Une stratégie stricte de verrouillage des comptes est essentielle pour déjouer les attaques par force brute et par devinette de mot de passe, mais elle risque également de bloquer les utilisateurs légitimes, ce qui fait perdre aux entreprises du temps, de l’argent et des efforts précieux.
Les demandes de réinitialisation de mot de passe représentant près de 30 % du total des tickets du centre d’assistance informatique, la résolution des verrouillages de compte fréquents devient une partie indispensable du travail d’un administrateur système. Et comme les employés passent d’un appareil à l’autre et collaborent à l’aide de nombreuses applications, il est plus difficile que jamais de trouver la source du verrouillage d’un compte AD.
Il est essentiel de comprendre pourquoi le mauvais mot de passe a été utilisé à plusieurs reprises, c’est-à-dire si son utilisation était malveillante ou non, car ne pas connaître cette information pourrait entraîner un accès indésirable. C’est pourquoi il est urgent d’analyser et de détecter rapidement la cause principale d’un verrouillage de compte afin que les comptes des utilisateurs ne restent pas verrouillés longtemps.
Types de verrouillage de compte AD
La stratégie de verrouillage des comptes est une mesure de sécurité intégrée qui empêche les utilisateurs malveillants et les pirates d’accéder illégalement aux ressources de votre réseau. Presque tous les verrouillages AD sont causés par l’un de ces deux problèmes fondamentaux. Il s’agit de :
- Des employés négligents qui oublient leurs mots de passe
La force d’une organisation dépend de son élément le plus faible. Sans l’utilisation d’une authentification unique, un employé utilise en moyenne environ 27 mots de passe pour ses besoins professionnels. Outre l’accès à leur poste de travail et au VPN, une vaste gamme d’applications comme Outlook, Dropbox, G Suite, Salesforce, Amazon Web Services (AWS) et bien d’autres nécessitent l’utilisation de mots de passe uniques. Il est donc extrêmement difficile pour un employé moyen de savoir quels mots de passe sont utilisés, ce qui entraîne de fréquents blocages de comptes.
Bien que ce type de réinitialisation de mot de passe soit courant, sa résolution nécessite simplement de vérifier l’ID de l’utilisateur et de réinitialiser le mot de passe du compte AD.
- Superposition de mots de passe due à des informations d’identification mises en cache
Ce type de blocage de compte, bien que moins répandu, est beaucoup plus difficile à résoudre, car la cause première du blocage du compte est souvent obscure.
De plus, comme les employés utilisent souvent plusieurs appareils, de nombreuses applications de productivité, des services Windows, etc., la superposition des mots de passe peut déclencher le verrouillage du compte à partir de n’importe lequel de ces appareils.
Dans cet article, nous nous penchons sur ce type de verrouillage de compte répété, analysons ses causes et discutons des différents outils disponibles pour le résoudre.
Microsoft Technet énumère les causes les plus courantes du verrouillage des comptes:
- Programmes utilisant des informations d’identification en cache
- Informations d’identification en cache expirées utilisées par les services Windows
- Seuil inférieur pour les tentatives de mot de passe
- Employés connectés sur plusieurs appareils
- Informations d’identification redondantes conservées pour les noms d’utilisateur et les mots de passe stockés
- Informations d’identification obsolètes utilisées par les tâches planifiées
- Mises en correspondance incorrectes de lecteurs partagés
- Problèmes de réplication des comptes AD
- Sessions de terminal déconnectées sur un serveur Windows
Outils permettant de trouver la source des verrouillages répétés de comptes
Il existe de nombreux outils qui aident à trouver la source des verrouillages de compte répétés. La plupart d’entre eux demandent beaucoup de travail et de temps. Il s’agit de:
- Outils de gestion et de verrouillage des comptes Microsoft
Microsoft propose les outils LockoutStatus et EventCombMT. Bien que fiables et précis, l’utilisation des outils de Microsoft nécessite la configuration de plusieurs outils individuels, une investigation manuelle de routine de chaque composant de Windows, etc.
- Scripts PowerShell
Outre le fait que les administrateurs doivent connaître le langage de script, l’utilisation des scripts PowerShell nécessite une configuration manuelle de l’audit de sécurité AD. Il s’agit de trouver le contrôleur de domaine qui a le rôle d’émulateur de contrôleur de domaine primaire, de rechercher l’événement Windows ID 4740 dans les journaux d’événements de sécurité et d’analyser les détails de l’événement trouvé.
- Examinateurs de verrouillage de compte
Une solution tierce capable d’analyser divers composants Windows, tels que les tâches planifiées, les objets COM, OWA, les applications et ActiveSync, pour détecter les signes d’informations d’identification obsolètes et de cartographie incorrecte, permet de trouver rapidement la source des verrouillages de compte répétés.
Utilisez l’examinateur de verrouillage de compte de ManageEngine ADAudit Plus pour repérer et résoudre facilement les verrouillages répétés de comptes AD. Il vous aide:
- Tracer les statuts de verrouillage des comptes ainsi que des détails sur les durées de verrouillage, les machines, etc.
- Analyser les services Windows, les applications, les processus et les tâches planifiées à la recherche d’informations d’identification obsolètes.
- Vérifier les cartographies de lecteur réseau incorrectes et les sessions de bureau à distance déconnectées.
- Trouver l’historique des échecs de connexion associés à ce compte bloqué pour plus de contexte.
- Repérer les activités atypiques des utilisateurs, comme le temps ou le volume inhabituel de verrouillage de compte, grâce à l’analyse du comportement des utilisateurs.
- Et bien plus encore.
Télécharger notre version d’essai gratuite de 30 jours pour repérer et résoudre rapidement les verrouillages de comptes AD.
Source: What causes repeated account lockouts and how to resolve them
