Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment verrouiller votre processus de réinitialisation des mots de passe Active Directory
Les attaquants ciblent les helpdesks avec des attaques d’ingénierie sociale afin d’obtenir un accès non autorisé aux comptes des utilisateurs, qu’ils peuvent alors utiliser pour compromettre un environnement ou lancer des attaques par ransomware. Lorsqu’ils le font efficacement, ils parviennent à contourner la MFA et ainsi éviter de voir leur identité vérifiée. Il est possible (et fortement recommandé) de mettre en place une solution permettant aux agents du helpdesk de vérifier avec précision l’identité des appelants. Si vous avez mis en place une solution pour vérifier l’identité des utilisateurs finaux et réinitialiser les mots de passe en toute sécurité, vous devez vous assurer qu’elle est l’unique moyen utilisé par les agents du helpdesk de réinitialiser un mot de passe.
Nous partagerons quelques étapes à suivre afin de « verrouiller » le processus de réinitialisation des mots de passe dans Active Directory. Tout d’abord, il est important de comprendre pourquoi une organisation pourrait vouloir renforcer son processus de réinitialisation des mots de passe. Commençons par nous pencher sur la récente cyber-attaque à l’encontre de MGM Resorts, qui a mis en évidence la vulnérabilité des helpdesks face aux appels frauduleux et l’importance pour les agents de ces helpdesks d’être en mesure d’appliquer avec précision la vérification de l’identité des utilisateurs.
L’attaque de MGM Resorts : une leçon d’ingénierie sociale
En septembre 2023, l’infrastructure de MGM Resorts a été compromise par un groupe de pirates informatiques, connu sous le nom de Scattered Spider. Les pirates ont réussi à pénétrer l’infrastructure en utilisant l’ingénierie sociale afin de tromper le personnel du helpdesk. On pense que le groupe a trouvé les informations d’un employé de MGM Resorts sur LinkedIn et a ensuite appelé le helpdesk, se faisant passer pour cet employé qui aurait supposément perdu son appareil et donc besoin d’une réinitialisation de son mot de passe. Après que le personnel du helpdesk a donné un mot de passe temporaire à l’attaquant, celui-ci a pu mettre un pied dans l’environnement et lancer une attaque par ransomware.
L’attaque par ransomware qui en a résulté a affecté les activités de la MGM pendant une dizaine de jours avant qu’elles ne reviennent à la normale. Il a été révélé par la suite que le groupe de pirates avait eu accès aux informations personnelles de ses clients, notamment leurs noms, leurs coordonnées, leurs numéros de sécurité sociale et d’autres informations. Cette attaque souligne la nécessité pour les organisations de disposer d’un moyen de vérifier l’identité des utilisateurs ayant besoin de réinitialiser leur mot de passe et d’autres informations liées à leur compte.
Secure Service Desk : combiner sécurité et expérience utilisateur
Specops Secure Service Desk permet aux organisations de vérifier efficacement l’identité des utilisateurs finaux qui appellent le helpdesk pour réinitialiser leur mot de passe. Grâce à Secure Service Desk, le personnel du helpdesk peut envoyer un code à usage unique à un numéro de téléphone mobile associé au compte de l’utilisateur. Il permet également l’intégration de services d’identité courants déjà utilisés, tels que Duo Security, Okta et d’autres. Cela permet au helpdesk de prendre en charge des réinitialisations sécurisées des mots de passe, imposant ainsi l’impératif de valider l’identité des utilisateurs finaux demandant la réinitialisation d’un mot de passe ou d’autres opérations relatives à leur compte.
Si les agents du helpdesk appliquent le processus correctement, ils peuvent éviter des situations comme celle de MGM Resorts, dans laquelle un pirate informatique a réussi à contourner le processus de vérification. Si votre organisation utilise déjà un outil tel que Secure Service Desk pour vérifier l’identité des utilisateurs, comment les équipes informatiques peuvent-elles « verrouiller » ce processus et imposer une vérification adéquate de l’utilisateur ainsi qu’une réinitialisation sécurisée du mot de passe ?
Renforcer la vérification de l’utilisateur lors des réinitialisations de mots de passe
Pour éviter les scénarios d’ingénierie sociale, les organisations doivent supprimer la possibilité pour le personnel du helpdesk de réinitialiser les mots de passe en dehors du processus de travail approprié pour la vérification de l’identité de l’utilisateur. Il ne devrait pas être possible que quelqu’un appelle le helpdesk avec n’importe quelle excuse et parvienne à contourner le processus de vérification. Vous pouvez prendre certaines mesures pour renforcer le processus au sein de votre Active Directory.
