Active Directory : 10 bonnes pratiques pour améliorer la sécurité et les performances?
D'aucuns pensent peut-être qu'Active Directory et Azure Active Directory se suffisent à eux-mêmes.
Il est vrai que Microsoft Active Directory (AD) et Azure AD apportent à eux seuls une organisation et des normes quant à la gestion et le stockage des données d'identité et de compte de l'entreprise. Mais les capacités AD et Azure AD fournies par le système sont plus limitées.
Quand on sait que les AD sont les cibles principales des attaques (95% selon l'étude de la Cyber Risk Alliance parues cette année), il s'agit de mettre en place des bonnes pratiques pour éviter que son entreprise soit paralysée par un ransomware.azure
En voici 10 pour aider à mettre de l'ordre dans les données de comptes utilisateurs Microsoft AD et Azure AD et éviter toutes mésaventures.
L'un des moyens les plus efficaces de maintenir un environnement AD et Azure AD ordonné et sécurisé consiste à passer régulièrement en revue les comptes utilisateurs. En examinant les propriétés des comptes avant un audit, il est possible de rapidement identifier et corriger de nombreux points qui posent problème, y compris identifier et filtrer les comptes utilisateurs non conformes.
Une autre bonne pratique Active Directory vise à lier chaque compte (y compris les comptes créés pour les services et les applications) à un utilisateur réel. Il faut se concentrer en priorité sur les comptes créés pour des personnes ou employés (utilisateurs finaux, sous-traitants, administrateurs, etc.) et impérativement les relier à son dossier dans son système RH.
Pourquoi ? Pour que l'accès des employés au réseau puisse être lié à leur statut et à leur rôle au sein de l'organisation. Ainsi, lorsque le rôle d'un employé change au sein d'une organisation, il est aisé de trouver son compte et modifier son statut et ses droits en conséquence.
Si trop de personnes sont autorisées à créer des comptes au sein d'un service informatique, il y a inévitablement de nombreux comptes inutiles qui s'y retrouvent. Parmi leurs stratégies privilégiées, les pirates créent ce type de comptes pour dissimuler leur activité et multiplier les portes d'entrée dans les environnements des organisations.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
La seule façon d'éviter ce genre d'intrusions est de surveiller toutes les créations de comptes, d'identifier l'individu qui en est à l'origine, de déterminer si ce dernier travaille toujours pour l'entreprise et de vérifier pourquoi le compte a été créé et s'il est toujours nécessaire. En surveillant les nouveaux comptes, l'accès des pirates à s'en trouve limité.
Avec l'automatisation de la création de comptes, c'est l'assurance que les nouveaux comptes respectent les normes, puisque le processus réduit le risque d'erreur humaine. La création d'un compte comprend généralement les étapes suivantes :
> Créer le compte dans AD ;
> Définir les attributs d'identité (intitulé du poste, numéros de téléphone, etc.) ;
> Créer la boîte mail du compte dans Microsoft Exchange/Office 365 ;
> Ajouter le compte aux groupes appropriés pour le rôle de l'utilisateur ;
> Enregistrer le compte AD dans d'autres applications, le cas échéant.
Les comptes utilisateurs fantômes ou orphelins constituent un autre risque de sécurité important pour les organisations qui utilisent les outils de gestion AD fournis par le système. Elles omettent souvent de désactiver ou modifier les droits des comptes utilisateurs lors d'un départ de l'entreprise.
Il ne suffit pas de rechercher les comptes sans connexion récente pour gérer ces comptes. Surtout s'ils peuvent encore accéder au réseau, son compte n'apparaîtra pas comme inactif.
Ce problème peut être éliminé grâce à plusieurs approches de gestion qui prennent en compte le cycle de vie complet des comptes AD, de l'embauche au départ. Si l'application RH de l'entreprise comprend un flux de travail, on peut automatiser l'envoi d'un e-mail aux administrateurs lorsqu'un utilisateur est remercié, change de rôle ou est rattaché à un autre supérieur hiérarchique.
Si ces mêmes applications permettent de programmer l'envoi automatique de rapports, il serait utile de programmer un rapport quotidien sur les fins de contrat et les changements de poste.
Grâce à l'attribut lastLogonTimestamp, le traitement des comptes inactifs est relativement simple. Cette réplication (tous les sept jours) permet d'interroger les contrôleurs de domaine et de consulter l'heure de la dernière connexion, ce qui contribue à identifier les utilisateurs inactifs.
Tous les comptes ne correspondent pas directement à une personne. Par exemple, de nombreuses organisations se tournent vers l'automatisation robotisée des processus qui permet de traiter les tâches répétitives et chronophages. Ces comptes ont souvent un accès privilégié aux serveurs et aux données, et ne doivent jamais être autorisés à se connecter de manière interactive.
En désactivant les connexions interactives, les administrateurs (qui connaissent le mot de passe du compte) s'en retrouvent empêcher de se connecter anonymement sous ce compte, sans engager leur responsabilité individuelle.
Il existe des exceptions légitimes aux normes relatives aux comptes utilisateurs. Par exemple, une application peut nécessiter un compte utilisateur avec un nom spécifique qui enfreint les conventions de nomination habituelles.
Dans ce type de situation, il faut un moyen de documenter les exceptions légitimes et approuvées. La meilleure façon de procéder est de créer une unité d'organisation nommée Exceptions ou de signaler les comptes d'exception dans les champs Description ou Notes. Mais il ne suffit pas d'étiqueter un compte en tant qu'exception ; l'objectif et le propriétaire du compte doivent être documentés.
L'une des raisons pour lesquelles les AD sont souvent encombrés est qu'un trop grand nombre de personnes sont autorisées à créer des comptes utilisateurs. Pour bien les sécuriser et les rendre conformes, seuls quelques individus dûment formés doivent être autorisés à créer des comptes.
De nombreuses organisations comptent sur le simple courrier électronique pour traiter les demandes de nouveaux comptes, les changements de poste . Or, il est difficile avec cette approche d'effectuer un suivi des normes de gestion des comptes ou d'apporter la preuve de la conformité. Même si elles ne constitueront jamais une option d'automatisation complète, les technologies de flux de travail apportent incontestablement une amélioration par rapport au seul courrier électronique.
Quitte à le rappeler, l'AD c'est le centre névralgique du système. Il est essentiel d'y concentrer ses efforts car sans la mise en place de bonnes pratiques, et même avec une sécurité renforcée, il reste vulnérable aux attaques.
Hicham Bouali, Architecte IAM Solutions - One Identity.
Sur le même thème
Voir tous les articles Cybersécurité