À moins que vous n'évitiez les nouvelles sur la cybersécurité, vous savez qu'Active Directory (AD) - le principal système d'identité pour 90 % des organisations dans le monde - est aujourd'hui la cible numéro un des cyberattaquants. AD contrôle l'authentification et l'accès aux applications et aux services dans l'ensemble de l'entreprise. Les attaquants savent que s'ils parviennent à désactiver AD, ils peuvent mettre l'entreprise à genoux.
Mais il y a quelque chose que vous ne savez peut-être pas : Si vous comptez sur le manuel de récupération des forêts AD de Microsoft à la suite d'une cyberattaque, vous vous exposez à une longue bataille. Des dizaines d'étapes sont nécessaires, alors que les activités de l'entreprise sont à l'arrêt et que le temps presse.
Le problème de la récupération manuelle des forêts AD
Au départ, le guide de Microsoft était un document unique. Mais au cours de son quart de siècle d'existence, le processus de récupération de la forêt AD a évolué pour devenir une collection de pages web sur le site de Microsoft. Ces pages renvoient également à de nombreuses autres pages relatives au processus.
Si vous vous contentez de parcourir ces pages web, il est facile de sous-estimer l'ampleur du processus de rétablissement : 40 pages de planification de base et de processus de récupération, avec 109 pages de références croisées à plus de 22 annexes. Avec ses 149 pages, le manuel AD forest recovery process n'est pas quelque chose que l'on peut lire pour la première fois lorsqu'une cybercrise se produit.
Pour aider les équipes chargées de l'infrastructure et de la sécurité à comprendre et à se préparer à la complexité de la récupération d'Active Directory après une cyberattaque, j'ai passé au peigne fin le guide de Microsoft dans l'intention de repérer tous les pièges, les obstacles et les complications susceptibles de prolonger la récupération. J'ai découvert 15 façons spécifiques dont la récupération manuelle peut déraper, et beaucoup de ces problèmes peuvent créer des complications en cascade. En voici quelques-unes :
- Hypothèses : Les directives de Microsoft supposent que vous avez travaillé avec un professionnel de l'assistance pour comprendre la cause de la défaillance de l'AD et que vous effectuerez une restauration "générique" de la forêt. Il vaut la peine de se pencher sur les petits caractères pour comprendre les limites des directives de récupération manuelle. Mais saviez-vous que le guide de Microsoft n'est pas destiné à couvrir les cyberincidents ?
- Ce qui sera perdu : Le guide de Microsoft souligne que les opérations de restauration entraîneront la perte d'au moins quelques données Active Directory. Êtes-vous prêt pour cela ?
- Connaissance du mot de passe : Pour récupérer une forêt AD, vous avez besoin du mot de passe d'un administrateur de domaine pour chaque domaine de la forêt. Avez-vous des mots de passe stockés dans un endroit qui n'est pas dépendant d'AD ?
- Contrôleurs de domaine (DC) virtualisés : La gestion de votre infrastructure virtuelle dépend-elle d'AD ? Si vous n'avez pas accès à AD, vous n'avez pas accès à vCenter.
- Étapes répétitives du processus : Certaines des instructions du guide de récupération manuelle font référence à des étapes que vous devez répéter pour chaque domaine ou DC de la forêt. Si vous vous arrêtez et pensez au temps que prend la restauration du premier DC accessible en écriture dans chaque domaine ou la reconstruction de chaque DC, vous commencez à avoir une idée de la façon dont la restauration d'une forêt AD complète peut prendre des jours ou des semaines. Et ce, si personne ne commet d'erreur en cours de route, ce qui vous obligerait à redémarrer l'ensemble du processus.
En résumé, la reprise manuelle est source de problèmes réels potentiels qui ne sont pas mentionnés dans la documentation. Les organisations qui dépendent de leurs équipes d'infrastructure pour effectuer une reprise manuelle dans le chaos d'un incident de cybersécurité prennent un risque grave qui pourrait se traduire par une interruption des services paralysante pour l'entreprise.
Ce qu'il faut savoir sur la récupération manuelle des forêts AD
Dans le cas de la récupération des forêts AD, l'ignorance n'est pas une bénédiction. C'est pourquoi nous avons créé un "guide du guide" : "What to Watch for When Using the Microsoft Guide to Active Directory Forest Recovery." (Ce qu'il faut surveiller lors de l'utilisation du guide Microsoft à ). Ce document vous donne un aperçu du guide de Microsoft, ainsi que des notes sur les points importants que vous devrez prendre en compte en cas de cyberincident.
Télécharger notre guide sur le manuel Microsoft AD forest recovery guide
Faire face aux horreurs potentielles de la restauration manuelle d'AD n'est pas une partie de plaisir. Mais la protection de votre organisation contre une attaque basée sur l'identité commence par la préparation au pire scénario, la perspective très réelle d'être obligé de restaurer AD à partir de zéro après que les acteurs de la menace l'aient complètement éliminé. Et votre meilleure défense contre un processus de restauration AD prolongé commence par des tests robustes de restauration AD en cas de cyber-catastrophe et des références crédibles en matière de restauration.
Et si, après avoir vécu ce cauchemar, vous souhaitez découvrir comment réduire le temps de récupération des forêts AD jusqu'à 90 %, contactez notre équipe pour voir une démonstration de Active Directory Forest Recovery.
Plus de ressources
