Dans cet article, Le tiering Active Directory Nous nous concentrerons sur les politiques de sécurité, qui sont l’un des moyens importants pour assurer la sécurité de votre structure de domaine. En particulier, nous aborderons les mesures de sécurité critiques telles que la désactivation des lecteurs de disque amovibles, le blocage des invites de commande et la purge des comptes d'utilisateurs inutilisés.
Désactivation des lecteurs amovibles Active Directory
Dans le monde des affaires, les disques amovibles peuvent présenter des risques importants pour la sécurité des informations. Les unités multimédias amovibles telles que les CD/DVD et les clés USB permettent de transporter facilement les logiciels malveillants. Pour cette raison, de nombreuses institutions préfèrent retirer ces appareils.
"SÛRETÉun nommé " Objet de stratégie de groupe (GPO) Je commence par créer . Faites un clic droit sur ce GPO et cliquez sur 'ModifierJe le modifie avec l'option '.

Étape 2 : restreindre l'accès aux médias amovibles
Configuration ordinateur > Stratégies > Modèles d'administration > Système > Accès au stockage amovible En suivant le chemin,Toutes les classes de stockage amovibles : refuser tout accèsJ'active la politique « ». Ce paramètre empêchera l'utilisation de disques amovibles sur tous les appareils de l'organisation.

Blocage du disque USB Active Directory
Seulement au lieu de tous les supports amovibles USB Si les disques doivent être bloqués, Configuration ordinateur > Stratégies > Modèles d'administration > Système > Installation de périphérique > Restrictions d'installation de périphérique en allant dans la rubrique «Empêcher l'installation de périphériques non décrits par un autre paramètre de stratégieJ'active la politique « ». Cela limitera l’utilisation des clés USB uniquement sur tous les appareils de l’organisation.

Ajout d'un message de mémoire USB Active Directory
Si je souhaite afficher un message d'avertissement aux utilisateurs au cas où une mémoire USB serait insérée, Afficher un message personnalisé lorsque l'installation est empêchée par un paramètre de stratégie Activez la politique et 'Options'sous'Texte détailléJ'ajoute mon message d'avertissement à la section '. Ce message sera affiché à l'utilisateur à chaque tentative de téléchargement bloquée par la stratégie.

Blocage CMD d'Active Directory
Les opérations telles que la modification des paramètres réseau tels que l'IP, le DNS, la passerelle et l'obtention d'informations sur le système, qui peuvent être effectuées via CMD, présentent des risques de sécurité. Par conséquent, nous empêcherons les utilisateurs d’accéder à l’invite de commande.
Console de gestion de stratégie de groupeOuvrir et Configuration utilisateur > Stratégies > Modèles d'administration > Système suivre le chemin.
"Empêcher l'accès à l'invite de commandeActivez la stratégie « ». Ce paramètre empêche les utilisateurs d'accéder à l'invite de commande et leur demandera « Cette opération a été bloquée » lors de la tentative d'accès. un avertissement s’affiche.

Suppression des utilisateurs Active Directory inutilisés
Il est extrêmement important de purger régulièrement les comptes d'utilisateurs inutilisés ou inactifs dans les organisations pour prévenir les failles de sécurité. Les comptes inactifs peuvent constituer des passerelles potentielles permettant à des individus malveillants d'accéder aux systèmes.
Par conséquent, il est nécessaire de supprimer du système les comptes et les appareils des anciens employés qui n'ont pas été utilisés depuis longtemps. Le processus se déroulera en deux étapes : PowerShell et nettoyage automatique via les objets de stratégie de groupe (GPO).
Recherche d'objets informatiques inactifs avec PowerShell
Tout d'abord, nous listerons les dernières dates de connexion de tous les ordinateurs du domaine à l'aide du module Active Directory PowerShell. Ces informations nous aideront à déterminer quels ordinateurs sont restés inutilisés et pendant combien de temps.
Get-ADComputer -Filter * -Propriétés * | Nom FT, LastLogonDate -AutoSize

Ensuite, nous utiliserons la commande suivante pour rechercher les ordinateurs qui ont été inactifs au cours de la semaine dernière :
dsquery computer -inactive 1
Nous pouvons utiliser la commande suivante pour supprimer ces ordinateurs du système :
ordinateur dsquery -inactif 1 | dsrm -noprompt
Suppression automatique des utilisateurs inutilisés avec la stratégie de groupe
Nous utiliserons les paramètres de stratégie de groupe pour supprimer automatiquement les profils utilisateur inutilisés. Cela garantit que les profils d'utilisateurs qui n'ont pas été connectés pendant un certain temps sont automatiquement supprimés au redémarrage du système.
Console de gestion de stratégie de groupe dans, Configuration ordinateur > Stratégies > Modèles d'administration > Système > Profils utilisateur Allez dans la rubrique "Supprimer les profils d'utilisateurs de plus de quelques jours au redémarrage du systèmeNous activons la « politique ». Dans la section Options, nous configurons la suppression des profils d'utilisateurs qui ne sont pas connectés dans le délai que nous spécifions (par exemple, 90 jours).

