Logo IS Decisions

8 failles de sécurité dans les stratégies de groupe de Windows

Huit raisons pour lesquelles la sécurité de l'Active Directory (AD) natif de Windows ne comble pas les lacunes en matière de sécurité, notamment l'absence d'authentification multifacteur (MFA) sur les ordinateurs Windows faisant partie d'un domaine AD.

Mis à jour le 13 juin 2024
Windows login Active Directory (AD) security

Les contrôles d'accès intégrés à Active Directory autour des connexions échouent. Chaque faiblesse représente une faille de sécurité qui vous expose aux attaques externes, aux menaces internes et aux problèmes de non-conformité.

1. Aucun paramètre de restriction de groupe ou d'unité d'organisation

Il n'y a aucune possibilité d'établir des restrictions de temps de connexion et de poste de travail basées sur ces mécanismes de sous-ensembles d'utilisateurs logiques, malgré un large éventail de normes de conformité l'exigeant.

2. Pas d'identification d'un point d'accès initial en dehors d'une session imbriqué

Ceci est particulièrement nécessaire dans les situations où un acteur de la menace (interne ou externe) se déplace horizontalement au sein de votre réseau. Être capable de cibler le point de terminaison initial aiderait à arrêter toute la chaîne d'accès.

3. Pas de contrôle sur les connexions simultanées

Autrement dit, il n'y a pas de moyen centralisé dans AD pour suivre chaque endroit où un utilisateur se connecte.

4. Pas de déconnexion forcée lorsque le temps de connexion est dépassé

AD peut établir quand les utilisateurs peuvent se connecter (et ne pas autoriser la connexion en dehors de ces heures), mais n'a pas la possibilité d'expulser quelqu'un de votre réseau.

5. L'absence de réponse aux événements et déconnexion forcée à distance

Il existe de nombreuses bonnes raisons pour lesquelles vous souhaitez effectuer une déconnexion forcée à distance et c’est toutefois requis pour les principales réglementations de conformité.

6. Pas d'avertissement des utilisateurs de l'utilisation suspecte de leurs identifiants

Informer l'utilisateur de l'utilisation irrégulière de ses propres identifiants lui permet d'agir en tant que membre de votre équipe de sécurité. Qui mieux que l'utilisateur lui-même pour détecter quand une connexion est inappropriée !

7. Pas d'envoie de notification de connexion précédente

Le simple fait de faire savoir à l'utilisateur la dernière fois qu'il s'est connecté améliorerait la sécurité. C'est aussi un must pour la conformité au NIST 800-53. Mais, sans suivi centralisé de chaque connexion, cela n'est tout simplement pas possible nativement.

8. Pas de contrôles temporaires

Sans une période de temps définie, les utilisateurs se retrouvent avec des règles d'accès bien au-delà de leurs besoins immédiats.

Pas de connexion, pas de menace

Pour s'assurer que l'utilisateur est bien qui il prétend être, les organisations doivent se tourner vers des contrôles plus efficaces. En ajoutant des stratégies, des restrictions et des informations en temps réel sur les ouvertures de session, les entreprises peuvent agir avant qu'un accès non autorisé soit obtenu et avant que des dommages ne soient causés.

XFacebookLinkedIn

Essayez UserLock gratuitement

Plus de 3400 organisations comme la vôtre utilisent UserLock pour sécuriser les accès des identités Active Directory et répondre aux exigences de conformité.

Télécharger une version d'essai gratuite