SlideShare une entreprise Scribd logo
palais des
congrès
Paris




7, 8 et 9
février 2012
Active Directory en 2012 :
les meilleures pratiques en
design, sécurité et
administration
  7 février 2012
  Renaud Depagne
 Microsoft Consulting Services
Introduction
Historique d’Active Directory
Active Directory : à quoi ça sert
?
  Rôle d’Active Directory
     Lieu central de stockage d’information d’identité et
     d’authentification
     Apporte l’authentification unique (SSO) aux utilisateurs
     dans le monde Microsoft
     Gère l’accès aux ressources (groupes de sécurité)
     Permet la gestion centralisée (GPO) des paramètres de
     configuration et de sécurité des utilisateurs et postes
     Supporte des applications basées sur l’annuaire
     (Exchange, …)
  Avantages
     A trouvé sa place comme annuaire technique (ne remplace
     pas un annuaire Ldap type annuaire du personnel)
     Pérenne : 99%+ des entreprises ont AD
     Robuste
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
(Re)structurer AD : le business
  Culture centralisée ou non du pays où se trouve la
  direction générale du groupe
  Aspect politique : exemple, participation d’un Etat
  dans le capital de telle entité appartenant au
  groupe
  Secteur d’activité : niveau de croissance externe
  passée et prévisible
  Stratégie business : différences de besoin de
  changement entre les différents métiers d’un grand
  groupe
  Stratégie financière : chaque branche a sa propre
  forêt pour s’en séparer plus facilement
(Re)structurer AD : la sécurité
(1)
   La frontière de sécurité est la forêt
      La forêt est la véritable frontière de sécurité, donc il
      faut autant de forêts que d’ensembles de confiance :
         plusieurs équipes d’administration
         Contraintes légales ou réglementaires
      Les pratiques de sécurité doivent être au même niveau
      (le plus élevé) dans les différents domaines d’une
      même forêt
      Plus le périmètre couvert par une seule forêt est
      important, plus la sécurité devient cruciale : par
      exemple, le temps de remise en route de la forêt en
      cas d’accident est crucial
   Forêt dédiée pour les administrateurs pour les grandes
   entreprises particulièrement sensibles
(Re)structurer AD : la sécurité
(2)
   Il peut exister des contraintes fortes de protection
   de données (volonté, lois, …)
   L’administrateur d’un domaine peut se rendre
   administrateur de l’entreprise et avoir accès aux
   données de serveurs membres d’autres
   domaines
   Solutions :
      Encrypter les données avec un mécanisme
      indépendant d’AD
      Isoler les serveurs sensibles et les postes par IPSec
      Utiliser RMS (Rights Management Services) pour
      l’accès aux documents (messages, …)
      Mettre les serveurs dans une forêt séparée
(Re)structurer AD : les coûts
  Forêt
    Le moins de forêts possibles (une à trois par exemple)
    Forêt de ressources (ex.: Exchange) / forêt de
    comptes
  Domaines
    Plus besoin de domaines pour avoir des stratégies de
    mot de passe différenciées depuis Windows Server
    2008
    Le domaine a un impact sur le DNS
    Déplacer des utilisateurs est nettement plus simple
    avec des OUs
  Consolidation des DCs
    Coûts (matériel, logiciel, opérations)
Nom de domaine
 Recommandation de prendre un sous-domaine du
 nom enregistré sur Internet (ex.:
 interne.contoso.com) :
   Garantit l’unicité de nom en cas de fusion avec une autre
   société pour la mise en place de relation d’approbation
   Nom FQDN unique sur Internet : facilite la mise en place
   de Direct Access
   Pour acquérir un certificat auprès d’un tiers, il faut être
   propriétaire du nom de domaine
 Ne pas utiliser de nom avec un seul label (ex.:
 contoso)
   Avec Windows Server 2008 : avertissement à la création
   Windows Server 2008 R2 refuse dcpromo avec un seul
   label
   Problèmes possibles avec des applications
AD et les mouvements
d’entreprise
  Acquisition d’une société ou consolidation
  d’activité :
     Les actifs entrant dans le cœur de métier rejoignent la
     forêt principale
     Les actifs non-stratégiques peuvent rester dans leur
     propre forêt


