Académique Documents
Professionnel Documents
Culture Documents
Pour se protéger du Pass The Hash, la première solution n'est pas de mettre en œuvre
des dispositifs techniques compliquées ! Il faut d'abord éviter de laissez ses empreintes
n'importe où, tout particulièrement pour les comptes privilégiés.
Les version récentes de Windows interdisent la connexion réseau avec l'administrateur local.
Pour les versions plus anciennes, vous devez l'interdire explicitement par GPO ou politique
locale, à la fois pour les connexions réseau et pour l'accès avec le bureau à distance.
L'empreinte de mot de passe de ces identités ne se retrouve pas en mémoire. Par contre, si
un compte de service du domaine est utilisé pour lancer un service Windows ou un vieux
progiciel, l'empreinte du mot de passe se retrouvera immanquablement en mémoire et pourra
être récupéré par un attaquant.
Vous devrez alors imposer aux éditeurs de respecter les bonnes pratiques et utiliser l'identité
adéquate prévue par Microsoft.
N'utilisez pas de compte administrateur de domaine
L'utilisation d'un compte administrateur de domaine doit être exceptionnelle. C'est le cas par
exemple lorsque vous devez faire une extension du schéma Active Directory, par exemple à
l'installation d'une nouvelle version d'Exchange. Mais trop souvent, vous pourriez être tenté
de vous connecté en tant qu'administrateur de domaine par facilité. C'est bien sûr à éviter !
Vous avez vu pourquoi, vous risqueriez d'exposer l'empreinte du mot de passe là où vous
vous connectez.
Alors comment faire au quotidien pour administrer le système d'information sans être
administrateur de domaine ?
C'est simple :
Ces mesures vont de paire avec un cloisonnement réseau spécifique des postes des
administrateurs, comme nous l'avons vu dans la partie 2.
En résumé
Soyez organisé et consciencieux dans la gestion de vos comptes d'administration.
Réduisez à néant l'utilisation des comptes d'administration locale.
Assurez vous que les services Windows ne fonctionnent pas avec des comptes du
domaine, mais avec les identités NetworkService,
LocalService et LocalSystem prévues par Microsoft.
Réduisez drastiquement l'usage de comptes administrateur de domaine et privilégiez
des opérateurs de comptes ou de ressources.