SlideShare une entreprise Scribd logo
Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022
Quel avenir pour Active Directory
DEMAN Thierry
DAKHAMA Mehdi
27 octobre 2022 - PARIS
Identity Days 2022
Mehdi DAKHAMA
Expert AD
Chercheur Cyber Sécurité
Thierry DEMAN
MS MVP depuis 2002
Senior System Architect
• Présentation rapide de l’AD
• Rappel des enjeux de l'Active Directory
• Pourquoi doutons nous de l'AD ?
• Quelques alternatives de l'AD ?
• Azure AD remplacera-til l'AD ?
• Conclusions
Plan de présenation
27 octobre 2022 - PARIS
Identity Days 2022
Présentation rapide de l’AD
Identity Days 2022
27 octobre 2022 - PARIS
Rôle de l'Active Directory
L'Active Directory est service d'annuaire responsable de la gestion d'identité
apparu sur Windows 2000 pour la première fois.
Active directory (Kerberos+LDAP) est basé sur des Contrôleurs de domaine, qui
constituent le cœur de notre infrastructure sous Microsoft (appelé aussi domaine)
Identity Days 2022
27 octobre 2022 - PARIS
Les avantages de l'Active Directory
L'Active Directory permet de gérer l'ensemble du parc informatique dans un
périmètre (domaine). Les objets sont contrôlés à partir de l'annuaire, et des
actions sont automatisés à partir des gestionnaires offerts (GPO ..). Cette gestion
se fait en suivant le principe AAA.
Identity Days 2022
27 octobre 2022 - PARIS
Fonctionnalités de l'Active Directory
L'Active Directory est un gestionnaire d'identité et d'accès (Identity and Access
Management), c'est une incarnation du modèle AAA.
Authentification : Secret (MDP, Login, …)
Autorisation : (ACL, DACL, NTFS …)
Compte : Jetons (TGT)
Identity Days 2022
27 octobre 2022 - PARIS
Rappel des enjeux de
l'Active Directory
Identity Days 2022
27 octobre 2022 - PARIS
Pourquoi Active Directory?
L’administration au premier niveau est assez facile (les Admins faciles à trouver)
L’architecture des Unités d’Organisation permet une délégation facile
L’administration des stratégies permet de gérer des combinaisons infinies et
complexes de situation
Une quantité importante d’applications « prêtes », « compatibles » (Legacy)
La possibilité de « scripter » et de vérifier différentes situations.
La possibilité de s’adapter à l’implantation de l’entreprise (Sites, Domaines,Forêts)
Les interactions entre entités (Approbation, Fédération, partages et migration)
Intégration de nombreux services : DNS, DHCP, PKI, IIS, FS, IMP, Radius, ADFS, etc
Identity Days 2022
27 octobre 2022 - PARIS
Quand peut on et doit arrêter AD?
Impression de risques trop importants, non gérés sur AD.
AD corrompu, non fiable avec bascule en urgence
Les applications utilisées sont toutes accessibles sur le web
Les outils d’administration sur le cloud deviennent suffisants (Intune-MEM)
Compliance et sécurité bien gérées sur le cloud (Outils matures)
Possibilité de remplacer TOUS les services (qui étaient fournis par AD)
Sous-titre
Identity Days 2022
27 octobre 2022 - PARIS
Pourquoi doutons nous de l’AD
Identity Days 2022
27 octobre 2022 - PARIS
Le problème
Active Directory est de plus en plus pris pour cible d'attaque, non pour sa
vulnérabilité ou sa faiblesse (OS ou rôles), mais plutôt pour l’intérêt qu'ils
représentent (gestionnaires d'accès, coffre-fort), prendre la main sur un AD
ouvrira des portes.
Identity Days 2022
27 octobre 2022 - PARIS
Les inquiétudes
La sécurité d'Active Directory n'est pas si simple à atteindre. L'embarras du choix:
- Faut-il un Budget ?
- Quelle solution/protection (AI, EDR) ?
- Quelles charges (nouveaux recrutements, former les salariés)??
Rappel : un AD en mode suivant suivant n'est pas un AD mais plutôt une passoire
27 octobre 2022 - PARIS
Et si j'abandonne
L'AD
Configuration « trop » simple
Historiquement les administrateurs configuraient AD à leur guise.
- On cherchait la simplicité et la rapidité en détriment de la sécurité et des bonnes
pratiques.
Ex : Désactiver le pare-feu, mettre tout le monde Admin du domaine, les clusters
Dans l'opérateur de compte …
Identity Days 2022
27 octobre 2022 - PARIS
Les faiblesses d’AD
