Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBonnes pratiques
Meilleures pratiques de sécurité pour Active Directory

Meilleures pratiques de sécurité pour Active Directory

La protection d'Active Directory (AD) est un point critique pour les équipes de sécurité en raison de son rôle central dans de nombreuses fonctions vulnérables, y compris l'authentification, l'autorisation et l'accès réseau. Chaque fois que les utilisateurs, les applications, les services et les appareils IoT accèdent aux systèmes d'entreprise, ils dépendent d'Active Directory.

Dans un incident de sécurité récent, la plateforme de Identity Management Okta a subi une intrusion dans son système de support client, exposant des données sensibles telles que les noms et adresses e-mail de tous les utilisateurs. Cet événement soulève des préoccupations concernant d'éventuelles vulnérabilités de sécurité qui pourraient être exploitées pour manipuler ou compromettre l'authentification des utilisateurs et les contrôles d'accès. Les organisations dépendant d'Okta pour une intégration transparente avec Active Directory pourraient rencontrer des difficultés à maintenir la sécurité de leur environnement AD, car des informations d'identification compromises ou des mécanismes d'authentification pourraient potentiellement être utilisés pour accéder aux ressources AD.

Les adversaires exploitent les faiblesses de la sécurité AD non seulement pour accéder à un réseau, mais aussi pour augmenter leurs privilèges, se déplacer latéralement entre les points de terminaison et d'autres systèmes, déployer des charges utiles de logiciels malveillants, et plus encore.

Pour contrecarrer les attaquants à chaque étape, utilisez la liste de contrôle des meilleures pratiques de sécurité Active Directory.

Sécurisez vos contrôleurs de domaine

Un contrôleur de domaine (DC) est un serveur qui authentifie les utilisateurs en vérifiant leurs identifiants par rapport aux données stockées, et autorise également (ou refuse) les demandes d'accès à diverses ressources informatiques. Cette fonctionnalité fait des DC une cible principale pour les cybercriminels.

Les meilleures pratiques pour sécuriser les contrôleurs de domaine Active Directory comprennent les éléments suivants :

Déploiement

  • Ayez au moins deux contrôleurs de domaine dans chaque domaine Active Directory pour la tolérance aux pannes et la haute disponibilité.
  • Envisagez de déployer des DC en lecture seule dans les succursales ou autres emplacements avec une connectivité limitée au centre de données principal pour améliorer la sécurité et les performances.
  • Placez les contrôleurs de domaine dans différents emplacements physiques pour garantir qu'ils ne soient pas tous affectés par un seul point de défaillance, tel qu'une panne de courant ou une catastrophe naturelle.

Contrôle d'accès et de trafic

  • Restreignez l'accès physique aux centres de données en utilisant des mesures telles que des salles de serveurs verrouillées et des systèmes de contrôle d'accès.
  • Utilisez la segmentation réseau pour isoler les DCs des autres parties du réseau et limiter l'accès uniquement aux systèmes et administrateurs autorisés.
  • Mettez en place des pare-feu pour restreindre le trafic entrant et sortant vers les DCs, en autorisant uniquement les communications nécessaires entre les DCs et les autres ressources du réseau.
  • Isolez les contrôleurs de domaine (DC) d'Internet en configurant les pare-feu et les routeurs pour bloquer le trafic sortant des DC vers Internet. Si un accès Internet est nécessaire pour un contrôleur de domaine, utilisez un serveur proxy pour contrôler l'accès ; configurez le serveur proxy pour autoriser uniquement le trafic nécessaire et bloquer tout autre trafic, et mettez en œuvre un filtrage DNS pour empêcher la communication avec des domaines malveillants connus.

Configuration et mises à jour

  • Standardisez la configuration des DC. Par exemple, utilisez l'automatisation de construction à travers des outils de déploiement tels que System Center Configuration Manager.
  • Ne pas installer de rôles de serveur supplémentaires ou de logiciels sur les contrôleurs de domaine, car cela peut entraîner une concurrence de ressources, une instabilité et une dégradation des performances. Si des logiciels supplémentaires ou des rôles de serveur sont nécessaires, déployez des serveurs membres ou des serveurs d'applications séparés pour exécuter des applications ou héberger des services supplémentaires.
  • Mettez régulièrement à jour les DCs avec les derniers correctifs de sécurité et mises à jour pour vous protéger contre les vulnérabilités de sécurité.
  • Mettez à niveau régulièrement les systèmes d'exploitation de vos DCs. Cependant, planifiez et testez soigneusement le processus de mise à niveau dans un environnement non productif pour identifier et atténuer les problèmes potentiels.