  Vente d’une entité ou externalisation d’activité
     Si forêt dédiée, il suffit de couper les trusts
     Sinon, suivant le contrat, migration nécessaire ou bien
     export des données de l’AD
     Ne pas cloner les DCs (les SIDs doivent rester
     uniques)
Autres points à considérer
  Les limites d’Active Directory :
     Peu de limites à considérer car elle sont très élevées :
     http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-
     scalability(WS.10).aspx
     Néanmoins :
          Le nom FQDN ne doit pas dépasser 64 caractères
          …
  Forêts hors-production
     Test, validation, pré-production
     Gestion de ces environnements
     Construction :
        Ne pas cloner
        Exporter : CreateXMLFromEnvironment.wsf et
        CreateEnvironmentFromXML.wsf
          http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453
          6
          Recréer
RODC

 pour les sites non-sécurisés : agences, …
 Pas de réplication depuis un RODC
 Seuls des mots de passe de comptes (machines et
 utilisateurs) identifiés/autorisés sont stockés sur
 RODC
 Ajout d’autres rôles possibles
 L’administrateur du RODC n’est pas Domain
 Admin
 Option : BitLocker pour encrypter les données
 (logique puisque le RODC est dans un endroit non
 sécurisé)
DC sur Windows Server Core
  Avantages :
     Réduit la surface d’attaque
     Demande moins d’espace disque lors de l’installation
     Surtout : moins de patches à appliquer (environ 50%) et
     moins de reboots
     Idéal pour pour DC + DNS
  Inconvénient :
     Plus complexe à l’installation (les administrateurs Windows
     ne sont pas habitués) mais :
        Bien documenté
        PowerShell
        http://coreconfig.codeplex.com
  Exemple de scénario : RODC + BitLocker + Core
     La réduction du nombre de reboots dûs à des correctifs
     face à la nécessité d’entrer le code BitLocker
Réduction du nombre des DCs

  Permise surtout par l’évolution des réseaux
  Reste des cas justifiant des DCs distants
  (certains pays)
  Pourquoi réduire le nombre de DCs :
    Réduction des coûts
    Agilité de l’entreprise
    Facilité à reconstruire la forêt en cas de nécessité
Virtualisation

  Les DCs peuvent être virtualisés, mais c’est
  souvent le rôle auquel on pense en dernier, sauf
  pour les DCs d’agences
  Documentation technique sur
  http://support.microsoft.com/kb/888794

  Points de vigilance :
     Les snapshots sont absolument interdits : utiliser
     les pass-through disks
     Bien distinguer les rôles de l’administrateur des
     serveurs virtuels par rapport aux administrateurs
     AD
     Garder un DC physique
IP V6 (1)
  Ne concerne pas que les DCs
  Règle Common Engineering Criteria : IP V6
  activé
  Les produits Microsoft ne sont pas testés avec IP
  V6 désactivé
  Désactiver IP V6 reste supporté mais déconseillé
  Recommandation : laisser IP V6, mais prioriser IP
  V4
  Configuration (rebooter) :
  http://support.microsoft.com/kb/929852/en-us
   HKLMSystemCurrentControlSetServicesTcpip6Param
   eters
IP V6 (2)
  Quelques effets de la désactivation d’IPV6 sur AD
  :
     Erreur lors du DCPROMO (problème RPC, erreur de
     connexion, échec de réplication initialE d’une base
     NTDS.DIT de taille importante)
     Erreur sur des requêtes LDAP via UDP (ex utilisation
     de portquery
     http://support.microsoft.com/default.aspx?scid=kb;EN-
     US;816103
     Problème de réplications dans une forêt contenant un
     mix de DC 2003 et 2008
     Dans certain cas de figure, la désactivation de IPV6
     fait que le DC n’écoute plus en IPV4 sur le port 389
     (ldap)
Sécurité
Pourquoi il est vital de
sécuriser AD
  2010-2011: attaques ciblées sur les entreprises
  exerçant dans des domaines sensibles
  Attaques de type DHA (Determined Human
  Adversaries) encore appelées APT (Advanced
  Persistent Threats)
  Impact important pour les entreprises affectées
  Sécuriser Active Directory devient crucial pour les
  entreprises
  La sécurisation pour être efficace, doit intégrer les
  meilleures pratiques en administration
Délégation d’administration (1)
  Organiser la délégation d’administration selon les
  principes de moindre privilège
  Séparer les comptes d’administration du service AD
  et ceux du contenu d’AD
  L’importance des privilèges doit être inversement
  proportionnelle au périmètre d’intervention
  Réduire les comptes privilégiés au strict minimum
  Les groupes privilégiés sont tous critiques (pas
  seulement Enterprise Admins et Domain Admins)
   Les comptes privilégiés sont nominatifs et différents
  des comptes utilisés pour le travail standard (chaque
  compte devant être rigoureusement utilisé pour son
  rôle)
Délégation d’administration (2)

  « Best Practices for Delegating Active
  Directory Administration » est toujours la
  référence (date de 2003)
  http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167
  8

  Et appendices :
  http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20
  for%20Delegating%20Active%20Directory%20Administration%3A%20Append
  ices

  Demande un travail important
  Ne garantit pas la protection contre un attaquant
Recommandations (1)

  Les postes des DA sont dans une OU dédiée
  Les comptes Domain Admins ne doivent pas
  s’authentifier sur les serveurs et postes
  standards, mais seulement sur quelques
  machines dédiées
    Pas d’utilisation d’Internet sur ces machines
    GPO pour interdire le logon aux DA sur les machines
    autres que celles qui leur sont dédiées
  Mots de passe différents pour chaque compte
  administrateur local de serveur ou poste
Recommandations (2)

  Compartimentaliser par ensemble de criticité :
     Isoler les serveurs membres critiques (Exchange, …)
     dans une OU avec des comptes administrateurs dédié
  Les utilisateurs ne doivent pas être
  administrateurs de leur poste
  Avancer sur une démarche RBAC (Rôle Based
  Access Control)
  Gestion du cycle de vie des
  comptes, Provisioning/Deprovisioning : FIM
  (Forefront Identity Manager)
  Rendre faciles les bonnes pratiques et difficiles
  les mauvaises
Recommandations (3)
  Patcher les DCs et tous les serveurs et postes le plus tôt
  possible (se protéger contre les exploits zero-day)
  Patcher hors Microsoft (applications, autres systèmes, …)
  :
     Aberdeen: Microsoft-only vulnerability management
     initiatives cover only 10-20% of enterprise risk
     Gartner: Over 90% of attacks exploit known security
     vulnerabilities for which fixes are available
  Eliminer les systèmes anciens
  Compartimentaliser par niveau de criticité dans des OUs :
     Serveurs critiques (Exchange, …), moins critiques, …
  Mots de passe différents pour chaque compte
  administrateur local de serveur ou poste
Monitoring et traçabilité

  Difficile de repérer une attaque DHA, mais possible
  Les comptes privilégiés d’AD sont un moyen pour
  atteindre les données sensibles
  Les comptes VIP sont aussi visés car ils ont accès
  aux données vitales
  Il faut pouvoir déterminer qui a fait quoi sur quel
  objet à quel moment
  Surveillance particulière des comptes ou objets
  sensibles (qui s’authentifie)
  Il faut monitorer les DCs, mais aussi les serveurs
  et les postes (notamment l’authentification)
Administration des DCs
  Les administrateurs AD depuis leur station
  d’administration passent par un serveur de
  rebond :
Forêt d’administration (1)

  Pour les grandes entreprises les plus sensibles
  Créer une nouvelle forêt avec seulement les
  comptes d’administration
  Relation d’approbation de forêt unidirectionnelle
  avec authentification sélective
  Les administrateurs gèrent de manière autonome
  leur forêt (supervision, gestion des correctifs, …)
  Les comptes DA de la forêt de production ne sont
  plus utilisés
Forêt d’administration (2)
           Relation d’approbation
          Authentification sélective




