Active Directory est le service d'annuaire de Microsoft qui permet de gérer les identités et les accès au sein d'un réseau. Cependant, au fil du temps, la création et la suppression des comptes peuvent devenir désordonnées, entraînant une accumulation de comptes obsolètes, inactifs ou non sécurisés.
Il convient donc de faire le ménage régulièrement dans Active Directory pour :
- renforcer la sécurité de l'organisation. Des comptes inactifs peuvent être une porte d'entrée pour des cyberattaques, car ils peuvent être exploités par des personnes malveillantes.
- améliorer les performances du système, rendant les recherches et les opérations plus lentes et moins efficaces.
- assurer la protection des données des utilisateurs. Cette demande imposée aux entreprises permet de maintenir des pratiques de gestion rigoureuses.
Un annuaire Active Directory propre permet de mieux gérer les identités et donc de mieux gérer l'application au RGPD en s'assurant que seules les informations nécessaires sont conservées.
De la même manière qu'on ne retrouve rien dans une maison encombrée, on perd son temps quand on cherche une information dans un AD mal entretenu. Le principal problème est bien sûr l'accélération du cycle de vie des collaborateurs avec un rythme soutenu des provisionnements et des déprovisionnements à réaliser par l'équipe IT.
Voyons comment supprimer et désactiver les comptes utilisateurs inactifs dans l'AD.
Quels sont les risques liés aux comptes inactifs dans Active Directory ?
Avant de voir comment nettoyer l'AD voyons pourquoi il faut le faire. Je vais passer rapidement sur cette partie car si vous êtes sur cet article, c'est que vous comprenez l'intérêt d'avoir une bonne hygiène dans l'Active Directory.
Sans assainissement de l'AD vous risquez d'avoir des failles de sécurité et votre objectif est de réduire la surface d'attaque.
Les risques liés à la sécurité sont :
- d'anciens comptes utilisateurs qui peuvent être exploités. C'est une des failles de sécurité faciles et exploitées par les cyberattaquants.
- une accumulation de privilèges avec des droits d'accès injustifiés. Il faut réévaluer en permanence les privilèges afin de voir s'ils sont toujours en adéquation avec le poste occupé par le collaborateur.
- des mots de passe qui ne sont plus changés. Si par malheur ce mot de passe a été utilisé pour une autre application et que celle-ci se fait hacker, l'ensemble des applications utilisées par la personne sont compromises. Un mot de passe expiré n'alertera pas son utilisateur.
- des comptes qui ne sont plus surveillés par leur propre utilisateur. Un compte qui a un comportement suspect, qui émet des notifications inhabituelles sera remarqué immédiatement par le salarié, mais si celui-ci n'est pas là, personne ne sera alerté.
- des mouvements latéraux au sein du réseau. De la même manière que le point du dessus, un compte peut servir de point d'entrée dans les serveurs et chercher à augmenter ses droits et ses accès par la suite.
Il y a aussi un impact sur les performances de l'Active Directory :
- une mauvaise administration des comptes entraîne une surcharge sur les serveurs et des performances amoindries. Si les comptes ne sont pas supprimés, il y a une accumulation.
- les contrôleurs de domaines qui gèrent trop d'objets voient leurs performances se dégrader.
- l'équipe IT va passer plus de temps à chercher des informations et à administration l'AD lorsque celui-ci alourdit par des comptes inactifs.
Nous noterons aussi que lors d'audits un AD propre démontre une mise en conformité des règles de sécurité et un contrôle rigoureux des accès.
Si nous devons aborder le sujet financier, en plus du temps passé par les équipes qui se chiffre en heure/salaire de chaque administrateur, nous pouvons aborder le sujet des licences payées pour rien sur d'autres applications dont le compte AD est actif et qui pourrait laisser croire que cet utilisateur est bien présent dans les effectifs.
Quels sont les signes qui doivent vous alerter sur une mauvaise maintenance d'Active Directory ?
Avec une telle question, je suis presque tentée de vous écrire la 3ème va vous surprendre 😂.
- La présence de comptes inactifs depuis longtemps
- Des comptes utilisateurs dupliqués ou orphelins
- Des comptes d'anciens employés toujours actifs
- Des comptes avec des droits excessifs ou inappropriés
- Des groupes de sécurité redondants ou obsolètes
- Une absence d'une politique de nommage cohérente
- Des comptes administrateurs partagés (j'aurais dû la mettre en 3ème celle-ci peut être 😉)
- Une réplication lente entre les contrôleurs de domaine
- Un manque de traçabilité des modifications apportées à l'AD
Comment identifier et gérer les comptes orphelins dans l'AD de Microsoft ?
On va notamment reprendre des points de la précédente question. Il faut porter une attention aux comptes obsolètes et désactivés.
Ces comptes appartiennent généralement à d'anciens employés ou à des utilisateurs temporaires dont l'autorisation n'est plus nécessaire. Pour les identifier :
- Utilisez la commande PowerShell
Search-ADAccount -AccountDisabled
pour lister tous les comptes désactivés. - Vérifiez la date de désactivation et supprimez ceux qui sont inactifs depuis une période définie (par exemple, 90 jours).
Pour les comptes inactifs, ces comptes qui n'ont pas été utilisés depuis longtemps mais qui restent actifs on va utiliser la méthode suivante :
- Utilisez la commande
Search-ADAccount -AccountInactive -TimeSpan 90:00:00:00
pour trouver les comptes inactifs depuis 90 jours. - Analysez les attributs "lastLogonTimestamp" ou "lastLogon" des objets utilisateur.
Vous retrouverez un article plus détaillé chez IT-connect.
Pour identifier les comptes orphelins, il faut exporter les comptes AD et les comparer avec le fichier RH des collaborateurs physiques actuellement présents dans les effectifs.
Quant aux comptes dupliqués, il est important de les tracker en recherchant des noms similaires, des adresses mails identiques. Pour faciliter cette tâche vous pouvez utiliser des scripts PowerShell personnalisés pour détecter les doublons basés sur divers attributs.
Bonnes pratiques d'identification des comptes orphelins
- Automatisez le processus : mettez en place des scripts PowerShell pour effectuer des audits réguliers (ou choisissez une solution tierce qui pourra vous aider à automatiser ces audits).
- Établissez une politique claire : définissez des critères précis pour chaque type de compte à nettoyer.
- Collaborez avec les RH : assurez une synchronisation régulière entre la base de données RH et Active Directory.
- Documentez le processus : gardez une trace de tous les comptes identifiés pour nettoyage, y compris la raison de leur sélection.
- Vérifiez avant de supprimer : assurez-vous que les comptes identifiés ne sont vraiment plus nécessaires avant de les supprimer définitivement (ça serait gênant de supprimer le compte d'une personne en congé maternité ou congé maladie).
Comment nettoyer les comptes utilisateurs inactifs dans Active Directory ?
Le nettoyage des comptes inactifs dans Active Directory est une tâche essentielle pour maintenir un environnement sécurisé et performant. Voici les principales méthodes pour effectuer ce nettoyage :
- PowerShell offre des outils puissants pour identifier et gérer les comptes inactifs. Je vous renvoie vers l'article d'IT connect que je vous ai mis en lien précédemment, vous pourrez voir comment détecter et désactiver les comptes inactifs et déplacer les comptes inactifs vers une unité organisationnelle spécifique.
- L'historique SID (Security IDentifier) est un attribut employé lors des migrations de domaines pour conserver les accès des utilisateurs. Cependant, des attributs SID non sécurisés peuvent présenter des vulnérabilités importantes comme une élévation des privilèges non intentionnelle (un compte non sensible peut hériter de droits administrateur lui donnant des privilèges élevés sur tous les domaines de la forêt AD), une vulnérabilité aux attaques (des attributs mal configurés peuvent être pris pour cible) et des risques liés aux approbations de forêt (sans filtrage il est possible d'injecter un SID d'une autre forêt, compromettant la sécurité entre les forêts).
Microsoft recommande de :
- Détecter les comptes avec des attributs SID History non sécurisés.
- Utiliser PowerShell pour supprimer ces attributs des comptes concernés.
- Mettre en place une surveillance continue pour détecter et gérer ces attributs.
- Le nettoyage des métadonnées dans Active Directory est essentiel pour maintenir l'intégrité de l'annuaire et optimiser les performances en éliminant les données obsolètes et incorrectes. Cela prévient également les problèmes de réplication, améliore la sécurité et facilite l'administration de l'environnement AD.
- Microsoft recommande :
1. Maintien de l'intégrité de l'annuaire : le nettoyage des métadonnées permet de supprimer les informations obsolètes ou incorrectes sur les contrôleurs de domaine supprimés.
2. Optimisation des performances : en éliminant les données inutiles, on améliore l'efficacité des opérations AD et on réduit la charge sur les serveurs.