Surveillance et récupération

  • Utilisez des outils de surveillance pour suivre la performance des DCs et vous assurer qu'ils fonctionnent de manière optimale.
  • Effectuez régulièrement des sauvegardes des données sur les contrôleurs de domaine pour permettre la récupération en cas de panne matérielle ou d'autres problèmes.

Établissez une politique de mot de passe robuste

Active Directory vous permet de définir des politiques de mot de passe à granularité fine en utilisant des facteurs tels que la longueur du mot de passe et les exigences de complexité. Suivez les NIST password guidelines suivantes :

  • Les mots de passe doivent contenir au moins huit caractères lorsqu'ils sont définis par un humain et six caractères lorsqu'ils sont définis par un système automatisé ou un service.
  • Utiliser un mot de passe fort est plus efficace que de mettre régulièrement à jour des mots de passe faibles.
  • Évitez les exigences de complexité qui ne sont pas conviviales, car elles peuvent amener les utilisateurs à créer des mots de passe faibles ou à stocker leurs mots de passe de manière non sécurisée (comme sur un post-it sur leur bureau). Encouragez plutôt les utilisateurs à choisir des phrases de passe longues qui sont faciles à retenir.
  • Surveillez les réinitialisations de mot de passe administratif. Une activité inhabituelle de réinitialisation de mot de passe peut signaler un compromis du compte administrateur.
  • Calibrez vos paramètres de verrouillage de compte, en appliquant des paramètres plus stricts aux comptes qui ont accès à des données précieuses et à des applications critiques. De cette façon, un attaquant qui tente de compromettre un compte d'administrateur sera verrouillé après seulement quelques tentatives échouées, mais un utilisateur ordinaire qui saisit mal son mot de passe quelques fois ne sera pas verrouillé et n'aura pas besoin de réinitialiser son mot de passe avant de pouvoir retourner au travail.
  • Envisagez d'investir dans un gestionnaire de mots de passe qui permet aux utilisateurs d'avoir des mots de passe forts et uniques sans augmenter la charge de travail de votre service d'assistance en raison de verrouillages de compte fréquents.

Utilisez un mot de passe d'administrateur local différent sur chaque machine

Trop souvent, les organisations créent un identifiant administrateur local générique avec le même mot de passe sur chaque machine, ce qui permet à un acteur malveillant qui compromet une machine de compromettre également les autres. Avec les bons outils, vous pouvez facilement définir un mot de passe administrateur local différent sur chaque appareil.

En particulier, la solution Local Administrator Password Solution (LAPS) génère et gère automatiquement des mots de passe uniques et complexes pour les comptes d'administrateurs locaux. Ces mots de passe sont stockés de manière sécurisée dans Active Directory et ne peuvent être récupérés que par des utilisateurs ou des systèmes autorisés. LAPS offre les avantages supplémentaires suivants :

  • LAPS prend en charge la rotation automatique des mots de passe d'administrateur local à intervalles réguliers, réduisant ainsi la durée de vie utile d'un mot de passe compromis.
  • Les administrateurs peuvent déléguer des permissions pour récupérer les mots de passe d'administrateur local en fonction des rôles et responsabilités des utilisateurs.
  • LAPS s'intègre de manière transparente avec Active Directory, en exploitant ses fonctionnalités de sécurité et ses contrôles d'accès pour gérer le stockage et la récupération des mots de passe d'administrateur local.
  • LAPS conserve un historique des activités de récupération de mot de passe pour faciliter les enquêtes et la responsabilité.
  • LAPS peut être configuré et géré via la stratégie de groupe, ce qui offre une approche centralisée et évolutive pour déployer et gérer les mots de passe d'administrateur local dans toute l'organisation.

