Réinitialiser mot de passe

Description

Le principal de sécurité source peut réinitialiser le mot de passe de la cible, ce qui lui permet de s'authentifier en tant que cible à l'aide du nouveau mot de passe attribué et de bénéficier des privilèges de la cible.

La réinitialisation d'un mot de passe n'est pas la même opération qu'un changement de mot de passe, ce que toute personne connaissant le mot de passe actuel peut réaliser. Un changement de mot de passe se produit généralement lorsqu'un mot de passe expire.

Exploitation

Les attaquants qui compromettent le principal de sécurité de la source peuvent réinitialiser le mot de passe de la cible à l'aide de commandes Windows natives telles que « net user /domain », de commandes PowerShell telles que « Set-ADAccountPassword -Reset », d'outils d'administration tels que « Utilisateurs et ordinateurs Active Directory » ou d'outils de piratage dédiés tels que PowerSploit.

Il suffit alors aux attaquants de s'authentifier dans Active Directory ou la ressource ciblée en utilisant des méthodes d'authentification légitimes avec leur nouveau mot de passe pour usurper entièrement l'identité de la cible.

Mais la plupart du temps, les attaquants ne connaissent pas le mot de passe précédent et ne peuvent pas le rétablir après l'attaque. Par conséquent, l'attaque est souvent visible pour la personne légitime qui se trouve derrière la cible et peut même provoquer un déni de service, en particulier dans le cas des comptes de service.

Remédiation

Les administrateurs informatiques et le personnel du service d'assistance sont légitimement autorisés à réinitialiser les mots de passe. Mais vous devez mettre en place les délégations appropriées pour leur permettre d'effectuer cette action uniquement dans leur périmètre autorisé.

De plus, selon le modèle de hiérarchisation, vous devez vous assurer qu'un opérateur de niveau inférieur, comme un technicien du service d'assistance des utilisateurs standard, ne peut pas réinitialiser le mot de passe d'un compte de niveau supérieur, tel que celui d'un administrateur de domaine, car il y existe un risque d'élévation des privilèges.

Pour modifier le descripteur de sécurité de la cible et supprimer les autorisations illégitimes :

1. Dans « Utilisateurs et ordinateurs Active Directory », cliquez avec le bouton droit sur Propriétés > Sécurité.

2. Supprimez l'autorisation « Réinitialiser le mot de passe » du principal de sécurité source.

Remarque : ne confondez pas cette autorisation avec « Modifier le mot de passe ».

Voir aussi

• Ajouter des identifiants de clé

• Ajouter un membre

• Autorisé à agir

• Autorisé à déléguer

• Appartient à la GPO

• DCSync

• Attribuer autorisé à agir

• A un historique SID

• Prise de contrôle implicite

• Hérite de GPO

• GPO liée

• Membre de

• Détient

• Gestion RODC

• Modifier DACL

• Modifier propriétaire