• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 13/01/2023

Analysez la sécurité de votre architecture

Vous l’avez remarqué, l’annuaire Active Directory se trouve au centre de la sécurité d’un système d’information. En règle générale, un domaine correctement sécurisé permet de s’assurer que le système d’information ne permet pas d’accéder aux données sensibles, ou même aux postes d’administration, trop simplement. Une gestion des droits trop permissive au sein de l’AD permettrait de prendre rapidement le contrôle d’un système d’information.

Je vous propose dans ce chapitre de faire un tour d’horizon de quelques possibilités de sécurisation !

Utilisez l’outil d’analyse des bonnes pratiques Microsoft

Microsoft se soucie de son image et à ce titre, fournit des outils permettant de s’assurer de la bonne configuration de ses services ou logiciels. Au sein du gestionnaire de serveur, sous le rôle AD DS, Microsoft fournit un outil d’analyse des bonnes pratiques de configuration de tous les rôles qu’il propose. C’est notamment le cas du rôle AD DS. L’outil Best Practice Analyzer (BPA) se présente simplement par une zone dans le gestionnaire de serveur :

Analyseur des bonnes pratiques de configuration d’AD DS
Analyseur des bonnes pratiques de configuration d’AD DS

Si vous avez suivi les différents chapitres de ce cours, vous ne devriez pas avoir trop d’erreurs. 😉

Résultats de l’analyseur des bonnes pratiques de configuration d’AD DS.
Résultats de l’analyseur des bonnes pratiques de configuration d’AD DS

Si vous filtrez (ou triez) sur les avertissements ou erreurs de configuration, vous devriez en trouver au moins deux :

Résultats filtrés de l’analyseur des bonnes pratiques de configuration d’AD DS montre un erreur dans la deuxième colonne de la deuxième ligne.
Résultats filtrés de l’analyseur des bonnes pratiques de configuration d’AD DS

En effet, l’unité organisationnelle Domain Controllers n’est pas protégée contre la suppression accidentelle et, sauf si vous avez configuré un accès internet sur votre réseau simulé, le temps n’est pas récupéré via une source identifiée comme fiable par Microsoft !

Après avoir protégé l’UO Domain Controllers contre la suppression, relancez l'analyse, cet avertissement disparaît !

Bravo, votre configuration est au top, selon les bonnes pratiques de Microsoft. Je vous laisse observer quels sont les paramètres que Microsoft vérifie.

Cette analyse identifie principalement les configurations qui peuvent avoir un impact négatif sur la fiabilité et les performances de l’Active Directory. Elle ne permet donc pas à elle seule de s’assurer que la sécurité de votre AD est suffisante.

Analysez les groupes privilégiés

Comme vous l’avez vu dans la vidéo, après avoir utilisé l’outil d’analyse des bonnes pratiques, la seconde chose à faire est d’inventorier les groupes disposant de privilèges élevés, à savoir :

  • les groupes se trouvant dans l’UO Users ;

  • les groupes se trouvant dans l’UO Built-in.

Dans la liste à gauche Users est sélectionné à partir de Utilisateur et ordinateurs Active Directory. A droite la liste des groupes se trouvant dans Users est affichée.
Groupes se trouvant dans Users

Ici, vous retrouvez des groupes aux noms révélateurs (et dont la description ne fait aucun doute) sur leur niveau de privilège :

  • Administrateurs clés ;

  • Administrateurs clés Entreprise ;

  • Administrateurs de l’entreprise ;

  • Administrateurs du schéma ;

  • Admins du domaine ;

  • DNSAdmins.

Ces groupes ne doivent pas comporter un grand nombre de membres. Idéalement, il ne faut qu’un objet utilisateur dans chacun de ces groupes, avec un mot de passe suivant une politique de mot de passe plus contraignante, et idéalement stocké dans un coffre.

Dans la liste à gauche Builtin est sélectionné à partir de Utilisateur et ordinateurs Active Directory. A droite la liste des groupes se trouvant dans Builtin est affichée.
Groupes se trouvant dans Built-in

Dans cet UO également on retrouve le groupe Administrateurs.

Il en va donc de même pour les utilisateurs de ce groupe ! Il est généralement possible d’effectuer de nombreuses tâches sans avoir les droits administrateurs de façon permanente.

Allez encore plus loin dans vos analyses

Il peut être fastidieux d’analyser régulièrement le respect des bonnes pratiques partagées dans ce chapitre. Surtout, il suffirait d’un oubli pour qu’un attaquant parvienne à s’introduire sur un premier composant, puis à se propager sur l’ensemble du parc et à compromettre tout un domaine, voire l’ensemble des forêts.

Plusieurs outils gratuits permettent de cartographier un Active Directory, ainsi que sa configuration, et d’obtenir des visualisations plus faciles à interpréter, pour une sécurisation plus efficace dans le temps.

En résumé

  • Microsoft fournit un outil d’analyse des bonnes pratiques de configuration du rôle AD DS : Best Practice Analyzer.

  • Il est important de faire un inventaire des membres de certains groupes à privilèges élevés.

  • La sécurisation doit passer par l’ajout de différents rôles, en complément de l’application des stratégies de groupes.

  • Plusieurs outils tiers et gratuits existent pour faciliter l’identification des défauts de sécurité critiques.

Vous l’avez vu, les stratégies de groupe permettent d’avoir une maîtrise très complète de votre parc, ce qui en fait l’outil majeur d’Active Directory. Cependant, pour bâtir une politique de sécurité robuste et cohérente dans votre entreprise, certaines règles et bonnes pratiques sont à connaître. C’est donc de ça qu’il sera question dans la suite.

Exemple de certificat de réussite
Exemple de certificat de réussite