Active Directory est l'un des principaux composants des réseaux d'entreprise pour les systèmes d'authentification des utilisateurs et de gestion des accès. Il s'agit d'un système qui contient et contrôle les ressources réseau telles que les comptes utilisateurs et les paramètres de sécurité pour un environnement d'entreprise.
Active Directory est responsable d'importantes fonctions de sécurité au sein des réseaux d'entreprise actuels. Il détermine quels utilisateurs sont autorisés à accéder à certaines ressources, fournit l'accès aux certificats de sécurité et applique les politiques de sécurité sur tous les appareils et systèmes connectés. Active Directory est le mécanisme fiable utilisé par les organisations pour garantir l'application de procédures de sécurité cohérentes afin de protéger les données sensibles contre tout accès non autorisé.
Dans cet article, nous allons découvrir ce qu'est la sécurité Active Directory, comment elle est attaquée par les acteurs malveillants et ce que les organisations peuvent faire pour atténuer ces attaques. Nous nous concentrerons sur les solutions techniques et les différents contrôles de sécurité permettant de protéger l'infrastructure Active Directory.
Qu'est-ce que la sécurité Active Directory ?
La sécurité Active Directory est une série de mesures visant à éviter toute compromission de l'infrastructure du service d'annuaire. Le système fonctionne grâce à des contrôleurs de domaine, qui sont des serveurs répondant aux demandes d'authentification de sécurité au sein d'un réseau Windows Server.
Pourquoi la sécurité Active Directory est-elle importante ?
La sécurité Active Directory est un élément essentiel de la défense d'une entreprise, car elle contrôle l'accès aux ressources réseau et aux données sensibles. Active Directory est le point d'entrée de la plupart des réseaux d'entreprise. En cas de faille de sécurité, les pirates peuvent naviguer sur le réseau et accéder à des systèmes auxquels ils ne devraient pas avoir accès. Les compromissions d'Active Directory posent des risques opérationnels importants pour les organisations, entraînant le vol de données, des temps d'arrêt du système et des violations de la conformité réglementaire. .
Les configurations Active Directory présentant des failles de sécurité donnent lieu à de multiples points d'entrée pour les attaques. La présence de mots de passe faibles, d'autorisations mal configurées et de vulnérabilités non corrigées offre des points d'accès potentiels pouvant être exploités. Une fois l'accès initial obtenu, les attaquants exploitent les relations de confiance entre les différents domaines pour finalement accéder à leur domaine cible final. Les piratages de contrôleurs de domaine sont les plus dommageables, car ces serveurs contiennent les informations d'authentification de tous les utilisateurs du domaine.
Les attaques AD ont des temps de récupération longs. Le rétablissement de configurations sécurisées nécessite des audits approfondis des autorisations des utilisateurs, des relations de confiance et des paramètres de stratégie de groupe. Les fonctions commerciales sont entravées pendant la vérification de la sécurité et la restauration des systèmes.
Composants clés de la sécurité Active Directory
Plusieurs composants sont connectés entre eux pour sécuriser Active Directory. Les protocoles d'authentification tels que Kerberos et NTLM vérifient l'identité des utilisateurs avant de leur autoriser l'accès aux ressources. Ils permettent l'utilisation de tickets cryptés et de mécanismes de réponse à des défis afin d'assurer la protection des informations d'identification sur l'ensemble du réseau.
Les mécanismes de contrôle d'accès spécifient les ressources auxquelles les utilisateurs ont accès. Les listes de contrôle d'accès (ACL) accordent des autorisations aux entités de sécurité, qui sont des comptes d'utilisateurs ou des groupes de sécurité (ensembles de comptes d'utilisateurs). Ces autorisations sont utilisées pour permettre des opérations sur des objets d'annuaire tels que la lecture, l'écriture ou la modification.
Les politiques de sécurité de domaine appliquent des contrôles standardisés dans l'ensemble de leurs domaines. Les politiques de mot de passe appliquent des règles concernant notamment la complexité, la durée de validité et la réutilisation des mots de passe. Pour se prémunir contre les attaques par force brute, dans lesquelles des acteurs malveillants tentent de deviner et de contourner les mesures de sécurité, les politiques de verrouillage de compte garantissent que les tentatives de connexion ne sont couronnées de succès que lorsqu'elles sont utilisées de manière appropriée.