Pas assez sécurisé par défaut, pas d’outils « in the box », pas de MFA.
Souvent mal géré, mauvaises pratiques des admins et utilisateurs
 Mise à jour des failles « tardives », patchs pas ou mal gérés
Beaucoup de composants externes (Pilotes, Applications, Matériels)
Cible privilégiée, il est fortement attaqué.
Pas d’outil de compliance par défaut
Pas de centralisation native des événements/risques/alertes
Souvent très ouvert sur l’extérieur (ADFS, VPN, …): Effet Covid/Travail à distance
 Nouvelles conditions d’utilisation d’AD
Identity Days 2022
27 octobre 2022 - PARIS
Les faits
Le problème d’origine est souvent « humain » : Phishing, Laxisme
Certains comptes ont trop de privilèges, pas assez de segmentation
La détection des intrusions est souvent tardive, voire trop tard.
Il faut investir dans des outils d’analyse, de surveillance, sécurisation, compliance
Certains de ces problèmes sont communs à toutes les solutions !
Sous-titre
Identity Days 2022
27 octobre 2022 - PARIS
Quelques alternatives de l'AD ?
Identity Days 2022
27 octobre 2022 - PARIS
Quelques alternatives
De nombreuses alternatives existent pour la gestion d'accès.
Une analyse du besoin est primordiale (parc informatique OS, compatibilité,
applications, taille, budget).
DIRaaS, IDaaS: Annuaire et identité en tant que services, disponibles sur le web.
Quel(s) gestionnaire(s) d'identité (parfois/souvent combinés):
- Azure AD,
- JumpCloud
- Okta
- OneLogin
- PingIdentity
- OpenLDAP
Identity Days 2022
27 octobre 2022 - PARIS
Open LDAP + Samba
La solution Miracle à 0€ et plein de soucis. OpenLdap a été conçu à la base
comme alternative à l'AD dans l'environnement Linux. Quelques uns l'associent à
Samba pour gérer des parcs de milliers de machines (généralement les
universités).
Cette solution gratuite mais plus couteuse pour la gestion n'est pas recommandée
ni adaptée au monde professionnel.
Limites :
- Difficile à configurer pour les débutants
- Pas de compatibilité avec des extensions Cloud
- Pas de GPO sans Samba (versions anciennes, pas de hardening/baseline, admx
pas toujours compatibles et beaucoup moins complet)
- Niveau de forêt et fonctionnalité en décalage (exp Silos, PAM, identité etc…)
Identity Days 2022
27 octobre 2022 - PARIS
27 octobre 2022 - PARIS
JumpCloud
Un concurrent « sérieux » à l'AD basé sur le SaaS, facile à gérer, sécurisé et pas
encombrant au niveau des patches et de maintenance, il authentifie et
connecte l'ensemble des utilisateurs aux systèmes, fichiers et applications.
Avantages :
- Prend en charge du MFA
- Compatible avec les versions Windows les plus récentes
- Prend en charge plusieurs protocole d'authentification
- Prend en charge LDAP, SAML
- Multi plateformes, gestion centralisée des objets.
- Compatible avec des applications Cloud telles que :
(AWS, Azure, O365, Gsuite, Saleforce,…)
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
Exemple de gestion de périphériques
Azure Active Directory Domain Service
Une autre belle alternative prométeuse
permettant de remplacer en quelque sorte
Notre AD.
Avantages :
- Permet d’installer des applications
nécessitant un domaine
- Permet des requêtes LDAP (sécurisée)
- On retrouve Kerberos (natif)
- Permet de gérer serveurs et stations
intégrées à Azure.
AADS n'a pas pu s'imposer ou pas encore
rencontré son public.
Identity Days 2022
27 octobre 2022 - PARIS
Identity Days 2022
27 octobre 2022 - PARIS
On retrouve de l’Admin classique
Identity Days 2022
27 octobre 2022 - PARIS
Non disponible Standard Entreprise Premium
AAD DS Core Service
Charge d’authentification
suggérée (pic, par heure)
1
De 0 à 3,000 De 3 000 à 10 000 De 10 000 à 70 000
Nombre d’objets suggéré
2
De 0 à 25,000 De 25 000 à 100 000 De 100 000 à 500 000
Fréquence de sauvegarde Tous les 5 jours Tous les 3 jours Quotidiennement
3
Approbations de forêt de
ressources
S.O. 5 10
Instances
Forêt utilisateur
4
113,71 €/mois/jeu 303,21 €/mois/jeu 1 212,82 €/mois/jeu
Forêt de ressources
4
S.O. 303,21 €/mois 1 212,82 €/mois
Tarification abordable
