IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Apprendre comment utiliser Specops Password Auditor

Pour réagir au contenu de cet article, un espace de dialogue vous est proposé sur le forum. Commentez Donner une note à l´article (5)

Article lu   fois.

L'auteur

Liens sociaux

Viadeo Twitter Facebook Share on Google+   

I. Pourquoi Specops Password Auditor

I-A. Présentation du produit

Ils sont souvent la cible de nombreux attaquants qui les recherchent comme de l'or. Certains peuvent être facilement trouvés, tandis que d'autres peuvent être plus difficiles à trouver. Mais, inévitablement, ils peuvent certainement constituer le maillon faible de la sécurité de toute votre organisation. Quelle est cette ressource hautement désirable, souvent volée et ciblée ? Les mots de passe. Plus précisément, les mots de passe Active Directory.

La plupart des entreprises utilisent Microsoft Active Directory (AD) comme solution centralisée de gestion des identités et des accès. Le nom d'utilisateur et le mot de passe AD standard permettent aux utilisateurs d'accéder à un grand nombre de systèmes, notamment la messagerie électronique, les partages de fichiers, les postes de travail Windows, les serveurs de terminaux, SharePoint et de nombreux autres systèmes intégrés à Active Directory.

Les utilisateurs finaux utilisent souvent des mots de passe dangereux et faciles à retenir pour leurs comptes d'utilisateur, même si des politiques de mot de passe Active Directory sont en place. Repérer les mots de passe à risque dans votre environnement est plus important que vous ne le pensez. Pourquoi ? Comment renforcer la sécurité des mots de passe dans votre organisation ?

I-B. Pourquoi il est important de trouver les mots de passe à risque

Les attaques par ransomware et les violations de données font continuellement la une des journaux. Il y a souvent un point commun entre les violations de données ou les attaques de ransomware : des informations d'identification volées ou faibles. Prenez note de ce qui suit :

  • Kaspersky - « La grande majorité des violations de données sont dues à des informations d'identification volées ou faibles. Si des criminels malveillants disposent de votre combinaison de nom d'utilisateur et de mot de passe, ils ont une porte ouverte sur votre réseau » ;
  • Verizon 2020 DBIR - « Plus de 80 % des brèches dans le cadre du piratage impliquent la force brute ou l'utilisation d'identifiants perdus ou volés » ;
  • Infosecurity Magazine - « Il y a un an, des chercheurs ont découvert que 2,2 milliards d'enregistrements avaient fait l'objet d'une fuite, connue sous le nom de Collection 1-5… Avec ce trésor, les pirates peuvent simplement tester des combinaisons d'e-mails et de mots de passe sur différents sites, en espérant qu'un utilisateur en ait réutilisé un. Cette technique populaire est connue sous le nom de credential stuffing et est le coupable de nombreuses violations de données récentes. »

Les cybercriminels en ont après les mots de passe de votre organisation. Pourquoi les mots de passe sont-ils une telle cible ? En termes simples, le vol d'informations d'identification est la voie de moindre résistance dans votre environnement. Si un attaquant dispose de la combinaison de votre nom d'utilisateur et de votre mot de passe, il dispose d'une « porte grande ouverte » sur votre réseau et sur les systèmes critiques de votre entreprise. Il peut s'agir de la messagerie électronique, de sites Web, de comptes bancaires et d'autres sources de DPI. Pire encore, si un attaquant peut mettre la main sur les informations d'identification de l'administrateur, il possède les « clés du royaume » et peut faire tout ce qu'il veut.

Les attaquants utilisent un certain nombre de techniques pour mettre la main sur des informations d'identification volées. Il peut s'agir d'attaques par force brute, de pulvérisation de mots de passe, mais aussi de l'utilisation de bases de données de mots de passe divulgués. Les mots de passe divulgués qui résultent de violations de données antérieures sont également connus sous le nom de mots de passe « pwned ».

Les mots de passe sont hachés dans Active Directory et ne peuvent pas être lus, même par les administrateurs. Alors, comment pouvez-vous trouver efficacement les mots de passe faibles, réutilisés et même violés dans votre environnement ?

