Chaque jour, les administrateurs système ont la tâche ardue de gérer plusieurs tickets, dont beaucoup sont soulevés par des utilisateurs qui sont bloqués hors de leur compte lorsqu'ils oublient ou saisissent leurs mots de passe une fois de trop. La résolution de ces verrouillages consomme du temps et de l'argent précieux pour l'entreprise, avec un coût moyen de traitement d'un ticket de près de 15 USD * Il est important pour les entreprises de configurer de manière réfléchie leurs politiques de verrouillage de compte pour aider à réduire le nombre de verrouillages sans compromettre la sécurité de leur réseau. Bien qu'il ne soit pas possible d'empêcher tous les verrouillages, la mise en œuvre de ces meilleures pratiques peut réduire leur nombre de manière significative.
La durée du verrouillage du compte dépend des informations spécifiques à l'organisation, telles que le nombre d'utilisateurs ou le type de secteur. La définition de la durée sur zéro maintiendra le compte sécurisé en verrouillant le compte jusqu'à ce qu'un administrateur le déverrouille. Cependant, cela entraîne également des demandes excessives au service d'assistance. La durée recommandée est comprise entre 30 et 60 minutes
Si le seuil de verrouillage du compte est trop bas, les verrouillages accidentels seront fréquents. Cela pourrait également rendre le compte vulnérable aux attaques par déni de service, car il est plus facile pour l'attaquant de saisir intentionnellement les mauvais mots de passe pour verrouiller le compte. D'un autre côté, si le seuil est trop élevé, la probabilité d'une attaque par force brute réussie augmente à mesure que l'attaquant a plus d'occasions d'essayer de deviner les informations d'identification. Le seuil recommandé est de 15 à 50.
Lors du calcul de la valeur de «réinitialisation du compteur de verrouillage du compte après», les entreprises doivent garder à l'esprit le type et le niveau des menaces de sécurité auxquelles elles sont confrontées, en tenant compte du coût des appels au service d'assistance. Cette valeur doit être inférieure ou égale à la durée de verrouillage du compte.Le réglage recommandé est inférieur à 30 minutes.
Différentes combinaisons de valeurs de stratégie doivent être définies pour les utilisateurs de différents niveaux de sécurité. Cela est rendu possible par la fonctionnalité de stratégie de mot de passe affinée dans Active Directory (AD). Pour les utilisateurs à faible sécurité, les verrouillages de compte peuvent être désactivés en définissant le seuil sur zéro. Pour les utilisateurs hautement sécurisés, comme les administrateurs et les gestionnaires, la durée de verrouillage du compte doit être définie sur zéro, de sorte qu'un compte verrouillé ne peut être déverrouillé que par un administrateur. Un seuil de verrouillage de compte bas doit être défini pour ces utilisateurs, car ils doivent se souvenir de leurs mots de passe et entrer leurs informations d'identification avec prudence.
Quatre-vingt-quinze pour cent des violations de la cybersécurité sont causées par une erreur humaine. ** Les entreprises peuvent réduire ce nombre en organisant régulièrement une formation de sensibilisation à la cybersécurité pour informer les employés sur la façon d'éviter les verrouillages de compte.
L'analyse du comportement des utilisateurs (UBA) peut être utilisée pour détecter des pics inhabituels dans l'activité de verrouillage de compte utilisateur. Cela est pratique lorsque les organisations ont un grand nombre d'employés et qu'il est impossible de suivre l'activité de verrouillage de compte de chaque utilisateur.
Une cause majeure de verrouillage de compte est l'utilisation d'informations d'identification périmées par les services système, les tâches planifiées ou les sessions de terminal déconnectées. La suppression du gestionnaire d'informations d'identification et le redémarrage de l'ordinateur résoudront la plupart de ces problèmes.
Activez les notifications pour recevoir des alertes en temps réel pour les verrouillages de compte utilisateur haute sécurité, ce qui peut aider à déverrouiller ces comptes plus rapidement. Utilisez des outils tiers capables d'exécuter des scripts pour déverrouiller instantanément les comptes verrouillés à haute priorité.
Les applications mobiles qui utilisent des informations d'identification AD (par exemple Outlook et Microsoft Exchange Server) peuvent également utiliser des informations d'identification obsolètes. Les utilisateurs doivent se méfier et mettre à jour leurs informations d'identification après au moins deux changements de mot de passe. Dans Windows Server 2003 et versions ultérieures, si le mot de passe entré est l'un des deux mots de passe précédemment définis, il n'est pas compté comme un mot de passe incorrect.