Les comptes d'administrateur fantômes sont des comptes d'utilisateurs disposant de privilèges excessifs qui ont été attribués par inadvertance. Si un pirate informatique compromet un compte administrateur fantôme, cela pose un risque élevé pour la sécurité de l'entreprise. Silverfort répertorie les meilleures pratiques contre les comptes avec des privilèges trop élevés.
Si un attaquant peut détourner des comptes privilégiés et accéder à leurs systèmes cibles, cela met massivement en danger tout un réseau. Cependant, identifier les administrateurs fantômes et restreindre leurs privilèges n'est pas une tâche facile. Ce qui suit explique comment les administrateurs fantômes émergent et quelles mesures les entreprises peuvent prendre pour contenir efficacement ce danger caché.
Voici comment les comptes d'administrateur fantôme sont créés
Erreur humaine ou mauvaise gestion des droits des utilisateurs
Les administrateurs inexpérimentés peuvent créer des administrateurs fantômes par erreur ou parce qu'ils ne comprennent pas parfaitement les implications des attributions d'autorisations directes. Même s'il n'y a pas d'intentions malveillantes derrière ces comptes d'administrateur fantôme, ils peuvent toujours présenter un risque pour l'environnement en permettant aux utilisateurs un accès non autorisé à des ressources sensibles.
Autorisations temporaires non révoquées
Bien que cela soit considéré comme une mauvaise pratique, dans certains cas, les administrateurs informatiques accordent aux comptes des autorisations temporaires qui obligent les utilisateurs à observer les administrateurs avec l'intention de supprimer ces autorisations ultérieurement. Bien que cela puisse résoudre des problèmes immédiats, ces autorisations sont souvent conservées, laissant ces comptes avec des privilèges administratifs sans surveillance.
Administrateurs fantômes créés par des attaquants
Une fois qu'un attaquant obtient des privilèges administratifs, il peut configurer un compte d'administrateur fantôme pour masquer ses activités.
Dans chacun des trois cas ci-dessus, les administrateurs fantômes présentent un risque pour l'organisation car ils permettent à des personnes non autorisées d'effectuer des activités qu'ils ne devraient pas effectuer. Le fait que ces comptes ne soient pas surveillés signifie non seulement que leur accès n'est pas limité parce que l'entreprise n'est pas au courant de leur existence, mais aussi que les accès et modifications non autorisés peuvent passer inaperçus. Dans certains cas, ces activités ne sont découvertes que lorsqu'il est déjà trop tard, par exemple lorsqu'un attaquant exfiltre des données sensibles.
Zoom sur les administrateurs fantômes
Un administrateur fantôme est un utilisateur qui n'est pas membre d'un groupe d'administration Active Directory (AD). Cependant, cet utilisateur dispose de droits correspondants qui lui permettent d'acquérir des compétences administratives supplémentaires. Ceux-ci inclus:
- Droits de contrôle total (utilisateur ou groupe)
- Écrire toutes les propriétés (pour un groupe)
- Réinitialiser le mot de passe (pour un utilisateur)
- Tous les droits étendus (pour un utilisateur)
- Modifier les autorisations (utilisateur ou groupe)
- Écrire un membre (pour un groupe)
- écrire le propriétaire (utilisateur ou groupe)
- Le propriétaire réel (utilisateur ou groupe)
De plus, tout utilisateur pouvant prendre le contrôle d'un administrateur fantôme de n'importe quel niveau est également considéré comme un administrateur fantôme. Un exemple:
Administrateur légitime : Bob est un administrateur de domaine (membre du groupe Administrateurs de domaine). Cela signifie que Bob a un accès administratif à Active Directory.
Administrateur fantôme de niveau 1 : Alice n'est pas membre du groupe des administrateurs de domaine. Cependant, Alice a la possibilité de réinitialiser le mot de passe de Bob. Par conséquent, Alice peut réinitialiser le mot de passe de Bob, se connecter en tant que Bob et effectuer des tâches nécessitant des privilèges d'administrateur de domaine en son nom. Cela fait d'Alice un administrateur fantôme.
Administrateur fantôme de niveau 2 : Larry peut réinitialiser le mot de passe d'Alice. Cela lui permet de se connecter en tant qu'Alice, de modifier à son tour le mot de passe de Bob, puis de se connecter en tant que Bob et d'effectuer des tâches nécessitant des privilèges d'administrateur de domaine. Cela fait de Larry un administrateur fantôme de deuxième niveau. Et il n'y a pas que Larry : il peut y avoir un autre administrateur fantôme qui peut réinitialiser le mot de passe de Larry et ainsi de suite. Une organisation peut potentiellement avoir un grand nombre d'administrateurs fantômes dans son réseau.
Comment traquer les administrateurs fantômes
L'identification des administrateurs fantômes est un problème difficile et complexe. Tout d'abord, les responsables doivent identifier qui sont leurs administrateurs : c'est-à-dire tous les utilisateurs appartenant aux groupes Active Directory qui leur accordent des privilèges d'administration. Certains groupes AD sont évidents, comme le groupe "Domain Admin". Certains groupes moins, cependant, car de nombreuses organisations créent différents groupes administratifs à des fins commerciales différentes. Dans certains cas, il existe même des groupes imbriqués. Il est important de saisir tous les membres de ces groupes. Le mappage des appartenances aux groupes doit prendre en compte non seulement les identités des utilisateurs qui apparaissent dans la liste des membres, mais également les configurations des ID de groupe principaux des utilisateurs.
