Les violations d’informations se produisent désormais si souvent que nous ne nous arrêtons même pas brièvement en lisant un autre titre nous informant de celui en cours. Nous ne répondons que si la violation s’est produite sur un service que nous utilisons – et peut-être même pas à ce moment-là. Nous devons tous être conscients que lorsqu’un de nos mots de passe a été compromis et exposé, il doit être considéré comme compromis pour toujours.
En rassemblant et en évaluant les mots de passe divulgués après de nombreuses violations, les agresseurs peuvent appliquer des schémas de création de mots de passe d’utilisateurs particuliers, leur permettant de penser facilement à leurs mots de passe. Pire encore : ils n’ont pas besoin de trouver ces modèles ni d’efforts pour penser aux mots de passe, car de nombreux utilisateurs ne prennent même pas la peine de changer leurs mots de passe après une violation d’informations.
En utilisant des pots de miel ou des personnalités privées pour aller dans des endroits où vont les mauvaises étoiles, les scientifiques d’Enzoic enquêtent en permanence sur les violations d’informations et les fuites d’informations d’identification afin que les entreprises qui n’ont pas de scientifiques en danger puissent bénéficier des connaissances acquises lors des examens.
Quoi de neuf dans Enzoic pour Active Directory ?
L’un des points forts de la solution de site Enzoic pour Active Directory est qu’elle est entièrement certifiée avec les normes de mot de passe du NIST (comme indiqué dans la publication spéciale NIST 800-63b, qui a en fait été mise à niveau en 2020 ) aidant les organisations à atteindre rapidement les meilleures pratiques de l’industrie pour les mots de passe.
Si vous regardez ces directives, vous pouvez voir que le NIST s’est en fait éloigné des anciennes suggestions de politique de mot de passe et nous recommande maintenant Les utilisateurs doivent se concentrer sur les listes noires de mots de passe plutôt que sur la complexité algorithmique, en mettant l’accent sur la garantie que les mots de passe sont effectivement hachés et salés. De plus, les organisations ne devraient pas avoir besoin que les membres de leur personnel réinitialisent leurs mots de passe à moins qu’il n’y ait une preuve de compromission, et elles doivent surveiller quotidiennement les nouveaux mots de passe, en les comparant à des listes de mots de passe compromis plus récents.
Il convient de noter en particulier la recommandation du NIST d’éliminer les réinitialisations de routine des mots de passe si vous disposez d’une méthode pour découvrir si les qualifications en cours d’utilisation sont réellement compromises. C’est là qu’un outil comme Enzoic pour Active Directory peut être utile, car il inspecte les mots de passe lors de leur création, mais continue également de les inspecter quotidiennement par rapport à une base de données constamment mise à jour.
Dans sa version la plus récente (v3 .2.318.0), le site Enzoic pour Active Directory va au-delà de la simple inspection des mots de passe pour voir s’ils ont été compromis en général – il vérifie désormais également les paires d’informations d’identification complètes (par exemple, le mot de passe de l’adresse e-mail). Et, dans tout cela, il utilise le k-anonymat, une technique protégée utilisant l’échange d’informations de hachage partiel pour examiner les mots de passe sans que le mot de passe ou le hachage ne quitte l’environnement du consommateur ou les possessions du cloud.
Installation
Un assistant de configuration (assistant) permet un processus d’installation et de configuration facile, et aide les utilisateurs à appliquer facilement leur nouvelle politique de mot de passe.
Je configure l’option dans mon environnement de test via le compte d’administrateur de domaine, car des avantages de domaine accrus sont nécessaires pour accéder à Active Directory afin de sélectionner les utilisateurs et les groupes qui seront surveillés.
Figure 1– Paramètres réseau
Figure 2– Entrez le secret du produit
Après être entré dans les informations requises sur le réseau et la licence, j’ai utilisé l’alternative de configuration des groupes et des utilisateurs à surveiller, suivie de la possibilité de laisser le service sélectionner instantanément la bonne configuration pour se conformer à la norme NIST 800-63b (alternativement, vous pouvez personnaliser les paramètres à la main).
Figure 3– Configuration des groupes et des utilisateurs à surveiller
Figure 4– Conformité NIST en un clic
En sélectionnant l’option « Conformité NIST en un clic », vous pouvez configurer une toute nouvelle conformité NIST politique de mot de passe fourmi en quelques minutes (mais pas en un seul clic).
