Maintenir le contrôle et la visibilité sur les comptes de service est essentiel pour la gestion de la sécurité des identités de toute organisation. comptes privilégiés sont souvent créés pour automatiser les fonctions du système, puis oubliés, créant ainsi des failles de sécurité qui peuvent être exploitées. Ne pas connaître l'étendue complète des comptes de service et leur activité sur votre réseau et vos serveurs laisse des failles que les cybercriminels ciblent activement.
Cet article fournit un guide étape par étape permettant aux professionnels de la cybersécurité d'obtenir un inventaire complet des comptes de service dans leur Active Directory domaine et serveurs Windows.
Le manque de documentation des comptes de service présente une faiblesse majeure, et ce processus contribuera à combler cette lacune en créant une comptabilité complète des comptes avec accès privilégié.
Gérer et surveiller correctement les comptes de service est un moyen essentiel de renforcer les défenses et d'éviter de devenir le prochain gros titre.
Comment générer une liste de tous les comptes de service de votre domaine
Pour obtenir un inventaire complet des comptes de service dans votre domaine, vous devez interroger vos contrôleurs de domaine. Les comptes de service sont utilisés par les services Windows, les pools d'applications IIS, SQL Server et d'autres applications pour accéder aux ressources. Cependant, sans documentation et surveillance appropriées, les comptes de service orphelins peuvent présenter un risque de sécurité.
Générez une liste de tous les comptes de service de domaine en exécutant la commande PowerShell suivante sur un contrôleur de domaine :
Get-ADUser -Filter 'ServicePrincipalName -like "*"' -Properties SamAccountName,ServicePrincipalName | Select-Object SamAccountName,ServicePrincipalName | Export-CSV C:\Temp\ServiceAccounts.csvCette volonté:
- Utilisez l'applet de commande Get-ADUser pour récupérer tous Active Directory des comptes d'utilisateurs ou administrateurs
- Filtrez les résultats pour renvoyer uniquement les utilisateurs disposant d'un attribut ServicePrincipalName (ce qui indique qu'il s'agit d'un compte de service)
- Exportez les propriétés SamAccountName et ServicePrincipalName vers un fichier CSV appelé ServiceAccounts.csv
Ouvrez le fichier CSV pour afficher la liste des comptes de service. SamAccountName indique le nom du compte et ServicePrincipalName affiche le nom du service ou de l'application qui utilise le compte.
Examinez chaque compte de service pour déterminer s'il est toujours utilisé. Vérifiez auprès des propriétaires de l'application pour vérifier que le compte est toujours requis. Désactivez ou supprimez tous les comptes de service inutilisés pour réduire le risque de compromission.
Documentez tous les comptes de service actifs, y compris les détails sur l'application ou le service propriétaire. Établissez un processus pour examiner régulièrement les comptes de service afin de garantir que la documentation reste à jour.
Prendre le temps de trouver tous les comptes de service dans votre domaine et mettre en œuvre des procédures de surveillance est un élément important d'une stratégie globale de sécurité. Les comptes de service non documentés et abandonnés offrent un accès facile qui peut être exploité par des acteurs malveillants. La tenue d'un registre précis de tous les comptes de service vous permet de les gérer et de les surveiller correctement.
Vérification des comptes de service et de leurs autorisations
Une fois les comptes de service identifiés, il est important de vérifier que leurs autorisations sont correctement étendues. Les comptes de service trop permissifs représentent un risque de sécurité majeur, car ils peuvent être exploités par des acteurs malveillants pour obtenir un accès large à l'environnement réseau.
Vérification des autorisations du compte de service
La première étape de la vérification des autorisations des comptes de service consiste à déterminer le niveau d'accès accordé à chaque compte. Ceci comprend:
- Révision des adhésions aux groupes. Les comptes de service ne doivent appartenir qu'à des groupes directement liés à leur fonction. Les comptes appartenant à des groupes trop permissifs comme les « Administrateurs de domaine » doivent être examinés.
- Analyse des autorisations de fichiers/dossiers NTFS. Les comptes de service ne doivent disposer que d'autorisations sur les fichiers et dossiers essentiels à leur utilisation prévue. Le contrôle total ou les autorisations de modification sur les répertoires sensibles sont des signaux d’alarme.
- Vérification pour compte privilégié les types. Les comptes dotés de privilèges administratifs tels que « Administrateurs d'entreprise » ou « Administrateurs de schéma » nécessitent un examen attentif. Ces comptes hautement privilégiés sont fréquemment des cibles de compromission.