I-C. Les outils intégrés ne suffisent pas

Il n'y a pas de fonctionnalité intégrée dans Active Directory qui vous permette nativement de vérifier les mots de passe réutilisés ou violés. Le seul véritable outil intégré dans Active Directory que les administrateurs ont à leur disposition est la politique de mot de passe Active Directory. Les stratégies de mot de passe font partie d'un objet de stratégie de groupe Active Directory et définissent les caractéristiques requises pour les mots de passe. Ces caractéristiques peuvent inclure des majuscules, des minuscules, des chiffres, des caractères spéciaux et un nombre de caractères minimum. Bien que cela aide à prévenir l'utilisation de mots de passe faibles, certains mots de passe sont toujours faciles à deviner avec des substitutions de lettres et de chiffres. En outre, la plupart des organisations activent les minima de longueur et de complexité des mots de passe.

Vous trouverez ci-dessous un exemple de stratégie de mot de passe Active Directory par défaut, non configurée.

Image non disponible

II. Specops Password Auditor : renforcer la sécurité des mots de passe Active Directory

Les outils natifs ne suffisent pas à protéger votre environnement contre les informations d'identification faibles, réutilisées et violées. Les pirates sont prompts à capitaliser sur ces types de mots de passe utilisés pour avoir un accès facile à vos données critiques pour l'entreprise. Specops Password Auditor, un outil gratuit, fournit un outil automatisé pour analyser de manière proactive et trouver les mots de passe faibles, réutilisés et violés utilisés dans votre environnement Active Directory. La meilleure partie – il rend ce processus extrêmement facile.

Après l'installation, définissez le domaine, la racine de l'analyse et le contrôleur de domaine que vous souhaitez utiliser pour le processus d'analyse.

II-A. Politique de mot de passe Active Directory

Le cas d'utilisation principal de Specops Password Auditor est celui d'une organisation qui a besoin de rechercher dans Active Directory les vulnérabilités de sécurité suivantes :

  • mots de passe expirant ou périmés ;
  • comptes d'utilisateurs et/ou de services administratifs ;
  • comptes qui ne nécessitent pas de mot de passe.

Vous pouvez utiliser cet outil pour vous aider à maintenir votre (vos) certification(s) de conformité de sécurité, ou vous pouvez simplement vouloir réduire la surface d'attaque de votre organisation. Specops vous offre cet outil gratuit pour le bénéfice de la communauté des administrateurs de système Windows, et comme point d'entrée pour l'un de ses produits commerciaux. Regardons de plus près Specops Password Auditor, voulez-vous ?

III. Processus d'installation

Normalement, lorsque j'écris une critique, j'aime essayer d'installer et d'utiliser le produit sans consulter la documentation, car cela me permet de me faire une idée du caractère intuitif du logiciel. Dans ce cas, cependant, Specops m'a envoyé un message électronique contenant plusieurs liens différents, et j'ai accidentellement cliqué sur le lien vers la documentation d'installation. Comme vous pouvez le voir sur ce lien, le processus d'installation ne pourrait être plus simple. L'ensemble du processus consiste à télécharger le logiciel et à exécuter un assistant d'installation très simple. Dans mon cas, l'ensemble du processus d'installation (sans compter le téléchargement) a pris moins de dix secondes.

III-A. Télécharger et installer l'outil

Allez-y et téléchargez le paquet .msi de 3 Mo sur le site Web de Specops. J'ai installé le freeware sur l'un de mes contrôleurs de domaine Windows Server 2016, bien que j'aurais tout aussi bien pu le faire sur un poste de travail administratif.

Specops Password Auditor ne dépend pas d'une base de données, et vous aurez l'outil opérationnel en moins d'une minute dans la plupart des circonstances. Une remarque : si vous êtes connecté à votre poste de travail avec des privilèges d'utilisateur standard, vous voudrez démarrer le logiciel sous un identifiant d'administrateur de domaine.

Cliquez avec le bouton droit de la souris sur l'icône Specops Password Auditor dans le menu Démarrer, puis cliquez sur Plus > Exécuter en tant qu'utilisateur différent, comme indiqué dans la capture d'écran suivante.

