![Pour « prévenir avant de guérir », pensez à l’audit de sécurité informatique !](https://media-center.appvizer.com/articles/128757424/cover/fr/cover-picture_w227.webp)
![Module e-learning : découvrez comment créer une formation vraiment efficace](https://media-center.appvizer.com/articles/122101431/cover/fr/cover-picture_w600.webp)
Augmentez la sécurité de l’Active Directory en suivant ces 9 bonnes pratiques
#1 Auditez régulièrement votre Active Directory #2 Respectez le principe du moindre privilège #3 Gérez au mieux les comptes privilégiés #4 Configurez vos hôtes d’administration sécurisés #5 Sécurisez les contrôleurs de domaine #6 Déployez une politique de mot de passe #7 Mettez à jour vos antivirus #8 Effectuez des sauvegardes régulières de votre AD # 9 Formez-vous sur la sécurité Active Directory La sécurité Active Directory en bref
Introduit par Microsoft sur Window 2000, l’Active Directory, ou AD, permet à votre entreprise de gérer les processus d’identification de vos collaborateurs aux ressources. Un dispositif bien pratique donc… mais qui constitue potentiellement une porte d’entrée pour les pirates informatiques !
En effet, les annuaires contiennent de précieuses informations, notamment sur les éléments d’authentification des utilisateurs. Imaginez un peu : une personne mal intentionnée parvient à obtenir des droits administrateur… et c’est tout le système d’information de votre organisation qui se retrouve compromis !
C’est pourquoi nombre d’experts et organismes, à commencer par Microsoft et l’ANSSI eux-mêmes, prodiguent tout un tas de recommandations en ce sens.
Pour vous aider à y voir plus clair, voici un condensé des meilleurs conseils de pro pour augmenter la sécurité de votre environnement AD, sous la forme de 9 bonnes pratiques Active Directory à suivre absolument.
#1 Auditez régulièrement votre Active Directory
Pour commencer, auditez fréquemment votre environnement Active Directory. L’objectif ? Adopter une démarche proactive et ainsi appliquer des actions correctives avant qu’il ne soit trop tard.
Plus concrètement, il existe une multitude d’objets et d’événements à surveiller. Il s’agit notamment d’examiner régulièrement les comptes utilisateurs afin de détecter ceux qui :
- ne sont pas conformes à vos exigences de sécurité ;
- ne semblent pas légitimes au sein de l’entreprise ;
- ou encore ne bénéficient pas du niveau de privilèges adéquat.
Cette vérification doit également porter sur les stations de travail, et non uniquement sur les serveurs et les contrôleurs de domaine.
💡 À savoir : grâce aux journaux d’événements de sécurité Windows, gardez un œil sur les modifications réalisées et identifiez les comportements suspects, comme des tentatives d’intrusion ou des modifications sur un compte administrateur privilégié.
#2 Respectez le principe du moindre privilège
Une des principales bonnes pratiques de sécurité dans l’AD consiste à limiter les droits à hauts privilèges aux personnes légitimes, en particulier :
- aux administrateurs du domaine,
- aux administrateurs de l’entreprise,
- aux administrateurs de domaine local.
Le but d’une telle démarche ?
- Déployer en priorité les efforts sur les comptes reliés aux données plus sensibles, d’autant plus si votre organisation opère avec une structure AD complexe.
- Limiter au maximum la casse si une personne ou un logiciel malveillant s’infiltre dans vos comptes administrateurs.
- Faire en sorte que chaque collaborateur ait uniquement accès aux droits nécessaires à la réalisation de son travail, et mettre à jour ces autorisations dès que des changements surviennent dans son poste ou ses missions.
Vous pouvez cependant regrouper certains utilisateurs, en fonction des besoins métier, dans un même groupe de sécurité Active Directory. Vous facilitez ainsi l’administration des autorisations, en évitant d’attribuer les droits un à un.
