Sécurité Active Directory: Etablir un référentiel

1 186 vues

Publié le

L’objectif de cette présentation est de vous sensibiliser sur les besoins d'établir une référence des éléments composant la sécurité de votre environnement Active Directory.: • Modélisation de la délégation • Objets systèmes AD • Comptes privilégiés sur les serveurs membres • Paramètres de sécurité des contrôleurs de domaine. Cette dernière permettra d'évaluer de manière régulière l'existant et ainsi détecter facilement toute non-conformité. Pour illustrer sous une forme de démonstration, nous nous appuierons sur une maquette pour partir d’un environnement de référence et simuler des modifications non désirées. Nous utiliserons ensuite différents outils pour révéler immédiatement toute non-conformité par rapport à la référence établie.

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
1 186
Sur SlideShare
0
Issues des intégrations
0
Intégrations
6
Actions
Partages
0
Téléchargements
75
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Sécurité Active Directory: Etablir un référentiel

  1. 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdays techdays.microsoft.fr
  2. 2. Sécurité AD: Pensez référentiel ! Jean-Philippe Klein – Sr Premier Field Engineer (Microsoft) Didier Pilon – Principal Premier Field Engineer – PMC (Microsoft)
  3. 3. tech.days 2015#mstechdays  Introduction  Les objets AD à surveiller  Gestion de la délégation AD  Configuration des contrôleurs de domaine  Les serveurs membres  Conclusion #
  4. 4. tech.days 2015#mstechdays  Qu’est ce qu’un référentiel Active Directory ?  Pourquoi créer un référentiel Active Directory ? #
  5. 5. tech.days 2015#mstechdays Les groupes Administrators Backup Operators Performance Monitor Users Cryptographic Operators IIS_IUSRS Users Network Configuration Operators Performance Log Users Incoming Forest Trust Builders Terminal Server License Servers Guests Remote Desktop Users Distributed COM Users Certificate Service DCOM Access Replicator Print Operators Windows Authorization Access Group Event Log Readers Pre-Windows 2000 Compatible Access Domain Computers Cert Publishers* Group Policy Creator Owners Allowed RODC Password Replication Group DnsAdmins Domain Controllers Domain Admins RAS and IAS Servers Denied RODC Password Replication Group DnsUpdateProxy Schema Admins Domain Users Server Operators Enterprise Read-only Domain Controllers Read-only Domain Controllers Enterprise Admins Domain Guests Account Operators #
  6. 6. tech.days 2015#mstechdays Administrator Krbtgt Les comptes appartenant à un groupe à fort privilege. Utilisateurs avec des privilèges sur les systèmes tiers Utilisateurs VIP Les objets “Read Only Domain Controller” Les comptes Les objets “Domain Controller” Les objets machines qui exécutent des services sensibles/critiques Comptes de services, … Comptes avec délégation sur l’AD #
  7. 7. tech.days 2015#mstechdays AdminSDHolder Les relations d’approbation Politique de mot de passe du domaine Fine Grained Password Policies - FGPP (msDS-PasswordSettings) Les GPO Les comptes locaux DSRM Les autres objets Les scripts de logon/logoff/startup/shutdown #
  8. 8. tech.days 2015#mstechdays Access Control List ACE ACE Owner
  9. 9. ACL avec PowerShell Import-Module ActiveDirectory (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local') | gm | ?{ $_.MemberType -eq "CodeProperty"} (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').Access (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').SDDL
  10. 10. tech.days 2015#mstechdays Get-ACK
  11. 11. tech.days 2015#mstechdays ACL / ACEs
  12. 12. tech.days 2015#mstechdays Format SDDL  Header  DACL  SACL  Primary Group  Owner
  13. 13. tech.days 2015#mstechdays Création d’un référentiel
  14. 14. tech.days 2015#mstechdays Création d’un référentiel
  15. 15. tech.days 2015#mstechdays Création d’un référentiel
  16. 16. tech.days 2015#mstechdays Modélisation
  17. 17. tech.days 2015#mstechdays Vérification
  18. 18. tech.days 2015#mstechdays  Partition de domaine  Partition de configuration  Partition de schema Les autres objets #
  19. 19. tech.days 2015#mstechdays  Les attributs surveillés sur tous les objets (sauf nTDSconnection) Partition de configuration ntSecurityDescriptor rightsGuid ValidAccesses caCertificate crossCertificatePair #
  20. 20. tech.days 2015#mstechdays  Les attributs surveillés sur tous les objets Partition de schéma ntSecurityDescriptor defaultSecurityDescriptor attributeSecurityGUID schemaIdGuid SystemFlags SearchFlags #
  21. 21. tech.days 2015#mstechdays  Analyse des ACL sur l’ensemble des objets ?  Utilisation des métadonnées de réplication Configuration / Schéma
  22. 22. Metadonnées de réplication repadmin /showobjmeta . "CN=Administrator,CN=Users,DC=nwtraders,DC=local"
  23. 23. tech.days 2015#mstechdays Configuration / Schema
  24. 24. tech.days 2015#mstechdays Introduction #
  25. 25. tech.days 2015#mstechdays
  26. 26. tech.days 2015#mstechdays
  27. 27. tech.days 2015#mstechdays
  28. 28. tech.days 2015#mstechdays
  29. 29. tech.days 2015#mstechdays  Compte à privilèges sur les serveurs membres  Services  Taches planifiés  Application Pool  … Introduction #
  30. 30. tech.days 2015#mstechdays
  31. 31. tech.days 2015#mstechdays Analyse des déviations
  32. 32. tech.days 2015#mstechdays Compromission
  33. 33. tech.days 2015#mstechdays Modèle de délégation
  34. 34. tech.days 2015#mstechdays Configuration et Schéma
  35. 35. tech.days 2015#mstechdays Serveurs membres
  36. 36. tech.days 2015#mstechdays Analyser l’existant Définir le niveau de sécurité souhaité Appliquer les changements Créer son référentiel #  2 types d’analyses
  37. 37. tech.days 2015#mstechdays Analyser l’existant Définir le niveau de sécurité souhaité Appliquer les changements Créer son référentiel #  Suivre les bonnes pratiques de l’éditeur dans votre contexte
  38. 38. tech.days 2015#mstechdays Analyser l’existant Définir le niveau de sécurité souhaité Appliquer les changements Créer son référentiel #  Respecter les règles ITIL pour la gestion du changement  Vérifier la compatibilité avec les applications
  39. 39. tech.days 2015#mstechdays Analyser l’existant Définir le niveau de sécurité souhaité Appliquer les changements Créer son référentiel #  Et le faire vivre …
  40. 40. tech.days 2015#mstechdays  ACL Scanner https://adaclscan.codeplex.com/  Get-ServiceAccountUsage https://gallery.technet.microsoft.com/Get-ServiceAccountUsage- b2fa966f  Security Compliance Manager https://technet.microsoft.com/en-us/library/cc677002.aspx Outils
  41. 41. tech.days 2015#mstechdays
  42. 42. © 2015 Microsoft Corporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr

×