Gérer Active Directory n’est pas une tâche facile, mais quelqu’un doit le faire. Si ce « quelqu’un » c’est vous, alors vous devriez toujours garder à l’esprit que les êtres humains font des erreurs, même s’ils sont des gourous d’AD.
Pour minimiser le risque que de telles erreurs se produisent lors de votre surveillance, je vais vous guider à travers les plus fréquentes et vous aider à ne jamais les refaire.
Erreur #1. Utilisation des comptes avec les privilèges d’administrateur pour un usage quotidien
N’utilisez pas les comptes d’administrateur de domaine, ou même de domaine local pour vous connecter si vous n’avez pas besoin des privilèges afférents. Utilisez un compte normal pour ouvrir une session sur un ordinateur et un compte privilégié/administrateur uniquement pour les privilèges élevés. La raison de cette séparation est d’éviter les brèches de sécurité comme une tentative de hameçonnage ou une injection de malware, lorsque vous êtes connecté à un compte disposant de certifications élevées.
Erreur #2. Ajout d’utilisateurs au groupe administrateurs de domaine au lieu de déléguer l’accès
Ignorer le concept du privilège minimum est un problème de sécurité majeur. Envisagez un modèle de sécurité d’Active Directory délégué, en particulier pour les tâches administratives courantes telles que le déverrouillage de comptes et la réinitialisation de mots de passe. Vous devez évaluer avec soin les fonctions de toute personne ayant besoin de travailler avec AD. Pensez à des processus spécifiques qui peuvent être automatisés. Par exemple, le rôle de helpdesk peut comporter des autorisations pour réinitialiser les mots de passe utilisateurs, connecter des ordinateurs au domaine et modifier certains groupes de sécurité. Utilisez meilleures pratiques de délégations d’AD pour une gestion plus efficace des délégations AD.
Erreur #3. Avoir un plan de sauvegarde et de récupération insuffisant
Si vos plans de sauvegarde/restauration sont insuffisants et que quelqu’un supprime un objet d’Active Directory, comment pouvez-vous annuler cette modification non autorisée ? Planifier et analyser les options de récupération sont un must pour toute organisation afin de corriger rapidement les erreurs. Configurez et utilisez soit une Tombstone AD soit la Corbeille pour pouvoir récupérer les objets AD. Envisagez un modèle sécurisé de délégation pour Active Directory, notamment pour des tâches d’administration courantes, telles que le déblocage des comptes et la réinitialisation de mots de passe.
Erreur #4. Gérer Active Directory depuis vos contrôleurs de domaine
Cela signifie que l’administrateur se connecte physiquement à un contrôleur de domaine et qu’il lance les outils de gestion du serveur. Cette mauvaise pratique n’est pas limitée à la gestion normale des objets AD, elle peut également se produire avec la Gestion de la Stratégie de Groupe, et les consoles DHCP et DNS. Comme le suggèrent les meilleurs pratique, les contrôleurs de domaine doivent exécuter uniquement les rôles nécessaires pour les services du domaine (qui comprennent le rôle DNS, mais ne doivent jamais utiliser le Contrôleur de Domaine pour le DNS ; toujours montrer un autre contrôleur de domaine), et toute l’administration quotidienne doit être effectuée sur des machines administratives protégées.
Erreur #5. Ne pas résilier des comptes périmés
Les comptes périmés doivent être désactivés, puis supprimés, car si vous les laissez intacts, un ancien employé ou un utilisateur malveillant peut s’en servir pour l’exfiltration de données. Un environnement AD sain est un environnement AD propre. Lorsqu’un administrateur laisse des utilisateurs, des ordinateurs, des groupes ou même des GPOs, ils compliquent également et inutilement leur environnement.
Erreur #6. Avoir une mauvaise politique en matière de mots de passe
Avant d’attribuer la vulnérabilité des mots de passe aux mauvaises habitudes des utilisateurs, vous voudrez examiner vos politiques de mots de passe par rapport à la conformité et aux meilleures pratiques. Voici quelques conseils :
- Ne jamais attribuer à un utilisateur un mot de passe qui n’expire jamais.
- Définir le mot de passe d’un compte de service à « ne pas expirer », puis planifier une réinitialisation régulière.
- Définir le même mot de passe pour des comptes multiples a pour conséquence qu’un attaquant dispose de la clé principale dès qu’il compromet un seul service.
- Utilisez des mots de passe différents pour vos courriels personnels de travail, compte Facebook, etc.
- Suivez les meilleures pratiques de mots de passe afin de mieux les gérer.
Erreur #7. Aucun audit ou surveillance d’Active Directory
Surveillez l’état de santé d’AD, et réparez rapidement les interruptions du service. Augmentez au maximum la taille du journal des événements sur votre contrôleur de domaine. Toujours tracer les modifications dans Active Directory, notamment les modifications au Groupe Administrateurs du Domaine. Pour tracer les modifications, vous devez mettre en œuvre une stratégie d’audit ; suivez les méthodes conseillées pour la configurer correctement. Le suivi des modifications facilitera sans aucun doute votre analyse et le processus de dépannage.
Avez-vous découvert que les erreurs décrites sont habituelles dans votre domaine ? Ne le faites pas savoir, corrigez les rapidement, et prétendez que vous avez toujours géré Active Directory comme un pro !