Image non disponible

Exécuter Specops Password Auditor avec des informations d'identification alternatives

III-B. Configurer le domaine à analyser

L'interface utilisateur principale est simple : il vous suffit de vérifier le domaine Active Directory cible, le contrôleur de domaine Active Directory Domain Services (AD DS) et de cliquer sur Start Scanning. Je vous montre cette interface dans la capture d'écran suivante.

Lorsque vous lancez Specops Password Auditor, vous accédez à un écran comme celui qui est illustré dans la figure ci-dessous. Comme vous pouvez le voir sur la figure, Specops a rendu le démarrage extrêmement facile. Tout ce que vous avez à faire est d'entrer le nom de votre domaine, et le nom de domaine pleinement qualifié d'un contrôleur de domaine dans le domaine, puis de cliquer sur le bouton géant Start. Comme si cela n'était pas assez simple, les champs Domaine et Contrôleur de domaine étaient préremplis sur mon serveur de test, de sorte que je n'ai même pas eu à fournir d'informations à Specops Password Auditor. Tout ce que j'avais à faire était de cliquer sur le bouton Start.

Voici l'écran qui s'affiche lorsque vous lancez Specops Password Auditor pour la première fois.

Avant de parler du processus de numérisation, je tiens à souligner certaines des choses qui s'affichent sur l'écran illustré dans la figure ci-dessus. J'aime beaucoup le fait que le logiciel explique exactement ce qui va se passer, et comment les informations qu'il collecte seront utilisées. Il n'y a pas de jargon technique ni d'ambiguïté. Le logiciel vous dit essentiellement qu'il va analyser votre Active Directory et comparer les paramètres qu'il contient aux normes et aux meilleures pratiques du secteur afin de générer une série de rapports. En outre, l'écran vous indique sans ambiguïté que le logiciel lira les informations de l'Active Directory, mais n'y apportera aucune modification.

Image non disponible

Interface utilisateur de Specops Password Auditor

Image non disponible

IV. Définition du domaine, de la racine de l'analyse et du contrôleur de domaine

Le Password Auditor va :

  • rechercher les utilisateurs d'Active Directory ;
  • lire les politiques de mot de passe ;
  • vérifier les mots de passe violés ;
  • lire les détails des utilisateurs ;
  • vérifier l'utilisation de la politique de mot de passe ;
  • lire l'expiration des mots de passe personnalisés.

V. Effectuer un audit des mots de passe

  • Exécution de l'analyse de Specops Password Auditor.
  • Mots de passe vides.
  • Mots de passe violés.
  • Mots de passe identiques.
  • Comptes administrateur.
  • Comptes administrateur périmés.
  • Mot de passe non requis.
  • Le mot de passe n'expire jamais.
  • Mots de passe expirés.
  • Politique en matière de mot de passe.
  • Utilisation de la politique en matière de mot de passe.
  • Conformité de la politique de mot de passe.

Il analyse divers attributs des comptes utilisateur Active Directory, notamment :

  • pwdLastSet ;
  • contrôle de compte d'utilisateur ;
  • lastLogonTimestamp.

Image non disponible

Après avoir cliqué sur le bouton Start, j'ai été amené à un écran qui me demandait si je voulais effectuer une analyse de la liste noire. Comme vous pouvez le voir dans la figure ci-dessous, Specops Password Auditor a la capacité de télécharger une base de données de mots de passe vulnérables afin que les mots de passe utilisés dans l'environnement Active Directory puissent être comparés à ces mots de passe. Par exemple, les mots de passe qui ont été exposés lors de fuites de données sont inclus dans la base de données.

Image non disponible

Specops Auditor vous permet de télécharger une liste de mots de passe vulnérables.

À mon avis, le rapport sur les mots de passe en liste noire est le rapport le plus important. Ce rapport repose sur votre licence Specops Password Policy avec le service SSpecops Breached Password Protection. Ce service est une énorme base de données de mots de passe divulgués provenant (selon la documentation de Specops) de « milliers de sources différentes », y compris ceux utilisés dans le légendaire site haveibeenpwned.com de Troy Hunt.

Les rapports Blacklisted Password affichent les noms d'utilisateur des comptes AD avec des mots de passe divulgués, vierges et dupliqués.