                                       Forêt d’administration
Introduction à ADSA-R
Vue d’ensemble d’ADSA-R
  Active Directory Service Security Assessment and
  Remediation :
       Processus d’évaluation et de remédiation de la sécurité de votre référentiel
       d’identités Active Directory couvrant aussi bien son infrastructure technique
       que ses opérations de gestion




      PFE + Itops + MCS Itops + MCS + VOUS
 Principales activités
 1.   Découverte de votre environnement Active Directory et évaluation de sa
      sécurité sous un angle technique et opérationnel
 2.   Définition du plan de remédiation au regard des résultats de l’évaluation
      de la sécurité
 3.   Mise en œuvre du plan de remédiation en fonction de vos priorités
ADSA-R : Périmètre
  PFE + Itops + MCS
    Workshops de découverte de l’environnement en
    présence du responsable sécurité et des responsables
    informatiques.
    Compréhension et analyse des processus
    organisationnels liés à la gestion de vos Active Directory
    Analyse, identification des remédiations immédiates et
    futures
    Construction d’un plan de remédiation
    Workshop de restitution : vue technique
    Workshop de restitution vue « responsable informatique
    »
  Itops + MCS + VOUS
    Mise en œuvre du plan de remédiation (pour les projets
    retenus)
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Managed Service Accounts
  Nouveau type de compte de domaine (msDS-
  ManagedServiceAccount) pour remplacer les comptes
  de service traditionnels :
    Mot de passe de 240 caractères généré automatiquement
    Changement de mot de passe automatique (30 jours par
    défaut)
    Gestion des SPN simplifiés (si niveau fonctionnel de domaine
    = Windows Server 2008 R2)
    Attaché à un serveur
    Nest pas soumis à la politique de mot de passe du
    domaine, ou granulaire (fine-grained password policy)
    Ne peut pas être bloqué, ni utilisé pour une authentification
    interactive
    Dans CN=Managed Service Accounts, DC=, DC=
    Gestion avec PowerShell
Récupération après sinistre
(DRP)
  Nécessité de disposer de procédures de
  reconstruction de la forêt Active Directory :
     Partir du guide Microsoft (MAJ septembre 2011) sur
     http://www.microsoft.com/download/en/details.aspx?id=
     16506 pour réaliser une procédure de reconstruction
     adaptée au contexte de l’entreprise
     Mettre à jour cette procédure si besoin
     La dérouler au moins une fois par an en pré-production

  Sites avec réplication différée :
     Peuvent rendre service pour restaurer des objets
     Mais effets de bord possibles
     Pas supporté comme procédure de récupération d’Active
     Directory
     A garder si vous les utilisez, sinon ne pas chercher à le faire
Prévention

  Tenir à jour un inventaire centralisé et accessible
  des dépendances des applications et serveurs vis-
  à-vis de l’infra AD :
     Extensions de schema
     Comptes utilisateurs
     Comptes de service
     Permissions, flux
  Chaque application doit avoir un responsable métier en
  plus du responsable informatique
AD-RAP : définition

  Prestation d’audit d’une forêt : 850 contrôles
  Réalisée par un PFE (Premier Field Engineer)
  Microsoft habilité (10 en France)
  Actuellement réservé aux clients ayant un contrat
  de support Microsoft Premier
  Nécessite de pouvoir accéder à tous les DCs
  Rapport d’audit
  Plan de remédiation à mettre en œuvre
  Outil laissé à libre usage durant 18 mois pour le
  lancement des tests et indéfiniment pour
  consultation
AD-RAP : Le top ten des
anomalies
AD-RAP : autres anomalies

  Lingering objects
  Réplication AD ou/et SYSVOL
  Journal Wrap FRS
  Inconsistance des enregistrement DNS ou
  mauvaise adresse IP d’un DNS ou Forwarder
  Pas de Backup du System State
  …
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Les points à retenir

