Gestion des administrateurs

Les comptes utilisés par les administrateurs sont souvent la cible des attaquants car leurs accès privilégiés permettent généralement d’accéder aux différents systèmes de l’organisation. Nous allons voir ci-dessous quelques bonnes pratiques pour mieux se protéger.

Restreindre les privilèges

En limitant le nombre d’administrateurs, vous réduisez non seulement votre surface d’attaque, mais vous facilitez également la gestion grâce à un périmètre plus restreint. Le groupe des administrateurs ne devrait compter que des utilisateurs qui en ont vraiment besoin pour exercer leurs fonctions. Les comptes de service, qui sont également une cible des attaquants (attaque telle que le Kerberoasting), bénéficient souvent des droits administrateurs alors qu’ils ne sont pas toujours nécessaires pour leur bon fonctionnement.

Faire la part des choses

Les administrateurs ne doivent pas utiliser le compte administrateur pour effectuer des tâches non administratives. Il est recommandé d’avoir deux types de comptes : un compte avec un minimum de privilèges et un deuxième pour les tâches administrateur. Cela signifie que tous les utilisateurs doivent se connecter avec un compte qui dispose des autorisations minimales pour effectuer leur travail. Il est judicieux de ne pas rendre les comptes administrateurs facilement reconnaissables par des normes de dénomination telles que l’ajout de “Admin” ou “Adm” avant ou après le nom du compte.

Renforcer la politique des mots de passe

Les comptes administrateurs doivent disposer d’une politique plus stricte que les comptes ordinaires concernant les exigences en matière de mot de passe. Il est recommandé d’utiliser une authentification à deux facteurs, des cartes à puce ou des jetons matériels lorsque cela est possible et spécialement pour les accès à distance. Les normes telles que le CIS (Center for Internet Security) ou la publication NIST 800-53 spécifient des recommandations concernant les mots de passe. Il est préférable d’avoir un mot de passe plus long (plus de 20 caractères) pour les administrateurs de domaine au lieu de la longueur par défaut, plus courte.

Désactiver, puis purger les comptes des anciens administrateurs

Les comptes administrateurs des anciens employés doivent être au moins désactivés. En effet, l’employeur peut encore avoir besoin des accès afin de suivre les communications envoyées dans la boîte de réception de l’ex-employé pendant une période déterminée. Il est recommandé de supprimer le compte s’il n’est plus utile.

Configurer des alertes avec des actions automatiques

La mise en œuvre et la configuration d’un programme de gestion des comptes à privilèges (PAM) peuvent être assez longues et coûteuses, mais c’est un investissement qui mérite d’être effectué. Il est recommandé lors de la configuration de commencer par les comptes des administrateurs qui sont les plus critiques. Assurez-vous de faire respecter les exigences en matière de vérification et de complexité après chaque changement de mot de passe.