Vous souhaitez être appelé gratuitement par un de nos conseillers ?

Nos conseillers sont disponibles du lundi au vendredi de 9h à 12h et de 14h à 18h

Merci, nos conseillers vont vous rappeler.

Demander une démo
fr / en /
Demander une démo
fr / en /

Les erreurs les plus courantes de gestion de l’active directory

par Netwrix • 23 Oct 2019

Utiliser son compte administrateur pour un usage quotidien

N’utilisez pas les comptes d’administrateur de domaine, ou même de domaine local pour vous connecter si vous n’avez pas besoin des privilèges afférents. Utilisez un compte normal pour ouvrir une session sur un ordinateur et un compte privilégié/administrateur uniquement pour les privilèges élevés. La raison de cette séparation est d’éviter les brèches de sécurité comme une tentative de hameçonnage ou une injection de malware, lorsque vous êtes connecté à un compte disposant de certifications élevées.

Ne pas déléguer les accès

Ignorer le concept du privilège minimum est un problème de sécurité majeur. Envisagez un modèle de sécurité d’Active Directory délégué, en particulier pour les tâches administratives courantes telles que le déverrouillage de comptes et la réinitialisation de mots de passe. Vous devez évaluer avec soin les fonctions de toute personne ayant besoin de travailler avec AD. Pensez à des processus spécifiques qui peuvent être automatisés. Par exemple, le rôle de helpdesk peut comporter des autorisations pour réinitialiser les mots de passe utilisateurs, connecter des ordinateurs au domaine et modifier certains groupes de sécurité. Utilisez meilleures pratiques de délégations d’AD pour une gestion plus efficace des délégations AD.

Plan de sauvegarde et de récupération « trop maigre »

Si vos plans de sauvegarde/restauration sont insuffisants et qu’une personne supprime un objet d’Active Directory, comment pouvez-vous annuler cette modification non autorisée ?  Planifier et analyser les options de récupération sont un must pour toute organisation afin de corriger rapidement les erreurs.  Configurez et utilisez soit une Tombstone AD soit la Corbeille pour pouvoir récupérer les objets AD. Envisagez un modèle sécurisé de délégation pour Active Directory, notamment pour des tâches d’administration courantes, telles que le déblocage des comptes et la réinitialisation de mots de passe.

Gérer Active Directory depuis vos contrôleurs de domaine

Cela signifie que l’administrateur se connecte physiquement à un contrôleur de domaine et qu’il lance les outils de gestion du serveur. Cette mauvaise pratique n’est pas limitée à la gestion normale des objets AD, elle peut également se produire avec la Gestion de la Stratégie de Groupe, et les consoles DHCP et DNS. Comme le suggèrent les meilleurs pratique, les contrôleurs de domaine doivent exécuter uniquement les rôles nécessaires pour les services du domaine (qui comprennent le rôle DNS, mais ne doivent jamais utiliser le Contrôleur de Domaine pour le DNS ; toujours montrer un autre contrôleur de domaine), et toute l’administration quotidienne doit être effectuée sur des machines administratives protégées.

Ne pas supprimer des comptes périmés

Les comptes périmés doivent être désactivés, puis supprimés, car si vous les laissez intacts, un ancien employé ou un utilisateur malveillant peut s’en servir pour l’exfiltration de données. Un environnement AD sain est un environnement AD propre. Lorsqu’un administrateur laisse des utilisateurs, des ordinateurs, des groupes ou même des GPOs, ils compliquent également et inutilement leur environnement.

Une mauvaise politique des mots de passe

Avant d’attribuer la vulnérabilité des mots de passe aux mauvaises habitudes des utilisateurs, vous voudrez examiner vos politiques de mots de passe par rapport à la conformité et aux meilleures pratiques. Voici quelques conseils :

Ne pas faire d’audit

Surveillez l’état de santé d’AD, et réparez rapidement les interruptions du service. Augmentez au maximum la taille du journal des événements sur votre contrôleur de domaine. Toujours tracer les modifications dans Active Directory, notamment les modifications au Groupe Administrateurs du Domaine. Pour tracer les modifications, vous devez mettre en œuvre une stratégie d’audit.  Le suivi des modifications facilitera sans aucun doute votre analyse et le processus de dépannage.

Avez-vous découvert que les erreurs décrites sont habituelles dans votre domaine ? Ne le faites pas savoir, corrigez-les rapidement, et prétendez que vous avez toujours géré Active Directory comme un pro !

 

Source : netwrix.fr

S'inscrire à la newsletter

Restez informé de l’actualité ESBD

Merci de vous être abonné(e) à notre newsletter.