  Design
     Faire simple, mais prendre en compte les
     recommandations pour définir la structure AD répondant
     le mieux aux besoins de l’entreprise avec son contexte
     et ses besoins
  Sécurité
     Devient la préoccupation majeure
     Technique + conduire des opérations
     Audit de sécurité AD : ADSA-R, …
  Administration
     Importance des procédures de DRP
     Audit technique AD : ADRAP
Merci

rdepagne@microsoft.com
http://blogs.technet.com/rdepagne

http://www.mstechdays.fr

Contenu connexe

Tendances

Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
Ayoub Rouzi
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
bamaemmanuel
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
Charif Khrichfa
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
Dimitri LEMBOKOLO
 
Tp voip
Tp voipTp voip
Tp voip
amalouwarda
 
Amadou Bory Diallo (document sur la téléphonie sur IP)
Amadou Bory Diallo (document sur la téléphonie sur IP)Amadou Bory Diallo (document sur la téléphonie sur IP)
Amadou Bory Diallo (document sur la téléphonie sur IP)
Bory DIALLO
 
Atelier IDS SNORT
Atelier IDS SNORTAtelier IDS SNORT
Atelier IDS SNORT
Natasha Grant
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
Ousmane BADJI
 
How to use Exachk effectively to manage Exadata environments OGBEmea
How to use Exachk effectively to manage Exadata environments OGBEmeaHow to use Exachk effectively to manage Exadata environments OGBEmea
How to use Exachk effectively to manage Exadata environments OGBEmea
Sandesh Rao
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
Ousmane BADJI
 
Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1
infcom
 
Spark (v1.3) - Présentation (Français)
Spark (v1.3) - Présentation (Français)Spark (v1.3) - Présentation (Français)
Spark (v1.3) - Présentation (Français)
Alexis Seigneurin
 
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
Alphorm
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm
 
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
Thomas Moegli
 
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
Danaelmousawi
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm
 

Tendances (20)

Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"Rapport Windows Serveur 2008 "Active Directory Management"
Rapport Windows Serveur 2008 "Active Directory Management"
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISKETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
 
Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)Installation et configuration d'un système de Détection d'intrusion (IDS)
Installation et configuration d'un système de Détection d'intrusion (IDS)
 
GNS3, VoIP, ToIP
GNS3, VoIP, ToIPGNS3, VoIP, ToIP
GNS3, VoIP, ToIP
 
Tp voip
Tp voipTp voip
Tp voip
 
Amadou Bory Diallo (document sur la téléphonie sur IP)
Amadou Bory Diallo (document sur la téléphonie sur IP)Amadou Bory Diallo (document sur la téléphonie sur IP)
Amadou Bory Diallo (document sur la téléphonie sur IP)
 
Atelier IDS SNORT
Atelier IDS SNORTAtelier IDS SNORT
Atelier IDS SNORT
 
Authentification par certificat (clear box)
Authentification par certificat (clear box)Authentification par certificat (clear box)
Authentification par certificat (clear box)
 
How to use Exachk effectively to manage Exadata environments OGBEmea
How to use Exachk effectively to manage Exadata environments OGBEmeaHow to use Exachk effectively to manage Exadata environments OGBEmea
How to use Exachk effectively to manage Exadata environments OGBEmea
 
Mise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASAMise en place d'un reseau securise par Cisco ASA
Mise en place d'un reseau securise par Cisco ASA
 
Dba oracle-v1
Dba oracle-v1Dba oracle-v1
Dba oracle-v1
 
Spark (v1.3) - Présentation (Français)
Spark (v1.3) - Présentation (Français)Spark (v1.3) - Présentation (Français)
Spark (v1.3) - Présentation (Français)
 
Ccna4
Ccna4Ccna4
Ccna4
 
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
alphorm.com - Formation Oracle Database 11g DBA 1 (1Z0-052)
 
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et WebAlphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
Alphorm.com Formation Hacking et Sécurité 2020 (4of4) : Attaques AD et Web
 
Alphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et ConfigurationAlphorm.com Formation Kubernetes : Installation et Configuration
Alphorm.com Formation Kubernetes : Installation et Configuration
 
Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016Alphorm.com Formation Nouveautés Windows Server 2016
Alphorm.com Formation Nouveautés Windows Server 2016
 
Protocole OSPF
Protocole OSPFProtocole OSPF
Protocole OSPF
 
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
Etude des Vulnérabilités dans les réseaux 3G,4G et simulation d’attaques des ...
 
Alphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référenceAlphorm.com Formation pfSense: Le firewall open source de référence
Alphorm.com Formation pfSense: Le firewall open source de référence
 

En vedette

Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
Microsoft
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShell
Boulos Dib
 
Windows PowerShell
Windows PowerShellWindows PowerShell
Windows PowerShell
Sandun Perera
 
Introduction To Windows Power Shell
Introduction To Windows Power ShellIntroduction To Windows Power Shell
Introduction To Windows Power Shell
Microsoft TechNet
 
Active directory
Active directory Active directory
Active directory
deshvikas
 
Active Directory
Active Directory Active Directory
Active Directory
Sandeep Kapadane
 

En vedette (6)

Active Directory et la Sécurité
Active Directory et la SécuritéActive Directory et la Sécurité
Active Directory et la Sécurité
 
Introduction to PowerShell
Introduction to PowerShellIntroduction to PowerShell
Introduction to PowerShell
 
Windows PowerShell
Windows PowerShellWindows PowerShell
Windows PowerShell
 
Introduction To Windows Power Shell
Introduction To Windows Power ShellIntroduction To Windows Power Shell
Introduction To Windows Power Shell
 
Active directory
Active directory Active directory
Active directory
 
Active Directory
Active Directory Active Directory
Active Directory
 

Similaire à Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
BelgeKilem
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
NRC
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
fabricemeillon
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
webhostingguy
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Microsoft Technet France
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
OVHcloud
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
aOS Community
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
Identity Days
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
robertpluss
 
Introduction au Domain Driven Design
Introduction au Domain Driven DesignIntroduction au Domain Driven Design
Introduction au Domain Driven Design
DNG Consulting
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
fabricemeillon
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
fabricemeillon
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
Microsoft
 
Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013
Le Moulin Digital
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
Denodo
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 

Similaire à Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration (20)

WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS WINDOWS SERVEUR ET ADDS
WINDOWS SERVEUR ET ADDS
 
5 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 20125 bonnes raisons de migrer vers Windows Server 2012
5 bonnes raisons de migrer vers Windows Server 2012
 
Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008Les 11 bonnes raisons de migrer vers Windows Server 2008
Les 11 bonnes raisons de migrer vers Windows Server 2008
 
base-de-donnees-whois.ppt
base-de-donnees-whois.pptbase-de-donnees-whois.ppt
base-de-donnees-whois.ppt
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Webinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud DatabasesWebinar - Enterprise Cloud Databases
Webinar - Enterprise Cloud Databases
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
Identity Days 2022 - Quel est l’avenir de l’annuaire Active Directory ?
 
Presentation mididulibrev2.0
Presentation mididulibrev2.0Presentation mididulibrev2.0
Presentation mididulibrev2.0
 
Introduction au Domain Driven Design
Introduction au Domain Driven DesignIntroduction au Domain Driven Design
Introduction au Domain Driven Design
 
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiquesAlphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
Alphorm.com Formation Active directory 2019 : Configuration et Bonne pratiques
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
Techdays 2009 - Active Directory Domain Services : bonnes pratiques et princi...
 
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
Retour d’expérience de Microsoft Services « Déploiement des contrôleurs de do...
 
Azure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides KeynoteAzure Camp 9 Décembre 2014 - slides Keynote
Azure Camp 9 Décembre 2014 - slides Keynote
 
Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013Ipgarde - Mardinnov' du 8 octobre 2013
Ipgarde - Mardinnov' du 8 octobre 2013
 
Discovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data VirtualizationDiscovery Session France: Atelier découverte de la Data Virtualization
Discovery Session France: Atelier découverte de la Data Virtualization
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 

Plus de Microsoft Technet France

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
Microsoft Technet France
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
Microsoft Technet France
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Microsoft Technet France
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
Microsoft Technet France
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
Microsoft Technet France
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
Microsoft Technet France
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
Microsoft Technet France
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
Microsoft Technet France
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
Microsoft Technet France
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
Microsoft Technet France
 

