Meilleures pratiques pour le verrouillage de compte

Meilleures pratiques pour la mise en place d'une politique de verrouillage de compte

Créez une stratégie de verrouillage de compte GPO et modifiez-la dans “Computer Configuration\Windows Settings\Security Settings\Account Policies\Account Lockout Policy” en utilisant les paramètres suivants :

• Durée de verrouillage du compte : 1440 minutes
• Seuil de verrouillage de compte : 10 tentatives de connexion invalides
• Réinitialiser le verrouillage du compte après : 0 minutes [le compte ne se déverrouille pas automatiquement]

Enquête sur tous les verrouillages de compte

Pour enquêter sur les verrouillages de compte, vous devez capturer des journaux qui vous aideront à en retracer la source. Suivez les étapes suivantes :

• Activez l'audit des événements de connexion. Veuillez consulter le Logon Auditing Quick Reference Guide.
• Activez la journalisation Netlogon. Veuillez consulter le Account Lockout Troubleshooting Quick Reference Guide.
• Activez la journalisation Kerberos.
• Analysez les données issues des fichiers journaux d'événements de sécurité et des fichiers journaux Netlogon pour vous aider à déterminer où se produisent les verrouillages et pourquoi.
• Analysez les journaux d'événements sur l'ordinateur qui génère les verrouillages de compte pour en déterminer la cause.

Causes courantes des verrouillages de compte

• Attaque par force brute (vérifiez si le port RDP 3389 est ouvert sur Internet)
• Réplication Active Directory
• Programmes avec des informations d'identification d'utilisateur mises en cache
• Comptes de service avec des mots de passe récemment modifiés ou expirés
• Le seuil de mauvais mot de passe est défini trop bas
• Utilisateur se connectant à plusieurs ordinateurs
• Les noms d'utilisateur et mots de passe stockés contiennent des informations d'identification redondantes
• Tâches planifiées
• Mappages de lecteurs partagés
• Sessions de serveur Terminal déconnectées
• Des appareils mobiles accèdent au serveur Exchange via IIS

Outils de verrouillage de compte et de gestion qui aident lors des enquêtes

• Netwrix Account Lockout Examiner
• Outils de statut de verrouillage de compte Microsoft
• Utilitaire de détection de verrouillages AD et de mauvais mots de passe

Présentation de la politique de verrouillage de compte Active Directory

Une politique de verrouillage de compte désactive un compte utilisateur si un mot de passe incorrect est saisi un nombre spécifié de fois sur une période déterminée. Cette politique vous aide à empêcher les attaquants de deviner les mots de passe des utilisateurs, réduisant ainsi les chances de réussite des attaques sur votre réseau. Lorsque la politique est définie, chaque tentative de connexion au domaine échouée est enregistrée sur le contrôleur de domaine principal (PDC). Lorsque le seuil est atteint, le PDC verrouille le compte et l'empêche de se connecter avec succès. Lorsque le mot de passe est réinitialisé par un administrateur ou après la période de temps que vous spécifiez pour la durée du verrouillage du compte AD, l'utilisateur peut se connecter à nouveau avec succès, par exemple, à Windows 7.

Enquête sur les verrouillages de compte

Le verrouillage automatique des comptes après plusieurs tentatives de connexion infructueuses est une pratique courante, car les échecs de connexion peuvent être le signe d'un intrus ou d'un logiciel malveillant tentant de pénétrer dans votre système informatique. Avant de déverrouiller un compte, il est judicieux de découvrir pourquoi des mots de passe incorrects ont été fournis à plusieurs reprises ; sinon, vous augmentez le risque d'accès non autorisé à vos données sensibles.

La première étape du processus de dépannage consiste à identifier la source des échecs d'authentification qui ont provoqué le verrouillage du compte. Il existe plusieurs outils de account lockout management conçus pour aider dans ce processus.

Étant donné que l'émulateur PDC est responsable du traitement du verrouillage de compte, cela devrait être le premier DC que vous vérifiez dans le processus de dépannage. Si vous utilisez Windows Server 2008 R2 ou une version ultérieure, vous devriez activer l'audit de gestion des comptes utilisateurs dans la configuration de la Politique d'Audit Avancée. Déterminez ensuite les modifications de la politique de verrouillage de compte suivantes qui ont déjà été effectuées dans votre environnement et reconfigurez-les conformément à ce livre blanc des meilleures pratiques de verrouillage de compte.

Étant donné que les événements de verrouillage de compte sont enregistrés dans le journal des événements de sécurité Windows, vous devriez filtrer pour l'eventID 4740. Examinez les événements pour localiser le compte affecté. Les détails de l'événement contiendront des informations sur l'ordinateur où le verrouillage du compte a eu lieu. La même chose peut être faite avec le logiciel de verrouillage de compte Windows 7.

Allez ensuite sur le compte cible de verrouillage Windows 7 ou autre machine et vérifiez ses journaux de sécurité, d'application et système pour des anomalies. Si la machine cible est un serveur Exchange, vérifiez ses journaux IIS pour une adresse IP externe qui provoque un verrouillage. Si les ports RDP sont ouverts à Internet, bloquez-les, puis vérifiez à nouveau les verrouillages de compte futurs.