Pour commencer, vous devrez ajouter des mots spécifiques à votre service (par exemple, le nom de l’entreprise, le nom de l’article, etc.) à une liste qui sera utilisée pour créer un dictionnaire local de mots de passe personnalisés. Le service utilisera ce dictionnaire local pour éviter que les employés développent des mots de passe prévisibles et facilement devinables qui pourraient être rapidement liés à votre entreprise. En coupant ce lien, vous limitez les choix de l’agresseur. Tous les dictionnaires et mots de passe compromis sont immédiatement gérés par Enzoic, de sorte que votre dictionnaire personnalisé peut être concis.
Figure 5– Développer une liste de mots particuliers à votre service
Ensuite, vous avez la possibilité d’activer le suivi du mot de passe utilisateur et de choisir la correction les actions que les utilisateurs devront entreprendre si leur mot de passe est compromis. J’aime l’option d’ajouter un délai avant d’exiger automatiquement un changement de mot de passe ou de désactiver le compte.
Figure 6– Configuration du suivi du mot de passe utilisateur
Le L’alternative à la « conformité NIST en un clic » consiste à choisir vos propres paramètres. Cela consiste à décider si vous souhaitez rendre possible le suivi du mot de passe utilisateur (comme imaginé ci-dessus) et quels paramètres de politique de mot de passe individuels pour les politiques et les exigences de votre entreprise :
Figure 7- – Choisir des politiques de mot de passe spécifiques
Malgré votre option d’installation, vous pouvez personnaliser et jeter un coup d’œil aux alertes par e-mail qui seront envoyées aux membres de votre personnel si leur mot de passe n’est plus sûr à utiliser :
Figure 8 et 9– Personnalisation et aperçu des signaux d’e-mail
Ensuite, vous devez spécifier quels administrateurs seront informés lorsque le service a une alerte cruciale :
Figure 10– Paramètres des avis administratifs
Les administrateurs qui ont été ajoutés à la liste pour recevoir des alertes administratives seront alertés chaque fois qu’un utilisateur surveillé avec un mot de passe compromis est trouvé dans le système pendant le suivi constant, bien que la majorité des organisations établiront la suppression automatique qui gère le besoin d’un laissez-passer mot réinitialisé à noté ci-dessus. Les administrateurs recevront également des alertes en cas d’erreur de fonctionnement avec le logiciel, car ils doivent résoudre la situation.
Vous pouvez également faire en sorte qu’ils reçoivent un e-mail récapitulatif périodique qui fournira des informations supplémentaires en fournissant un statut de compromis pour le domaine surveillé, un résumé des détections d’Enzoic et une liste des utilisateurs avec des mots de passe compromis dans un laps de temps défini. Cela peut être utile pour documenter la conformité de la politique de mot de passe pour les auditeurs.
Enfin, vous pouvez tester les paramètres configurés tout au long de l’installation. Le test vérifie si le mot de passe choisi par un utilisateur spécifique respecte votre politique de mot de passe et s’il a été compromis (en le comparant à la base de données d’Enzoic contenant des milliards d’informations d’identification courantes et compromises). Enzoic recommande que la plupart des vérifications prennent environ 250 millisecondes, et je peux confirmer que la vérification du mot de passe prend bien moins d’une seconde :
Figure 11 et 12– Vérification un mot de passe
Et c’est tout ! Le logiciel est configuré, opérationnel et en cours d’exécution, appliqué à un environnement de domaine Windows, sécurisant immédiatement les utilisateurs surveillés.
Figure 13– Installation terminée (avec certaines limitations)
Enzoic déclare que pour ouvrir complètement la capacité du logiciel – par exemple, des fonctions plus complètes telles que « Fuzzy Matching » et « Root Password Detection » – une réinitialisation du mot de passe est nécessaire pour tous les utilisateurs. Comme une réinitialisation du mot de passe utilisateur à l’échelle du domaine n’est pas possible dans tous les environnements ni sans tracas juste après la configuration, Enzoic a fait le choix idéal de laisser ces fonctionnalités handicapées. C’est aux administrateurs de choisir si/quand les autoriser.