- Révision des droits de délégation. Les comptes de service ne doivent pas disposer des autorisations « Agir en tant que partie du système d'exploitation » ou « Usurper l'identité d'un client après authentification », car celles-ci peuvent être utilisées pour obtenir un accès élevé.
- Analyse de SQL Server, SharePoint et d'autres autorisations d'applications. Les comptes de service avec des rôles db_owner ou d'administrateur de batterie de serveurs ont un accès large et doivent être examinés de près. Seules les autorisations minimales requises pour le fonctionnement du compte doivent être accordées.
Pour tout compte de service trop permissif identifié, les autorisations doivent être réduites au niveau approprié requis pour que le compte fonctionne. Si la justification commerciale de l'accès étendu à un compte n'est pas claire, cela peut indiquer la présence d'un compte non autorisé ou « fantôme » qui devrait être désactivé.
Vérifier et réduire rigoureusement les autorisations des comptes de service est une étape clé pour limiter l'impact potentiel d'une compromission de compte. En suivant bonnes pratiques pour le compte de service Grâce à la portée des autorisations et au moindre privilège, les organisations peuvent réduire considérablement les risques liés à l'accès aux comptes de service.
Surveillance et gestion continues des comptes de service
Une surveillance et une gestion régulières des comptes de service sont cruciales pour maintenir la sécurité et la conformité. Une fois l’audit initial des comptes de service terminé, des processus d’examen continus doivent être mis en œuvre pour garantir qu’aucun compte n’est négligé ou utilisé à mauvais escient.
Examens programmés
Il est recommandé que les comptes de services soient examinés au minimum une fois par trimestre. Lors des examens, vérifiez que les mots de passe des comptes sont complexes et uniques, que les comptes inutilisés sont désactivés ou supprimés et que les autorisations et droits d'accès du compte sont appropriés et nécessaires au fonctionnement du compte. Authentification multi-facteurs doit être activé sur tous les comptes de service pour fournir une couche de protection supplémentaire.
Surveillance de l'utilisation du compte
Surveillez en permanence l’activité du compte de service et les événements de connexion. Surveillez les anomalies telles que les connexions à partir d'appareils ou d'emplacements inconnus, les connexions à des heures inhabituelles ou les autorisations de compte élevées. Surveillez les signes indiquant qu'un compte de service peut avoir été compromis, comme l'installation d'un logiciel inconnu ou des modifications de configuration. Des alertes et des rapports peuvent être configurés pour informer les administrateurs de toute activité de compte douteuse nécessitant un examen.
Documentation
Les comptes de service bien documentés sont plus faciles à gérer et à auditer correctement. La documentation doit inclure des détails tels que l'objectif du compte, la propriété, les autorisations, les appareils et les logiciels consultés. La documentation permet de déterminer plus facilement si les modifications apportées au compte étaient légitimes et autorisées. Le manque de documentation entrave la capacité d’examiner minutieusement les comptes de service et peut augmenter les risques de sécurité.
Propriété du compte
Assurez-vous que tous les comptes de service ont un propriétaire désigné, même pour les processus automatisés. Les propriétaires de comptes doivent vérifier régulièrement l'accès et l'utilisation pour vérifier que les comptes sont toujours nécessaires et utilisés correctement. Les comptes sans propriétaire ou orphelins sont plus sujets aux abus ou à la négligence puisque personne ne revendique la responsabilité de leur gestion.
Avec une attention et une surveillance régulières, les comptes de service peuvent être sécurisés et la conformité maintenue. Mais sans une surveillance et une gestion continues, le dur travail d’audit initial des comptes sera rapidement annulé à mesure que des failles de sécurité se développeront et que les droits d’accès deviendront incontrôlables. Il est essentiel d’établir un calendrier régulier pour examiner les comptes, surveiller l’activité, mettre à jour la documentation et vérifier la propriété.
L'importance de connaître tous vos comptes de service
Les comptes de service sont des comptes administratifs utilisés par les services Windows, les pools d'applications IIS et les tâches planifiées pour accéder aux ressources. Étant donné que les comptes de service disposent souvent de privilèges élevés, ils constituent un vecteur d’attaque courant pour les pirates informatiques et les initiés malveillants.
Ne pas connaître tous les comptes de service de votre domaine et les ressources auxquelles ils accèdent rend votre organisation vulnérable aux accès non autorisés et aux violations de données. Les audits réguliers des comptes de service constituent une mesure de sécurité proactive nécessaire pour garantir la conformité aux réglementations telles que PCI DSS et minimiser vos surface d'attaque.
