Bonjour à tous,
Au moment de l’écriture de cet article, on est à peu près à un mois des vacances d’été (juillet / aout) qui est « normalement » une période un peu plus calme pour les #AdminSys.
À la vue de l’actualité (Cyberattack) de ces dernières semaines, ce moment de « calme » est propice pour traiter des sujets que l’on n’a pas le temps le reste du temps , et ce que je vous propose pour cet été, c’est de faire un peu de « sécurité ».
Pour vous guider dans cet audit et le durcissement, je vous propose deux outils gratuits :
- PingCastle
- Specops Password Auditor
PingCastle
PingCastle est un utilitaire « gratuit » qui permet d’auditer votre annuaire Active Directory, il génère un rapport au format HTML qui va vous indiquer les problèmes et comment les résoudre.
Il est très ludique : l’audit est divisé en 4 partie :
- Stale Object
- Privileged Account
- Trusts
- Anomalies
Comme vous pouvez le voir, chaque partie est notée sur 100 (on peut avoir plus de points …) et le but est de tendre vers 0 afin d’avoir un environnement Active Directory « sécurisé’.
Pour chaque partie, vous avez la liste des points à améliorer et le nombre de points que vous coute chaque élément à régler.
Pour chaque élément à régler, des explications et des détails sont disponibles pour vous aider :
L’utilisation de l’outil est très simple, une fois l’archive décompressée, il suffit d’exécuter le fichier PingCastle.exe.
Pour auditer l’Active Directory, sélectionner le choix 1 (par défaut) healthcheck-Score the risk of a domain.
Ensuite, il faut choisir le domaine, si vous avez un seul domaine, appuyer directement sur Entrée.
Patienter pendant l’audit et la génération du rapport (c’est très rapide).
Le rapport est disponible dans le dossier où se trouve l’exécutable PingCastle.
Si vous souhaitez, voir un rapport, je vous mets à dispo le rapport de mon environnement de test.
Petit conseil, si vous souhaitez pouvoir suivre l’évolution, sauvegarder les anciens rapports, lors de la génération d’un nouveau rapport, celui-ci est écrasé.
Je vous conseille de procéder par étape et d’essayer d’aller dans le vert.
Si vous utilisez ORADATA de l’ANSSI, c’est similaire et PingCastle peut aussi vous aider à améliorer le niveau de votre AD par rapport à l’outil ORADATA.
Specops Password Auditor
Specops Password Auditor est un utilitaire gratuit qui va auditer les mots de passes des comptes utilisateurs de votre Active Directory.
Une fois installé, il est préférable de l’exécuter avec un compte Admins du domaine afin de pouvoir accéder au hash des mots de passe.
Patienter pendant l’audit …
Lors du premier lancement, vous serez invité à télécharger une base de données, qui va permettre de vérifier si le hash des mots de passe a « fuité » sur Internet.
Une fois l’audit effectué, cliquer le bouton Show Result.
L’audit est divisé en plusieurs parties et il est possible d’avoir plus d’information en cliquant un encart.
- Blank Passwords : compte avec un mot de passe vide
- Breached Passwords : compte avec un mot de passe dans le hash a fuité sur Internet (cela ne va pas dire que le couple identifiiant / mot de passe est disponible dans les bases de données).
- Identical Passwords : compte ayant le même mot de passe.
Quand vous êtes dans une vue détaillée, vous avez la possibilité de faire un export CSV.
Il est aussi possible de générer un rapport PDF.
Et si vous avez encore plus temps, voici quelques autres actions à faire :
- Mettre à jour vos serveurs et équipements.
- Vérifier vos ACL (NTFS) sur les serveurs de fichiers.
- Tester vos sauvegardes.
- …
Bon courage à tous et bonne vacances.