Utilisation
Dès que l’installation et la configuration sont terminées, le site Enzoic pour Active Directory vous demandera si vous souhaitez exécuter un analyse préliminaire de votre domaine pour reconnaître les utilisateurs surveillés avec des mots de passe compromis.
Cette analyse exposera les utilisateurs avec les mots de passe compromis ou faibles et les comptes qui partagent des mots de passe, et je suggère de l’exécuter dès maintenant.
Figure 14– Les résultats de l’analyse initiale du domaine
En regardant le panneau de contrôle, je peux affirmer qu’Enzoic a tenté et réussi à garder les choses basiques et bien rangées. Je pourrais dire que la conception des couleurs pourrait être réduite, mais ce n’est pas un problème – simplement un choix personnel.
Figure 15– Le tableau de bord de l’option
L’onglet Santé du système fournit un aperçu des problèmes possibles avec Enzoic pour Active Directory, vous permettant de les repérer et de les diagnostiquer rapidement.
Figure 16– Informations sur la santé du système
Tous les choix que vous avez réellement choisis tout au long du processus d’installation et de configuration peuvent être modifiés.
Dans l’onglet Politiques de suivi, vous pouvez inclure des politiques supplémentaires (si elles sont prises en charge par votre licence logicielle), cependant, configurez également la stratégie de surveillance en fonction de vos besoins.
- Entités surveillées : ajustez les utilisateurs et les groupes du site Active Directory à surveiller
- Modifications des mots de passe : activez la défense pour les personnes surveillées entités lors de la modification du mot de passe
- Suivi des mots de passe– Activez une vérification constante et quotidienne de la façon dont il se comporte lorsqu’il découvre des mots de passe utilisateur compromis
- Qualificatio ns Monitoring– Personnalisez les actions lorsque les qualifications complètes (définition du nom d’utilisateur et du mot de passe) sont compromises
- Politiques de mot de passe– Personnalisez les types de mots de passe qui seront rejetés
Figure 17– Choisissez les utilisateurs et les groupes surveillés
Figure 18– Activer ou désactiver la surveillance des mots de passe
Qualifications des utilisateurs à surveiller
La surveillance des qualifications des utilisateurs vérifie chaque jour si le mélange précis e-mail/mot de passe est réellement compromis. Étant donné que ce type de compromis présente un niveau de risque élevé, je suggérerais toujours de désactiver l’utilisateur jusqu’à ce que le scénario soit étudié par les administrateurs ou l’équipe de sécurité dédiée.
L’accès aux informations d’identification complètes est une aubaine pour les attaquants, car il simplifie considérablement l’accès au système cible. C’est exactement pourquoi bénéficier de l’option de surveillance des informations d’identification de l’utilisateur fournit un niveau de sécurité supplémentaire que la plupart des organisations devraient utiliser.
Figure 19– Ajouter la surveillance des informations d’identification complètes (e-mail/ combo mot de passe)
Figure 20– Personnalisez les types de mots de passe qui seront refusés
Tous les paramètres sont configurables ici en un seul endroit : vous pouvez modifier le réseau paramètres, ajoutez de nouveaux mots à votre dictionnaire de mots de passe personnalisé, modifiez les administrateurs qui recevront des signaux et assurez-vous que vos politiques de mot de passe respecteront les exigences du NIST.
Figure 21– Paramètres généraux
Les rapports basés sur « Suivi des utilisateurs », « Modification du mot de passe » et « Suivi constant » peuvent être générés et exportés vers CSV :
Figure 22– Alternatives de création de rapports
Décision
Enzoic pour Active Directory combine l’application d’une politique de mot de passe en temps réel avec un audit continu des mots de passe et une correction automatisée, vous permettant de fe et les mots de passe compromis hors du site Active Directory.
En utilisant Enzoic pour Active Directory, les organisations de tous types et de toutes tailles peuvent répondre aux exigences des directives de mot de passe NIST 800-63b en quelques minutes et afficher et nettoyer leur environnement AD des mots de passe vulnérables ou compromis.
À mon avis : si vous recherchez un tel service ou si vous essayez de trouver un outil de stratégie de mot de passe qui offre une défense contre les fuites d’informations d’identification avec des mises à jour quotidiennes, le site Enzoic pour Active Directory est un candidat que vous devez hautement considérer.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
