pénétrer dans votre réseau, se déplacer latéralement et augmenter leurs privilèges pour voler vos données. Windows Server 2016 dispose de plusieurs fonctionnalités pour minimiser les chances que les attaquants puissent récolter des identifiants.

Utilisation du groupe Protected Users

Placer les utilisateurs, en particulier les utilisateurs hautement privilégiés, dans le groupe « Utilisateurs protégés » vous aide à protéger contre la compromission de leurs identifiants en désactivant les options d'authentification qui sont moins sécurisées. Par exemple, Windows ne met pas en cache les identifiants des membres de ce groupe localement, donc ils ne sont jamais laissés sur les postes de travail pour que les attaquants puissent les récolter. De plus, les comptes utilisateurs qui sont membres de ce groupe ne peuvent pas :

• Utilisez la délégation des identifiants par défaut
• Utilisez Windows Digest
• Utilisez NTLM
• Utilisez des clés à long terme Kerberos
• Connectez-vous hors ligne
• Utilisez NT LAN Manager (NTLM) pour l'authentification
• Utilisez DES pour la pré-authentification Kerberos
• Utilisez les suites de chiffrement RC4 pour la pré-authentification Kerberos
• Bénéficiez de privilèges délégués en utilisant une délégation restreinte
• Bénéficiez de privilèges délégués en utilisant une délégation sans contrainte
• Renouvelez les tickets d'accès utilisateur (TGT) au-delà de la durée de vie initiale de 240 minutes

En utilisant les préférences de compte

Comptes d'utilisateurs

Pour les comptes d'utilisateur qui nécessitent une protection moins stricte, vous pouvez utiliser les options de sécurité suivantes, disponibles pour tout compte AD :

• Heures de connexion — Vous permet de spécifier quand les utilisateurs peuvent utiliser un compte.
• Postes de travail de connexion — Vous permet de limiter les ordinateurs auxquels le compte peut se connecter.
• Le mot de passe n'expire jamais — Exempte le compte du paramètre de politique « Âge maximal du mot de passe » ; ne configurez pas cette option pour les comptes privilégiés.
• Une carte à puce est requise pour la connexion interactive — Nécessite la présentation d'une carte à puce pour que le compte puisse se connecter.
• Le compte est sensible et ne peut pas être délégué — Garantit que les applications de confiance ne peuvent pas transférer les informations d'identification du compte à d'autres services ou ordinateurs sur le réseau.
• Ce compte prend en charge le chiffrement Kerberos AES 128 bits — Permet le chiffrement Kerberos AES 128 bits.
• Ce compte prend en charge le chiffrement Kerberos AES 256 bits — Permet le chiffrement Kerberos AES 256 bits. Utilisez cette option pour les comptes privilégiés.
• Expiration du compte — Vous permet de spécifier une date de fin pour le compte.

Comptes d'ordinateurs

En plus de contrôler les comptes utilisateurs, vous devez également comprendre et gérer la portée des comptes d'ordinateurs et de services. Lorsque vous joignez un ordinateur au domaine pour la première fois, Windows crée un compte d'ordinateur dans Active Directory dans le conteneur « Ordinateurs » et lui attribue automatiquement un mot de passe. AD gère ces mots de passe et les met à jour automatiquement tous les 30 jours.

Pour gérer les permissions des comptes d'ordinateurs et contrôler quelles stratégies de groupe leur sont appliquées, vous pouvez les ajouter à des groupes et les déplacer vers différents UO. Vous pouvez également désactiver et réinitialiser les comptes d'ordinateurs :

• Désactiver un compte d'ordinateur signifie que l'ordinateur ne peut plus se connecter au domaine. Si vous supprimez un compte d'ordinateur et que l'ordinateur est toujours opérationnel, vous devrez le réintégrer au domaine si vous souhaitez qu'il retrouve son appartenance au domaine.
• La réinitialisation d'un compte d'ordinateur supprime la connexion entre l'ordinateur et le domaine.

Comptes de service

Les comptes de service sont un type spécial de compte que les services Windows utilisent pour interagir avec le système d'exploitation et les ressources sur le réseau. (Il est également possible de créer des comptes d'utilisateur et de les configurer pour qu'ils fonctionnent comme des comptes de service, mais cela n'est pas pratique.)

