palais descongrèsParis7, 8 et 9février 2012
Active Directory en 2012 :les meilleures pratiques endesign, sécurité etadministration  7 février 2012  Renaud Depagne Mic...
Introduction
Historique d’Active Directory
Active Directory : à quoi ça sert?  Rôle d’Active Directory     Lieu central de stockage d’information d’identité et     d...
(Re)structurer AD : le business  Culture centralisée ou non du pays où se trouve la  direction générale du groupe  Aspect ...
(Re)structurer AD : la sécurité(1)   La frontière de sécurité est la forêt      La forêt est la véritable frontière de séc...
(Re)structurer AD : la sécurité(2)   Il peut exister des contraintes fortes de protection   de données (volonté, lois, …) ...
(Re)structurer AD : les coûts  Forêt    Le moins de forêts possibles (une à trois par exemple)    Forêt de ressources (ex....
Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) :   Gar...
AD et les mouvementsd’entreprise  Acquisition d’une société ou consolidation  d’activité :     Les actifs entrant dans le ...
Autres points à considérer  Les limites d’Active Directory :     Peu de limites à considérer car elle sont très élevées : ...
RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machi...
DC sur Windows Server Core  Avantages :     Réduit la surface d’attaque     Demande moins d’espace disque lors de l’instal...
Réduction du nombre des DCs  Permise surtout par l’évolution des réseaux  Reste des cas justifiant des DCs distants  (cert...
Virtualisation  Les DCs peuvent être virtualisés, mais c’est  souvent le rôle auquel on pense en dernier, sauf  pour les D...
IP V6 (1)  Ne concerne pas que les DCs  Règle Common Engineering Criteria : IP V6  activé  Les produits Microsoft ne sont ...
IP V6 (2)  Quelques effets de la désactivation d’IPV6 sur AD  :     Erreur lors du DCPROMO (problème RPC, erreur de     co...
Sécurité
Pourquoi il est vital desécuriser AD  2010-2011: attaques ciblées sur les entreprises  exerçant dans des domaines sensible...
Délégation d’administration (1)  Organiser la délégation d’administration selon les  principes de moindre privilège  Sépar...
Délégation d’administration (2)  « Best Practices for Delegating Active  Directory Administration » est toujours la  référ...
Recommandations (1)  Les postes des DA sont dans une OU dédiée  Les comptes Domain Admins ne doivent pas  s’authentifier s...
Recommandations (2)  Compartimentaliser par ensemble de criticité :     Isoler les serveurs membres critiques (Exchange, …...
Recommandations (3)  Patcher les DCs et tous les serveurs et postes le plus tôt  possible (se protéger contre les exploits...
Monitoring et traçabilité  Difficile de repérer une attaque DHA, mais possible  Les comptes privilégiés d’AD sont un moyen...
Administration des DCs  Les administrateurs AD depuis leur station  d’administration passent par un serveur de  rebond :
Forêt d’administration (1)  Pour les grandes entreprises les plus sensibles  Créer une nouvelle forêt avec seulement les  ...
Forêt d’administration (2)           Relation d’approbation          Authentification sélective                           ...
Introduction à ADSA-R
Vue d’ensemble d’ADSA-R  Active Directory Service Security Assessment and  Remediation :       Processus d’évaluation et d...
ADSA-R : Périmètre  PFE + Itops + MCS    Workshops de découverte de l’environnement en    présence du responsable sécurité...
Managed Service Accounts  Nouveau type de compte de domaine (msDS-  ManagedServiceAccount) pour remplacer les comptes  de ...
Récupération après sinistre(DRP)  Nécessité de disposer de procédures de  reconstruction de la forêt Active Directory :   ...
Prévention  Tenir à jour un inventaire centralisé et accessible  des dépendances des applications et serveurs vis-  à-vis ...
AD-RAP : définition  Prestation d’audit d’une forêt : 850 contrôles  Réalisée par un PFE (Premier Field Engineer)  Microso...
AD-RAP : Le top ten desanomalies
AD-RAP : autres anomalies  Lingering objects  Réplication AD ou/et SYSVOL  Journal Wrap FRS  Inconsistance des enregistrem...
Les points à retenir  Design     Faire simple, mais prendre en compte les     recommandations pour définir la structure AD...
Mercirdepagne@microsoft.comhttp://blogs.technet.com/rdepagnehttp://www.mstechdays.fr
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Prochain SlideShare
Chargement dans…5
×