Azure AD remplacera-til l'AD ?
Identity Days 2022
27 octobre 2022 - PARIS
Azure Active Directory (Annuaire)
Azure Active Directory est un service qui permet de gérer l'identité de l'utilisateur final à
travers une synchronisation avec une source internet (AD), AAD permet de gérer l'accès aux
applications Azure Cloud en appliquant IAM
Avantages d'Azure AD
- Utilisation du SSO pour une authentification unique à plusieurs services SaaS
- MFA, gestion de groupes et utilisateurs
- Rapport de sécurité et suivi d'utilisation
- Protocoles pris en charges SAML 2,0, OAuth 2,0
- Hashage de MDP pas besoin d'ADFS
Limites Azure AD
- Nécessite une source d'authentification AD interne
- Ne supporte pas NTLM, Kerberos, LDAP
- Ne gère pas les objets directement, pas d'OU
Identity Days 2022
27 octobre 2022 - PARIS
MEM/Intune + 365 (Gestion des devices, …)
Intune associé à Microsoft 365 offre une indépendance partielle à l'AD, on retrouve les
avantages de l'Azure Active Directory, et la gestion des machines à distance (Stratégies,
Autopilot, patching, inventaire …)
Limites :
Le service télémétrie doit synchroniser régulièrement avec le cloud pour récupérer les
informations,
Il est difficile de gérer d'autres objets comme
les imprimantes, partages local (dfs …)
Identity Days 2022
27 octobre 2022 - PARIS
Exemple de possibilité d’administration dans Intune
Convertir les GPOs en Packages
(Group Policy analytics (preview))
 Ceci a des limites
Importation des fichiers ADMX
(et ADML correspondant)
Identity Days 2022
27 octobre 2022 - PARIS
Préparer l’identité du futur
Identity Days 2022
27 octobre 2022 - PARIS
Quelle architecture pour l’identité?
Le mode AD uniquement est de plus plus rare
Le mode AD + ADFS a été la première étape
Le mode AD Hébergé/centralisé sur Azure (VMs)
Le mode Hybride (AD + synchronisation vers un Cloud ou fédération)
Le mode « Cloud » + Azure Domain Services (Pour palier certains manques)
Le mode « Cloud only » encore assez rare (Azure AD ou autres)
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS
Axe
d’évolu
tion
Plusieurs choix d’administration
Gestionnaire d’identité (où placer les identités? Source principale?)
=> 1 ou plusieurs annuaires?
Gestionnaire d’Authentification (Où placer la ou les authentifications?)
=> Plusieurs facteurs/modes
Gestionnaire d’administration (Où placer la ou les administrations?)
 Admins, supports, niveau de connaissances des produits
 Qualité des Outils disponibles et automatisation
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS
Dans tous les cas, il faut améliorer et Protéger AD
Mettre en place des nouvelles pratiques d’administration
Utiliser et installer des outils de sécurisation et d’Audit:
TENABLE-AD,
Ping-Castle, PurpleKnight, Harden-AD (Voir session de Loic)
Ceci est une quasi-obligation pour les 5 à 10 ans à venir.
Pour donner une idée, il y a 7 millions d’Ads sont déjà (synchronisés) dans le cloud.
550 Millions de comptes s’authentifient tous les jours sur les 22 Datacenters.
(Données 2016)
(Et c’est géré par un AD! ☺ )
Identity Days 2022
27 octobre 2022 - PARIS
Conclusions
Identity Days 2022
27 octobre 2022 - PARIS
Conclusions
AD « on premises » (en mode hybride) va probablement rester le mode dominant
sur 5 à 15 ans. (Equivalent de la migration Exchange 2010 vers Exchange OnLine)
La bascule vers le mode « Cloud only » sera progressive, sauf s’il y a des attaques
majeures sur les AD locaux. (Replis sur Azure AD en mode PHS)
Les autres architectures vont répondre à des situations particulières
(centralisation, vieille application non migrée en mode SAML).
La bascule vers le cloud va dépendre de la vitesse d’adaptation des applications,
des équipes IT et des outils d’administration.
Sachant que le retour en arrière est difficile, les choix radicaux sont à éviter
Différentes architectures/modes
Identity Days 2022
27 octobre 2022 - PARIS
Questions/Débats
Identity Days 2022
27 octobre 2022 - PARIS
Merci à tous nos partenaires !
27 octobre 2022 - PARIS
@IdentityDays #identitydays2022

