Forêts
Une forêt Active Directory (AD) est un ensemble de domaines qui partagent un schéma, une configuration et des relations d'approbation communs. Elle fournit une structure hiérarchique pour gérer et organiser les ressources, ce qui permet de centraliser l'administration et de sécuriser l'authentification sur plusieurs domaines dans une organisation.
Gérer les forêts
Pour ajouter une forêt :
-
Dans Tenable Identity Exposure, cliquez sur Système > Gestion des forêts.
-
Cliquez sur Ajouter une forêt sur la droite.
Le volet Ajouter une forêt apparaît.
-
Dans la zone Nom, saisissez le nom de la forêt.
- Dans la section Compte, fournissez les éléments suivants pour le compte de service que Tenable Identity Exposure utilise :
- Connexion : saisissez le nom du compte de service. Format : nom principal d'utilisateur (UPN), tel que « [email protected] » (recommandé pour la compatibilité avec Authentification Kerberos ou NetBios ; par exemple « DomainNetBIOSName\SamAccountName ».
- Mot de passe : saisissez le mot de passe du compte de service.
-
Cliquez sur Ajouter.
Un message confirme l'ajout d'une nouvelle forêt.
Pour modifier une forêt :
-
Dans Tenable Identity Exposure, cliquez sur Système > Gestion des forêts.
-
Dans la liste des forêts, survolez celle que vous souhaitez modifier et cliquez sur l'icône
à droite.Le volet Modifier une forêt apparaît.
-
Modifiez selon vos besoins.
-
Cliquez sur Modifier.
Un message confirme que Tenable Identity Exposure a mis à jour la forêt.
Protéger les comptes de service
Tenable recommande de protéger les comptes de service pour maintenir la sécurité en définissant correctement les attributs de contrôle de compte d'utilisateur (UAC) pour empêcher la délégation, exiger une pré-authentification, utiliser un chiffrement complexe, imposer l'expiration et les critères de mot de passe et permettre les changements de mot de passe autorisés. Ces mesures atténuent le risque d'accès non autorisé et de violation de sécurité, afin de garantir l'intégrité des systèmes et des données d'une organisation.
Pour modifier les paramètres à l'aide d'un éditeur de stratégie Windows :
Vous pouvez modifier les paramètres de contrôle de compte utilisateur à l'aide de l'éditeur de stratégie de sécurité locale ou de l'éditeur de stratégie de groupe de Windows avec les privilèges administratifs appropriés.
-
Dans l'éditeur, accédez à Local Policies (Stratégie locales) > Security Options (Options de sécurité) pour localiser et configurer les paramètres suivants : (cela peut varier selon votre version de Windows.)
-
« Accès réseau : ne pas autoriser le stockage de mots de passe et d'identifiants pour l'authentification du réseau » : réglez sur Activé.
-
« Comptes : La pré-authentification Kerberos n'est pas nécessaire » : réglez sur Désactivé.
-
« Sécurité réseau : configurez les types de chiffrements autorisés pour Kerberos » : vérifiez que l'option « types de chiffrement DES Kerberos pour cette option » n'est pas sélectionnée.
-
« Comptes : ancienneté maximale du mot de passe » : définissez la période d'expiration du mot de passe (par exemple, 30, 60 ou 90 jours de façon à ce que PasswordNeverExpires = FALSE).
-
« Comptes : restreindre l'utilisation de mots de passe vides par le compte local à l'ouverture de session console » : réglez sur Désactivé.
-
« Ouverture de session interactive : nombre d'ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu'aucun contrôleur de domaine n'est disponible) » : définissez la valeur souhaitée, par exemple « 10 » pour permettre aux utilisateurs de modifier leurs mots de passe.
-
Pour modifier les paramètres à l'aide de Powershell :
-
Sur une machine hébergeant AD, ouvrez PowerShell avec les privilèges administratifs appropriés et exécutez la commande suivante :
CopierSet-ADAccountControl -Identity <AD_ACCOUNT> -AccountNotDelegated $true -UseDESKeyOnly $false -DoesNotRequirePreAuth $false -PasswordNeverExpires $false -PasswordNotRequired $false -CannotChangePassword $false
<AD_ACCOUNT> est le nom du compte Active Directory à modifier.