3. Prévention des erreurs : des métadonnées obsolètes peuvent causer des problèmes de réplication et de cohérence dans l'annuaire. - Il est crucial de surveiller les comptes avec des mots de passe expirés car ils représentent un risque de sécurité important, pouvant être exploités par des acteurs malveillants pour accéder à des données sensibles. Pour identifier ces comptes, vous pouvez utiliser PowerShell avec la commande
Search-ADAccount -PasswordExpired | Select-Object Name, PasswordLastSet
, puis prendre des mesures appropriées comme la désactivation des comptes ou la notification aux utilisateurs pour qu'ils mettent à jour leurs mots de passe. - Surveiller chaque groupe, sa sensibilité au risque et veillez à ce que vous n'ayez pas trop de groupes 'fourre-tout'.
Bonnes pratiques pour la gestion des comptes inactifs dans l'AD
L'ANSSI a établi un document permettant de sécuriser et gérer Active Directory de façon optimale.
- Établissez une politique claire définissant les critères d'inactivité et les actions à entreprendre.
- Effectuez des sauvegardes avant toute opération de nettoyage majeure.
- Informez les utilisateurs et les parties prenantes avant de désactiver ou supprimer des comptes.
- Documentez toutes les actions de nettoyage pour des fins d'audit et de conformité.
- Mettez en place un processus régulier et automatisé pour maintenir la propreté de votre Active Directory.
- Surveillez les comptes pour détecter les anomalies dont les comptes inactifs
- Supprimez les comptes inactifs après une période plus longue, si aucune raison valable ne justifie leur conservation.
- Automatisez le plus possible, utilisez des scripts ou des outils pour automatiser la détection et la gestion des comptes inactifs.
- S'assurer que les comptes à privilèges élevés font l'objet d'une surveillance particulière en cas d'inactivité.
Vous souhaitez recevoir notre livre blanc sur la gestion des identités et des accès ?
Comment automatiser le nettoyage des comptes AD ?
Je pourrais encore vous parler de scripts mais je peux aussi vous faire gagner du temps et vous parler de solutions d'IAM (gestion des identités et des accès) qui vont vous aider à automatiser un grand nombre d'actions et surtout qui sont plus fiable qu'une supervision humaine (no offense).
Voici une liste de ce qu'elles peuvent vous aider à réaliser :
- Détection automatique des comptes inactifs : identification des comptes qui n'ont pas été exploités depuis une période définie.
- Automatisation des processus d'onboarding et offboarding : Automatisation du processus d'activation et de désactivation et/ou suppression des comptes lorsqu'un utilisateur arrive ou quitte l'organisation.
- Identification des comptes fantômes : repérage des comptes qui n'ont pas de correspondance avec un utilisateur réel dans l'organisation.
- Actions automatisées : possibilité de configurer des actions automatiques comme la désactivation, le déplacement vers une OU spécifique, ou la suppression des comptes identifiés.
- Rapports et alertes : génération de rapports réguliers sur l'état des comptes et envoi d'alertes pour les situations nécessitant une attention particulière.
- Gestion centralisée avec les systèmes RH : synchronisation avec les bases de données RH pour automatiser la création, modification et suppression des comptes en fonction des mouvements de personnels.
- Identification des comptes orphelins : repérer les comptes qui ne sont plus associés à un utilisateur actif dans l'entreprise.
- Alignement des habilitations : s'assurer que les droits d'accès sont cohérents avec les rôles et responsabilités actuels des utilisateurs.
- Workflows automatisés : possibilité de créer des workflows pour automatiser les actions de nettoyage et de gestion des comptes.
- Traçabilité et audit : Toutes les actions effectuées sur les comptes sont enregistrées, facilitant ainsi les processus d'audit et de conformité.
Youzer en tant que solution d'IAM va pouvoir vous aider à nettoyer l'AD au quotidien pour faciliter la gestion et assurer la sécurité. Vous pourrez réduire le temps consacré à la gestion manuelle des comptes AD, tout en améliorant la sécurité et la conformité de votre environnement informatique.
La gestion manuelle de l'AD prend du temps à vos équipes et nécessite des compétences. La gestion d'une solution comme Youzer vous permet une mise en place immédiate et une logique simple pour la gestion quotidienne des comptes des utilisateurs.
Le nettoyage régulier de l'Active Directory est essentiel pour garantir la sécurité, les performances et la conformité au sein de votre organisation. En éliminant les comptes inactifs, obsolètes ou non sécurisés, vous réduisez les risques de cyberattaques et améliorez l'efficacité des opérations.
Adopter des pratiques rigoureuses de gestion des identités, telles que l'utilisation de scripts PowerShell et la mise en œuvre de solutions d'automatisation comme l'IAM, permet non seulement d'optimiser le fonctionnement de l'AD, mais aussi de faciliter le travail des équipes IT.
Investir dans un Active Directory propre et bien entretenu est non seulement une question de sécurité, mais également un levier pour améliorer la productivité et la tranquillité d'esprit au sein de votre entreprise.