Contenu connexe

Tendances

Tendances (20)

SSO introduction
SSO introductionSSO introduction
SSO introduction
 
Identity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. MookheyIdentity & Access Management by K. K. Mookhey
Identity & Access Management by K. K. Mookhey
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
La gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiersLa gouvernance IAM au service des stratégies métiers
La gouvernance IAM au service des stratégies métiers
 
Azure AD Presentation - @ BITPro - Ajay
Azure AD Presentation - @ BITPro - AjayAzure AD Presentation - @ BITPro - Ajay
Azure AD Presentation - @ BITPro - Ajay
 
OneIdentity - A Future-Ready Approach to IAM
OneIdentity - A Future-Ready Approach to IAMOneIdentity - A Future-Ready Approach to IAM
OneIdentity - A Future-Ready Approach to IAM
 
Azure role based access control (rbac)
Azure role based access control (rbac)Azure role based access control (rbac)
Azure role based access control (rbac)
 
Best Practices for implementing Database Security Comprehensive Database Secu...
Best Practices for implementing Database Security Comprehensive Database Secu...Best Practices for implementing Database Security Comprehensive Database Secu...
Best Practices for implementing Database Security Comprehensive Database Secu...
 
Identity and Access Management 101
Identity and Access Management 101Identity and Access Management 101
Identity and Access Management 101
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Developing High-Impact Malware with Minimal Effort.pptx
Developing High-Impact Malware with Minimal Effort.pptxDeveloping High-Impact Malware with Minimal Effort.pptx
Developing High-Impact Malware with Minimal Effort.pptx
 
MySQL Security
MySQL SecurityMySQL Security
MySQL Security
 
Oracle Data Masking
Oracle Data MaskingOracle Data Masking
Oracle Data Masking
 
IAM Methods 2.0 Presentation Michael Nielsen Deloitte
IAM Methods 2.0 Presentation Michael Nielsen DeloitteIAM Methods 2.0 Presentation Michael Nielsen Deloitte
IAM Methods 2.0 Presentation Michael Nielsen Deloitte
 
Oracle Key Vault Data Subsetting and Masking
Oracle Key Vault Data Subsetting and MaskingOracle Key Vault Data Subsetting and Masking
Oracle Key Vault Data Subsetting and Masking
 
Confidential Computing in Azure - SlideShare Ed Dec 2022.pptx
Confidential Computing in Azure - SlideShare Ed Dec 2022.pptxConfidential Computing in Azure - SlideShare Ed Dec 2022.pptx
Confidential Computing in Azure - SlideShare Ed Dec 2022.pptx
 
Carlos García - Pentesting Active Directory Forests [rooted2019]
Carlos García - Pentesting Active Directory Forests [rooted2019]Carlos García - Pentesting Active Directory Forests [rooted2019]
Carlos García - Pentesting Active Directory Forests [rooted2019]
 
IBM Security Identity & Access Manager
IBM Security Identity & Access ManagerIBM Security Identity & Access Manager
IBM Security Identity & Access Manager
 
SailPoint - IdentityNow Identity Governance
SailPoint - IdentityNow Identity GovernanceSailPoint - IdentityNow Identity Governance
SailPoint - IdentityNow Identity Governance
 
Azure active directory
Azure active directoryAzure active directory
Azure active directory
 

Similaire à Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?

Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Microsoft
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm
 

Similaire à Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ? (20)

Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
Gouvernance et sécurisation de vos ressources cloud avec Azure Active Directo...
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Comment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active DirectoryComment intégrer une application dans Azure Active Directory
Comment intégrer une application dans Azure Active Directory
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD
 
Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD Le point sur la synchronisation de AD et Azure AD
Le point sur la synchronisation de AD et Azure AD
 
MUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisonsMUG Strasbourg - Azure Active Directory et ses déclinaisons
MUG Strasbourg - Azure Active Directory et ses déclinaisons
 
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
Identity Days 2020 - Les 5 étapes urgentes que chaque CISO doit mettre en œuv...
 
CLOUD AZURE MS avec PROJECT SI Avis d'expert
CLOUD AZURE MS avec PROJECT SI Avis d'expertCLOUD AZURE MS avec PROJECT SI Avis d'expert
CLOUD AZURE MS avec PROJECT SI Avis d'expert
 
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure ADIdentity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
Identity as a Service (IDaaS), un service prêt à l’usage avec Windows Azure AD
 
Azure Active Directory : on fait le point
Azure Active Directory : on fait le pointAzure Active Directory : on fait le point
Azure Active Directory : on fait le point
 
Donnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec AzureDonnez de l'agilité à votre système d'information avec Azure
Donnez de l'agilité à votre système d'information avec Azure
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Exadays cloud – Enjeux et Transformation du SI
Exadays   cloud – Enjeux et Transformation du SIExadays   cloud – Enjeux et Transformation du SI
Exadays cloud – Enjeux et Transformation du SI
 
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
Alphorm.com Formation Microsoft Azure : Azure Active Directory 2021
 
Adira matinale cloud-grenoble-24-mai-2018
Adira matinale cloud-grenoble-24-mai-2018Adira matinale cloud-grenoble-24-mai-2018
Adira matinale cloud-grenoble-24-mai-2018
 
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : AdministrationAlphorm.com Formation Microsoft Azure (AZ-104) : Administration
Alphorm.com Formation Microsoft Azure (AZ-104) : Administration
 
Présentation evénement AWS - 13 oct 2015
Présentation evénement AWS  - 13 oct 2015 Présentation evénement AWS  - 13 oct 2015
Présentation evénement AWS - 13 oct 2015
 
Retour d'expérience - Simplicité Software - 3 février 2016
Retour d'expérience - Simplicité Software - 3 février 2016Retour d'expérience - Simplicité Software - 3 février 2016
Retour d'expérience - Simplicité Software - 3 février 2016
 
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
Identity Days 2020 - One Identity - L’IGA pour le Cloud, dans le Cloud et dep...
 

Plus de Identity Days

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active Directory
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger !
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 

Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?

