« Critique et récurrent ». Ainsi l’ANSSI qualifie-t-elle le « manque de maturité » qu’elle relève en matière de sécurisation des annuaires Active Directory.
Face à ce constat et à celui d’attaques recrudescentes, l’agence publie un recueil de points de contrôle.
L’annuaire Active Directory est le centre névralgique de la sécurité des systèmes d’information #Microsoft
L’ANSSI publie ses points de contrôle sur les annuaires #AD et l’ensemble des recommandations associées :https://t.co/1uy4RNIPCC pic.twitter.com/K50bT88rol— ANSSI (@ANSSI_FR) June 2, 2020
Chacun de ces points de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir la sécurité d’un Active Directory. Pour obtenir un niveau de sécurité (de 1 à 5), un annuaire doit passer avec tous les points de contrôle des niveaux inférieurs.
À ce jour, seuls les critères permettant la validation des niveaux 1 à 3 sont disponibles.
Les points de contrôle associés au niveau 3 sont les plus critiques. On en compte une dizaine.
Parmi eux, des serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours et/ou qui ne se sont pas authentifiés depuis plus de 90 jours.
Le fonctionnement par défaut d’Active Directory est conforme aux attentes : il induit un changement automatique de mot de passe tous les 30 jours, avec identification au domaine.
Autre élément à surveiller : le mécanisme de compatibilité pré-Windows 2000, utilisé pour assurer la prise en charge des domaines de type Windows NT. Le groupe associé est susceptible de contenir des utilisateurs anonymes et d’augmenter par là même le risque de sécurité.
Les RODC (contrôleurs de domaine en lecture seule) constituent une autre source de risque. Ce à travers plusieurs éléments :
Au rang des autres critères éliminatoires pour l’obtention du niveau 3, on citera :
Photo d’illustration © Kentoh – shutterstock.com
Comment gérer les données numériques après la mort de son détenteur ? La jeune pousse…
Ivès, expert en accessibilité de la surdité, s’est associé à Sopra Steria et à IBM…
L'Autorité de la concurrence et des marchés (CMA) a lancé la phase de recherche de…
Broadcom remplace pas moins de 168 logiciels VMware par deux grandes licences de location correspondant…
La banque d’investissement utilise l'IA pour proposer des stratégies individualisées, en termes de rendement et…
OVHCloud partage ses efforts environnementaux au sommet de l’Open Compute Project qui se tient à…