me revoilà pour un nouvel article:
Le mot de passe administrateur!
J'entends souvent: il faut que l'utilisateur soit administrateur de son poste, qu'il soit "autonome".
Ou encore que le mot de passe d'administrateur du domaine est connu par d'anciens salariés...
Bref autant de situations à fort risque, avec un SI impossible à gérer et pérenniser à la clé.
Petit rappel concernant le mot de passe administrateur local du poste:
Sur les postes Windows, le compte "administrateur" est désactivé depuis Windows Vista, et le premier utilisateur créé est un utilisateur membre du groupe "administrateurs" (administrators en anglais, si vous utilisez des fichiers xml pour la création automatique des users).
Ceci pour plusieurs raisons:
- Une attaque par bruteforce nécessite déjà de connaître le nom d'utilisateur en plus du mot de passe.
- Sur la plupart des systèmes XP, en exécutant un démarrage en mode sans échec, miraculeusement le compte administrateur apparaissait, et aucun mot de passe n'était défini sur ce compte. Donc nous étions administrateur sans même connaitre un seul mot de passe de la machine, ni aucune compétence en hacking.
- le SID de l'administrateur est connu et fini par 500, donc idéal pour quelqu'un qui espionnerait un réseau en vue d'obtenir les privilèges admin.
- ...
Inutile donc de le réactiver comme je le vois trop souvent!
J'en profite pour rappeler que les comptes locaux sont stockés dans une base SAM, qui sert à l'authentification, et qu'il est très simple de modifier le mot de passe le mot de passe de n'importe quel utilisateur d'une machine locale. Il suffit d'environ 30 secondes pour mettre le mot de passe que l'on souhaite, ce n'est donc pas une sécurité, plus une protection basique.
Maintenant attaquons nous au cœur du sujet, à savoir le mot de passe administrateur du domaine, ou de l'entreprise.
Cette fois s'attaquer au stockage des mots de passe, comme on le ferait en local avec une base SAM, est une toute autre affaire.
On utilise une authentification Kerberos, et les comptes sont stockés dans l'AD.
Dans cette configuration, la faille est humaine, puisque bien souvent le mot de passe administrateur du domaine est donné aux techniciens, aux sociétés extérieures qui viennent installer un logiciel spécifique, au stagiaire qui sort à peine de l'école, au beau frère qui connaît bien l'informatique car il a facebook à la maison...bref à n'importe qui.
Règle numéro 1:
Le mot de passe admin du domaine n'est connu que par vous seul! Vous fournissez une copie au dirigeant de l'entreprise pour qu'il le stocke dans un endroit sécurisé, type coffre fort de l'entreprise.
Règle numéro 2:
Vous créez un compte spécifique d'administration pour chaque utilisateur, avec les droits associés. Si un utilisateur ne doit s'occuper que des sauvegardes, il est inutile de lui donner des privilèges supérieurs aux actions qu'il a à accomplir (je ne parle même pas de la confidentialité ni de l'intégrité des données).
Exemple: Alex aura son compte alex.machin@domain.local, et son compte alex.machinADMIN@domain.local. Comme cela pour les opérations courantes, il utilisera son compte "normal", et quand il aura besoin d'une élévation de privilèges il utilisera son compte "admin".
Règle numéro 3:
La règle numéro 2 s'applique à tous, même (surtout) à vous!
Règle numéro 4:
Dès qu'un utilisateur quitte la société, on supprime ses deux comptes, celui d'utilisation classique et celui d'administration.
Règle numéro 5:
Pour les applications qui ont besoin de fonctionner avec des privilèges élevés, il est nécessaire d'utiliser les comptes de service. Ou alors alternative peu pratique, mais fonctionnelle et sécurisée, on créé un compte par application.
Règle numéro 6:
On applique la règle numéro 1! :)
Voilà ça peut paraître peu, et évident, pourtant dans la grande majorité des organisations ces simples règles basiques ne sont pas respectées, et lorsqu'un salarié quitte l'entreprise, ou lorsqu'une attaque se présente, on commence seulement à se poser des questions.
Je vous laisse donc méditer sur ce sujet, en attendant les prochains articles pour avoir un SI parfait et maîtrisé.
Ce commentaire a été supprimé par un administrateur du blog.
RépondreSupprimer