  • 1. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. Quel avenir pour Active Directory DEMAN Thierry DAKHAMA Mehdi 27 octobre 2022 - PARIS Identity Days 2022
  • 3. Mehdi DAKHAMA Expert AD Chercheur Cyber Sécurité Thierry DEMAN MS MVP depuis 2002 Senior System Architect • Présentation rapide de l’AD • Rappel des enjeux de l'Active Directory • Pourquoi doutons nous de l'AD ? • Quelques alternatives de l'AD ? • Azure AD remplacera-til l'AD ? • Conclusions Plan de présenation 27 octobre 2022 - PARIS Identity Days 2022
  • 4. Présentation rapide de l’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 5. Rôle de l'Active Directory L'Active Directory est service d'annuaire responsable de la gestion d'identité apparu sur Windows 2000 pour la première fois. Active directory (Kerberos+LDAP) est basé sur des Contrôleurs de domaine, qui constituent le cœur de notre infrastructure sous Microsoft (appelé aussi domaine) Identity Days 2022 27 octobre 2022 - PARIS
  • 6. Les avantages de l'Active Directory L'Active Directory permet de gérer l'ensemble du parc informatique dans un périmètre (domaine). Les objets sont contrôlés à partir de l'annuaire, et des actions sont automatisés à partir des gestionnaires offerts (GPO ..). Cette gestion se fait en suivant le principe AAA. Identity Days 2022 27 octobre 2022 - PARIS
  • 7. Fonctionnalités de l'Active Directory L'Active Directory est un gestionnaire d'identité et d'accès (Identity and Access Management), c'est une incarnation du modèle AAA. Authentification : Secret (MDP, Login, …) Autorisation : (ACL, DACL, NTFS …) Compte : Jetons (TGT) Identity Days 2022 27 octobre 2022 - PARIS
  • 8. Rappel des enjeux de l'Active Directory Identity Days 2022 27 octobre 2022 - PARIS
  • 9. Pourquoi Active Directory? L’administration au premier niveau est assez facile (les Admins faciles à trouver) L’architecture des Unités d’Organisation permet une délégation facile L’administration des stratégies permet de gérer des combinaisons infinies et complexes de situation Une quantité importante d’applications « prêtes », « compatibles » (Legacy) La possibilité de « scripter » et de vérifier différentes situations. La possibilité de s’adapter à l’implantation de l’entreprise (Sites, Domaines,Forêts) Les interactions entre entités (Approbation, Fédération, partages et migration) Intégration de nombreux services : DNS, DHCP, PKI, IIS, FS, IMP, Radius, ADFS, etc Identity Days 2022 27 octobre 2022 - PARIS
  • 10. Quand peut on et doit arrêter AD? Impression de risques trop importants, non gérés sur AD. AD corrompu, non fiable avec bascule en urgence Les applications utilisées sont toutes accessibles sur le web Les outils d’administration sur le cloud deviennent suffisants (Intune-MEM) Compliance et sécurité bien gérées sur le cloud (Outils matures) Possibilité de remplacer TOUS les services (qui étaient fournis par AD) Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
  • 11. Pourquoi doutons nous de l’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 12. Le problème Active Directory est de plus en plus pris pour cible d'attaque, non pour sa vulnérabilité ou sa faiblesse (OS ou rôles), mais plutôt pour l’intérêt qu'ils représentent (gestionnaires d'accès, coffre-fort), prendre la main sur un AD ouvrira des portes. Identity Days 2022 27 octobre 2022 - PARIS
  • 13. Les inquiétudes La sécurité d'Active Directory n'est pas si simple à atteindre. L'embarras du choix: - Faut-il un Budget ? - Quelle solution/protection (AI, EDR) ? - Quelles charges (nouveaux recrutements, former les salariés)?? Rappel : un AD en mode suivant suivant n'est pas un AD mais plutôt une passoire 27 octobre 2022 - PARIS Et si j'abandonne L'AD
  • 14. Configuration « trop » simple Historiquement les administrateurs configuraient AD à leur guise. - On cherchait la simplicité et la rapidité en détriment de la sécurité et des bonnes pratiques. Ex : Désactiver le pare-feu, mettre tout le monde Admin du domaine, les clusters Dans l'opérateur de compte … Identity Days 2022 27 octobre 2022 - PARIS