💡 À savoir : si vous souhaitez gérer plus finement la gouvernance dans l’Active Directory, nous vous recommandons d’opter pour le Tier-model proposé par Microsoft. Ce dernier implique de séparer les différents éléments de votre infrastructure selon leur degré d’importance :
- Niveau 0 : les objets les plus critiques, dont ceux relatifs au contrôle des identités,
- Niveau 1 : les serveurs, applications et cloud,
- Niveau 2 : les machines des utilisateurs (ordinateurs fixes, ordinateurs portables, terminaux mobiles, etc.).
Ensuite, pour chacune de ces couches, attribuez un compte d’administration différent. En effet, les éléments les plus sensibles seront plus faciles à surveiller si les comptes associés sont regroupés.
![Sécurité Active Directory : Tier-model Sécurité Active Directory : Tier-model](https://www.datocms-assets.com/17507/1654699269-paw_rm_fig1.jpeg?fit=max&fm=webp&q=60&w=736)
![Sécurité Active Directory : Tier-model Sécurité Active Directory : Tier-model](https://www.datocms-assets.com/17507/1654699305-paw_rm_fig4.jpeg?fit=max&fm=webp&q=60&w=736)
#3 Gérez au mieux les comptes privilégiés
Vous l’aurez compris, les comptes à privilèges constituent une porte d’entrée idéale dans votre système d’information.
Ils doivent donc bénéficier d’une protection renforcée. Par exemple :
- n’y intégrez aucun utilisateur quotidien ;
- appliquez les règles de sécurité et d’accès propres à chaque type de compte privilégié (compte d’administrateur local, d’administrateur de domaine, etc.) ;
- instaurez des contrôles d’authentification robustes, à l’image de l’authentification multifacteur avec carte à puce ;
- mettez à disposition de ces utilisateurs des stations de travail dotées d’une protection accrue PAW (Privileged Access Workstation), incluant des fonctionnalités telles que le chiffrement du disque ;
- déployez une solution de PAM (Privilege Account Management) afin de surveiller au mieux les accès à partir de comptes à privilèges ;
☝️ Ces accès privilégiés ne doivent pas être permanents, et nécessitent d’être questionnés régulièrement.
#4 Configurez vos hôtes d’administration sécurisés
D’après la définition de Microsoft, les hôtes d’administration sont « des stations de travail ou des serveurs qui ont été configurés spécifiquement pour créer des plateformes sécurisées à partir desquelles les comptes privilégiés peuvent effectuer des tâches d’administration dans Active Directory ou sur les contrôleurs de domaine, les systèmes joints à un domaine et les applications s’exécutant sur des systèmes joints à un domaine. ».
Ici, il faut entendre par « comptes privilégiés » ceux évoqués précédemment, mais aussi tous les comptes ayant reçu des droits pour procéder à des tâches administratives, de type support technique.
Par conséquent, augmentez la protection de ces ordinateurs, en exigeant par exemple :
- un niveau de sécurité équivalent à celui des systèmes informatiques gérés,
- le renforcement de la protection physique de ces postes de travail (contrôle des accès physiques notamment),
- une authentification forte (via carte à puce) pour exécuter les activités.
#5 Sécurisez les contrôleurs de domaine
Les contrôleurs de domaine, serveurs destinés à stocker la base de données services de l’AD et à gérer entre autres l’authentification, les utilisateurs et les applications, constituent également une cible privilégiée des hackers.
De ce fait, il convient :
- de protéger au maximum ces contrôleurs de domaine. Par exemple, Microsoft recommande, dans les centres de données, de les placer dans des racks ou cages sécurisés et distincts ;
- de sécuriser les systèmes d’exploitation des contrôleurs de domaine, en utilisant notamment la version la plus récente de Windows Server ;
- de déployer une configuration sécurisée initiale des contrôleurs de domaine, qui peut ensuite être appliquée par des objets de stratégie de groupe.