Configuration de la stratégie de mot de passe Active Directory
Généralement, les organisations utilisent des mots de passe d'une longueur minimale de 8 caractères, mais des mots de passe plus longs et plus complexes augmentent le niveau de sécurité. La formation de sensibilisation joue également un rôle important dans l'amélioration des pratiques de sécurité des employés. Si votre mot de passe est facilement devinable, c'est-à-dire qu'il ne contient pas de caractères spéciaux, de chiffres, de lettres majuscules et minuscules, il ne peut pas être considéré comme sécurisé.
Pour créer une politique de mot de passe forte dans votre organisation, procédez comme suit :
- Longueur minimale du mot de passe: Au moins 12 caractères.
- Historique des mots de passe: Imposez de ne pas réutiliser les 2 derniers mots de passe utilisés.
- Mots de passe complexes: Doit contenir des lettres majuscules, des lettres minuscules, des chiffres et des caractères spéciaux.
Paramètres de stratégie de groupe
- Chemin d'application:
Computer Configuration -> Windows Settings -> Security Settings -> Account Policies -> Password Policy
- Historique des mots de passe appliqués: définissez combien de fois les utilisateurs se souviennent de leurs anciens mots de passe.

- Âge maximum du mot de passe: Définissez la durée maximale d'utilisation du mot de passe. Par exemple, si 45 jours est spécifié, un changement de mot de passe sera demandé le 46ème jour.

- Âge minimum du mot de passe: Définissez la durée minimale d'utilisation du mot de passe. Cette période doit être inférieure à l'âge maximum du mot de passe.

- Longueur minimale du mot de passe: Définissez le nombre minimum de caractères pour le mot de passe.

- Le mot de passe doit répondre aux exigences de complexité: Appliquer les exigences de complexité des mots de passe.

Verrouillage de compte contre les tentatives de mot de passe Active Directory
Le verrouillage des comptes pendant une certaine période contre les tentatives de mot de passe garantit que le compte sera inaccessible pendant une certaine période si un mauvais mot de passe est saisi.
- Chemin d'application:
Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Account Policies -> Account Lockout Policy
- Durée du verrouillage du compte: Réglez le temps de verrouillage. S'il est défini sur 0, le déverrouillage n'est possible que par un utilisateur autorisé.
- Seuil de verrouillage du compte: Spécifiez le nombre de tentatives nécessaires pour verrouiller le compte lorsqu'un mauvais mot de passe est saisi.
JOURNAL d'audit Active Directory
Pour surveiller en permanence les événements qui se produisent dans notre environnement et détecter les activités anormales, les règles des politiques d'audit doivent être configurées de manière appropriée. En appliquant ces étapes, nous pouvons éviter les points d’interrogation qui pourraient surgir en fin de journée.
Étapes de configuration :
- Chemin d'application:
Computer Configuration -> Policies -Windows Settings -> Security Settings -> Advanced Audit Policy Configuration
Principales politiques d’audit :
1. Connexion au compte :
- Il vérifie les tentatives d'authentification et les tentatives de mot de passe à l'aide du protocole NTLM.
- Situation applicable: À la fois succès et échec.
2. Auditer le service d'authentification Kerberos :
- Enregistre les demandes d’authentification Kerberos.
- Situation applicable: À la fois succès et échec.
3. Auditer les opérations des tickets de service Kerberos :
- Enregistre les transactions de tickets Kerberos pour accéder aux ressources.
- Situation applicable: À la fois succès et échec.
4. Gestion des comptes :
- Audit de la gestion des comptes informatiques: Enregistre les opérations informatiques et de gestion des comptes.
- Auditer la gestion des comptes utilisateur: Enregistre les opérations telles que la création, la suppression et les changements de nom d'utilisateurs.
- Gestion du groupe de sécurité d'audit: Enregistre la gestion des groupes de sécurité.
5. Suivi détaillé :
- Création de processus d'audit: Enregistre les transactions nouvellement initiées.
- Ajustements des droits des jetons d’audit: Enregistre les modifications apportées aux droits des jetons.
6. Connexion/Déconnexion :
- Connexion (Connexion d'audit) ve Déconnexion d'audit enregistre les transactions.
- Adhésion au groupe de vérification: Enregistre les tentatives d'accès aux partages.
7. Accès aux objets :
- Système de fichiers (système de fichiers d'audit): Enregistre les tentatives d'accès au système de fichiers.
- Partage de fichiers (partage de fichiers d'audit): Enregistre les tentatives d'accès effectuées aux partages de fichiers.
Désactivation de Windows Installer
Permettre aux utilisateurs d'installer eux-mêmes des logiciels peut permettre à des logiciels indésirables d'infiltrer le système. Pour éliminer ce risque, nous pouvons désactiver Windows Installer à l'aide d'un objet de stratégie de groupe (GPO).
Étapes de configuration :
- Console de gestion de stratégie de groupeOuvrir .
- Depuis la barre de navigation
Computer Configuration
->Policies
->Administrative Templates
->Windows Components
->Windows Installer
suivre le chemin. - Interdire l'installation par l'utilisateur Recherchez la stratégie et double-cliquez dessus.
- le principe
Enabled
Activez-le en le déplaçant en position.
Avec ce processus, les utilisateurs ne peuvent pas installer de logiciels sur le système, évitant ainsi d'éventuelles vulnérabilités de sécurité. Cette politique augmente le contrôle du service informatique en centralisant la gestion des logiciels et minimise les problèmes de sécurité pouvant découler des erreurs des utilisateurs.
Merci d'avoir pris le temps de lire et je vous souhaite un environnement informatique sécurisé.