Flexible Security for Your Peace of Mind

Les bonnes pratiques concernant les comptes « pots de miel » d’Active Directory

La surveillance et la détection de la compromission des comptes est l’une des tâches les plus difficiles pour les administrateurs informatiques et les professionnels SecOps. Les comptes de type « pots de miel » d’Active Directory permettent aux organisations de repérer les activités inhabituelles des comptes actifs dans leur environnement et de recueillir des informations précieuses sur les menaces afin d’adapter leurs défenses de sécurité. 

Comment les comptes pots de miel fonctionnent pour attirer les attaquants

Un « pot de miel » est un ordinateur ou un système en réseau qui a l’air réel, mais qui est en fait un leurre pour attirer les attaquants et obtenir des informations sur la manière dont ils opèrent. Les « pots de miel » peuvent également servir à détourner les attaquants des systèmes de production réels.

Contrairement à d’autres mécanismes de défense, un « pot de miel » a pour seul objectif de recueillir des informations. Les organisations peuvent utiliser les informations collectées à partir d’un « pot de miel » afin d’affiner leurs stratégie de défense en matière de cybersécurité afin de bloquer les adresses IP d’attaques connues, le trafic réseau spécifique, les géolocalisations et même les mots de passe vulnérables.

Comptes « pot de miel » dans Active Directory

Un compte Active Directory « pot de miel » peut ressembler à un compte hautement désirables pour des attaquants, comme un compte d’administrateur de haut niveau par exemple. L’imitation d’un vrai compte privilégié, tout en limitant ce que le compte peut faire, est le véritable défi des comptes de type « pot de miel ». Avec une préparation minutieuse, les administrateurs peuvent atteindre efficacement cet objectif. Examinons les quelques signaux d’alarme qui peuvent indiquer à un attaquant qu’il s’agit d’un compte de type « pot de miel » et non d’un compte réel qu’il essaierait de compromettre. Cela peut aider les administrateurs à comprendre comment les comptes « pots de miel » doivent être configurés et placés dans l’environnement pour avoir l’apparence de la légitimité.

Comment un attaquant peut détecter un compte de type « pot de miel »

Lors de la définition et de l’utilisation des comptes Active Directory « pot de miel », les administrateurs doivent bien garder à l’esprit que les attaquants procèdent avec prudence et recherchent les caractéristiques révélatrices d’un compte qui pourrait servir d’appât.

Si un attaquant a compromis l’environnement et commence à explorer les comptes d’utilisateurs, il examinera avec attention les caractéristiques suivantes :

  • Quand le compte a-t-il été créé ? Si le compte a été créé récemment ou au cours des derniers mois, les attaquants peuvent supposer qu’il s’agit d’un compte de type « pot de miel » et s’en éloigner, surtout si la date de la dernière connexion est à peu près la même que la date de création.
  • Quand le mot de passe a-t-il été défini pour la dernière fois ? Si le mot de passe n’a pas été re-défini depuis la création du compte, les attaquants peuvent considérer qu’il s’agit d’un compte de type « pot de miel ».
  • Y a-t-il eu récemment des tentatives d’utilisation d’un mauvais mot de passe ? Si le compte n’a fait l’objet d’aucune tentative de saisie d’un mauvais mot de passe, il peut sembler suspect car un compte réel et actif fera probablement l’objet d’une tentative de saisie d’un mauvais mot de passe à un moment ou à un autre.
  • Y a-t-il un SPN Kerberos associé ? Si oui, les attaquants peuvent examiner diverses caractéristiques du SPN pour déterminer s’il s’agit d’un SPN réel utilisé dans l’environnement. Si ce n’est pas le cas, il ne s’agit peut-être pas d’un compte légitime.
Vue de Specops Password Auditor sur le temps écoulé depuis le dernier changement de mot de passe

Cinq conseils pour la création d’un compte de type « pot de miel » dans Active Directory

Compte tenu de ces facteurs, voici quelques conseils pour créer des comptes qui ont l’air légitimes :

  • Utilisez un ancien compte que vous pouvez recycler comme un compte « pot de miel » ;
  • Si vous décidez d’ajouter le compte « pot de miel » à un groupe privilégié, procédez avec prudence ;
  • S’il est ajouté à un groupe privilégié, imposer des limites au compte (ordinateurs auxquels il peut se connecter ou restrictions horaires) afin de contrôler l’étendue des activités de l’utilisateur ;
  • Automatiser un moyen de se connecter en tant qu’utilisateur à l’aide d’un script ou d’un autre moyen pour lui donner l’apparence d’un compte utilisé dans l’environnement ;
  • Contrôler étroitement le compte.

Collecte de données à partir de comptes Active Directory « pot de miel »

Les « pots de miel » fournissent aux administrateurs des données précieuses qu’ils peuvent utiliser pour concevoir des mesures de sécurité appropriées contre les menaces réelles. Par exemple, le mot de passe utilisé pour un compte « pot de miel » peut être extrêmement utile pour configurer la politique de mots de passe d’Active Directory ou pour bloquer complètement les mots de passe vulnérables. Specops Software maintient un système global de « pots de miel » (l’une de nos sources de mots de passe compromis bloqués par Specops Password Policy et Breached Password Protection) qui collecte les mots de passe utilisés dans des attaques réelles sur les points d’extrémité du système. Ces données peuvent être extrêmement précieuses pour les administrateurs informatiques qui peuvent ainsi bloquer l’utilisation de ces mots de passe vulnérables dans Active Directory. Pour réduire les chances de réussite d’une tentative de connexion (malveillante) sur vos comptes Active Directory, commencez avec Specops Password Policy.

Specops Password Policy : Fonctionnalité de Breached Password Protection

(Dernière mise à jour le 13/07/2023)

Revenir sur le blog