  • 15. Les faiblesses d’AD Pas assez sécurisé par défaut, pas d’outils « in the box », pas de MFA. Souvent mal géré, mauvaises pratiques des admins et utilisateurs  Mise à jour des failles « tardives », patchs pas ou mal gérés Beaucoup de composants externes (Pilotes, Applications, Matériels) Cible privilégiée, il est fortement attaqué. Pas d’outil de compliance par défaut Pas de centralisation native des événements/risques/alertes Souvent très ouvert sur l’extérieur (ADFS, VPN, …): Effet Covid/Travail à distance  Nouvelles conditions d’utilisation d’AD Identity Days 2022 27 octobre 2022 - PARIS
  • 16. Les faits Le problème d’origine est souvent « humain » : Phishing, Laxisme Certains comptes ont trop de privilèges, pas assez de segmentation La détection des intrusions est souvent tardive, voire trop tard. Il faut investir dans des outils d’analyse, de surveillance, sécurisation, compliance Certains de ces problèmes sont communs à toutes les solutions ! Sous-titre Identity Days 2022 27 octobre 2022 - PARIS
  • 17. Quelques alternatives de l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
  • 18. Quelques alternatives De nombreuses alternatives existent pour la gestion d'accès. Une analyse du besoin est primordiale (parc informatique OS, compatibilité, applications, taille, budget). DIRaaS, IDaaS: Annuaire et identité en tant que services, disponibles sur le web. Quel(s) gestionnaire(s) d'identité (parfois/souvent combinés): - Azure AD, - JumpCloud - Okta - OneLogin - PingIdentity - OpenLDAP Identity Days 2022 27 octobre 2022 - PARIS
  • 19. Open LDAP + Samba La solution Miracle à 0€ et plein de soucis. OpenLdap a été conçu à la base comme alternative à l'AD dans l'environnement Linux. Quelques uns l'associent à Samba pour gérer des parcs de milliers de machines (généralement les universités). Cette solution gratuite mais plus couteuse pour la gestion n'est pas recommandée ni adaptée au monde professionnel. Limites : - Difficile à configurer pour les débutants - Pas de compatibilité avec des extensions Cloud - Pas de GPO sans Samba (versions anciennes, pas de hardening/baseline, admx pas toujours compatibles et beaucoup moins complet) - Niveau de forêt et fonctionnalité en décalage (exp Silos, PAM, identité etc…) Identity Days 2022 27 octobre 2022 - PARIS 27 octobre 2022 - PARIS
  • 20. JumpCloud Un concurrent « sérieux » à l'AD basé sur le SaaS, facile à gérer, sécurisé et pas encombrant au niveau des patches et de maintenance, il authentifie et connecte l'ensemble des utilisateurs aux systèmes, fichiers et applications. Avantages : - Prend en charge du MFA - Compatible avec les versions Windows les plus récentes - Prend en charge plusieurs protocole d'authentification - Prend en charge LDAP, SAML - Multi plateformes, gestion centralisée des objets. - Compatible avec des applications Cloud telles que : (AWS, Azure, O365, Gsuite, Saleforce,…) Identity Days 2022 27 octobre 2022 - PARIS
  • 21. Identity Days 2022 27 octobre 2022 - PARIS Exemple de gestion de périphériques
  • 22. Azure Active Directory Domain Service Une autre belle alternative prométeuse permettant de remplacer en quelque sorte Notre AD. Avantages : - Permet d’installer des applications nécessitant un domaine - Permet des requêtes LDAP (sécurisée) - On retrouve Kerberos (natif) - Permet de gérer serveurs et stations intégrées à Azure. AADS n'a pas pu s'imposer ou pas encore rencontré son public. Identity Days 2022 27 octobre 2022 - PARIS
  • 23. Identity Days 2022 27 octobre 2022 - PARIS On retrouve de l’Admin classique
  • 24. Identity Days 2022 27 octobre 2022 - PARIS Non disponible Standard Entreprise Premium AAD DS Core Service Charge d’authentification suggérée (pic, par heure) 1 De 0 à 3,000 De 3 000 à 10 000 De 10 000 à 70 000 Nombre d’objets suggéré 2 De 0 à 25,000 De 25 000 à 100 000 De 100 000 à 500 000 Fréquence de sauvegarde Tous les 5 jours Tous les 3 jours Quotidiennement 3 Approbations de forêt de ressources S.O. 5 10 Instances Forêt utilisateur 4 113,71 €/mois/jeu 303,21 €/mois/jeu 1 212,82 €/mois/jeu Forêt de ressources 4 S.O. 303,21 €/mois 1 212,82 €/mois Tarification abordable
