« Critique et récurrent ». Ainsi l’ANSSI qualifie-t-elle le « manque de maturité » qu’elle relève en matière de sécurisation des annuaires Active Directory.
Face à ce constat et à celui d’attaques recrudescentes, l’agence publie un recueil de points de contrôle.
L’annuaire Active Directory est le centre névralgique de la sécurité des systèmes d’information #Microsoft
L’ANSSI publie ses points de contrôle sur les annuaires #AD et l’ensemble des recommandations associées :https://t.co/1uy4RNIPCC pic.twitter.com/K50bT88rol— ANSSI (@ANSSI_FR) June 2, 2020
Chacun de ces points de contrôle vise à vérifier l’absence d’une pratique susceptible d’affaiblir la sécurité d’un Active Directory. Pour obtenir un niveau de sécurité (de 1 à 5), un annuaire doit passer avec tous les points de contrôle des niveaux inférieurs.
À ce jour, seuls les critères permettant la validation des niveaux 1 à 3 sont disponibles.
Les points de contrôle associés au niveau 3 sont les plus critiques. On en compte une dizaine.
Parmi eux, des serveurs dont le mot de passe de compte d’ordinateur est inchangé depuis plus de 45 jours et/ou qui ne se sont pas authentifiés depuis plus de 90 jours.
Le fonctionnement par défaut d’Active Directory est conforme aux attentes : il induit un changement automatique de mot de passe tous les 30 jours, avec identification au domaine.
Autre élément à surveiller : le mécanisme de compatibilité pré-Windows 2000, utilisé pour assurer la prise en charge des domaines de type Windows NT. Le groupe associé est susceptible de contenir des utilisateurs anonymes et d’augmenter par là même le risque de sécurité.
Les RODC (contrôleurs de domaine en lecture seule) constituent une autre source de risque. Ce à travers plusieurs éléments :
Au rang des autres critères éliminatoires pour l’obtention du niveau 3, on citera :
Photo d’illustration © Kentoh – shutterstock.com
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…
Sous la bannière SpreadSheetLLM, Microsoft propose un framework destiné à optimiser le traitement des feuilles…
Selon le magazine Wired, AT&T aurait payé près de 400 000 $ à un pirate…