Contrôlez les droits d'accès

Les groupes de sécurité sont la méthode recommandée pour contrôler l'accès aux ressources. Au lieu d'attribuer des droits d'accès directement aux comptes utilisateurs un par un, vous attribuez des permissions aux groupes de sécurité puis vous rendez chaque utilisateur membre des groupes appropriés. Suivez ces meilleures pratiques :

  • Suivez rigoureusement un modèle de moindre privilège, accordant à chaque utilisateur uniquement les permissions minimales nécessaires pour accomplir leurs tâches.
  • Créez des comptes invités avec des privilèges minimaux.
  • Faites en sorte que les propriétaires de données révisent régulièrement l'appartenance aux groupes de sécurité pour garantir que seuls les bons utilisateurs sont membres de chaque groupe.
  • Établissez un modèle de délégation AD en suivant les meilleures pratiques.
  • Surveillez de près les modifications apportées aux membres des groupes de sécurité, en particulier ceux qui ont des autorisations pour accéder, modifier ou supprimer des données sensibles.
  • Surveillez les modifications suspectes des comptes AD.
  • Désactivez immédiatement les comptes des employés qui quittent l'organisation.
  • Surveillez les comptes inactifs et désactivez-les si nécessaire.

Portez une attention particulière aux comptes privilégiés

Naturellement, les attaquants sont particulièrement intéressés par l'accès aux comptes disposant de privilèges administratifs ou d'accès à des données sensibles, telles que les dossiers clients ou la propriété intellectuelle. Par conséquent, il est crucial d'être particulièrement vigilant à propos de ces comptes puissants. Les meilleures pratiques incluent ce qui suit :

  • Restreignez strictement l'adhésion aux Domain Admins et autres groupes privilégiés conformément au principe du moindre privilège.
  • Formez les administrateurs à utiliser leurs comptes administratifs uniquement lorsque cela est absolument nécessaire pour réduire le risque de vol d'identifiants.
  • Idéalement, mettez en œuvre une solution de Privileged Access Management (PAM). Si cela n'est pas possible, conservez uniquement le compte par défaut dans les groupes tels que Domain Admins et placez les autres comptes dans ce groupe uniquement de manière temporaire, jusqu'à ce qu'ils aient terminé leur travail.
  • Examinez régulièrement l'utilisation des comptes privilégiés pour vous assurer qu'ils sont uniquement utilisés à des fins autorisées et que l'accès est accordé sur la base du besoin de savoir.
  • Mettez en œuvre des politiques et des pratiques de gestion de mots de passe strictes pour les comptes privilégiés, y compris des changements de mot de passe réguliers et l'utilisation de mots de passe complexes.
  • Exigez que les utilisateurs privilégiés utilisent une station de travail d'administration sécurisée (SAW) pour effectuer des tâches administratives. Les SAWs renforcent la sécurité grâce à des fonctionnalités telles que l'authentification forte, le chiffrement et la surveillance. Limitez l'accès aux SAWs au personnel autorisé ayant des responsabilités administratives et mettez en place des contrôles d'accès rigoureux pour prévenir l'utilisation non autorisée. Isolez physiquement et logiquement les SAWs des postes de travail et réseaux des utilisateurs standards pour réduire le risque d'infection par des logiciels malveillants et d'accès non autorisé.

Surveillez Active Directory pour détecter des signes de compromission

Active Directory est un endroit très sollicité. Pour repérer les attaques, il est essentiel de savoir quoi chercher dans toutes les données d'événements. Voici les cinq points principaux à surveiller :

Modifications des comptes d'utilisateur

Soyez vigilant face aux modifications inhabituelles d'un compte utilisateur AD. Envisagez d'investir dans un outil qui peut vous aider à répondre aux questions suivantes :

  • Quels changements ont été apportés à quels comptes d'utilisateur ?
  • Qui a effectué chaque changement ?
  • Quand le changement a-t-il eu lieu ?
  • D'où a été effectué le changement ?

Réinitialisations de mot de passe par les administrateurs

Les administrateurs doivent toujours suivre les meilleures pratiques établies lors de la réinitialisation des identifiants des utilisateurs. Un outil de surveillance robuste aide à répondre à des questions telles que :

  • Quels comptes d'utilisateurs ont eu leurs mots de passe réinitialisés ?
  • Qui a réinitialisé chaque mot de passe ?
  • Quand la réinitialisation a-t-elle eu lieu ?
  • Où l'administrateur a-t-il réinitialisé le mot de passe ?

