• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/05/2019

Analysez la sécurité de votre architecture

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Vous l’avez remarqué, l’annuaire Active Directory se trouve au centre de la sécurité d’un système d’information. En règle générale, un domaine correctement sécurisé permet de s’assurer que le système d’information ne permet pas d’accéder aux données sensibles ou même aux postes d’administration trop simplement. Une gestion des droits trop permissive au sein de l’AD permettrait de prendre rapidement le contrôle d’un système d’information.

Je vous propose dans ce chapitre de faire un tour d’horizon de quelques possibilités de sécurisation possibles !

Utilisez l’outil d’analyse des bonnes pratiques Microsoft

Microsoft se soucie de son image et à ce titre, fournit des outils permettant de s’assurer de la bonne configuration de ses services ou logiciels. Au sein du gestionnaire de serveur, sous le rôle AD DS, Microsoft fournit un outil d’analyse des bonnes pratiques de configuration de tous les rôles qu’il propose. C’est notamment le cas du rôle AD DS. L’outil se présente simplement par une zone dans le gestionnaire de serveur :

Analyseur des bonnes pratiques de configuration d’AD DS
Analyseur des bonnes pratiques de configuration d’AD DS

Si vous avez suivi les différents chapitres de ce cours, vous ne devriez pas avoir trop d’erreurs 😉

Résultats de l’analyseur des bonnes pratiques de configuration d’AD DS
Résultats de l’analyseur des bonnes pratiques de configuration d’AD DS

Si vous filtrez (ou triez) sur les avertissements ou erreurs de configuration vous devriez en trouver au moins deux :

Résultats filtrés de l’analyseur des bonnes pratiques de configuration d’AD DS
Résultats filtrés de l’analyseur des bonnes pratiques de configuration d’AD DS

En effet, l’Unité Organisationnelle Domain Controllers n’est pas protégée contre la suppression accidentelle et, sauf si vous avez configuré un accès internet sur votre réseau simulé, le temps n’est pas récupéré via une source identifiée comme fiable par Microsoft !

Après avoir protégé l’UO Domain Controllers contre la suppression, relancez l'analyse, cet avertissement disparaît !

Bravo, votre configuration est au top, selon les bonnes pratiques de Microsoft. Je vous laisse observer quels sont les paramètres que Microsoft vérifie.

Vous vous en doutez, cette analyse ne permet pas de s’assurer que la sécurité de votre AD est suffisante.

Analysez les groupes privilégiés

La seconde chose à faire est d’inventorier les groupes disposant de privilèges élevés, à savoir :

  • Les groupes se trouvant dans l’UO Users

  • Les groupes se trouvant dans l’UO Built-in

Groupes se trouvant dans Users
Groupes se trouvant dans Users

Ici, vous retrouvez des groupes au nom révélateurs (et dont la description ne fait aucun doute) sur leur niveau de privilège :

  • Administrateurs clés

  • Administrateurs clés Entreprise

  • Administrateurs de l’entreprise

  • Administrateurs du schéma

  • Admins du domaine

  • DNSAdmins

Ces groupes ne doivent pas comporter un grand nombre de membres. Idéalement, il ne faut qu’un objet utilisateur dans chacun de ces groupes avec un mot de passe suivant une politique de mot de passe plus contraignante et idéalement stocké dans un coffre.

Groupes se trouvant dans Built-in
Groupes se trouvant dans Built-in

Dans cet UO également on retrouve le groupe Administrateurs.

Il en va donc de même pour les utilisateurs de ce groupe ! Il est généralement possible d’effectuer de nombreuses tâches sans avoir les droits Administrateurs de façon permanente.

Allez encore plus loin dans la sécurisation

Pour aller encore plus loin dans la sécurisation de votre système d’information, il sera intéressant de mettre en œuvre deux nouveaux rôles :

  • Services WSUS

  • Services de stratégie d’accès réseau (NPS)

Autres rôles indispensable dans un SI
Autres rôles indispensables dans un SI

Les services WSUS permettent de centraliser la gestion de correctif de sécurité de Microsoft sur les clients et serveurs. Il permet d’avoir un point unique de récupération des correctifs Microsoft et de spécifier une stratégie d’acceptation et de déploiement afin de ne pas bloquer les utilisateurs durant les heures de forte activité ou encore lors de la publication d’un correctif important.

Les services de stratégie d’accès réseaux (NPS) se basent sur le protocole RADIUS pour autoriser ou non l’accès au réseau à des postes clients ou des utilisateurs en fonction de leur identité et de leurs droits d’accès aux différentes ressources.

En résumé

  • Microsoft fournit un outil d’analyse des bonnes pratiques de configuration du rôle AD DS

  • Il est important de faire un inventaire des membres de certains groupes à privilèges élevés

  • La sécurisation doit passer par l’ajout de différents rôles en plus de se faire via l’application de stratégies de groupes

  • WSUS et NPS permettent de sécuriser davantage un réseau en centralisant l’application des correctifs de sécurité ou en authentifiant les postes ou utilisateurs à accéder à des ressources particulières

Exemple de certificat de réussite
Exemple de certificat de réussite