En regardant la capture d'écran ci-dessus, il y a deux choses auxquelles il faut prêter attention. Tout d'abord, la liste elle-même fait plusieurs gigaoctets, elle est donc très complète. La version que j'ai téléchargée lors de la rédaction de cet article faisait 4,56 Go. Deuxièmement, la liste est associée à un numéro de version, ce qui signifie que Specops la tient probablement à jour.

Une fois le téléchargement de la liste de vulnérabilités terminé, j'ai redémarré le logiciel (même si un redémarrage n'était pas réellement nécessaire) et j'ai relancé le processus d'analyse. Lorsque j'écris une critique de logiciel, j'évalue presque toujours le logiciel dans un environnement de laboratoire plutôt que de l'essayer dans un environnement de production. Cet environnement de laboratoire particulier compte un très petit nombre d'utilisateurs, j'ai donc supposé que l'analyse serait rapide. En réalité, l'analyse s'est terminée si rapidement que si j'avais cligné des yeux, je l'aurais manquée.

La simplicité de l'interface utilisateur cache une certaine complexité sous-jacente en termes de ce que l'outil fait réellement. Tout d'abord, Specops Password Auditor ne fait que lire les données AD, sans jamais tenter de les écrire. Deuxièmement, l'outil analyse à la fois vos politiques de mot de passe de domaine et vos politiques de mot de passe à grain fin.

VI. Interprétez les rapports

Après l'analyse, Specops Password Auditor présente ses résultats dans un tableau de bord de rapport. Je partage le mien avec vous dans la capture d'écran suivante.

Image non disponible

Tableau de bord du rapport Specops Password Auditor

Le tableau de bord de ce rapport est entièrement interactif. Voici les catégories et ce qu'elles vous disent :

  • Comptes administrateurs : comptes d'utilisateurs AD à haut niveau de privilèges ;
  • Comptes Admin périmés : comptes d'utilisateurs AD à hauts privilèges qui ne se sont pas connectés au domaine depuis au moins 90 jours (cette valeur est personnalisable) ;
  • Mots de passe expirant : comptes d'utilisateurs AD dont les mots de passe sont à sept jours de leur expiration (personnalisable) ;
  • Mots de passe expirés : comptes d'utilisateurs AD dont les mots de passe ont expiré et qui peuvent être verrouillés ;
  • Politiques relatives aux mots de passe : politiques de mot de passe basées sur les objets de stratégie de groupe (GPO) et politiques de mot de passe à grain fin.

Après que Password Auditor a analysé l'environnement, il vous présente un tableau de bord facile à lire. Le tableau de bord affiche rapidement les informations pertinentes sur les mots de passe. Les points d'intérêt critiques sont signalés par des « bulles » rouges avec le nombre de résultats pour le risque de mot de passe particulier.

Image non disponible

VI-A. Résultats du scan affichant les risques liés aux mots de passe dans l'environnement

Lorsque vous cliquez sur les détails de la recherche de mots de passe, vous verrez la liste spécifique des comptes d'utilisateur avec le risque de mot de passe affiché. En outre, Specops Password Auditor indique l'emplacement, la dernière connexion et la politique de mot de passe associée du compte utilisateur particulier.

Image non disponible

Affichage des comptes utilisateur Active Directory dont les mots de passe sont connus comme ayant été violés

Image non disponible

VI-B. Politiques de mot de passe de Specops

  • Utilisation des politiques de mot de passe : quel pourcentage de votre base d'utilisateurs est affecté par les politiques de mot de passe détectées ?
  • Conformité de la politique de mot de passe : comment votre politique actuelle en matière de mots de passe se compare-t-elle aux autres recommandations standard du secteur ?

VI-C. Le rapport de conformité à la politique en matière de mots de passe

Ceci étant dit, j'aimerais revenir sur un point que j'ai brièvement mentionné plus tôt. La case Conformité de la politique de mot de passe contient un indicateur coloré qui reflète la santé de la politique de mot de passe. Dans mon cas, cet indicateur était rouge. J'ai constaté que si je clique sur cet indicateur, j'accède à un écran comme celui illustré ci-dessous qui répertorie diverses normes industrielles telles que NIST et PCI. Pour chaque norme, il y a une icône qui indique si la politique de mot de passe actuelle est conforme, partiellement conforme ou non conforme à la politique.

