[Vulnérabilité] Mots de passe Active Directory changés tout seul

[trydovitch 0]

Bonjour,

 

Nous remarquons chez plusieurs clients depuis des semaines que des mots de passe de comptes Active Directory changent tout seuls, les clients nous remontent l'information et un reset remet en ordre. J'avais vu il y a quelques semaines cette info de l'ANSSI:

 

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-020/

 

Avez vous eu le même souci de votre côté ? un moyen de fixer ca ?

 

Merci d'avance pour votre retour !

[Exelsis 47]

SAlut,

 

Tu as patché tes controleurs de domaine ?

As tu vérifier dans l'observateur d'évènement dans le journal sécurité ?

Egalement la date de de renouvellement des mots de passe sur un utilisateur ?

As tu une stratégie de mot de passe ?

[trydovitch 0]

Salut,

Pour répondre à tes questions: 

 

- Oui, les contrôleurs de domaine sont à jour (selon Windows Update) mais je n'ai pas l'impression que le patch publié au mois d'aout par MS soit passé sur tous les serveurs.

- Dans l'obs. d'événements, en effet on peut y apercevoir parfois des ANONYMOUS LOGON mais pas certains que ca aie un rapport..

 

Les clients se plaignant d'un souci de mot de passe (active directory) changé du jour au lendemain ont le plus souvent: 

- Laissé leur machine allumée la nuit

- Ce sont des clients qui n'ont pas de stratégie de mot de passe

 

Merci pour ton retour

[Steph69 6]

Les recommandations de l'ANSI règlent le problème dans ce cas la :

- Verrouillage auto des sessions

- Mot de passe complexe de 12 caractères mini

- Tout à jour bien sur (et pas de DC en OS inférieur a 2012R2 !)

 

+ et c'est le plus dur éduquer les utilisateurs

[EnZ0 13]

La formation utilisateur est pourtant souvent la clé, mais certains sont réfractaires à toute sensibilisation :/

 

A la liste de Steph69, j'ajouterais une stratégie de changement de mot de passe tous les x jours