Comment sécuriser votre processus de réinitialisation de mot de passe Active Directory

Les attaquants ciblent les supports techniques avec des attaques d’ingénierie sociale pour obtenir un accès non autorisé aux comptes utilisateurs, qu’ils peuvent utiliser pour compromettre un environnement ou lancer des attaques de ransomware. Lorsque c’est fait efficacement, ils peuvent contourner l’AMF et éviter d’avoir à vérifier leur identité. Il est possible (et fortement recommandé) d’avoir une solution en place qui permet aux agents du support technique de vérifier avec précision l’identité des appelants. Cependant, si vous avez une solution en place pour vérifier les utilisateurs finaux et réinitialiser les mots de passe de manière sécurisée, vous voulez vous assurer que c’est la seule façon dont les agents du support technique peuvent réinitialiser un mot de passe.

Nous partagerons quelques étapes que vous pouvez prendre pour « sécuriser » le processus de réinitialisation de mot de passe dans Active Directory. D’abord, il est important de comprendre pourquoi une organisation voudrait renforcer son processus de réinitialisation de mot de passe. Commençons par une cyberattaque récente sur MGM Resorts qui met en évidence la vulnérabilité des supports techniques aux appels frauduleux et l’importance pour les agents du service d’assistance d’être capables d’appliquer avec précision la vérification des utilisateurs.

Attaque de MGM Resorts : une leçon d’ingénierie sociale

En septembre 2023, l’infrastructure de MGM Resorts « a été compromise » par un groupe de hackers connu sous le nom de Scattered Spider. Les hackers ont obtenu l’accès en utilisant l’ingénierie sociale pour tromper le personnel du support technique. On pense que le groupe a trouvé les informations d’un employé de MGM Resorts sur LinkedIn puis a appelé le support technique, se faisant passer pour un employé qui avait perdu son appareil et avait besoin d’une réinitialisation de mot de passe. Après que le personnel du support technique ait donné à l’attaquant un mot de passe temporaire, ils ont pu obtenir un point d’ancrage initial dans l’environnement et lancer une attaque de ransomware.

L’attaque de ransomware qui en a résulté a affecté les opérations de MGM pendant environ dix jours avant que les opérations puissent revenir à la normale. Cependant, il a été révélé plus tard que le groupe de hackers avait obtenu l’accès aux informations personnelles de ses clients, y compris les noms, les informations de contact, les numéros de sécurité sociale et d’autres informations. Cette attaque souligne le besoin pour les organisations d’avoir un moyen de vérifier l’identité des utilisateurs ayant besoin de réinitialisations de mot de passe et d’autres informations liées au compte.

Service d’assistance sécurisé : combiner sécurité et expérience utilisateur

Specops Secure Service Desk permet aux organisations de vérifier efficacement l’identité des utilisateurs finaux qui appellent le support technique pour des réinitialisations de mot de passe. En utilisant Secure Service Desk, le personnel du support technique peut envoyer un code à usage unique à un numéro de mobile associé au compte de l’utilisateur. Il permet également l’intégration avec des services d’identité courants qui peuvent déjà être utilisés, comme Duo Security, Okta et d’autres. Cela permet au support technique de prendre en charge les réinitialisations de mot de passe sécurisées, en appliquant le besoin de valider l’identité pour les utilisateurs finaux demandant des réinitialisations de mot de passe et d’autres opérations de compte.

Si les agents du support technique suivent correctement le flux de travail, ils peuvent éviter des situations comme chez MGM Resorts où un hacker tente de contourner le processus de vérification. Donc si votre organisation utilise déjà un outil tel que Secure Service Desk pour valider l’identité, comment les équipes informatiques peuvent-elles « sécuriser » ce processus et appliquer une vérification d’utilisateur appropriée et des réinitialisations de mot de passe sécurisées ?

Application de la vérification d’utilisateur pour les réinitialisations de mot de passe

Pour éviter les scénarios d’ingénierie sociale, les organisations doivent supprimer la capacité du personnel du service d’assistance à réinitialiser les mots de passe en dehors du flux de travail approprié pour la vérification d’identité utilisateur. Il ne devrait pas être possible pour quelqu’un d’appeler avec une excuse et de contourner le processus de vérification. Il y a quelques étapes que vous pouvez prendre pour renforcer le processus dans votre Active Directory.

