Protection des informations d’identification dans Windows Server 2016

Les informations d’identification sont les clés d’un compte. En collectant des informations d’identification, des attaquants peuvent pénétrer votre réseau, puis changer et augmenter leurs privilèges dans le but de voler vos données. Windows Server 2016 dispose de plusieurs fonctionnalités permettant de réduire au minimum la possibilité pour des attaquants de mettre la main sur des informations d’identification ; elles incluent :

Utilisation du groupe Utilisateurs protégés

Le fait de placer des utilisateurs, notamment des utilisateurs dotés de privilèges élevés, dans le groupe Utilisateurs protégés contribue à protéger leurs informations d’identification contre les violations, en désactivant les options d’authentification qui sont les moins sûres. Par exemple, Windows ne met pas en cache localement les informations d’identification des membres de ce groupe, de sorte qu’elles ne restent jamais sur les postes de travail à la merci des attaquants. De plus, les comptes des utilisateurs membres de ce groupe ne peuvent pas :

  • Utiliser la délégation d’informations d’identification par défaut
  • Utiliser Windows Digest
  • Utiliser NTLM
  • Utiliser les clés à long terme Kerberos
  • Ouvrir une session hors ligne
  • Utiliser NT LAN Manager (NTLM) pour s’authentifier
  • Utiliser DES pour la pré-authentification Kerberos
  • Utiliser les suites de chiffrement RC4 pour la pré-authentification Kerberos
  • Se faire déléguer des privilèges au moyen d’une délégation restreinte
  • Se faire déléguer des privilèges au moyen d’une délégation non restreinte
  • Renouveler les tickets TGT utilisateur après leur durée de vie initiale de 240 minutes

Utiliser les préférences de compte

  • Comptes d’utilisateur

Pour les comptes d’utilisateur qui nécessitent une protection moins stricte, vous pouvez utiliser les options de sécurité suivantes, qui sont disponibles pour tous les comptes AD :

  • Horaires d’accès – Vous pouvez spécifier quand les utilisateurs peuvent utiliser un compte.
  • Stations de travail accessibles – Vous pouvez limiter le nombre d’ordinateurs auxquels le compte peut se connecter.
  • Le mot de passe n’expire jamais – Exonère le compte de la configuration « Antériorité maximale du mot de passe » ; ne choisissez pas cette option pour les comptes privilégiés.
  • Une carte à puce est requise pour la connexion interactive – Une carte à puce doit être présentée pour que le compte puisse se connecter.
  • Le compte est sensible et ne peut être délégué – Garantit que les applications de confiance ne peuvent pas transmettre les informations d’identification du compte aux autres services ou ordinateurs sur le réseau.
  • Ce compte prend en charge le chiffrement AES 128 bits via Kerberos – Permet le chiffrement AES 128 bits via Kerberos.
  • Ce compte prend en charge le chiffrement AES 256 bits via Kerberos – Permet le chiffrement AES 256 bits via Kerberos. Utilisez cette option pour les comptes privilégiés.
  • Date d’expiration du compte – Vous permet de spécifier une date de fin pour le compte.
  • Comptes d’ordinateur

En plus de contrôler les comptes d’utilisateur, vous devez également comprendre et gérer la portée des comptes d’ordinateur et de service. Lorsque vous joignez un ordinateur au domaine pour la première fois, Windows crée un compte d’ordinateur dans Active Directory, dans le conteneur Ordinateurs, et lui attribue automatiquement un mot de passe. AD gère ces mots de passe et les met à jour automatiquement tous les 30 jours.

En plus de contrôler les comptes d’utilisateur, vous devez également comprendre et gérer la portée des comptes d’ordinateur et de service. Lorsque vous joignez un ordinateur au domaine pour la première fois, Windows crée un compte d’ordinateur dans Active Directory, dans le conteneur Ordinateurs, et lui attribue automatiquement un mot de passe. AD gère ces mots de passe et les met à jour automatiquement tous les 30 jours.

Pour gérer les autorisations des comptes d’ordinateur et contrôler les stratégies de groupe qui leur sont appliquées, vous pouvez les ajouter à des groupes et les déplacer vers différentes unités d’organisation. Vous pouvez également désactiver et réinitialiser les comptes d’ordinateur :

  • Un compte d’ordinateur désactivé ne peut plus se connecter au domaine. Si vous supprimez un compte d’ordinateur alors que cet ordinateur est toujours opérationnel, et si vous souhaitez que cet ordinateur soit réintégré au domaine, vous devez joindre à nouveau l’ordinateur au domaine.
  • La réinitialisation d’un compte d’ordinateur supprime la connexion entre l’ordinateur et le domaine.
  • Comptes de service

Les comptes de service sont un type de compte spécial que les services Windows utilisent pour interagir avec le système d’exploitation et les ressources du réseau. (Il est également possible de créer des comptes d’utilisateur et de les configurer de manière à ce qu’ils fonctionnent comme des comptes de service, mais ce n’est pas pratique.)

Il existe trois types de comptes de service intégrés :

  • Système local – Le compte NT AUTHORITY\SYSTEM possède des privilèges équivalents à ceux du groupe local Administrateurs sur l’ordinateur.
  • Service local – Le compte NT AUTHORITY\LocalService possède des privilèges équivalents à ceux du groupe local Utilisateurs sur l’ordinateur.
  • Service réseau – Le compte NT AUTHORITY\NetworkService possède des privilèges équivalents à ceux du groupe local Utilisateurs sur l’ordinateur.

Pour protéger ces comptes, assurez-vous qu’un administrateur système met régulièrement à jour leurs mots de passe. Ce processus est manuel si vous utilisez des outils natifs.

  • Comptes de services gérés de groupe et comptes virtuels

Un compte de services gérés de groupe est un type spécial de compte de service, pour lequel AD met automatiquement à jour les mots de passe. Un compte virtuel est l’équivalent local, spécifique à un ordinateur, d’un compte de services gérés de groupe.

Utilisation de Windows Defender Credential Guard (Protection des informations d’identification de Windows Defender)

Windows Defender Credential Guard est une nouvelle technologie de Windows 10 et Windows Server 2016, qui contribue à protéger les informations d’identification contre les attaquants qui essaient de les récupérer à l’aide de logiciels malveillants. Windows Defender Credential Guard met en œuvre une sécurité basée sur la virtualisation, qui vous permet d’isoler des éléments secrets, par exemple des informations d’identification en cache, afin que seul un logiciel doté de privilèges adéquats puisse y accéder.

En matière de sécurité basée sur la virtualisation, les processus spécifiques qui utilisent des informations d’identification ou des données, et la mémoire associée à ces processus, sont exécutés dans un système d’exploitation distinct, parallèle au système d’exploitation hôte mais indépendant de celui-ci. Ce système d’exploitation virtuel protège les données utilisées et stockées par les processus des tentatives de lecture par un logiciel externe. Windows Defender Credential Guard tire parti de la sécurité matérielle, notamment le démarrage sécurisé et la virtualisation.

Vous pouvez gérer Windows Defender Credential Guard à l’aide de la stratégie de groupe, de Windows Management Instrumentation (WMI) ou de Windows PowerShell.

Windows Defender Credential Guard ne permet pas d’utiliser :

  • La délégation Kerberos sans contrainte
  • NT LAN Manager version 1 (NTLMv1)
  • Microsoft Challenge Handshake Authentication Protocol (MS-CHAPv2)
  • Digest
  • Credential Security Support Provider (CredSSP)
  • Le chiffrement Kerberos DES

Local Administrator Password Solution (Solution de gestion des mots de passe des administrateurs locaux)

La solution LAPS de Microsoft fournit un référentiel central sécurisé pour les mots de passe de tous les comptes administrateurs locaux intégrés, elle automatise la bonne gestion de ces mots de passe. Notamment, LAPS :

  • S’assure que les mots de passe des administrateurs locaux sont uniques sur chaque ordinateur
  • Change automatiquement tous les mots de passe des administrateurs locaux tous les 30 jours
  • Fournit des autorisations configurables pour le contrôle d’accès aux mots de passe
  • Transmet les mots de passe au client de manière sécurisée et chiffrée

Utilisation du Centre d’administration Active Directory

Le centre d’administration Active Directory vous permet de rechercher dans votre Active Directory les comptes dont des attaquants peuvent prendre le contrôle. Il est particulièrement recommandé de vérifier régulièrement les types de comptes suivants :

  • Les comptes d’utilisateur dont les mots de passe n’expirent jamais – Vous devriez éviter de configurer des comptes avec des mots de passe immuables, car ils sont moins sûrs que les comptes dont les mots de passe doivent être régulièrement mis à jour par les utilisateurs.
  • Les comptes d’utilisateur inactifs – Les comptes d’utilisateur inactifs sont généralement ceux de personnes ayant quitté l’entreprise. La console du Centre d’administration Active Directory vous permet de repérer les comptes qui ne se sont pas connectés depuis un certain nombre de jours.

La suppression ou la désactivation de ces comptes d’utilisateur évite qu’ils ne soient utilisés à mauvais escient par des attaquants externes ou des utilisateurs internes malveillants.

Récapitulatif

Comme vous pouvez le constater, Windows Server 2016 offre de nombreuses fonctionnalités qui vous permettent de protéger les informations d’identification dans votre environnement. Vous pouvez les utiliser toutes ou seulement certaines d’entre elles. Il est particulièrement judicieux d’utiliser les comptes de services gérés de groupe, Windows Defender Credential Guard et LAPS, qui améliorent considérablement la sécurité informatique en nécessitant relativement peu d’efforts.