• 8 heures
  • Moyenne

Ce cours est visible gratuitement en ligne.

course.header.alt.is_video

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 29/05/2019

Complétez la sécurité de votre AD

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans le chapitre précédent, vous avez appris à réduire la surface d’attaque concernant les utilisateurs. Je vous propose de réduire les deux autres catégories de surfaces d’attaques : les systèmes et les logiciels !

Durcissez vos systèmes

Cette partie va vous permettre de comprendre les enjeux de la réduction des vulnérabilités des systèmes ! Ce point est primordial car c’est souvent, après les utilisateurs, le moyen le plus utilisé pour lancer une attaque !

La première action à mener est de maîtriser les versions des systèmes présents au sein de votre réseau ! Idéalement, il faut que vous configuriez les postes vous-même afin d’en maîtriser la configuration. Là encore, Active Directory va vous permettre d’identifier les postes mal configurés ou encore les postes apportés par les utilisateurs eux-mêmes. Pour cela, il va falloir activer les journaux d’audit, toujours via une GPO. Ainsi, Active Directory va pouvoir répertorier tous les accès à des objets que ces accès soient faits par des postes du domaine ou par des postes hors domaine !

Paramètre GPO d’audit
Paramètre GPO d’audit

Une fois que vous avez identifié ces postes, il ne vous reste qu’à les bannir de votre réseau ou d’avoir une politique BYOD (Bring Your Own Device, littéralement apportez votre propre matériel).

Pour les postes du domaine, vous avez vu que de nombreux paramètres sont disponibles nativement par les GPO.

Attention toutefois aux systèmes Linux qui ne peuvent pas bénéficier de toutes les fonctionnalités, je vous conseille pour ces postes d’avoir une approche différente notamment en suivant le cours Créez et exécutez des scripts à l’aide d’Ansible.

Vous pouvez grâce à Active Directory apporter une configuration renforcée des systèmes d’exploitation que vous souhaitez gérer grâce aux GPO.

Isolez vos contrôleurs de domaine

Autre possibilité de durcissement : l’interdiction de surfer sur internet sur les contrôleurs de domaine. C’est souvent une option pratique pour bien des raisons, mais il suffit de télécharger un installeur contenant un malware pour compromettre la sécurité de votre domaine. Pour cela plusieurs solutions existent. La première consiste à mettre en œuvre des règles de pare-feu au niveau des contrôleurs de domaine via le pare-feu avancé de Microsoft.

Pour pouvoir atteindre tous les contrôleurs de domaine, je vous conseille de mettre en œuvre une GPO pour déployer les règles d’interdiction d’accès à internet. Vous pourrez bloquer les flux vers les ports 80 et 443 vers tous les hôtes et réseaux distants.

Autre possibilité, le blocage au niveau du pare-feu d’entreprise. Plus spécifiquement, vous n’allez autoriser l’accès à internet que via la plage d’adresse IP dédiée aux postes clients et à eux uniquement.

Dans le meilleur des cas, vous n'utiliserez que l’accès à internet via un serveur proxy qui centralisera les requêtes sur internet et pourra, par exemple, filtrer certains sites ou effectuer une analyse antivirale avant de vous envoyer la réponse des serveurs que vous souhaitez consulter.

Maîtrisez la distribution des logiciels

Une autre possibilité offerte par Active Directory est le déploiement de logiciels. Cela vous permet de fournir des logiciels à vos utilisateurs sans avoir à passer sur chaque poste, mais aussi de suivre l’utilisation des licences, dans le cas de logiciels propriétaires.

Cela se passe également au niveau des GPO. Ici deux stratégies possibles :

  • Installer des logiciels en fonction des ordinateurs

  • Installer des logiciels en fonction de profils d’utilisateurs

La seule contrainte est de disposer d’un logiciel qui s’installe via un fichier MSI. Une fois que vous disposez de ce type d'installation, vous pouvez décrire le mode de déploiement via la GPO en fonction des critères que vous aurez décidés !

Exemple de GPO déployant Firefox
Exemple de GPO déployant Firefox

Bien que pratique, cette méthode est toutefois peu utilisée dans les grands réseaux. Il est en effet judicieux de s’appuyer sur un logiciel tiers dédié à cette utilisation afin, notamment, de gérer tous les types d’installeurs. Par exemple, Microsoft préconise l’utilisation de System Center Configuration Manager, qui permet cela ou des outils d’autres éditeurs tels que LanSweeper ou Desktop Central de Manage Engine.

Stoppez l’utilisation de certains logiciels

Vous pouvez également bloquer le lancement de certaines applications via Applocker. Cette technologie conçue par Microsoft permet de mettre en œuvre des règles sur les programmes exécutables sur un système Windows.

Par contre, il est possible de mettre en œuvre simplement une stratégie de restriction logicielle, appelée SRP via les GPO. Pour cela il vous faut créer une GPO, comme vous savez le faire à présent et vous rendre dans la partie Configuration Ordinateur puis paramètres de sécurité, comme ceci :

Nouvelle GPO pour la restriction logicielle
Nouvelle GPO pour la restriction logicielle

Vous observerez que vous pouvez mettre en œuvre une nouvelle stratégie en effectuant un clic droit sur le dossier Stratégies de restriction logicielle.

Nouvelle stratégie de restriction logicielle
Nouvelle stratégie de restriction logicielle

Une fois que vous avez déclaré votre nouvelle stratégie de restriction, 5 nouveaux éléments apparaissent alors :

  • Niveaux de sécurité

  • Règles supplémentaires

  • Contrôle obligatoire

  • Types de fichiers désignés

  • Éditeurs approuvés

Ces éléments de configuration de votre stratégie vont vous permettre de définir finement les droits d'exécution des logiciels sur les postes qui seront visés par la GPO. Vous disposerez alors par défaut de 3 niveaux de sécurité pour votre stratégie :

Niveau de sécurité de la stratégie de restriction
Niveau de sécurité de la stratégie de restriction

Enfin, toujours par défaut, vous aurez deux emplacements à partir desquels il n’y aura pas de restriction :

Emplacement par défaut sans restrictions
Emplacement par défaut sans restrictions

Vous pourrez ainsi éviter que vos utilisateurs ne puissent lancer des exécutables à partir du répertoire Téléchargements par exemple !

Avant de vous laisser durcir vos postes, je vous propose d’observer comment vous pouvez aller encore plus loin dans la sécurisation d’Active Directory avec la lecture de ce guide Microsoft.

En résumé

  • Durcir un système permet d’en assurer la maîtrise dans le temps au sein d’un réseau

  • Maîtriser les logiciels présents sur un réseau permet de s’assurer que les logiciels sont sains et validés par le Responsable de la sécurité

  • Il est possible de spécifier des emplacements précis pour le lancement d’exécutables

  • Il est conseillé de bloquer l’accès à internet pour les contrôleurs de domaine

Exemple de certificat de réussite
Exemple de certificat de réussite