« Critique et récurrent ». Ainsi l’ANSSI qualifie-t-elle le « manque de maturité » qu’elle relève en matière de sécurisation des annuaires Active Directory.
Face à ce constat et à celui d’attaques recrudescentes, l’agence publie un recueil de points de contrôle.
L’annuaire Active Directory est le centre névralgique de la sécurité des systèmes d’information #Microsoft
L’ANSSI publie ses points de contrôle sur les annuaires #AD et l’ensemble des recommandations associées :https://t.co/1uy4RNIPCC pic.twitter.com/K50bT88rol— ANSSI (@ANSSI_FR) June 2, 2020
Chacun de ces points de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir la sécurité d’un Active Directory. Pour obtenir un niveau de sécurité (de 1 à 5), un annuaire doit passer avec tous les points de contrôle des niveaux inférieurs.
À ce jour, seuls les critères permettant la validation des niveaux 1 à 3 sont disponibles.
Les points de contrôle associés au niveau 3 sont les plus critiques. On en compte une dizaine.
Parmi eux, des serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours et/ou qui ne se sont pas authentifiés depuis plus de 90 jours.
Le fonctionnement par défaut d’Active Directory est conforme aux attentes : il induit un changement automatique de mot de passe tous les 30 jours, avec identification au domaine.
Autre élément à surveiller : le mécanisme de compatibilité pré-Windows 2000, utilisé pour assurer la prise en charge des domaines de type Windows NT. Le groupe associé est susceptible de contenir des utilisateurs anonymes et d’augmenter par là même le risque de sécurité.
Les RODC (contrôleurs de domaine en lecture seule) constituent une autre source de risque. Ce à travers plusieurs éléments :
Au rang des autres critères éliminatoires pour l’obtention du niveau 3, on citera :
Photo d’illustration © Kentoh – shutterstock.com
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.