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

  • 1. palais des congrès Paris 7, 8 et 9 février 2012
  • 2. Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration 7 février 2012 Renaud Depagne Microsoft Consulting Services
  • 5. Active Directory : à quoi ça sert ? Rôle d’Active Directory Lieu central de stockage d’information d’identité et d’authentification Apporte l’authentification unique (SSO) aux utilisateurs dans le monde Microsoft Gère l’accès aux ressources (groupes de sécurité) Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postes Supporte des applications basées sur l’annuaire (Exchange, …) Avantages A trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Pérenne : 99%+ des entreprises ont AD Robuste
  • 7. (Re)structurer AD : le business Culture centralisée ou non du pays où se trouve la direction générale du groupe Aspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupe Secteur d’activité : niveau de croissance externe passée et prévisible Stratégie business : différences de besoin de changement entre les différents métiers d’un grand groupe Stratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
  • 8. (Re)structurer AD : la sécurité (1) La frontière de sécurité est la forêt La forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance : plusieurs équipes d’administration Contraintes légales ou réglementaires Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêt Plus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
  • 9. (Re)structurer AD : la sécurité (2) Il peut exister des contraintes fortes de protection de données (volonté, lois, …) L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domaines Solutions : Encrypter les données avec un mécanisme indépendant d’AD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …) Mettre les serveurs dans une forêt séparée
  • 10. (Re)structurer AD : les coûts Forêt Le moins de forêts possibles (une à trois par exemple) Forêt de ressources (ex.: Exchange) / forêt de comptes Domaines Plus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008 Le domaine a un impact sur le DNS Déplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Coûts (matériel, logiciel, opérations)
  • 11. Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) : Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine Ne pas utiliser de nom avec un seul label (ex.: contoso) Avec Windows Server 2008 : avertissement à la création Windows Server 2008 R2 refuse dcpromo avec un seul label Problèmes possibles avec des applications
  • 12. AD et les mouvements d’entreprise Acquisition d’une société ou consolidation d’activité : Les actifs entrant dans le cœur de métier rejoignent la forêt principale Les actifs non-stratégiques peuvent rester dans leur propre forêt Vente d’une entité ou externalisation d’activité Si forêt dédiée, il suffit de couper les trusts Sinon, suivant le contrat, migration nécessaire ou bien export des données de l’AD Ne pas cloner les DCs (les SIDs doivent rester uniques)
  • 13. Autres points à considérer Les limites d’Active Directory : Peu de limites à considérer car elle sont très élevées : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits- scalability(WS.10).aspx Néanmoins : Le nom FQDN ne doit pas dépasser 64 caractères … Forêts hors-production Test, validation, pré-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453 6 Recréer
  • 14. RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODC Ajout d’autres rôles possibles L’administrateur du RODC n’est pas Domain Admin Option : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
  • 15. DC sur Windows Server Core Avantages : Réduit la surface d’attaque Demande moins d’espace disque lors de l’installation Surtout : moins de patches à appliquer (environ 50%) et moins de reboots Idéal pour pour DC + DNS Inconvénient : Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais : Bien documenté PowerShell http://coreconfig.codeplex.com Exemple de scénario : RODC + BitLocker + Core La réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
  • 16. Réduction du nombre des DCs Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi réduire le nombre de DCs : Réduction des coûts Agilité de l’entreprise Facilité à reconstruire la forêt en cas de nécessité
  • 17. Virtualisation Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agences Documentation technique sur http://support.microsoft.com/kb/888794 Points de vigilance : Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
  • 18. IP V6 (1) Ne concerne pas que les DCs Règle Common Engineering Criteria : IP V6 activé Les produits Microsoft ne sont pas testés avec IP V6 désactivé Désactiver IP V6 reste supporté mais déconseillé Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-us HKLMSystemCurrentControlSetServicesTcpip6Param eters
  • 19. IP V6 (2) Quelques effets de la désactivation d’IPV6 sur AD : Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante) Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN- US;816103 Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)
  • 21. Pourquoi il est vital de sécuriser AD 2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats) Impact important pour les entreprises affectées Sécuriser Active Directory devient crucial pour les entreprises La sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
