Même s’il est certainement judicieux d’apporter les corrections initiales afin de renforcer les défenses, ces actions doivent être appliquées de façon régulière
Un nouveau rapport intitulé Proactive Preparation and Hardening to Protect Against Destructive Attacks (Préparation et renforcement préventifs pour se protéger contre les attaques destructrices), a été publié récemment.
Il comporte des centaines de conseils visant à protéger les déploiements Windows, notamment des chaînes de ligne de commande, à ajuster divers paramètres de stratégie de groupe ainsi que d’autres conseils très pratiques qui pourraient dévoiler des systèmes potentiellement compromis.
Ce rapport peut servir de modèle aux responsables informatiques d'une multinationale ou du fleuriste au coin de la rue.
Renforcement d’Active Directory et sauvegardes
Les organisations doivent vérifier qu’elles disposent de sauvegardes (les sauvegardes de l’état système sont recommandées, et les commandes permettant d’initier et de vérifier lesdites sauvegardes sont indiquées dans le rapport) pour les contrôleurs de domaine et les ressources critiques et qu’elles sont protégées contre les accès ou les modifications non autorisés. Le rapport abonde également de suggestions que les responsables de la sécurité peuvent rechercher pour repérer les signes de malwares, notamment des utilisateurs non autorisés qui accèdent à un support de sauvegarde ou des clichés instantanés supprimés (événement qui précède souvent une attaque de ransomware).
Segmentation de réseau
Les organisations doivent disposer d’une séparation à la fois physique et logique entre les domaines informatiques et les processus et contrôles technologiques opérationnels. Autrement dit, elles doivent disposer de forêts AD et de segments de réseau distincts ainsi que des protocoles IP et des ports susceptibles de combler le fossé entre les deux domaines. Un signe courant d’une possible compromission est une tentative avortée de connexion aux domaines, dans laquelle le pirate tente de réutiliser des informations d’identification pour parcourir votre infrastructure.
Désactiver l’accès administratif dans la mesure du possible
L’audit et la limitation de cet accès constituent un autre mécanisme de sécurité, car nombreuses sont les organisations à avoir créé beaucoup trop de comptes avec un large éventail d’autorisations. Le rapport suggère de modifier des clés de registre, d’arrêter certains comptes de service (ou d’utiliser des stratégies de groupe pour les contrôler) en fournissant les commandes permettant de suivre et de verrouiller ces comptes, mais aussi de détecter et d’empêcher les abus d’autres comptes à privilèges.
Renforcement du protocole RDP
Le protocole RDP (Remote Desktop Protocol) peut être un moyen essentiel pour les pirates de s’introduire sur vos réseaux. Les organisations doivent analyser régulièrement leurs plages d’adresses IP publiques pour s’assurer que les ports 445 et 3389 de tous leurs systèmes ne sont pas ouverts. Vous trouverez dans le lien ci-dessus d’autres suggestions pour bloquer cette vulnérabilité. Par ailleurs, le rapport propose des mesures préventives supplémentaires, comme l’utilisation de paramètres d’authentification de niveau réseau dans les stratégies de groupe et l’utilisation du mode d’administration restreinte de RDP.
Nous vous recommandons de lire le rapport dans son intégralité afin d’explorer l’ensemble des conseils et des enseignements qu’il contient. Toutefois, avant de vous lancer, sachez que le rapport vous explique comment apporter ces modifications et comment rechercher des systèmes compromis de façon régulière après avoir mis en œuvre ces activités de « renforcement ».
La plupart des organisations n’assurent pas de suivi régulier pour vérifier que la modification de leur infrastructure réseau ou la sécurisation des comptes des anciens employés sont réellement effectuées. Même s’il est certainement judicieux d’apporter les corrections initiales afin de renforcer les défenses, ces actions doivent être appliquées de façon régulière.