- Les comptes de service fournissent un accès à votre réseau. Les pirates ciblent fréquemment les comptes de service dotés de mots de passe faibles ou de privilèges excessifs pour obtenir un accès initial. Une fois à l’intérieur, ils utilisent le compte pour accéder aux données et se déplacer latéralement.
- Les comptes de service orphelins sont vulnérables. Les comptes de service qui ne sont plus associés à un service ou à une tâche mais toujours actifs dans AD peuvent être la cible des pirates. Il est essentiel d'identifier et de désactiver les comptes orphelins.
- La dérive des privilèges peut se produire avec le temps. Les comptes de service peuvent accumuler des droits d'accès supplémentaires à mesure que de nouveaux services et systèmes sont mis en ligne, accordant aux comptes plus de privilèges qu'ils n'en ont réellement besoin. Les audits aident à prévenir la dérive des privilèges en garantissant que les comptes disposent des moindre privilège accéder.
- Conformité menacée. Des réglementations telles que PCI DSS exigent un contrôle et une surveillance stricts des comptes administratifs tels que les comptes de service. Le fait de ne pas auditer régulièrement les comptes de service met votre conformité en danger et peut entraîner des sanctions.
Les risques de ne pas avoir d'inventaire de compte à service complet
Avoir un inventaire incomplet des comptes de service dans votre Active Directory l’environnement présente de sérieux risques pour votre organisation. Un accès non autorisé aux comptes de service peut entraîner les déplacements verticaux et élévations de privilèges, permettant aux acteurs malveillants d'obtenir des droits d'administration et d'accéder à des informations sensibles. En conséquence, des violations de données, des interruptions de service et des problèmes de conformité peuvent survenir.
Les comptes de service sont souvent négligés dans les audits et les examens de sécurité, car il s'agit de comptes non humains. Pourtant, ils disposent souvent des privilèges élevés requis pour exécuter des applications et des services. Dans le cas où ces comptes seraient compromis, les adversaires auront plus de facilité à se déplacer latéralement au sein du réseau et à obtenir un accès administratif.
Lorsque des comptes de service avec un accès étendu sont compromis, des violations de données sont plus susceptibles de se produire. Lorsqu'un attaquant accède à un système, des informations sensibles peuvent être consultées et exfiltrées, notamment des données client, de la propriété intellectuelle et finance La conformité réglementaire est également mise en danger si les auditeurs découvrent des comptes de service inconnus dotés de privilèges excessifs.
Lorsque les comptes de service sont utilisés à mauvais escient pour falsifier des applications, des serveurs et des périphériques réseau, des pannes et des interruptions peuvent survenir. Logiciel malveillant ou ransomware déployé via un compte de service compromis peut paralyser les systèmes et avoir un impact sur les opérations commerciales.
La réalisation d'un inventaire complet des comptes de service permet aux organisations de mettre en œuvre des contrôles appropriés, réduisant ainsi le risque d'accès non autorisé, les déplacements verticaux et élévations de privilèges, violations de données et interruptions de service. Une surveillance et un examen continus des comptes de service devraient être intégrés à toute Active Directory programme de sécurité. Ne pas le faire fournit des cibles faciles à exploiter pour les acteurs malveillants.
Comment Silverfort Recherche et protège tous les comptes de service
Silverfort comprend l’importance de connaître et de gérer tous les comptes de service. Notre solution complète crée un inventaire complet, garantissant une sécurité et une conformité renforcées.
Notre solution identifie et protège de manière proactive les comptes de service, atténuant ainsi les risques d'accès non autorisé et d'élévation de privilèges. Nous allons au-delà des audits pour nous intéresser aux comptes non humains.
Silverfort gère efficacement les privilèges élevés requis par les comptes de service. Une surveillance et un examen réguliers réduisent considérablement les violations de données, les perturbations et les problèmes de conformité.
Grâce à une surveillance et un contrôle continus, nous détectons et réagissons rapidement aux menaces. Silverfort non seulement empêche tout accès non autorisé, mais empêche également mouvements latéraux, garantissant que les acteurs malveillants ne peuvent pas obtenir d'accès administratif.
Nous comprenons les enjeux élevés de sécurité et de conformité. C'est pourquoi notre solution élimine les cibles faciles tout en renforçant votre Active Directory programme de sécurité et anticiper les menaces.