#6 Déployez une politique de mot de passe
Les systèmes d’authentification des utilisateurs s’avèrent également un élément de vulnérabilité.
Pourtant, il est nécessaire de trouver un bon compromis pour assurer la sécurité de l’environnement Active Directory tout en évitant les comportements à risques. Par exemple, demander aux collaborateurs de renouveler trop régulièrement leurs mots de passe, c’est prendre le risque qu’ils les notent sur des supports peu sûrs.
Pour autant, les identifiants utilisés sont tenus de respecter un certain nombre de règles, via le déploiement d’une politique de mot de passe. Cette dernière exige généralement :
- le choix de mots de passe complexes, constitués par exemple :
- de 12 caractères minimum,
- de caractères spéciaux,
- de chiffres,
- de majuscules,
- de minuscules,
- la confidentialité de ces mots de passe, qui ne doivent jamais être partagés, notés, divulgués,
- l’usage d’identifiants différents en fonction des services,
- l’utilisation de la double authentification ou de l’authentification forte si nécessaire,
- le déploiement de cette politique via des GPO ou des FGPP pour affiner les exigences de sécurité en fonction des utilisateurs.
💡 Notre conseil : au regard des enjeux associés aux mots de passe des collaborateurs, nous recommandons l’utilisation d’outils spécialisés. Tel est le cas de Specops Password Policy, spécifiquement conçu pour l’application d’une politique de mot de passe au sein de l’Active Directory. Grâce à ce logiciel, vous respectez aux mieux les règles de sécurité et normes établies (HIPPA, NCSC, ANSSI, etc.), puisque vous pouvez entre autres :
- bloquer l’utilisation de mots de passe faibles ou de ceux présents dans un dictionnaire ;
- imposer des règles de sécurité par utilisateur (durée de vie du mot de passe, longueur, complexité) ;
- utiliser un ciblage granulaire à tout niveau d’un GPO ;
- repérer facilement les mots de passe compromis présents dans votre système AD.
#7 Mettez à jour vos antivirus
La mise à jour fréquente des logiciels antivirus sur vos applications ainsi que sur vos systèmes d’exploitation vous offre une solide protection contre les failles de sécurité potentielles, grâce à l’application des derniers correctifs.
Bien sûr, nous vous recommandons de surveiller en parallèle les éventuelles suppressions ou désactivations de ces outils.
#8 Effectuez des sauvegardes régulières de votre AD
Il est vivement conseillé d’effectuer des sauvegardes régulières de votre AD, et ce, sur plusieurs emplacements différents, dont idéalement un amovible (puisque les hackers s’en prennent désormais aux logiciels de sauvegarde).
En parallèle, réalisez des tests sur ces sauvegardes. De cette manière, vous vous assurez qu’en cas de problème, vous êtes en mesure de procéder à une reconstruction de l’Active Directory rapide et fiable.
# 9 Formez-vous sur la sécurité Active Directory
Cet article a pour vocation de vous présenter les principales bonnes pratiques à appliquer pour sécuriser votre annuaire Active Directory.
Toutefois, pour aller plus loin dans votre approche, nous vous conseillons de lire la documentation complète d’experts à ce sujet, en particulier :
- le rapport exhaustif de l’ANSSI, intitulé Recommandations de sécurité relatives à l’Active Directory,
- Durcissement et recommandations du CERT-FR,
- les Meilleures pratiques pour la sécurisation d’Active Directory par Microsoft.
💡 À savoir : pour vous perfectionner, sachez aussi qu’il existe des formations à la sécurité Active Directory.
La sécurité Active Directory en bref
Opérer dans un environnement AD est bien pratique, mais nécessite une sécurité de tous les instants.
C’est pourquoi on rencontre de nombreuses recommandations sur la toile en ce sens. Elles impliquent, entre autres, une gestion fine des comptes et des accès, des audits réguliers de l’environnement Active Directory ou encore une sécurisation accrue des infrastructures en fonction de leur niveau de criticité.
