Flexible Security for Your Peace of Mind

Récupération d’attaque : comment mettre en œuvre une directive “Réinitialiser tous les mots de passe AD”

À la lumière de l’augmentation potentielle des cyberattaques, la Maison Blanche a publié une fiche d’information le 21 mars 2022, avec des recommandations de grande envergure en matière de cybersécurité. Une recommandation consiste à réinitialiser tous les mots de passe, afin d’éliminer la possibilité qu’un identifiant inconnu ayant fait l’objet d’une fuite soit utilisé contre votre organisation. Lorsqu’une organisation est compromise, cela signifie potentiellement que tous les mots de passe actuels sont connus de l’attaquant. Que vous répondiez à un avertissement de cybersécurité comme celui émis par la Maison Blanche ou dans le cadre d’une reprise après une attaque, les organisations voudront exiger de tous leurs utilisateurs qu’ils réinitialisent leurs mots de passe une fois que l’attaquant n’y aura plus accès.

Mais obliger tout le monde à réinitialiser ses mots de passe Active Directory n’est pas aussi simple que cela puisse paraître. Comment effectuer une réinitialisation de mot de passe à l’échelle de l’organisation sans perturber le travail critique ni surcharger votre helpdesk informatique ? Dans cet article, nous allons parcourir nos recommandations pour réinitialiser tous les mots de passe d’une organisation.

Planification des réinitialisations de masse

Selon la taille de votre organisation, forcer la réinitialisation d’un mot de passe à tout le monde peut être accablant pour vos ressources internes. Vous voudrez vous assurer d’avoir la disponibilité sur votre bureau informatique avant que ce changement ne soit mis en œuvre ; avec un peu de chance, vous pourrez également utiliser un outil de réinitialisation de mot de passe en libre-service capable de vérifier une liste de mots de passe compromis, tels que Specops uReset et Breached Password Protection.

La mise en place d’une solution de réinitialisation de mot de passe en libre-service bien avant la nécessité de se remettre d’une attaque facilitera la tâche de votre helpdesk.

Forcer la réinitialisation de chaque mot de passe AD : mise en œuvre

Alors, comment implémentez-vous cela?

Le moyen le plus simple d’expirer tous les mots de passe et de forcer une réinitialisation lors de la prochaine connexion sera un script PowerShell qui indique à Active Directory que le mot de passe n’a jamais été défini. Jetez un œil à la présentation de Darren expliquant pourquoi vous devez utiliser PwdLastSet pour cela, y compris les scripts PowerShell à copier-coller que vous pouvez utiliser pour implémenter.

Avant d’exécuter le script, vous devez informer les utilisateurs qu’ils devront réinitialiser leurs mots de passe à la connexion le lendemain, en leur rappelant les exigences relatives au nouveau mot de passe, ainsi que les autres endroits où ils pourraient avoir besoin de mettre à jour leurs mots de passe – que ce soit c’est leur appareil mobile ou d’autres applications qui mettent en cache les informations d’identification.

Si vous avez mis en place une solution de vérification de mot de passe piraté depuis la dernière fois que vos utilisateurs ont dû sélectionner un nouveau mot de passe, vous devez inclure un aperçu de ce que c’est et de ce que cela signifierait si le mot de passe qu’ils ont essayé de choisir figurait sur une liste compromise.

Si vous avez mis en place une solution de réinitialisation de mot de passe en libre-service, vous voudrez vous assurer que votre service d’assistance informatique est formé pour diriger les appelants à l’utiliser, en particulier lorsque le volume d’appels est élevé. Les meilleures pratiques du centre de services, telles que l’application de la vérification d’identité avant la réinitialisation des mots de passe, etc., sont également une bonne idée.

Une fois les utilisateurs finaux définis, vous devez vous assurer que vous avez également réinitialisé les mots de passe des comptes de service pour lesquels la MFA n’est souvent pas configurée.

(Dernière mise à jour le 25/05/2022)

Revenir sur le blog