Que faire après qu'un compte de domaine Windows a été compromis ?

Nous nous préparons à un scénario où l’un des comptes du domaine est compromis – que faire ensuite ?

Désactiver le compte serait ma première réaction, mais nous avons eu des testeurs d’intrusion ici il y a quelques semaines et ils ont pu utiliser des hachages de connexion d’un utilisateur administrateur qui est parti il y a quelques mois.

Nos deux réponses jusqu’à présent sont :

• Supprimer le compte et le recréer (crée un nouveau SID mais aussi plus de complications pour l’utilisateur et de travail pour nous)

• Changer le mot de passe au moins 3 fois et désactiver le compte

Quelle serait votre méthode, ou que recommanderiez-vous ?

ils ont pu utiliser des hachages de connexion d’un utilisateur administrateur qui est parti il y a quelques mois.

Les hachages d’identifiants volés ne fonctionnent pas pour les comptes qui sont désactivés, sauf s’il s’agit d’un ordinateur qui n’est pas connecté au réseau. Le processus doit quand même demander un ticket ou s’authentifier auprès d’un contrôleur de domaine. Impossible de faire cela si le compte est désactivé.

Vous devez désactiver les comptes administratifs des anciens employés lorsqu’ils partent.