Les groupes Active Directory
Les groupes Active Directory Domain Services (AD DS) intégrés peuvent réinitialiser les mots de passe. Par exemple, les utilisateurs des groupes Opérateurs de compte ou Admins de domaine sont autorisés à réinitialiser les mots de passe. Les utilisateurs du Service Desk ajoutés à ces groupes pourront réinitialiser les mots de passe en dehors des flux de travail mis en œuvre par Specops Secure Service Desk.
Plutôt que d’utiliser les groupes intégrés dans Active Directory pour accorder les autorisations de réinitialisation des mots de passe, il est préférable de créer des groupes de sécurité personnalisés disposant précisément des autorisations nécessaires au personnel du helpdesk. À l’aide de l’assistant de délégation de contrôleActive Directory intégré, vous pouvez donner des accès granulaires à Active Directory pour effectuer des tâches spécifiques. Plus bas, dans l’assistant de délégation de contrôle, vous pouvez déléguer des autorisations pour des tâches spécifiques, notamment Modifier l’appartenance à un groupe. La création de groupes spécifiques avec des autorisations granulaires permet de s’assurer que les membres du service desk ne bénéficient pas d’autorisations surprovisionnées.
Autorisations déléguées dans les services de domaine Active Directory
Pour les environnements qui disposent déjà d’autorisations déléguées avant de mettre en œuvre une stratégie de vérification de l’identité, vous pouvez utiliser PowerShell pour découvrir les autorisations déléguées dans les services de domaine Active Directory (AD DS).
1.Ouvrir PowerShell avec des privilèges administratifs: Pour exécuter des commandes PowerShell qui interagissent avec Active Directory, vous devez disposer de privilèges administratifs. Cliquez avec le bouton droit de la souris sur l’icône PowerShell et sélectionnez “Exécuter en tant qu’administrateur”.
2. Importer le module Active Directory: vous devez importer le module Active Directory avant d’utiliser les cmdlets spécifiques à AD. Utilisez la commande suivante :
Importation du module ActiveDirectory
3. Identifier l’objet AD: déterminez le nom distinctif (DN) ou le chemin d’accès de l’objet AD (comme une OU) pour lequel vous souhaitez vérifier les autorisations déléguées. Par exemple, si vous souhaitez vérifier les autorisations d’une OU nommée “Sales”, recherchez son DN. Vous pouvez le faire dans AD DS, en consultant les propriétés avancées de l’objet OU.
4.Obtenir l’ACL de l’objet AD: utilisez la commande Get-Acl pour obtenir l’ACL de l’objet. Par exemple :
$acl = Get-Acl -Path “AD:\OU=Sales,DC=votredomaine,DC=com”
5.Analyser les entrées ACL: l’ACL contient une liste d’entrées de contrôle d’accès (ACE) qui définissent les autorisations. Vous pouvez consulter ces entrées en utilisant :
$acl.Accès | Format-Table
6. Filtrer et examiner les résultats: la liste des principaux responsables de la sécurité (utilisateurs ou groupes) et des autorisations qui leur ont été attribuées va s’afficher. Examinez les autorisations déléguées dans les résultats, comme les droits spécifiques accordés aux utilisateurs ou aux groupes de non administrateurs.
7. Exporter les résultats (optionnel): si vous souhaitez enregistrer les résultats, vous pouvez les exporter dans un fichier CSV :
$acl.Access | Export-Csv -Path “C:\Npath\Noutput.csv” -NoTypeInformation
Vous trouverez ci-dessous un exemple de la sortie CSV de l’exportation PowerShell des listes de contrôle d’accès pour une OU spécifique.
Essayez Specops Secure Service Desk
La vérification de l’identité pour les demandes de réinitialisation de mots de passe des utilisateurs finaux est indispensable car les pirates ont recours à l’ingénierie sociale et d’autres vecteurs d’attaque pour voler des informations d’identification via les helpdesks. Les agents du helpdesk ont besoin des bons outils pour vérifier l’identité et s’assurer que les utilisateurs sont bien ceux qu’ils prétendent être. Specops Secure Service Desk est une excellente solution pour fournir au helpdesk les outils nécessaires à une vérification correcte de l’identité.
Cependant, les organisations doivent également appliquer les flux de travail fournis par Secure Service Desk pour garantir que l’identité est correctement vérifiée. Il est important de déléguer correctement les autorisations et d’auditer les autorisations déléguées existantes pour déterminer qui est autorisé à réinitialiser directement les mots de passe des comptes utilisateurs. Vous souhaitez découvrir comment Specops Secure Service Desk peut s’intégrer au helpdesk de votre organisation ? Contactez-nous et nous vous montrerons comment procéder avec une démo et un essai gratuit.
(Dernière mise à jour le 19/03/2024)