98% des menaces de sécurité commencent par Active Directory.
Active Directory détient littéralement les clés de votre royaume. Si les bons principes de sécurité ne sont pas mis en place et que vous donnez des autorisations excessives à vos utilisateurs, vous vous laissez exposer à des menaces de sécurité potentielles.
Au sein d’Active Directory, il existe de nombreux protocoles de sécurité parmi lesquels choisir pour mettre en place une politique du moindre privilège où vous n’accordez des accès administratifs qu’à ceux qui en ont réellement besoin.
Dans ce blog, nous allons passer en revue ce que sont exactement les groupes de sécurité dans Active Directory, la différence entre les groupes de distribution et les groupes de sécurité, à quoi peuvent servir les groupes de sécurité et comment exactement en créer un.
Qu’est-ce que les groupes Active Directory ?
Active Directory, en général, est un programme qui classe les utilisateurs dans différents groupes. C’est une plateforme centralisée que la plupart des entreprises utilisent pour gérer leurs comptes informatiques et pour accorder l’accès à des données sensibles.
Un groupe Active Directory est un groupe d’utilisateurs qui ont reçu l’accès à certaines ressources. Il existe deux façons de donner ce type d’accès aux groupes ; par le biais d’un identifiant unique global (GUID) ou d’un identifiant de sécurité (SID).
Les SID sont surtout utilisés lorsque l’accès veut être donné à des utilisateurs spécifiques, alors que les GUID sont utilisés lorsqu’on regroupe des utilisateurs qui ont tous besoin d’accéder aux mêmes ressources.
Les groupes peuvent être créés sur la base d’utilisateurs individuels qui ont tous besoin d’accéder à certaines ressources, ou ils peuvent être créés sur la base de groupes globaux (comme le département), ou de membres d’un certain domaine.
Les deux types de groupes Active Directory
Les groupes Active Directory sont divisés en deux catégorisations – les groupes de sécurité Active Directory et les groupes de distribution Active Directory.
Le type réel de groupe dont vous avez besoin dépendra de la fonction requise du groupe. Les groupes de distribution sont plus simples en ce sens qu’ils seraient utilisés si seules des notifications unidirectionnelles sont requises de la part du contrôleur central. Les groupes de sécurité sont plus complexes, et ils sont appliqués lorsque vous voulez permettre aux utilisateurs d’accéder aux données et de les modifier.
Les équipes de sécurité doivent accorder beaucoup plus d’attention aux groupes de sécurité pour s’assurer que les autorisations ne s’étendent pas hors de contrôle et que les risques pour la sécurité de vos données sont atténués.
Pourquoi devriez-vous utiliser les groupes de sécurité Active Directory ?
Les groupes de sécurité sont essentiels lorsqu’il s’agit de maintenir des droits d’accès appropriés à vos données les plus sensibles. La possibilité de regrouper les utilisateurs dans des pots pour attribuer des niveaux de permissions est incroyablement utile pour maintenir une politique de moindre privilège.
Par exemple, vous pouvez utiliser les groupes de sécurité Active Directory pour attribuer des permissions de haut niveau aux membres du conseil d’administration afin qu’ils puissent soumettre des informations financières et des indicateurs de performance clés pour leurs collègues. Vous pouvez également utiliser les groupes de sécurité pour attribuer des autorisations de niveau inférieur aux nouveaux membres.
Les groupes de sécurité Active Directory peuvent également être modifiés via le portail AD, où les utilisateurs peuvent être déplacés ou supprimés complètement.
Comment créer un groupe de sécurité dans Active Directory
Les étapes suivantes s’appliquent à Windows 10 et à Windows Server 2016. Veuillez noter que vous allez devoir être membre du groupe Administrateurs de domaine, ou avoir les bonnes permissions déjà appliquées, pour pouvoir créer vous-même de nouveaux groupes.
- Ouvrir la console Utilisateurs et ordinateurs d’Active Directory.
- Sélectionnez le conteneur dans lequel vous souhaitez stocker votre groupe (« Utilisateurs », par exemple).
- Cliquez sur « Action » – « Nouveau » – « Groupe »
- Nommez votre groupe à l’aide de la zone de texte Nom du groupe et saisissez une description.
- Selon l’infrastructure de votre forêt Active Directory, choisissez la portée de groupe correcte : Global ou Universel.
- Cliquez sur « Security » comme type de groupe, puis cliquez sur « Ok » pour créer votre groupe de sécurité.
Comment améliorer la sécurité de vos groupes de sécurité Active Directory
De nombreuses entreprises doivent faire face à des joiners, des leavers et des movers dans leur environnement. Lorsque les utilisateurs changent de rôle, quittent l’entreprise ou commencent un nouveau rôle, leurs autorisations requises seront différentes.
Malheureusement, de nombreuses entreprises ne communiquent pas assez efficacement avec les équipes informatiques et de sécurité pour s’assurer que les autorisations et les membres des groupes de sécurité sont maintenus de manière appropriée. Dans le pire des cas, cela pourrait potentiellement conduire à ce que des menaces internes mettent la main sur vos données les plus sensibles.
La plateforme de sécurité des données Lepide vous donnera la possibilité de générer instantanément une liste d’utilisateurs qui ont été jugés comme détenant des » autorisations excessives « , ou de générer des alertes en temps réel lorsque les autorisations sont modifiées, afin que vous puissiez prendre les mesures nécessaires pour maintenir votre politique de moindre privilège.
Pour voir la solution en action, programmez une démo avec l’un de nos ingénieurs dès aujourd’hui.