  • 22. Délégation d’administration (1) Organiser la délégation d’administration selon les principes de moindre privilège Séparer les comptes d’administration du service AD et ceux du contenu d’AD L’importance des privilèges doit être inversement proportionnelle au périmètre d’intervention Réduire les comptes privilégiés au strict minimum Les groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
  • 23. Délégation d’administration (2) « Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167 8 Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20 for%20Delegating%20Active%20Directory%20Administration%3A%20Append ices Demande un travail important Ne garantit pas la protection contre un attaquant
  • 24. Recommandations (1) Les postes des DA sont dans une OU dédiée Les comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées Pas d’utilisation d’Internet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 25. Recommandations (2) Compartimentaliser par ensemble de criticité : Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié Les utilisateurs ne doivent pas être administrateurs de leur poste Avancer sur une démarche RBAC (Rôle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
  • 26. Recommandations (3) Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systèmes, …) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systèmes anciens Compartimentaliser par niveau de criticité dans des OUs : Serveurs critiques (Exchange, …), moins critiques, … Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 27. Monitoring et traçabilité Difficile de repérer une attaque DHA, mais possible Les comptes privilégiés d’AD sont un moyen pour atteindre les données sensibles Les comptes VIP sont aussi visés car ils ont accès aux données vitales Il faut pouvoir déterminer qui a fait quoi sur quel objet à quel moment Surveillance particulière des comptes ou objets sensibles (qui s’authentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
  • 28. Administration des DCs Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
  • 29. Forêt d’administration (1) Pour les grandes entreprises les plus sensibles Créer une nouvelle forêt avec seulement les comptes d’administration Relation d’approbation de forêt unidirectionnelle avec authentification sélective Les administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …) Les comptes DA de la forêt de production ne sont plus utilisés
  • 30. Forêt d’administration (2) Relation d’approbation Authentification sélective Forêt d’administration
  • 32. Vue d’ensemble d’ADSA-R Active Directory Service Security Assessment and Remediation : Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion PFE + Itops + MCS Itops + MCS + VOUS Principales activités 1. Découverte de votre environnement Active Directory et évaluation de sa sécurité sous un angle technique et opérationnel 2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité 3. Mise en œuvre du plan de remédiation en fonction de vos priorités
  • 33. ADSA-R : Périmètre PFE + Itops + MCS Workshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques. Compréhension et analyse des processus organisationnels liés à la gestion de vos Active Directory Analyse, identification des remédiations immédiates et futures Construction d’un plan de remédiation Workshop de restitution : vue technique Workshop de restitution vue « responsable informatique » Itops + MCS + VOUS Mise en œuvre du plan de remédiation (pour les projets retenus)
  • 35. Managed Service Accounts Nouveau type de compte de domaine (msDS- ManagedServiceAccount) pour remplacer les comptes de service traditionnels : Mot de passe de 240 caractères généré automatiquement Changement de mot de passe automatique (30 jours par défaut) Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attaché à un serveur Nest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas être bloqué, ni utilisé pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell
  • 36. Récupération après sinistre (DRP) Nécessité de disposer de procédures de reconstruction de la forêt Active Directory : Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id= 16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entreprise Mettre à jour cette procédure si besoin La dérouler au moins une fois par an en pré-production Sites avec réplication différée : Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas supporté comme procédure de récupération d’Active Directory A garder si vous les utilisez, sinon ne pas chercher à le faire
  • 37. Prévention Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis- à-vis de l’infra AD : Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable métier en plus du responsable informatique
  • 38. AD-RAP : définition Prestation d’audit d’une forêt : 850 contrôles Réalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France) Actuellement réservé aux clients ayant un contrat de support Microsoft Premier Nécessite de pouvoir accéder à tous les DCs Rapport d’audit Plan de remédiation à mettre en œuvre Outil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
  • 39. AD-RAP : Le top ten des anomalies
  • 40. AD-RAP : autres anomalies Lingering objects Réplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou Forwarder Pas de Backup du System State …
  • 42. Les points à retenir Design Faire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins Sécurité Devient la préoccupation majeure Technique + conduire des opérations Audit de sécurité AD : ADSA-R, … Administration Importance des procédures de DRP Audit technique AD : ADRAP