Ce dernier rapport, Password Policy Compliance, est particulièrement utile. Ici, Specops Password Auditor évalue vos politiques de mot de passe actuelles par rapport aux normes suivantes :

  • Microsoft Research ;
  • Microsoft TechNet ;
  • Institut national des normes et de la technologie (NIST) ;
  • Industrie des cartes de paiement (PCI) ;
  • System Administration, Networking, and Security Institute (SANS) Admin ;
  • Utilisateurs du SANS.

Comme vous pouvez le voir dans la capture d'écran composite suivante, vous pouvez approfondir chaque comparaison où vous pouvez voir les valeurs de vos politiques et si elles sont conformes, partiellement conformes ou ne répondent pas à l'ensemble des recommandations cibles. Specops Password Auditor vous permet également de descendre dans chaque valeur pour comprendre le score. Par exemple, la politique par défaut figurant dans la capture d'écran ci-dessous ne répond pas aux recommandations de Microsoft Technet et de la SANS en matière de longueur de mot de passe, ni aux exigences de la SANS en matière de dictionnaire et de complexité.

Image non disponible

Comparaison de votre sécurité aux recommandations des normes industrielles

VII. Comparaison de votre sécurité aux recommandations des normes industrielles

Comme je l'ai mentionné précédemment, Specops Password Auditor s'intègre parfaitement à Specops Password Policy. Cela facilite la mise en œuvre de tout changement de mot de passe ou de compte que l'outil d'audit met au jour.

Note : chaque rapport de conformité à la politique de mot de passe comprend un hyperlien Source qui vous renvoie directement à l'organisme qui a produit un ensemble donné de recommandations. Par exemple, la source des recommandations de Microsoft Research est le livre blanc « Microsoft Password Guidance » de l'équipe Microsoft Identity Protection.

Vous pouvez exporter vos rapports de conformité aux politiques de mot de passe au format CSV (comma-separated value) pour les analyser dans Excel, Power BI ou l'outil d'analyse de votre choix.

Le rapport sur les comptes administratifs est également super important, car Specops Password Auditor peut vous alerter sur des comptes d'utilisateurs de service ou de domaine dotés de privilèges administratifs dont vous n'aviez peut-être pas connaissance.

Dans le monde actuel des ransomwares, vous devez garder un œil sur les comptes à hauts privilèges. Pour ce faire, la première étape consiste à déterminer quels comptes disposent de ces privilèges élevés.

Image non disponible

Génération du rapport Password Auditor

Le rapport de synthèse de Specops Password Auditor permet de transmettre rapidement des informations aux parties prenantes de l'environnement. Le rapport contient des informations concises et faciles à lire concernant l'audit des mots de passe et le niveau de risque.

Specops Password Auditor vous permet de remettre facilement des rapports officiels à la direction, aux auditeurs internes ou externes, et à d'autres personnes grâce à la fonction

Get PDF Report.

Image non disponible

La page d'aperçu du rapport Password Auditor

VIII. Conclusion

Les cybercriminels tirent parti des mots de passe faibles, réutilisés et violés dans les environnements Active Directory. En volant les informations d'identification, les attaquants accèdent facilement aux données et aux systèmes critiques pour l'entreprise. Il n'existe pas d'outils natifs dans Active Directory pour trouver les mots de passe réutilisés ou violés.

L'utilisation de Specops Password Auditor permet d'obtenir rapidement une visibilité sur les mots de passe faibles, réutilisés et violés dans l'environnement et d'auditer de nombreux autres composants AD importants tels que les politiques de mot de passe. Vous pouvez également générer et fournir un rapport de synthèse concis et facile à lire à l'intention des parties prenantes de l'entreprise et des auditeurs.

Pour en savoir plus sur Specops Password Auditor, cliquez ici.

Vous avez aimé ce tutoriel ? Alors partagez-le en cliquant sur les boutons suivants : Viadeo Twitter Facebook Share on Google+   

Copyright © 2021 specops. Aucune reproduction, même partielle, ne peut être faite de ce site ni de l'ensemble de son contenu : textes, documents, images, etc. sans l'autorisation expresse de l'auteur. Sinon vous encourez selon la loi jusqu'à trois ans de prison et jusqu'à 300 000 € de dommages et intérêts.