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

14 575 vues

Publié le

Les recommandations ont changé depuis Windows 2000 avec l’apport de nouvelles fonctionnalités et la nécessité de répondre à de nouvelles contraintes : • Les choix d’architecture en fonction de la stratégie de l’entreprise et de son secteur d’activité • Placement, déploiement et consolidation des Contrôleurs de Domaine, apports du RODC et de Windows Server Core Edition • Virtualisation : les précautions à prendre • Réseau : DNS, IPV6, IPSEC • Monitoring, traçabilité, protection des données et des services sur lesquels l’annuaire s’appuie • Pourquoi et comment il faut vraiment sécuriser votre annuaire Active Directory • Délégation d’administration et sécurisation des comptes privilégiés, les nouvelles approches • Prestations d’audit du Support Microsoft : ADRAP, ADSA, … et plans de remédiation • Solutions d’interopérabilité : forest trusts, ADFS • Nouvelles solutions d’administration (PowerShell, nouvelle console, …) • Importance des process d’administration autour d’Active Directory • Sauvegarde et DRP Cette session sera l'occasion de faire un état des lieux et de passer en revue ces différentes evolutions et leurs impacts

Publié dans : Technologie
0 commentaire
6 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
14 575
Sur SlideShare
0
Issues des intégrations
0
Intégrations
37
Actions
Partages
0
Téléchargements
616
Commentaires
0
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