Modifications de l'appartenance au groupe de sécurité

Des changements inattendus dans l'appartenance aux groupes de sécurité peuvent indiquer une activité malveillante, telle que l'escalade de privilèges ou d'autres menaces internes. Vous devez savoir :

  • Qui a été ajouté ou retiré ?
  • Qui a effectué la modification ?
  • Quand le changement a-t-il eu lieu ?
  • Où le changement de groupe de sécurité a-t-il été effectué ?

Tentatives de connexion d'un seul utilisateur depuis plusieurs endpoints

Les tentatives d'un seul utilisateur de se connecter à partir de différents endpoints sont souvent le signe que quelqu'un a pris le contrôle de son compte ou essaie de le faire. Il est essentiel de signaler et d'enquêter sur cette activité pour découvrir :

  • Quel compte a tenté de se connecter depuis plusieurs terminaux ?
  • Quels étaient ces points de terminaison ?
  • Combien de tentatives ont été effectuées depuis chaque point de terminaison ?
  • Quand l'activité suspecte a-t-elle commencé ?

Modifications de la stratégie de groupe

Un seul changement inapproprié à la stratégie de groupe peut considérablement augmenter votre risque de violation ou d'autre incident de sécurité. L'utilisation d'un outil pour surveiller cette activité rendra facile la réponse à des questions urgentes telles que :

  • Quels changements ont été apportés à la stratégie de groupe ?
  • Qui a effectué chaque changement ?
  • Quand chaque changement a-t-il été effectué ?

Désactivez SMBv1 et restreignez NTLM

Les appareils exécutant Microsoft Windows utilisent principalement le protocole de communication SMB (Server Message Block). Cependant, des recherches indiquent que SMB est utilisé pour des intrusions par exécution de code à distance, il est donc recommandé de désactiver SMBv1 et d'utiliser uniquement les dernières versions de SMB.

De même, NTLM est un ancien protocole d'authentification que les attaquants utilisent pour le vol de justificatifs d'identité. Si possible, remplacez entièrement NTLM par le protocole Kerberos plus récent. Au minimum, éliminez l'utilisation de NTLMv1.

Protégez LSASS

LSASS (Local Security Authority Subsystem Service) est un processus Windows qui est responsable de plusieurs tâches liées à la sécurité : vérification des informations d'identification des utilisateurs lors de la connexion ; application des politiques de complexité, d'expiration et de verrouillage des mots de passe ; gestion des jetons de sécurité qui donnent accès aux ressources ; et mise en œuvre du protocole d'authentification Kerberos. Les meilleures pratiques pour protéger LSASS comprennent les suivantes :

  • Appliquez régulièrement des mises à jour de sécurité et des correctifs au système d'exploitation pour remédier aux vulnérabilités qui pourraient être exploitées pour compromettre LSASS.
  • Déployez des solutions antivirus et anti-malware de renom sur tous les systèmes pour détecter et prévenir les logiciels malveillants ciblant LSASS.
  • Activez Windows Credential Guard, une fonctionnalité de sécurité dans Windows qui aide à protéger LSASS et les identifiants contre le vol par des logiciels malveillants.

Exécutez uniquement des systèmes d'exploitation pris en charge et maintenez-les à jour

Il est important d'utiliser uniquement des systèmes d'exploitation pris en charge qui reçoivent régulièrement des mises à jour de sécurité et des correctifs pour réduire le risque de vulnérabilités de sécurité et garantir l'accès à une assistance technique et des conseils pour les problèmes liés à la sécurité.

De plus, assurez-vous que tous les systèmes d'exploitation de votre environnement sont régulièrement mis à jour avec les derniers correctifs de sécurité et mises à jour fournis par le fournisseur.

Nettoyez Active Directory

Les meilleures pratiques de sécurité pour le nettoyage d'Active Directory incluent les suivantes :

  • Identifiez et supprimez tous les comptes d'utilisateur et les comptes d'ordinateur obsolètes ou inutilisés de Active Directory pour empêcher les adversaires de les utiliser à mauvais escient et d'éviter la détection.
  • Mettez en place des processus pour garantir que le compte d'un utilisateur soit rapidement désactivé lorsqu'il quitte l'organisation.
  • Supprimez tous les groupes de sécurité inutiles pour contrecarrer les tentatives d'escalade des privilèges.
  • Documentez les processus de nettoyage et établissez des calendriers réguliers pour la révision et la maintenance de Active Directory afin de garantir la sécurité et l'efficacité continues.