Groupes Active Directory

Les groupes intégrés d’Active Directory Domain Services (AD DS) peuvent réinitialiser les mots de passe. Par exemple, les utilisateurs dans les groupes Account Operators ou Domain Admins peuvent réinitialiser les mots de passe. Les utilisateurs du service d’assistance ajoutés à ces groupes seraient capables de réinitialiser les mots de passe en dehors des flux de travail implémentés par Specops Secure Service Desk.

Plutôt que d’utiliser les groupes intégrés dans Active Directory pour permettre les permissions pour les réinitialisations de mot de passe, il est préférable de créer des groupes de sécurité personnalisés avec précisément les permissions nécessaires au personnel du support technique. En utilisant l’Assistant de délégation de contrôle intégré d’Active Directory, vous pouvez donner des permissions granulaires dans Active Directory pour effectuer des tâches spécifiques. Ci-dessous, dans l’Assistant de délégation de contrôle vous pouvez déléguer des permissions pour des tâches spécifiques, y compris Modifier l’appartenance d’un groupe. Créer des groupes spécifiques avec des permissions granulaires garantit que les membres du service d’assistance n’ont pas de permissions sur-provisionnées.

Permissions déléguées dans les services de domaine Active Directory

Pour les environnements qui ont déjà des permissions déléguées avant d’implémenter une stratégie pour appliquer la vérification d’identité, vous pouvez utiliser PowerShell pour découvrir les permissions déléguées dans Active Directory Domain Services (AD DS).

1. Ouvrir PowerShell avec des privilèges administratifs : Pour exécuter des commandes PowerShell qui interagissent avec Active Directory, vous devez avoir des privilèges administratifs. Cliquez avec le bouton droit sur l’icône PowerShell et sélectionnez « Exécuter en tant qu’administrateur ».
2. Importer le module Active Directory : Vous devez importer le module Active Directory avant d’utiliser les cmdlets spécifiques à AD. Utilisez la commande suivante :
   Import-Module ActiveDirectory
3. Identifier l’objet AD : Déterminez le nom distinctif (DN) ou le chemin de l’objet AD (comme une OU) pour lequel vous voulez vérifier les permissions déléguées. Par exemple, si vous voulez vérifier les permissions d’une OU nommée « Ventes, » trouvez son DN. Vous pouvez le faire dans AD DS, en regardant les propriétés avancées de l’objet OU.
   
   Obtention du nom distinctif pour une OU AD DS
4. Obtenir l’ACL de l’objet AD : Utilisez le cmdlet Get-Acl pour obtenir l’ACL de l’objet. Par exemple :
   $acl = Get-Acl -Path "AD:\OU=Sales,DC=yourdomain,DC=com"
5. Analyser les entrées ACL : L’ACL contient une liste d’entrées de contrôle d’accès (ACE) qui définissent les permissions. Vous pouvez voir ces entrées en utilisant :
   $acl.Access | Format-Table
6. Filtrer et examiner les résultats : La sortie listera les principaux de sécurité (utilisateurs ou groupes) et les permissions assignées. Regardez les permissions déléguées dans la sortie, comme les droits spécifiques accordés aux utilisateurs ou groupes non administratifs.
7. Exporter les résultats (optionnel) : Si vous voulez sauvegarder les résultats, vous pouvez les exporter vers un fichier CSV :
   $acl.Access | Export-Csv -Path « C:\chemin\vers\sortie.csv » -NoTypeInformation

Ci-dessous un exemple de la sortie CSV de l’export PowerShell des listes de contrôle d’accès pour une OU spécifique.

Essayez Specops Secure Service Desk

Vérifier l’identité pour les demandes de réinitialisation de mot de passe des utilisateurs finaux est un must en raison des attaquants utilisant l’ingénierie sociale et d’autres vecteurs d’attaque pour voler des identifiants via les supports techniques. Les agents du service d’assistance ont besoin des bons outils pour vérifier l’identité et valider que les utilisateurs sont bien qui ils prétendent être. Specops Secure Service Desk est une excellente solution pour fournir au support technique les outils nécessaires pour une vérification d’identité appropriée.

Cependant, les organisations doivent également appliquer les flux de travail fournis par Secure Service Desk pour s’assurer que l’identité est vérifiée correctement. Une délégation de permissions appropriée et l’audit des permissions déléguées existantes sont importants pour gouverner qui a la permission de réinitialiser directement les mots de passe des comptes utilisateurs.

Vous voulez voir comment Specops Secure Service Desk peut s’intégrer avec le support technique de votre organisation ? Contactez-nous et nous vous montrerons comment avec une démonstration et un essai gratuit.