Une stratégie stricte de verrouillage des comptes est essentielle pour déjouer les attaques par force brute et par découverte du mot de passe, mais elle risque également de verrouiller les utilisateurs légitimes, ce qui fait perdre aux entreprises du temps, de l'argent et des efforts précieux.
Les demandes de réinitialisation de mot de passe représentant près de 30 % du total des tickets du helpdesk, la résolution des fréquents verrouillages de comptes devient une partie indispensable du travail d'un administrateur système. Et comme les employés passent d'un appareil à l'autre et collaborent à l'aide de nombreuses applications, il est plus difficile que jamais de trouver la source du verrouillage d'un compte AD.
Il est essentiel de comprendre pourquoi le mauvais mot de passe a été utilisé à plusieurs reprises, c'est-à-dire si son utilisation était malveillante ou non, car ne pas connaître cette information pourrait entraîner un accès indésirable. C'est pourquoi il est urgent d'analyser et de détecter rapidement la cause profonde d'un verrouillage de compte afin que les comptes des utilisateurs ne restent pas verrouillés longtemps.
Types de verrouillage des comptes AD
La stratégie de verrouillage des comptes est une mesure de sécurité intégrée qui empêche les utilisateurs malveillants et les hackers d'accéder illégitimement aux ressources de votre réseau. Presque tous les verrouillages AD sont causés par l'un de ces deux problèmes fondamentaux. Il s'agit de :
- Employés négligents qui oublient leurs mots de passe
Une entreprise est aussi forte que son maillon le plus faible. Sans l'utilisation d'une authentification unique, un employé utilise en moyenne environ 27 mots de passe pour ses besoins professionnels. Outre l'accès à leur bureau et à leur VPN, une vaste gamme d'applications comme Outlook, Dropbox, G Suite, Salesforce, Amazon Web Services (AWS) et bien d'autres nécessitent l'utilisation de mots de passe uniques. Il est donc extrêmement difficile pour un employé moyen de savoir quels mots de passe sont utilisés, ce qui entraîne de fréquents verrouillages de comptes.
Bien que ce type de réinitialisation de mot de passe soit courant, sa résolution nécessite simplement de vérifier l'ID de l'utilisateur et de réinitialiser le mot de passe du compte AD.
- Chevauchement de mots de passe dû à des informations d'identification mises en cache
Ce type de verrouillage de compte, bien que moins répandu, est beaucoup plus difficile à résoudre, car la cause première du verrouillage de compte est souvent obscure.
De plus, comme les employés utilisent souvent plusieurs appareils, de nombreuses applications de productivité, des services Windows, et plus encore, le chevauchement des mots de passe peut déclencher le verrouillage du compte à partir de n'importe lequel de ces appareils.
Dans ce blog, nous nous penchons sur ce type de verrouillage de compte répété, analysons ses causes et discutons des différents outils disponibles pour le résoudre.
Microsoft Technet énumère les causes les plus courantes du verrouillage des comptes :
- Programmes utilisant des informations d'identification en cache
- Informations d'identification expirées et mises en cache utilisées par les services Windows
- Seuil bas pour les tentatives de mot de passe
- Employés connectés sur plusieurs appareils
- Informations d'identification redondantes conservées pour les noms d'utilisateur et les mots de passe stockés
- Informations d'identification obsolètes utilisées par les tâches planifiées
- Mises en correspondance incorrectes de lecteurs partagés
- Problèmes de réplication des comptes AD
- Sessions terminal déconnectées sur un serveur Windows
Outils qui aident à trouver la source des verrouillages de comptes répétés
Il existe de nombreux outils qui aident à trouver la source des verrouillages de comptes répétés. La plupart d'entre eux demandent beaucoup de travail et de temps. Il s'agit de :
- Outils de gestion et de verrouillage des comptes Microsoft
Microsoft propose les outils LockoutStatus et EventCombMT. Bien que fiables et précis, l'utilisation des outils de Microsoft nécessite la configuration de plusieurs outils individuels, une enquête manuelle de routine sur chaque composant de Windows, etc.
- Scripts PowerShell
Outre le fait que les administrateurs doivent connaître le langage de script, l'utilisation des scripts PowerShell nécessite une configuration manuelle de l'audit de sécurité AD. Il s'agit de trouver le contrôleur de domaine qui a le rôle d'émulateur de contrôleur de domaine primaire, de rechercher l'événement Windows ID 4740 dans les journaux d'événements de sécurité et d'analyser les détails de l'événement trouvé.
- Examinateurs de verrouillage de comptes
Une solution tierce capable d'analyser divers composants Windows, tels que les tâches planifiées, les objets COM, OWA, les applications et l'ActiveSync, à la recherche d'informations d'identification obsolètes et d'un mappage incorrect, permet de trouver rapidement la source des verrouillages de comptes répétés.
Utilisez l'examinateur de verrouillage de compte ManageEngine ADAudit Plus pour repérer et résoudre facilement les verrouillages répétés de comptes AD. Il permet de :
- Tracer les statuts de verrouillage des comptes ainsi que des détails sur les durées de verrouillage, les machines, et plus encore.
- Analyser les services Windows, les applications, les processus et les tâches planifiées à la recherche d'informations d'identification obsolètes.
- Vérifier les mappages incorrects des lecteurs réseau et les sessions de bureau à distance déconnectées.
- Trouver l'historique des échecs de connexion associés à ce compte bloqué pour plus de détails.
- Repérer les activités atypiques des utilisateurs, comme le temps ou le volume inhabituels de verrouillage des comptes, grâce à l'analyse du comportement des utilisateurs.
- Et bien plus encore.
Téléchargez notre version d'essai gratuite de 30 jours pour repérer et résoudre rapidement les verrouillages de comptes AD.
Sakthi Sri Arumugam