  • 25. Azure AD remplacera-til l'AD ? Identity Days 2022 27 octobre 2022 - PARIS
  • 26. Azure Active Directory (Annuaire) Azure Active Directory est un service qui permet de gérer l'identité de l'utilisateur final à travers une synchronisation avec une source internet (AD), AAD permet de gérer l'accès aux applications Azure Cloud en appliquant IAM Avantages d'Azure AD - Utilisation du SSO pour une authentification unique à plusieurs services SaaS - MFA, gestion de groupes et utilisateurs - Rapport de sécurité et suivi d'utilisation - Protocoles pris en charges SAML 2,0, OAuth 2,0 - Hashage de MDP pas besoin d'ADFS Limites Azure AD - Nécessite une source d'authentification AD interne - Ne supporte pas NTLM, Kerberos, LDAP - Ne gère pas les objets directement, pas d'OU Identity Days 2022 27 octobre 2022 - PARIS
  • 27. MEM/Intune + 365 (Gestion des devices, …) Intune associé à Microsoft 365 offre une indépendance partielle à l'AD, on retrouve les avantages de l'Azure Active Directory, et la gestion des machines à distance (Stratégies, Autopilot, patching, inventaire …) Limites : Le service télémétrie doit synchroniser régulièrement avec le cloud pour récupérer les informations, Il est difficile de gérer d'autres objets comme les imprimantes, partages local (dfs …) Identity Days 2022 27 octobre 2022 - PARIS
  • 28. Exemple de possibilité d’administration dans Intune Convertir les GPOs en Packages (Group Policy analytics (preview))  Ceci a des limites Importation des fichiers ADMX (et ADML correspondant) Identity Days 2022 27 octobre 2022 - PARIS
  • 29. Préparer l’identité du futur Identity Days 2022 27 octobre 2022 - PARIS
  • 30. Quelle architecture pour l’identité? Le mode AD uniquement est de plus plus rare Le mode AD + ADFS a été la première étape Le mode AD Hébergé/centralisé sur Azure (VMs) Le mode Hybride (AD + synchronisation vers un Cloud ou fédération) Le mode « Cloud » + Azure Domain Services (Pour palier certains manques) Le mode « Cloud only » encore assez rare (Azure AD ou autres) Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS Axe d’évolu tion
  • 31. Plusieurs choix d’administration Gestionnaire d’identité (où placer les identités? Source principale?) => 1 ou plusieurs annuaires? Gestionnaire d’Authentification (Où placer la ou les authentifications?) => Plusieurs facteurs/modes Gestionnaire d’administration (Où placer la ou les administrations?)  Admins, supports, niveau de connaissances des produits  Qualité des Outils disponibles et automatisation Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
  • 32. Dans tous les cas, il faut améliorer et Protéger AD Mettre en place des nouvelles pratiques d’administration Utiliser et installer des outils de sécurisation et d’Audit: TENABLE-AD, Ping-Castle, PurpleKnight, Harden-AD (Voir session de Loic) Ceci est une quasi-obligation pour les 5 à 10 ans à venir. Pour donner une idée, il y a 7 millions d’Ads sont déjà (synchronisés) dans le cloud. 550 Millions de comptes s’authentifient tous les jours sur les 22 Datacenters. (Données 2016) (Et c’est géré par un AD! ☺ ) Identity Days 2022 27 octobre 2022 - PARIS
  • 33. Conclusions Identity Days 2022 27 octobre 2022 - PARIS
  • 34. Conclusions AD « on premises » (en mode hybride) va probablement rester le mode dominant sur 5 à 15 ans. (Equivalent de la migration Exchange 2010 vers Exchange OnLine) La bascule vers le mode « Cloud only » sera progressive, sauf s’il y a des attaques majeures sur les AD locaux. (Replis sur Azure AD en mode PHS) Les autres architectures vont répondre à des situations particulières (centralisation, vieille application non migrée en mode SAML). La bascule vers le cloud va dépendre de la vitesse d’adaptation des applications, des équipes IT et des outils d’administration. Sachant que le retour en arrière est difficile, les choix radicaux sont à éviter Différentes architectures/modes Identity Days 2022 27 octobre 2022 - PARIS
  • 36. Merci à tous nos partenaires ! 27 octobre 2022 - PARIS @IdentityDays #identitydays2022