Il existe trois types de comptes de service intégrés :

• Système local — Le compte NT AUTHORITYSYSTEM dispose de privilèges équivalents à ceux du groupe des Administrateurs locaux sur l'ordinateur.
• Service local — Le compte NT AUTHORITYLocalService dispose de privilèges équivalents à ceux du groupe d'utilisateurs locaux sur l'ordinateur.
• Service réseau — Le compte NT AUTHORITYNetworkService dispose de privilèges équivalents à ceux du groupe d'utilisateurs locaux sur l'ordinateur.

Pour protéger ces comptes, assurez-vous qu'un administrateur système met à jour leurs mots de passe régulièrement. C'est un processus manuel si vous utilisez des outils natifs.

Comptes de service gérés par groupe et comptes virtuels

Un Group Managed Service Account est un type spécial de compte de service ; AD met à jour automatiquement les mots de passe de ces comptes. Un compte virtuel est l'équivalent local spécifique à l'ordinateur d'un Group Managed Service Account.

Utilisation de Windows Defender Credential Guard

Windows Defender Credential Guard est une nouvelle technologie dans Windows 10 et Windows Server 2016 qui aide à protéger les identifiants contre les attaquants qui tentent de les récolter en utilisant des logiciels malveillants. Windows Defender Credential Guard utilise la sécurité basée sur la virtualisation qui vous permet d'isoler les secrets, tels que les informations d'identification mises en cache, afin que seuls les logiciels privilégiés puissent y accéder.

Dans la sécurité basée sur la virtualisation, les processus spécifiques qui utilisent des identifiants ou des données, et la mémoire associée à ces processus, fonctionnent dans un système d'exploitation séparé en parallèle avec, mais indépendant du système d'exploitation hôte. Ce système d'exploitation virtuel protège les processus contre les tentatives de tout logiciel externe de lire les données que ces processus stockent et utilisent. Windows Defender Credential Guard tire parti de la sécurité matérielle, y compris le démarrage sécurisé et la virtualisation.

Vous pouvez gérer Windows Defender Credential Guard à l'aide de Group Policy, de l'Instrumentation de gestion Windows (WMI) ou de Windows PowerShell.

Windows Defender Credential Guard n'autorise pas l'utilisation de :

• Délégation Kerberos sans restriction
• NT LAN Manager version 1 (NTLMv1)
• Protocole Microsoft Challenge Handshake Authentication (MS-CHAPv2)
• Digest
• Credential Security Support Provider (CredSSP)
• Chiffrement DES Kerberos

Utilisation de la solution de mot de passe d'administrateur local

La solution Local Administrator Password Solution (LAPS) de Microsoft offre un dépôt central sécurisé pour les mots de passe de tous les comptes Administrateur local intégrés et automatise la bonne gestion de ces mots de passe. En particulier, LAPS :

• Assure que les mots de passe des administrateurs locaux sont uniques sur chaque ordinateur
• Change automatiquement tous les mots de passe des administrateurs locaux tous les 30 jours
• Fournit des autorisations configurables pour contrôler l'accès aux mots de passe
• Transmet les mots de passe au client de manière sécurisée et cryptée

Utilisation du Active Directory Administrative Center

Le Centre administratif Active Directory vous permet de rechercher dans votre Active Directory les comptes susceptibles d'être repris par des attaquants. En particulier, vous devriez régulièrement rechercher les types de comptes suivants :

• Comptes d'utilisateurs dont les mots de passe n'expirent jamais — Vous devriez éviter de configurer des comptes avec des mots de passe fixes car ils sont moins sécurisés que les comptes avec des mots de passe que les utilisateurs doivent mettre à jour périodiquement.
• Comptes d'utilisateurs inactifs — Les comptes d'utilisateurs inactifs appartiennent généralement à une personne qui a quitté l'organisation. La console Active Directory Administrative Center vous permet de trouver des comptes qui ne se sont pas connectés depuis un nombre spécifié de jours.

La suppression ou la désactivation de ces comptes d'utilisateurs les empêche d'être détournés par des attaquants extérieurs ou des acteurs malveillants internes.

Résumé

Comme vous pouvez le voir, Windows Server 2016 offre de nombreux outils pour vous aider à protéger les informations d'identification dans votre environnement. Vous pouvez en utiliser certains ou tous. En particulier, il est judicieux de tirer parti des Group Managed Service Accounts, de Windows Defender Credential Guard et de LAPS car ils peuvent améliorer considérablement la sécurité informatique avec relativement peu d'effort.