Menaces courantes pour la sécurité d'Active Directory
Active Directory est le point central de l'authentification et du contrôle d'accès au sein d'un réseau. Il est la cible principale de multiples menaces de sécurité. Les attaquants exploitent les éléments d'Active Directory en utilisant un ensemble de techniques pour obtenir un accès non autorisé ou le contrôle des ressources du domaine.
1. Attaques basées sur les comptes
Le " password spraying " et les tentatives de force brute contre les comptes utilisateurs sont des pratiques courantes chez les acteurs malveillants. Ces attaques contre les comptes ou les mots de passe ciblent de nombreux comptes à l'aide de mots de passe courants ou testent plusieurs mots de passe sur des comptes spécifiques. Les attaquants qui utilisent des outils automatisés peuvent essayer des milliers de combinaisons de mots de passe, contournant ainsi les verrouillages de compte. Les comptes utilisateurs sont souvent parmi les premiers points d'entrée, en particulier ceux qui disposent d'un accès administratif de haut niveau.
2. Vol d'identifiants
À l'aide de divers outils, les attaquants extraient les identifiants de la mémoire. Les attaquants sont connus pour voler les hachages de mots de passe et même les tickets Kerberos stockés dans la mémoire du processus LSASS. Les outils de vidage des identifiants extraient ces éléments d'authentification directement des contrôleurs de domaine ou des postes de travail. Si les attaquants disposent d'identifiants valides, ils peuvent souvent se faire passer pour un utilisateur légitime et contourner les contrôles d'authentification normaux.
3. Exploitation des services d'annuaire
Les failles des protocoles et services Active Directory ouvrent la voie à des opportunités d'attaque. Les erreurs de configuration LDAP permettent des connexions simples, exposant ainsi les requêtes d'annuaire à des manipulations. Les paramètres de transfert de zone DNS et les configurations de mise à jour dynamique créent des vulnérabilités lorsqu'ils ne sont pas correctement sécurisés. Ces problèmes au niveau du service sont ensuite utilisés par les attaquants pour obtenir des informations sur l'architecture et les actifs du domaine.
4. Attaques par réplication
Les processus de réplication des contrôleurs de domaine sont confrontés à des menaces spécifiques. Les attaques DCSync lisent les données de mot de passe via les protocoles de réplication. Si les attaquants accèdent au trafic de réplication, ils peuvent modifier ces données lorsqu'elles transitent d'un contrôleur de domaine à un autre. Lorsque la réplication échoue, cela révèle des incohérences dans les données, créant ainsi des failles de sécurité dans l'application des politiques à l'échelle du domaine.
Comment fonctionnent les attaques Active Directory ?
La compromission du domaine est réalisée à l'aide de différents types de techniques d'attaque Active Directory. Ces approches attaquent différents éléments du système d'authentification et d'autorisation, et souvent, une combinaison d'approches est utilisée pour obtenir un accès complet au réseau. La connaissance de ces modèles d'attaque permet aux organisations de mettre en place des mesures de défense efficaces.
Techniques d'escalade des privilèges
L'escalade des privilèges est une technique utilisée par les attaquants pour obtenir un accès de niveau supérieur aux environnements Active Directory (à partir d'un niveau de base). Elle consiste dans un premier temps à exploiter les comptes courants d'utilisateurs normaux utilisant des mots de passe faibles ou à mener des attaques de phishing efficaces. Des méthodes avancées permettent aux attaquants de contourner le compte de service mal configuré fonctionnant avec les privilèges d'administrateur de domaine.
Attaques par kerberoasting
Le kerberoasting vise les comptes de service dans AD. Il fonctionne en effectuant des demandes de tickets TGS pour les services fonctionnant sous des comptes de domaine. Dans ces tickets, les hachages du mot de passe du compte de service sont présentés sous forme cryptée. Les pirates extraient ces hachages hors ligne pour tenter de cracker les mots de passe. Cette méthode est particulièrement dangereuse pour les comptes de service dont les mots de passe sont faibles, car ils disposent souvent de privilèges administratifs.
Attaques Pass-the-Hash et Pass-the-Ticket
Ces attaques fonctionnent à partir d'ensembles d'identifiants précédemment capturés et réutilisés. Dans les attaques " pass-the-hash ", les pirates volent les hachages de mots de passe NTLM d'une machine et les utilisent pour s'authentifier sur d'autres machines. Une autre approche est l'attaque " pass-the-ticket ", qui repose sur les mêmes principes, mais cible les tickets Kerberos compromis plutôt que les hachages. Dans les deux cas, il s'agit de techniques de déplacement latéral utilisées sur le réseau sans avoir besoin du mot de passe réel.
