Protection par mot de passe non activée pour les environnements sur site

MEDIUM

Description

Cet IoE s'exécute uniquement pour les tenants disposant d'une licence Entra ID P1 ou P2, car ces licences haut de gamme sont requises pour cette fonctionnalité de sécurité.

Entra ID s'appuie sur la Protection par mot de passe de Microsoft Entra pour atténuer le risque que des utilisateurs définissent des mots de passe facilement devinables pouvant être attaqués par force brute. Cette fonctionnalité utilise une liste globale de mots de passe interdits. Celle-ci est activée par défaut et ne peut pas être désactivée. Elle contient des mots de passe faibles couramment utilisés et elle est régulièrement mise à jour par Microsoft.

Bien que la Protection par mot de passe de Microsoft Entra soit une fonctionnalité basée sur le cloud, les organisations peuvent l'étendre à la version classique d'Active Directory sur site (également appelée « Windows Server Active Directory »), comme décrit dans « Appliquer la Protection par mot de passe de Microsoft Entra sur site pour Active Directory Domain Services ». Les organisations facilitent cette intégration en installant un agent Microsoft dédié sur les contrôleurs de domaine Active Directory sur site, tout en configurant les stratégies de protection par mot de passe via le portail Entra basé sur le cloud.

Cet indicateur d'exposition évalue deux paramètres de la Protection par mot de passe de Microsoft Entra qui déterminent son application dans l'environnement sur site :

  • « Activer la protection par mot de passe sur Windows Server Active Directory » doit être « Oui ».
  • Le « mode » doit être « Appliqué ».

Remarque :

  1. Cet IoE s'exécute uniquement pour les tenants synchronisés avec un Active Directory sur site (c'est-à-dire Microsoft Entra Connect ou Microsoft Entra Cloud Sync). Il base son analyse sur la propriété onPremisesSyncEnabled de l'organisation.
  2. Pour activer la Protection par mot de passe de Microsoft Entra pour le domaine Active Directory sur site (comme indiqué dans la section sur les recommandations), les organisations doivent déployer un agent sur tous les contrôleurs de domaine de l'environnement sur site. Cet IoE vérifie les paramètres pertinents dans le portail Entra ID, mais il ne peut pas valider le statut de déploiement réel de l'agent sur les contrôleurs de domaine Active Directory sur site. Par conséquent, il existe un risque de faux négatifs, où la configuration semble conforme dans Entra malgré le fait que l'agent ne soit pas complètement déployé ou ne fonctionne pas correctement sur tous les contrôleurs de domaine Active Directory.

Solution

L'activation de la Protection par mot de passe de Microsoft Entra, notamment son extension aux domaines Active Directory sur site, aide les organisations à ne plus utiliser de mots de passe faibles, réduisant ainsi le risque que des attaquants ne devinent ces informations d'authentification et obtiennent un accès non autorisé à l'infrastructure de l'organisation.

Bien que cette fonctionnalité soit activée par défaut pour Entra ID dans le cloud, elle ne s'applique pas automatiquement aux contrôleurs de domaine Active Directory dans l'environnement sur site. L'extension de cette fonctionnalité à Active Directory permet aux organisations de protéger également leurs utilisateurs AD sur site, à condition que le tenant bénéficie d'une licence haut de gamme : Entra ID P1 ou P2.

Tenable recommande :

  1. De comprendre le concept
  2. De suivre la procédure pour déployer un agent Microsoft dédié qui implémente un DLL de filtrage de mots de passe sur les contrôleurs de domaine sur site et l'activer
  3. d'activer la protection par mot de passe sur site en définissant « Activer la protection par mot de passe sur Windows Server Active Directory » sur « Oui », et « Mode » sur « Audit », puis sur « Appliqué ».

Détails de l'indicateur

Nom: Protection par mot de passe non activée pour les environnements sur site

Nom de code: PASSWORD-PROTECTION-NOT-ENABLED-FOR-ON-PREMISES-ENVIRONMENTS

Sévérité: Medium

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: