• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

Ce cours est en vidéo.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 25/01/2019

Apprenez à sécuriser votre AD

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

La sécurité est une préoccupation quotidienne des administrateurs. Cette préoccupation devient prioritaire lorsque l’on gère un annuaire qui centralise les données d’identification et les droits d’accès. Je vous propose de passer en revue les techniques qui vous permettront de garantir la sécurité de votre architecture d’annuaire !

Réduisez votre surface d’attaque

Aujourd’hui le piratage informatique est partout, il convient de ne pas croire que l’on sera impossible à pirater ! Il est plus viable d’être capable de détecter, le plus rapidement possible, une intrusion ou une fuite de données. Afin de savoir où chercher, vous allez devoir identifier votre surface d’attaque.

C’est cette surface d’attaque qui va permettre aux assaillants numériques de vous impacter ! Plus elle sera réduite, plus vous serez en mesure de détecter qu’une attaque est en cours.

Qu’est-ce que c’est exactement ?

La surface d’attaque représente toutes les possibilités dont dispose un pirate informatique pour s’introduire ou prendre le contrôle de votre système. C’est donc en quelque sorte, la somme de toutes les vulnérabilités possibles présentes dans un système.

Il existe de nombreuses catégories de surfaces d’attaque : un assaillant numérique va pouvoir utiliser au choix

  • Les utilisateurs

  • Le réseau

  • Les systèmes

  • Les logiciels

Voyons cela en détail, pour éviter que cela ne fasse trop d’un coup, je vous propose dans ce chapitre d’aborder les utilisateurs et le réseau puis dans le suivant les systèmes et les logiciels !

Sensibilisez les utilisateurs

Pour les utilisateurs, seule la sensibilisation fonctionne. Il faut les sensibiliser à mettre des mots de passe complexes qu’ils sauront retenir sans les noter sur un post-it :colere:.

Ce qui peut être intéressant, c’est de mettre en place une GPO pour demander un mot de passe complexe et long. Après la période de renouvellement évolue.

Il est à mon avis presque impossible de demander à une personne de se souvenir d’un mot de passe avec de nombreux critères de qualité et de lui demander ensuite d’en changer tous les mois.

Il convient plutôt de lui demander d’en changer dès qu’une suspicion de compromission est identifiée. C’est exactement ce que vient de faire Twitter. Ils ont identifié une vulnérabilité dans leur système de stockage des mots de passe et bien qu’il n’y ait pas eu d’annonces de fuite, ils ont demandé à leurs utilisateurs de modifier leur mot de passe.

Mais rien de tel qu’une sensibilisation régulière pour accompagner les paramètres souvent contraignants d’une politique de mots de passe.

De la même façon, il convient d’accompagner les utilisateurs dans la fermeture de la session, là aussi en spécifiant une durée d’inactivité autorisée avant de verrouiller la session de l’utilisateur par GPO.

Paramètres permettant de gérer la politique de mot de passe
Paramètres permettant de gérer la politique de mot de passe
Paramètre de verrouillage du compte
Paramètre de verrouillage du compte

Ces paramètres se situent dans la configuration ordinateur car ils vont être géré de la même façon pour tous les utilisateurs d’un PC !

Les options de la stratégie Kerberos permettent d’aller encore plus loin, mais attention car il s’agit d’un des protocoles centraux des réseaux Microsoft.

Enfin, il est possible de supprimer le nom du dernier utilisateur qui s’était connecté sur un poste :

Un autre utilisateur s'est connecté précédemment sur ce poste
Un autre utilisateur s'est connecté précédemment sur ce poste

Cela se fait via l’option de configuration ordinateur dans Paramètres de sécurité, Option de sécurité via le paramètre Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur !

Fiabilisez votre réseau

Je ne doute pas du fait que vous avez suivi l’excellent cours Apprenez le fonctionnement des réseaux TCP/IP. Il vous permet de savoir de quoi il en retourne au niveau réseau.

Vous le savez surement, segmenter un réseau est une bonne pratique de sécurité. Pourquoi ne pas en faire de même et conserver le principe des deux contrôleurs de domaine ?

Microsoft a pensé à ce cas de figure et permet de répartir les contrôleurs de domaine sur différents sites. Cela se configure dans Sites et services Active Directory.

Ainsi il va être possible pour vous de créer deux sites isolés l’un de l’autre en termes de réseau (avec bien entendu un routage inter-site) et de configurer un calendrier de réplication des données d’annuaire entre les différents contrôleurs de domaine.

Sites et services Active Directory
Sites et services Active Directory

Il est donc possible de créer un site distant qui sera routé vers le site principal (ici le Default-First-Site-Name, qui est le nom par défaut de premier site Active Directory). Il conviendra ensuite de personnaliser le calendrier des réplications en cliquant sur le nom du serveur et sur NTDS Settings puis le nom du lien entre les différents contrôleurs de domaine :

Calendrier de réplication
Calendrier de réplication

À noter que cette réplication inter-site peut se faire via deux protocoles :

  • IP

  • SMTP

L’utilisation de l’IP est conseillée par rapport à SMTP.

Deux raisons à cela

  1. Le support de la réplication via SMTP va bientôt être stoppée et la fiabilité de la réplication IP est relativement bonne,

  2. Les réplications SMTP sont asynchrones

Il ne sera d’ailleurs pas possible de créer de lien SMTP sans qu’un serveur IIS soit actif et qu’une autorité de certification soit en place afin de chiffrer et signer les échanges via ce protocole.

Rendez vos contrôleurs de domaine inutilisable

Non bien sûr, pas totalement, mais pourquoi ne pas configurer un contrôleur de domaine en lecture seule, ne permettant pas d’action d’administration ?

Il suffit pour cela de configurer un nouveau serveur et de cocher la case RODC lors de sa promotion en contrôleur de domaine. Ainsi ce contrôleur de domaine ne sera utilisé que pour authentifier les postes et utilisateurs sur votre réseau.

Il se chargera également de faire appliquer les GPO mais il ne sera pas possible, même s’il est compromis, de prendre le contrôle du domaine en créant un nouvel utilisateur administrateur !

Configuration d’un domaine sur plusieurs sites avec un RODC
Configuration d’un domaine sur plusieurs sites avec un RODC

Allez encore plus loin

Pour aller encore plus loin dans la sécurisation, je vous invite à suivre les guides de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Cette agence de l’État publie régulièrement des guides de configuration renforcée de services logiciels ou d’outils matériels.

Le guide concernant l’Active Directory se trouve ici, sur leur site internet !

Vous avez remarqué que le guide faisait 48 pages et qu’il est complet. Je vous laisse donc le plaisir de le lire à votre rythme 😏.

Maintenant que vous avez identifié les axes de sécurisation qui existent, je vous propose de continuer dans la sécurité avec le durcissement des systèmes et bien plus encore !

En résumé

  • La segmentation réseau permet la segmentation d’un annuaire au travers des Sites et services Active Directory

  • Un RODC ne permet pas d’actions d'administration

  • Il convient de sensibiliser les utilisateurs

  • Les GPO permettent d’appuyer techniquement une politique de sécurité

Exemple de certificat de réussite
Exemple de certificat de réussite