Exploitation des tickets d'or et d'argent
Les attaques par ticket d'or falsifient les tickets Kerberos à l'aide du compte le plus privilégié du domaine (KRBTGT). Une fois que les attaquants ont obtenu le hachage KRBTGT, ils peuvent créer des tickets pour n'importe quel utilisateur ou service du domaine. Ils permettent de contourner les contrôles de sécurité normaux et persistent même lorsque les mots de passe sont modifiés.
Au lieu du compte KRBTGT à l'échelle du domaine, les attaques par ticket argenté sont menées contre des comptes de service spécifiques. Une fois que l'attaquant a obtenu le hachage d'un compte de service, il peut créer des tickets de service falsifiés pour ce service. Ces tickets leur permettent d'accéder à un nombre limité de services, mais sont moins complets que les golden tickets.
Attaques par réplication de domaine
DCSync est une compromission qui utilise le protocole distant du service de réplication d'annuaire (MS-DRSR) pour obtenir les données de mot de passe des contrôleurs de domaine. Il extrait les hachages de mot de passe pour tous les comptes basés sur un mot de passe dans le domaine si l'attaquant dispose de droits de réplication.
Les attaques DCShadow consistent à simuler le comportement du contrôleur de domaine en enregistrant des serveurs RPC spécifiques et en créant les objets d'annuaire nécessaires pour injecter des modifications malveillantes qui se répliquent via des canaux de réplication légitimes.
Techniques de renforcement de la sécurité d'Active Directory
Les contrôles et configurations techniques peuvent améliorer la sécurité d'Active Directory des organisations. Ces techniques comprennent le renforcement des éléments essentiels de l'infrastructure du répertoire afin d'éviter une surface d'attaque plus importante et de prévenir l'impact des techniques d'exploitation couramment utilisées.
1. Renforcement de la sécurité des contrôleurs de domaine
Les contrôleurs de domaine constituent l'épine dorsale du réseau AD et doivent donc être protégés par une approche de sécurité multicouche. Cela signifie que les contrôles de sécurité physique doivent empêcher toute personne d'accéder au matériel physique du serveur, et que le renforcement de la sécurité du système d'exploitation supprime les fonctionnalités et services inutiles qui pourraient constituer un point d'entrée pour une attaque. Des mises à jour de sécurité peuvent être nécessaires sur les composants Windows Server afin de corriger les vulnérabilités connues et d'empêcher toute exploitation.
2. Configuration de la sécurité LDAP
La sécurité du protocole LDAP (Lightweight Directory Access Protocol) (LDAP) concernant les requêtes et les modifications d'annuaire nécessite une surveillance particulière. Pour atténuer les risques et éviter que le trafic d'annuaire ne soit altéré pendant sa transmission, les organisations doivent activer la signature LDAP.
Configurer la mise en œuvre de la liaison de canal pour relier les connexions LDAP à des canaux TLS spécifiques, rendant ainsi impossible le détournement de connexion. Ces paramètres sont appliqués à l'aide d'une stratégie de groupe déployée sur l'ensemble du domaine, qui nécessite la signature du serveur LDAP, la signature du client et la liaison de canal, et qui refuse la liaison simple sur les connexions non SSL et non TLS.
3. Mise en œuvre de la sécurité DNS
La sécurité DNS est l'un des aspects les plus importants de la protection Active Directory, car les services de résolution de noms sont essentiels aux fonctions de base du répertoire. En empêchant les mises à jour non autorisées des enregistrements DNS qui pourraient rediriger le trafic, les mises à jour dynamiques sécurisées sont utiles. Assurez-vous que l'intégrité de l'origine des requêtes DNS est authentifiée par la validation DNSSEC (pour empêcher l'usurpation d'identité).
4. Sécurité du protocole d'authentification
La sécurité de l'authentification concerne le processus de vérification des informations d'identification et doit être configurée avec soin. Une attention particulière doit être accordée aux paramètres Kerberos, qui doivent être configurés pour activer la prise en charge du chiffrement AES, mais désactiver RC4 comme méthode de chiffrement. Les organisations doivent définir une durée de vie maximale appropriée pour les tickets et adopter un système de notification de changement de mot de passe. La sécurité NTLM mérite également le même niveau d'attention, avec des paramètres qui désactivent les protocoles LM et NTLMv1 obsolètes tout en imposant NTLMv2 et la sécurité des sessions.