  1. 1. palais descongrèsParis7, 8 et 9février 2012
  2. 2. Active Directory en 2012 :les meilleures pratiques endesign, sécurité etadministration 7 février 2012 Renaud Depagne Microsoft Consulting Services
  3. 3. Introduction
  4. 4. Historique d’Active Directory
  5. 5. Active Directory : à quoi ça sert? Rôle d’Active Directory Lieu central de stockage d’information d’identité et d’authentification Apporte l’authentification unique (SSO) aux utilisateurs dans le monde Microsoft Gère l’accès aux ressources (groupes de sécurité) Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postes Supporte des applications basées sur l’annuaire (Exchange, …) Avantages A trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Pérenne : 99%+ des entreprises ont AD Robuste
  6. 6. (Re)structurer AD : le business Culture centralisée ou non du pays où se trouve la direction générale du groupe Aspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupe Secteur d’activité : niveau de croissance externe passée et prévisible Stratégie business : différences de besoin de changement entre les différents métiers d’un grand groupe Stratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
  7. 7. (Re)structurer AD : la sécurité(1) La frontière de sécurité est la forêt La forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance : plusieurs équipes d’administration Contraintes légales ou réglementaires Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêt Plus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
  8. 8. (Re)structurer AD : la sécurité(2) Il peut exister des contraintes fortes de protection de données (volonté, lois, …) L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domaines Solutions : Encrypter les données avec un mécanisme indépendant d’AD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …) Mettre les serveurs dans une forêt séparée
  9. 9. (Re)structurer AD : les coûts Forêt Le moins de forêts possibles (une à trois par exemple) Forêt de ressources (ex.: Exchange) / forêt de comptes Domaines Plus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008 Le domaine a un impact sur le DNS Déplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Coûts (matériel, logiciel, opérations)
  10. 10. Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) : Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine Ne pas utiliser de nom avec un seul label (ex.: contoso) Avec Windows Server 2008 : avertissement à la création Windows Server 2008 R2 refuse dcpromo avec un seul label Problèmes possibles avec des applications
  11. 11. AD et les mouvementsd’entreprise Acquisition d’une société ou consolidation d’activité : Les actifs entrant dans le cœur de métier rejoignent la forêt principale Les actifs non-stratégiques peuvent rester dans leur propre forêt Vente d’une entité ou externalisation d’activité Si forêt dédiée, il suffit de couper les trusts Sinon, suivant le contrat, migration nécessaire ou bien export des données de l’AD Ne pas cloner les DCs (les SIDs doivent rester uniques)
  12. 12. Autres points à considérer Les limites d’Active Directory : Peu de limites à considérer car elle sont très élevées : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits- scalability(WS.10).aspx Néanmoins : Le nom FQDN ne doit pas dépasser 64 caractères … Forêts hors-production Test, validation, pré-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453 6 Recréer
  13. 13. RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODC Ajout d’autres rôles possibles L’administrateur du RODC n’est pas Domain Admin Option : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
  14. 14. DC sur Windows Server Core Avantages : Réduit la surface d’attaque Demande moins d’espace disque lors de l’installation Surtout : moins de patches à appliquer (environ 50%) et moins de reboots Idéal pour pour DC + DNS Inconvénient : Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais : Bien documenté PowerShell http://coreconfig.codeplex.com Exemple de scénario : RODC + BitLocker + Core La réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
  15. 15. Réduction du nombre des DCs Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi réduire le nombre de DCs : Réduction des coûts Agilité de l’entreprise Facilité à reconstruire la forêt en cas de nécessité
  16. 16. Virtualisation Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agences Documentation technique sur http://support.microsoft.com/kb/888794 Points de vigilance : Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
  17. 17. IP V6 (1) Ne concerne pas que les DCs Règle Common Engineering Criteria : IP V6 activé Les produits Microsoft ne sont pas testés avec IP V6 désactivé Désactiver IP V6 reste supporté mais déconseillé Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-us HKLMSystemCurrentControlSetServicesTcpip6Param eters
  18. 18. IP V6 (2) Quelques effets de la désactivation d’IPV6 sur AD : Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante) Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN- US;816103 Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)
  19. 19. Sécurité
  20. 20. Pourquoi il est vital desécuriser AD 2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats) Impact important pour les entreprises affectées Sécuriser Active Directory devient crucial pour les entreprises La sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
  21. 21. Délégation d’administration (1) Organiser la délégation d’administration selon les principes de moindre privilège Séparer les comptes d’administration du service AD et ceux du contenu d’AD L’importance des privilèges doit être inversement proportionnelle au périmètre d’intervention Réduire les comptes privilégiés au strict minimum Les groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
  22. 22. Délégation d’administration (2) « Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167 8 Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20 for%20Delegating%20Active%20Directory%20Administration%3A%20Append ices Demande un travail important Ne garantit pas la protection contre un attaquant
  23. 23. Recommandations (1) Les postes des DA sont dans une OU dédiée Les comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées Pas d’utilisation d’Internet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  24. 24. Recommandations (2) Compartimentaliser par ensemble de criticité : Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié Les utilisateurs ne doivent pas être administrateurs de leur poste Avancer sur une démarche RBAC (Rôle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
  25. 25. Recommandations (3) Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systèmes, …) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systèmes anciens Compartimentaliser par niveau de criticité dans des OUs : Serveurs critiques (Exchange, …), moins critiques, … Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  26. 26. Monitoring et traçabilité Difficile de repérer une attaque DHA, mais possible Les comptes privilégiés d’AD sont un moyen pour atteindre les données sensibles Les comptes VIP sont aussi visés car ils ont accès aux données vitales Il faut pouvoir déterminer qui a fait quoi sur quel objet à quel moment Surveillance particulière des comptes ou objets sensibles (qui s’authentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
  27. 27. Administration des DCs Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
  28. 28. Forêt d’administration (1) Pour les grandes entreprises les plus sensibles Créer une nouvelle forêt avec seulement les comptes d’administration Relation d’approbation de forêt unidirectionnelle avec authentification sélective Les administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …) Les comptes DA de la forêt de production ne sont plus utilisés
  29. 29. Forêt d’administration (2) Relation d’approbation Authentification sélective Forêt d’administration
  30. 30. Introduction à ADSA-R
  31. 31. Vue d’ensemble d’ADSA-R Active Directory Service Security Assessment and Remediation : Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion PFE + Itops + MCS Itops + MCS + VOUS Principales activités 1. Découverte de votre environnement Active Directory et évaluation de sa sécurité sous un angle technique et opérationnel 2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité 3. Mise en œuvre du plan de remédiation en fonction de vos priorités
  32. 32. ADSA-R : Périmètre PFE + Itops + MCS Workshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques. Compréhension et analyse des processus organisationnels liés à la gestion de vos Active Directory Analyse, identification des remédiations immédiates et futures Construction d’un plan de remédiation Workshop de restitution : vue technique Workshop de restitution vue « responsable informatique » Itops + MCS + VOUS Mise en œuvre du plan de remédiation (pour les projets retenus)
  33. 33. Managed Service Accounts Nouveau type de compte de domaine (msDS- ManagedServiceAccount) pour remplacer les comptes de service traditionnels : Mot de passe de 240 caractères généré automatiquement Changement de mot de passe automatique (30 jours par défaut) Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attaché à un serveur Nest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas être bloqué, ni utilisé pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell
  34. 34. Récupération après sinistre(DRP) Nécessité de disposer de procédures de reconstruction de la forêt Active Directory : Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id= 16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entreprise Mettre à jour cette procédure si besoin La dérouler au moins une fois par an en pré-production Sites avec réplication différée : Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas supporté comme procédure de récupération d’Active Directory A garder si vous les utilisez, sinon ne pas chercher à le faire
  35. 35. Prévention Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis- à-vis de l’infra AD : Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable métier en plus du responsable informatique
  36. 36. AD-RAP : définition Prestation d’audit d’une forêt : 850 contrôles Réalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France) Actuellement réservé aux clients ayant un contrat de support Microsoft Premier Nécessite de pouvoir accéder à tous les DCs Rapport d’audit Plan de remédiation à mettre en œuvre Outil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
  37. 37. AD-RAP : Le top ten desanomalies
  38. 38. AD-RAP : autres anomalies Lingering objects Réplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou Forwarder Pas de Backup du System State …
  39. 39. Les points à retenir Design Faire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins Sécurité Devient la préoccupation majeure Technique + conduire des opérations Audit de sécurité AD : ADSA-R, … Administration Importance des procédures de DRP Audit technique AD : ADRAP
  40. 40. Mercirdepagne@microsoft.comhttp://blogs.technet.com/rdepagnehttp://www.mstechdays.fr

×