Comprendre les membres des groupes administratifs dans Active Directory est une première étape importante, mais cela ne suffit pas pour identifier tous les comptes privilégiés du domaine. La raison en est que les administrateurs fantômes n'en font pas partie. Pour retrouver les administrateurs fantômes, les responsables doivent analyser les autorisations de la liste de contrôle d'accès (ACL) accordées à chaque compte.
Analyse manuelle des autorisations ACL - une tâche sans fin
Comme indiqué ci-dessus, afin de retrouver les administrateurs fantômes, les responsables de la recherche des administrateurs fantômes doivent analyser les autorisations ACL de chaque compte dans AD pour déterminer si le compte dispose d'autorisations pour les groupes administratifs ou les comptes d'administrateur individuels. Ceci en soi est une tâche manuelle très difficile, voire impossible.
Martin Kulendik, directeur régional des ventes DACH chez Silverfort (Image : Silverfort).
Si les personnes responsables sont capables d'effectuer cette analyse, elles reçoivent le premier niveau d'administrateurs fantômes. Mais cela ne suffit pas - toutes les ACL doivent maintenant être réanalysées pour comprendre qui a l'autorisation de modifier ces administrateurs fantômes de premier niveau. Et ce processus doit se poursuivre jusqu'à ce que tous les niveaux d'administrateurs fantômes existants soient découverts. Si les responsables trouvent également un groupe d'administrateurs fantômes, cela complique encore les choses. L'essentiel est que cette analyse n'est pas une tâche manuelle.
UIP : identification automatique des administrateurs fantômes
Unified Identity Protection est une nouvelle technologie qui consolide les contrôles de sécurité IAM existants d'une organisation et les étend à tous les utilisateurs, actifs et environnements de l'organisation. Grâce à son architecture sans agent et sans proxy, cette solution peut surveiller toutes les demandes d'accès des utilisateurs et des comptes de service sur tous les actifs et environnements, et étendre l'analyse de haute précision basée sur les risques, l'accès conditionnel et les politiques d'authentification multifacteur à toutes les ressources de l'entreprise hybride. environnement à couvrir
Les mesures de protection peuvent également être étendues à des actifs qui ne pouvaient pas être protégés auparavant. Ceux-ci incluent, par exemple, des applications locales et héritées, une infrastructure critique, des systèmes de fichiers, des bases de données et des outils d'accès administrateur tels que PsExec, qui permettent actuellement aux attaquants de contourner l'authentification MFA basée sur des agents.
Plate-forme unifiée de protection de l'identité
De plus, une plate-forme unifiée de protection des identités identifie automatiquement les comptes d'administrateur fantôme qui doivent être examinés pour déterminer si leurs autorisations sont légitimes ou non. La technologie interroge périodiquement Active Directory pour obtenir les différentes ACL de tous les objets du domaine. Il identifie automatiquement les groupes d'administrateurs communs. La solution analyse ensuite les ACL à la recherche d'utilisateurs et de groupes d'administrateurs fantômes disposant des mêmes droits que les membres de ces groupes d'administrateurs - des droits qui en font effectivement des comptes/groupes d'administrateurs fantômes. Le programme analyse les ACL aussi souvent que nécessaire pour identifier tous les niveaux de comptes et de groupes d'administrateurs fantômes et s'assurer que les responsables ont une visibilité complète sur ces comptes potentiellement malveillants.
Les administrateurs AD doivent ensuite examiner cette liste complète pour déterminer si les autorisations de ces comptes et groupes d'administrateurs fantômes sont légitimes et s'ils doivent être restreints ou surveillés.
Surveillance continue de toutes les demandes d'accès
De plus, une solution unifiée de protection des identités surveille et analyse en permanence toutes les demandes d'accès au sein du domaine. Il considère les administrateurs fantômes comme des comptes à haut risque. La technologie identifie automatiquement et en temps réel les activités sensibles, telles qu'une tentative de réinitialisation du mot de passe d'un utilisateur, et émet une alerte ou invite l'utilisateur à vérifier son identité avec l'authentification multifacteur (MFA) avant de le faire. Autoriser la réinitialisation du mot de passe. Cela peut empêcher les modifications non autorisées des comptes d'utilisateurs, ainsi que l'accès non autorisé aux ressources sensibles du réseau.
Avec Unified Identity Protection, les organisations peuvent ainsi gérer et protéger tous leurs actifs dans tous les environnements avec des politiques et une visibilité cohérentes pour contrer efficacement les multiples vecteurs d'attaque basés sur l'identité, y compris les risques posés par les administrateurs fantômes.
Plus sur Silverfort.com
À propos de Silverfort Silverfort fournit la première plate-forme de protection d'identité unifiée qui consolide les contrôles de sécurité IAM sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie innovante sans agent et sans proxy, Silverfort s'intègre de manière transparente à toutes les solutions IAM, unifiant leur analyse des risques et leurs contrôles de sécurité et étendant leur couverture aux actifs qui ne pouvaient auparavant pas être protégés, tels que les applications locales et héritées, l'infrastructure informatique, les systèmes de fichiers, la ligne de commande outils, accès de machine à machine et plus encore.