5. Contrôle d'accès administratif
Des contrôles étendus sont nécessaires pour l'accès administratif afin d'empêcher l'abus de privilèges dans le répertoire. L'accès administratif limité dans le temps et l'élévation des privilèges juste à temps doivent être appliqués par le biais de systèmes de gestion des accès privilégiés. Les organisations ont besoin d'un compte administratif distinct pour les tâches quotidiennes et d'un autre pour les opérations privilégiées. L'appartenance au groupe de sécurité des utilisateurs protégés applique des protections supplémentaires aux comptes privilégiés, et contrôle d'accès basé sur les rôles permet une attribution fine des autorisations adaptées à la fonction spécifique du poste.
Meilleures pratiques pour la sécurité d'Active Directory
Dans cette section, nous aborderons les meilleures pratiques courantes en matière de sécurité AD afin de prévenir les attaques courantes contre celle-ci.
1. Pratiques administratives sécurisées
Afin d'éviter les menaces provenant des comptes administratifs, ceux-ci doivent faire l'objet d'un contrôle opérationnel strict. Des postes de travail administratifs dédiés à la gestion des répertoires doivent être intégrés aux organisations. Cela nécessite des contrôles de sécurité rigoureux, tels que la mise sur liste blanche des applications et l'accès limité à Internet sur les postes de travail concernés. Toutes les actions administratives doivent être consignées dans un système de gestion des accès privilégiés (PAM) qui enregistre les actions administratives effectuées à partir de l'ordinateur et inclut des workflows d'approbation pour les actions sensibles.Gestion des accès privilégiés (PAM) qui enregistre les actions administratives effectuées à partir de l'ordinateur et inclut des workflows d'approbation pour les actions sensibles.
2. Mise en œuvre d'une politique en matière de mots de passe
Les politiques en matière de mots de passe constituent la base de la sécurité des comptes de domaine. Les organisations doivent définir des exigences de complexité avec un minimum de 16 caractères, des caractères variés et une période d'expiration pour les mots de passe. Afin de se prémunir contre les attaques par force brute, les comptes doivent être verrouillés pendant une période définie après un nombre limité de tentatives de connexion infructueuses. Les politiques en matière de mots de passe doivent être évaluées périodiquement afin de s'assurer qu'elles sont conformes aux pratiques de sécurité et aux scénarios de menace actuels.
3. Sécurité des stratégies de groupe
Les paramètres de sécurité sont contrôlés via la configuration des stratégies de groupe sur les systèmes joints à un domaine. Les organisations doivent appliquer des paramètres de sécurité de base afin de limiter les services inutilisés et de restreindre l'attribution des droits aux utilisateurs. Les modifications apportées aux objets de stratégie de groupe doivent également faire l'objet d'un contrôle de version et d'un processus de gestion des changements afin de garder une trace des modifications. Vérifiez que le traitement des stratégies de groupe s'effectue régulièrement afin que les stratégies soient appliquées comme prévu à tous les systèmes. L'audit des paramètres de stratégie de groupe afin de vérifier les erreurs de configuration ou les conflits de stratégies peut représenter une charge importante pour les équipes de sécurité.
4. Gestion des comptes de service
Les comptes de service ont grandement besoin de contrôles de sécurité sur mesure afin d'empêcher toute utilisation abusive lors de leur création. Chaque service ou application doit disposer de son propre compte de service fourni par une organisation. Ces comptes doivent être protégés par des mots de passe longs et complexes, difficiles à deviner, uniques pour chaque compte, et modifiés selon un calendrier défini par l'organisation. Des audits réguliers doivent être effectués afin d'identifier et de supprimer les comptes de service inutilisés ou les autorisations excessives.
5. Évaluation régulière de la sécurité
La santé d'Active Directory est maintenue grâce à une évaluation systématique des contrôles de sécurité sous la forme d'évaluations de sécurité. Les audits de privilèges sont un autre concept important que les organisations doivent mettre en œuvre de temps à autre afin d'identifier les autorisations excessives et d'éliminer celles qui ne sont pas nécessaires. Les mesures ou normes de sécurité qui ont été approuvées par la base de référence peuvent être vérifiées en effectuant des examens de la configuration du répertoire. Le rapport d'évaluation doit comporter des plans de correction assortis de délais pour combler les lacunes en matière de sécurité.
Défis pour la sécurité d'Active Directory
La mise en œuvre de la sécurité AD pose des défis importants. Ces difficultés découlent des contraintes architecturales, des exigences opérationnelles et de la complexité du système de service d'annuaire d'entreprise. Examinons-en quelques-unes.