Auditez Active Directory

Voici quelques bonnes pratiques pour l'audit d'Active Directory :

  • Assurez-vous que l'audit est activé dans Active Directory pour suivre les modifications et l'accès aux objets de l'annuaire. Cela peut être fait via les paramètres de stratégie de groupe ou directement dans la console Utilisateurs et ordinateurs de Active Directory.
  • Configurez des politiques d'audit en fonction des exigences spécifiques de sécurité et de conformité de votre organisation. En particulier, auditez les modifications des comptes utilisateurs, des appartenances aux groupes, des permissions et des objets de stratégie de groupe critiques.
  • Examinez régulièrement les journaux d'audit générés par Active Directory pour identifier tout changement suspect ou autre activité inhabituelle. Enquêtez rapidement sur toute menace potentielle pour la sécurité.
  • Envisagez de mettre en place une solution de surveillance en temps réel qui fournira des alertes immédiates pour les événements de sécurité critiques et une réponse automatique aux menaces anticipées sur AD.
  • Envisagez d'utiliser des outils automatisés pour générer des rapports d'audit réguliers, ce qui peut aider à suivre la conformité, à démontrer la diligence raisonnable et à identifier les tendances ou les modèles dans l'activité de l'annuaire.

Effectuez la gestion des correctifs

Mettez en place un processus pour recevoir et déployer rapidement les correctifs de sécurité pour Active Directory et d'autres systèmes critiques. Priorisez le déploiement des correctifs en fonction de la gravité de la vulnérabilité et de l'impact potentiel sur l'organisation.

Testez les correctifs dans un environnement non productif avant de les déployer en production pour vous assurer qu'ils ne causent aucun problème de compatibilité ou de stabilité.

Effectuez des analyses de vulnérabilité et des tests d'intrusion

Effectuez régulièrement des analyses de vulnérabilité de Active Directory et d'autres systèmes critiques pour identifier les faiblesses de sécurité potentielles. Priorisez les vulnérabilités en fonction de leur gravité et de leur impact potentiel sur votre organisation. Remédiez aux vulnérabilités en appliquant des correctifs de sécurité, en mettant en place des contrôles de sécurité ou en prenant d'autres mesures. Envisagez d'utiliser des outils automatisés pour réaliser l'analyse de vulnérabilité afin de rationaliser le processus et de réduire le risque d'erreur humaine.

Effectuez également des tests de pénétration réguliers pour identifier les vulnérabilités potentielles et évaluer l'efficacité de vos contrôles de sécurité.

Verrouillez les comptes de service

Les comptes de service sont utilisés pour exécuter des services, des tâches planifiées et des applications. Pour réduire les risques de sécurité, attribuez à chaque compte de service les permissions minimales nécessaires pour effectuer ses fonctions spécifiques. De plus, appliquez des politiques de mot de passe strictes qui incluent des exigences de complexité et des restrictions sur la réutilisation des mots de passe, et exigez des changements de mot de passe réguliers.

Les comptes de service doivent être configurés pour interdire la connexion interactive. Ils ne doivent pas être utilisés pour des sessions interactives ou des connexions console, car ils sont destinés à l'exécution de services et de tâches en arrière-plan.

Utilisez des comptes de service gérés (MSAs) chaque fois que possible

Les comptes de service gérés (MSAs) génèrent et gèrent automatiquement des mots de passe forts et complexes, éliminant ainsi le besoin d'une gestion manuelle des mots de passe et réduisant le risque de problèmes de sécurité liés aux mots de passe. Le mot de passe est automatiquement géré et renouvelé par les contrôleurs de domaine. Les MSAs peuvent être facilement déployés et gérés à l'aide de commandes PowerShell ou de stratégie de groupe, ce qui en fait une solution évolutive et efficace.

Mettez en œuvre l'authentification multifacteur (MFA)

L'authentification multifacteur (MFA) renforce la sécurité en exigeant des utilisateurs qu'ils s'authentifient en utilisant deux méthodes ou plus, telles qu'un code provenant d'un jeton matériel ou logiciel ou d'un message SMS, la biométrie et les notifications push vers des appareils mobiles. Prenez en compte des facteurs tels que la facilité d'utilisation, la scalabilité et la compatibilité avec votre infrastructure existante, y compris Active Directory.

