LMi-MAG SP avril - Flipbook - Page 62
FOCUS
Cybersécurité
LES RECETTES DE
L’ANSSI POUR SÉCURISER
LA JOURNALISATION
D’ACTIVE DIRECTORY
L’Agence nationale de la sécurité des systèmes d’information a publié
coup sur coup deux guides sur la sécurité des systèmes de journalisation
dont un nouveau consacré à Windows et son service d’annuaire Active Directory.
Le point sur les dernières bonnes pratiques à suivre.
L
Dominique Filippone
’Anssi n’est pas avare en guides pratiques. Le dernier en date publié, le
28 janvier 2022, « Recommandations
de sécurité pour journaliser l’activité des systèmes Microsoft Windows
en environnement Active Directory »
fournit des bonnes pratiques à suivre.
La journalisation d’événements offre
de précieux indicateurs pour prendre le pouls de la santé
de ses systèmes et bien entendu d’un point de vue cybersécurité en faisant remonter ses points de faiblesse et
failles. C’est d’autant plus crucial que les cyberattaquants
savent très bien où viser pour frapper les organisations et
entreprises en plein cœur : l’Active Directory.
Pour protéger les environnements Windows et le service
d’annuaire de Microsoft, la première recommandation simple mais pourtant essentielle - est d’abord de veiller
à synchroniser les horloges. « En environnement AD, les
systèmes Windows synchronisent par défaut leurs horloges avec celles des contrôleurs de domaine (DC, Domain
Controllers). Il est donc recommandé de rester dans cette
configuration par défaut. En revanche, la source de temps
de la forêt AD doit être synchronisée avec les serveurs NTP
de référence du SI », prévient l’Anssi. Ensuite, identifier
62 / Hors-série secteur public / avril 2022
et activer les journaux Windows utiles aux activités de
détection et d’analyse et mis en avant comme celle de
passer régulièrement au crible les journaux Windows à
collecter en fonction de l’évolution du SI et des menaces.
« Il est ainsi recommandé de continuellement identifier
tout journal, ou complément de journalisation, qui pourrait s’avérer pertinents pour la mise en œuvre de règles
de détection avancées », poursuit l’agence.
La supervision de sécurité seule ne suffit pas
Outre la journalisation des applications tierces, il est
également recommandé de paramétrer les stratégies
d’audit avancées de ses systèmes Windows dont la configuration par défaut s’avère insuffisante. L’objectif étant
de « tendre autant que possible vers un bon équilibre
entre volumétrie et pertinence des informations journalisées ». Pour fournir une capacité de journalisation
avancée et persistante, l’Anssi propose de mettre en
œuvre sysmon, un outil de monitoring des journaux
d’événements Windows, sur ses systèmes en suivant des
règles spécifiques. Ces dernières sont relatives autour
d’un type d’événement (création de processus, requête,
DNS...) que d’un ensemble de champs spécifiques à un
événement (port réseau de destination, hôte distant,