1. Protocoles d'authentification hérités
Les systèmes hérités créent des failles de sécurité dans l'organisation en raison de l'utilisation de méthodes d'authentification obsolètes. L'authentification NTLM est toujours requise par de nombreuses applications héritées, de sorte que les organisations n'ont d'autre choix que d'activer ce protocole non sécurisé.
2. Hiérarchies d'autorisations complexes
À mesure que les environnements Active Directory se développent, les structures d'autorisations AD deviennent plus complexes et intimidantes. Les appartenances à des groupes imbriqués nuisent à la clarté. Les autorisations d'objets s'accumulent au fil du temps à travers différentes tâches administratives. La gestion des listes de contrôle d'accès (ACL) finit donc par devenir une affaire compliquée, en particulier lorsque les autorisations sont dispersées dans de nombreux systèmes et domaines de l'organisation. Il devient difficile pour les équipes de sécurité de suivre les limites claires des autorisations et de révoquer les privilèges d'accès qui ne sont plus nécessaires.
3. Gestion des relations de confiance
Les relations de confiance entre les forêts, ainsi qu'entre les différents domaines d'une même forêt, sont une question complexe, en particulier en matière de gestion de la sécurité. Les relations de confiance externes ouvrent des voies d'attaque auxquelles les équipes de sécurité doivent rester vigilantes. Les organisations ont du mal à maintenir une documentation précise de ces relations de confiance et à vérifier les paramètres de sécurité.
4. Prolifération des comptes de service
Les comptes de service sont créés lorsque les organisations lancent de nouvelles applications et de nouveaux services. La sécurité des comptes doit être gérée en permanence, les mots de passe obsolètes devant être mis à jour au fil du temps. Le changement de mot de passe pose des problèmes de dépendance des services, ce qui se traduit par des identifiants statiques qui enfreignent les politiques de sécurité. De nombreuses applications demandent des autorisations inutiles pour les comptes de service, ce qui augmente encore les surfaces d'attaque. Il est difficile pour les organisations de suivre l'utilisation des comptes de service et de nettoyer les anciens comptes.
5. Mauvaises configurations des accès privilégiés
Il est assez difficile de mettre en œuvre un contrôle d'accès administratif. Les procédures d'accès d'urgence sont généralement mises en œuvre en dehors des contrôles de sécurité normaux, ce qui crée des failles dans la sécurité. De plus, les attributions de privilèges temporaires n'expirent pas. Sans une mise en œuvre appropriée des contrôles d'accès limités dans le temps, les organisations ne peuvent pas disposer d'un inventaire précis de leurs utilisateurs privilégiés.
Sécurité Active Directory avec SentinelOne
SentinelOne ajoute des capacités spécialisées de surveillance et de protection Active Directory. La plateforme fonctionne avec les services d'annuaire pour détecter et réagir aux attaques contre l'infrastructure Active Directory.
Surveillance de l'annuaire en temps réel
Les agents SentinelOne sont déployés pour surveiller les événements et les activités Active Directory. Ils surveillent les tentatives d'authentification, les modifications des autorisations et les mises à jour du répertoire à la seconde près. Ils conservent des journaux détaillés relatifs aux actions administratives et aux événements liés à la sécurité au sein de la hiérarchie du répertoire.
Fonctionnalités de protection de l'identité
SentinelOne permet de contrôler la protection de l'identité dans l'annuaire. À l'aide des historiques d'utilisation des identifiants, SentinelOne est capable d'identifier les compromissions potentielles des identifiants. Il enregistre les tentatives d'obtention de privilèges supplémentaires et d'accès non autorisé aux fonctions d'administration du système. Il propose des réponses automatisées qui peuvent inclure une réaction aux événements d'authentification suspects et aux activités inhabituelles sur les comptes.
Actions de réponse automatisées
SentinelOne réagit automatiquement lorsque des menaces ciblent Active Directory. Parmi ces réponses figurent le blocage des tentatives d'authentification suspectes et la mise en quarantaine des appareils compromis. Les comptes compromis peuvent être fermés et les droits d'accès non autorisés peuvent être révoqués automatiquement sur la plateforme. Des politiques configurables déterminent les actions de réponse tout en garantissant la disponibilité des services d'annuaire.
Intégration de la sécurité
La plateforme se connecte de manière transparente aux outils et contrôles de sécurité existants basés sur les répertoires. À l'aide de quelques contrôles de sécurité supplémentaires, SentinelOne permet d'appliquer des stratégies de groupe. Il complète la journalisation intégrée à Windows avec des données télémétriques détaillées sur la sécurité. Il dispose de fonctionnalités d'intégration qui permettent une gestion centralisée de la sécurité des répertoires à l'aide de la console SentinelOne.
Réduire les risques liés à l'identité dans l'ensemble de votre organisation
Détecter et répondre aux attaques en temps réel grâce à des solutions globales pour Active Directory et Entra ID.
Obtenir une démonstrationConclusion
La sécurité Active Directory exige une approche globale combinant contrôles techniques, pratiques opérationnelles et surveillance continue. Les organisations sont confrontées à des menaces en constante évolution qui ciblent les services d'annuaire à l'aide de techniques d'attaque sophistiquées et exploitent diverses vulnérabilités du système. Comprendre ces menaces et mettre en œuvre des mesures de sécurité appropriées permet de protéger les systèmes critiques d'authentification et de contrôle d'accès.
Les meilleures pratiques en matière de sécurité constituent la base de la protection des environnements Active Directory. Il convient de réaliser régulièrement des évaluations de sécurité afin de détecter les vulnérabilités éventuelles et de valider l'efficacité des contrôles associés. L'accès administratif doit être géré à l'aide de systèmes spécifiques et de processus écrits, mais les comptes de service nécessitent une maintenance continue afin d'éviter les failles de sécurité. La stratégie de groupe est un excellent moyen d'appliquer des normes de sécurité à tous les systèmes joints au domaine, en ajoutant plusieurs couches de protection pour empêcher les accès non autorisés et la compromission du système.
Les solutions de sécurité modernes telles que SentinelOne offrent une protection supplémentaire et plus sophistiquée, comme la surveillance et la correction automatisée spécialement conçues pour Active Directory. Ces outils offrent une visibilité supplémentaire sur ce qui se passe dans vos répertoires tout en accélérant la détection et la réponse aux menaces.
"FAQs
La sécurité Active Directory est un ensemble de mesures et de contrôles qui sécurisent l'infrastructure du service Active Directory utilisée pour l'authentification et l'accès au réseau. Les fonctionnalités de protection intègrent des solutions pour sécuriser les contrôleurs de domaine, sécuriser les protocoles d'authentification et contrôler l'accès aux ressources dans l'environnement de l'entreprise.
La sécurité Active Directory constitue la base de la protection du réseau d'entreprise, en gérant l'accès aux ressources et en authentifiant les utilisateurs avec leur véritable identité. Une compromission réussie d'Active Directory peut entraîner une compromission totale du réseau, un vol de données et, à terme, une perturbation de tous les services/systèmes, affectant ainsi la continuité des activités.
Les violations sont détectées grâce à une surveillance continue des événements d'authentification, des répertoires et des activités des comptes. Pour atténuer la violation, certaines mesures doivent être prises, telles que l'isolation des systèmes compromis du réseau, la révocation de l'accès aux comptes, la réinitialisation des identifiants, etc.
Si Active Directory a été compromis, tout système et contrôleur de domaine particulier doit être immédiatement isolé. Corrigez les comptes KRBTGT, vérifiez les sauvegardes des répertoires, confirmez toutes les informations d'identification des comptes privilégiés dans les organisations et surveillez de près les systèmes restants.
Certaines erreurs de configuration incluent des droits d'accès privilégiés trop permissifs, des mots de passe faibles sur les comptes de service, des relations de confiance inutiles entre les domaines ou des mesures de sécurité désactivées. Les failles de sécurité sont généralement le résultat de configurations par défaut, que les pirates peuvent exploiter.
La liste de contrôle de sécurité comprend les évaluations de sécurité, les mesures de sécurité relatives au contrôle d'accès, les mesures de sécurité relatives à la stratégie de groupe, les mesures de sécurité relatives au contrôleur de domaine, et bien d'autres encore. Il incombe aux organisations de renforcer les protocoles d'authentification, de suivre les modifications apportées aux services d'annuaire et de maintenir à jour les correctifs de sécurité.
Les mesures visant à prévenir les attaques par ransomware comprennent la mise en œuvre de protocoles d'authentification sécurisés, la limitation de l'accès administratif, la mise à jour régulière des sauvegardes et la surveillance de vos réseaux afin de détecter tout événement suspect. Les organisations doivent sécuriser les contrôleurs de domaine et appliquer une segmentation du réseau afin de réduire la propagation des attaques.