Définissez des politiques MFA en fonction des rôles des utilisateurs, des groupes ou des exigences de sécurité spécifiques. Par exemple, vous pouvez vouloir imposer le MFA pour tous les comptes privilégiés, les demandes d'accès à distance ou des applications spécifiques.

DNS sécurisé

  • Sécurisez DNS en utilisant des zones DNS intégrées à Active Directory. Cela offre une sécurité renforcée grâce aux listes de contrôle d'accès (ACL) et aux mises à jour dynamiques sécurisées.
  • Mettez en œuvre les extensions de sécurité du système de noms de domaine (DNSSEC) pour ajouter une couche supplémentaire de sécurité au DNS. DNSSEC aide à protéger contre les attaques de spoofing DNS et d'empoisonnement de cache en signant numériquement les données DNS.
  • Configurez les serveurs DNS pour restreindre les transferts de zone aux serveurs autorisés. Limiter les transferts de zone aide à prévenir l'accès non autorisé aux données de zone DNS.
  • Utilisez des solutions de filtrage et de protection DNS pour bloquer les domaines malveillants et empêcher l'accès aux sites Web malveillants connus. Cela peut aider à protéger contre les logiciels malveillants, le hameçonnage et d'autres menaces de sécurité.
  • Déployez un pare-feu DNS pour filtrer et bloquer le trafic DNS malveillant. Les pare-feu DNS peuvent aider à protéger contre les attaques basées sur DNS et atténuer le risque d'exfiltration de données.
  • Maintenez les serveurs DNS à jour avec les derniers correctifs de sécurité et mises à jour pour réparer les vulnérabilités et se protéger contre les exploits connus.

Forcez RDP à utiliser le chiffrement TLS

Le protocole Remote Desktop Protocol (RDP) est un protocole populaire utilisé pour accéder à distance aux systèmes basés sur Windows. Par défaut, le RDP utilise un chiffrement pour sécuriser les communications entre le client et le serveur. Cependant, il est recommandé de renforcer l'utilisation du chiffrement Transport Layer Security (TLS) pour le RDP afin d'améliorer la sécurité. Installez et configurez un certificat SSL/TLS sur le serveur Remote Desktop Gateway. Ce certificat sera utilisé pour chiffrer les communications entre le client et le serveur.

Mettez en œuvre un plan de sauvegarde et de reprise après sinistre pour Active Directory

Un désastre ou une panne affectant AD peut avoir de graves conséquences sur les opérations de l'organisation. Mettre en place un plan de reprise après sinistre pour AD peut aider à assurer la continuité des affaires en cas de désastre. Assurez-vous d'inclure les procédures de sauvegarde et de récupération, les procédures de basculement et de retour, les procédures de communication et de notification. le test des procédures de sauvegarde et de récupération, et le stockage hors site des données de sauvegarde.

Parmi les autres meilleures pratiques d'Active Directory liées à la sauvegarde et à la récupération, on trouve les suivantes :

  • Sauvegardez Active Directory selon un calendrier régulier. Windows Server intègre une fonctionnalité de sauvegarde intégrée qui peut être utilisée pour sauvegarder Active Directory. Vous pouvez utiliser l'outil "Windows Server Backup" pour effectuer des sauvegardes de l'état du système, qui incluent les données AD. Cependant, les solutions de sauvegarde tierces spécialement conçues pour Active Directory offrent des fonctionnalités supplémentaires et une plus grande flexibilité.
  • Assurez-vous en particulier de sauvegarder les contrôleurs de domaine qui détiennent les rôles FSMO, car ils sont essentiels pour les opérations AD.
  • Assurez-vous que les données de sauvegarde sont stockées en toute sécurité. Cela inclut la protection des supports de sauvegarde contre les dommages physiques, le chiffrement des données de sauvegarde et la restriction de l'accès aux fichiers de sauvegarde au personnel autorisé.
  • Documentez les procédures de sauvegarde pour Active Directory, y compris le calendrier de sauvegarde, les exigences de rétention et toute considération spécifique pour votre environnement.