Cependant, les attaques informatiques se faisant de plus en plus complexes, il convient de remettre en question en permanence votre structure AD. Grâce à ce processus continu, mais également à la bonne méthodologie ainsi qu’aux outils appropriés, vous construirez un solide rempart pour garder vos données loin des individus malveillants.
Découvrez notre catalogue complet en Sécurité informatique
Voir tous les logiciels![Pour « prévenir avant de guérir », pensez à l’audit de sécurité informatique !](https://media-center.appvizer.com/articles/128757424/cover/fr/cover-picture_w227.webp)
![Comment mettre en place un processus efficace de gestion des incidents informatiques ?](https://media-center.appvizer.com/articles/33212717/cover/fr/cover-picture_w227.webp)
![Cyber Threat Intelligence : une héroïne exceptionnelle face aux menaces sur vos données !](https://media-center.appvizer.com/articles/143672957/cover/fr/cover-picture_w227.webp)
![Office 365 Security : le guide complet pour renforcer la sécurité de votre environnement Microsoft](https://media-center.appvizer.com/articles/144673193/cover/fr/cover-picture_w227.webp)
![Protection contre les ransomwares : 10 conseils pour vous armer efficacement contre les attaques !](https://media-center.appvizer.com/articles/144608498/cover/fr/cover-picture_w227.webp)
![Pourquoi faut-il (absolument) adopter une politique de sécurité informatique dans votre entreprise ?](https://media-center.appvizer.com/articles/144591851/cover/fr/cover-picture_w227.webp)
![Tout comprendre sur le spearphishing… pour ne plus être une cible facile !](https://media-center.appvizer.com/articles/141532591/cover/fr/cover-picture_w227.webp)
![Mot de passe unique : comment l’authentification OTP renforce la sécurité de votre entreprise](https://media-center.appvizer.com/articles/123885161/cover/fr/cover-picture_w227.webp)
![Double authentification par SMS : 4 étapes pour cracker le code de son utilisation !](https://media-center.appvizer.com/articles/123896572/cover/fr/cover-picture_w227.webp)
![Le mail crypté : la clé pour protéger vos données sensibles](https://media-center.appvizer.com/articles/128618831/cover/fr/cover-picture_w227.webp)
![Attaque man in the middle : comment se protéger d’une cybermenace ultra-sophistiquée ?](https://media-center.appvizer.com/articles/123880920/cover/fr/cover-picture_w227.webp)
![Qu’est-ce que la sécurité zero trust ? Définition et éclairage](https://media-center.appvizer.com/articles/123141466/cover/fr/cover-picture_w227.webp)
![Créer une stratégie de mot de passe via GPO et PSO : le tuto complet !](https://media-center.appvizer.com/articles/122813358/cover/fr/cover-picture_w227.webp)
![PSSI informatique, la stratégie infaillible pour assurer la sécurité de votre système d'information](https://media-center.appvizer.com/articles/121609917/cover/fr/cover-picture_w227.webp)
![Pourquoi choisir une solution de cybersécurité à 360° en 2024 ?](https://media-center.appvizer.com/articles/33212018/cover/fr/cover-picture_w227.webp)
![Attaque de ransomware : ne cédez pas au chantage des hackers et déjouez habilement leurs pièges](https://media-center.appvizer.com/articles/101668503/cover/fr/cover-picture_w227.webp)
![Comment empêcher l’usurpation de votre identité email ?](https://media-center.appvizer.com/articles/97417055/cover/fr/cover-picture_w227.webp)
![Attaque par dictionnaire : et si un dictionnaire de mot de passe était la solution ?](https://media-center.appvizer.com/articles/60036102/cover/fr/cover-picture_w227.webp)
![Qu'est-ce que la FGPP, ou comment appliquer une politique de mot de passe affinée ?](https://media-center.appvizer.com/articles/52938595/cover/fr/cover-picture_w227.webp)