Activez le pare-feu Windows sur tous les systèmes

Activez le pare-feu Windows sur tous les systèmes pour aider à protéger contre les accès non autorisés et les menaces basées sur le réseau.

  • Utilisez la stratégie de groupe pour gérer et appliquer de manière centralisée les paramètres du pare-feu Windows sur tous les systèmes de votre réseau.
  • Créez des règles de pare-feu pour autoriser ou bloquer certains types de trafic en fonction des politiques de sécurité de votre organisation. Par exemple, vous pouvez créer des règles pour autoriser le trafic entrant et sortant pour des applications, services ou ports spécifiques, tout en bloquant le trafic inutile ou potentiellement risqué.
  • Utilisez la console Windows Firewall with Advanced Security pour configurer des paramètres avancés tels que les règles de sécurité de connexion, les exemptions d'authentification et les règles de pare-feu personnalisées qui offrent un contrôle granulaire sur le trafic réseau.

Déployez des outils antivirus et antimalware et maintenez-les à jour

Choisissez un logiciel antivirus et antimalware fiable qui est compatible avec Active Directory et répond aux besoins de sécurité de votre organisation.

Installez le logiciel antivirus et antimalware sur un serveur dans l'environnement Active Directory. Assurez-vous que le logiciel est configuré pour analyser et protéger tous les systèmes et appareils connectés au réseau Active Directory.

Configurez les mises à jour automatiques pour le logiciel antivirus et antimalware afin de garantir qu'il soit toujours à jour avec les dernières définitions de virus et correctifs de sécurité.

Sécurisez la communication réseau

  • Configurez Active Directory pour utiliser SSL/TLS pour la communication LDAP afin de chiffrer les données transmises entre les clients et les contrôleurs de domaine.
  • Utilisez Internet Protocol Security (IPsec) pour sécuriser le trafic réseau entre les contrôleurs de domaine, en garantissant que les données soient chiffrées et authentifiées.
  • Activez la signature Server Message Block (SMB) pour garantir que les données transférées sur le réseau sont signées et validées, empêchant ainsi toute altération et accès non autorisé.
  • Configurez Active Directory pour utiliser l'authentification Kerberos, qui fournit une authentification mutuelle sécurisée entre les clients et les contrôleurs de domaine.

Mettez en œuvre des VPN

Mettez en œuvre des réseaux privés virtuels (VPN) pour votre intranet en fonction des besoins de votre organisation, y compris le nombre d'utilisateurs à distance, les types d'applications auxquelles ils accèdent et le niveau de sécurité requis. Lors de la sélection d'une solution VPN, pensez également à la facilité de maintenance, aux fonctionnalités de sécurité et à la scalabilité. Installez et configurez le logiciel client VPN sur les appareils des utilisateurs distants et assurez-vous qu'ils peuvent se connecter en toute sécurité aux serveurs VPN au sein de l'intranet.

Isoler les systèmes et applications hérités

Séparez physiquement ou logiquement les systèmes et applications hérités du reste du réseau pour limiter les risques de sécurité. Créez des unités organisationnelles (OU) séparées dans AD pour les systèmes et applications hérités afin de pouvoir facilement appliquer des paramètres de stratégie de groupe et des contrôles d'accès adaptés à leurs besoins.

Décommissionnez les systèmes et applications obsolètes

Évaluez l'utilisation, l'impact sur les affaires et les risques de sécurité des systèmes et applications obsolètes et élaborez un plan pour les décommissionner si possible. Informez les utilisateurs et les parties prenantes sur les détails, y compris les calendriers, les solutions alternatives et les impacts potentiels sur leurs flux de travail. Assurez-vous d'archiver toutes les données qui ne sont plus nécessaires mais qui doivent être conservées pour des raisons de conformité ou historiques.

Conclusion

Les meilleures pratiques de sécurité Active Directory présentées ici sont essentielles pour renforcer votre posture de sécurité. Une gestion minutieuse des activités sur l'ensemble du réseau qui affectent la sécurité AD vous permettra de réduire votre surface d'attaque et de détecter et répondre rapidement aux menaces.

Solution de sécurité Active Directory de Netwrix

Identifiez et atténuez proactivement vos lacunes de sécurité avec une solution de sécurité de bout en bout

Demander une démonstration individuelle

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management