La formation sur Active Directory 2019 se concentre sur l'optimisation et la sécurisation des infrastructures en utilisant l'architecture n-tier de Microsoft, répondant aux défis modernes liés au cloud et à la cybersécurité. Elle aborde des thèmes clés tels que la configuration des stratégies d'authentification, la mise en place de politiques de sécurité avancées, et le durcissement du système pour protéger les données et les accès. Grâce à des exercices pratiques et des recommandations conformes aux normes, elle vise à renforcer la sécurité des systèmes informatiques des entreprises.

1. Formation
Active Directory 2019
Optimisation et Sécurisation
avec l'Architecture N-Tier
Une formation
Mehdi DAKHAMA

2. L'évolution vers le Cloud, le Télétravail et les menaces informatiques qui ne cessent
d'accroitre, constituent un réel défi au quotidien pour tous les professionnels de l'IT
D'une part pour respecter les exigences et normes du marché, et d'une autre part pour
renforcer et garder le control sur le système informatique
Introduction

3. Une formation
Pour comprendre le concept, et élaborer une infrastructure
avec l'architecture N-tier de Microsoft
On va voir trois chapitres majeurs
Théorie (introduction)
Configuration et Mise en place pour les PME
Sécurité et optimisation avancée pour les grandes infra
Comprendre le concept

4. Une formation
Comprendre et mettre en place toutes les
techniques de sécurité, et d'optimisation d'une
infrastructure système et réseau sous Microsoft
Windows Server
Accroitre la sécurité de 95%
Objectifs

5. Une formation
La formation respecte la continuité entre chapitres
La formation se rapproche d'une infrastructure de
production
La formation respecte des contraintes réel (pas de réseau
générique ou pare-feu/AV désactiver etc….)
C’est une formation Professionnel et non académique,
100% applicable et conforme avec toutes infra
Avantages

6. Une formation
Définition de l'Architecture N-tier
L‘intérêt de l'Architecture N-tier
Comprendre Le T0-T1-T2
Découvrir Le PAW et SAW
Mettre en place l'architecture N-tier
Thèmes

7. Exemple du lab

8. Tirer Profit de l'architecture N-tier, pour optimiser et sécuriser une
infrastructure à 95% grâce aux différents modules de la formation

10. Une formation
Configurer des Stratégies d'authentification
Découvrir le Blindage AD, et mettre en place des Silos
Restreindre les flux de connexion
Mettre en place des Ldaps
Configurer des PAW
Déployer les machines rebonds
Appliquer le module Microsoft Baseline
Mettre en place JEA
Protéger et Auditer les comptes à privilèges
Empêcher l'énumération AD (SMB et SAM-R)
Configurer l’IPS
Mettre en place proxy avec AD
Modules

11. Une formation
Administrateurs, Ingénieur système et réseaux
Consultant / Architecte système et réseaux
Technicien système et réseaux
Responsable sécurité informatique
Pen testeur, Ingénieur Cybersécurité
Curieux désirant découvrir le modèle N-tier de
Microsoft
Public concerné

12. Une formation
Connaissances requises

13. Présentation du Lab
Une formation
Mehdi DAKHAMA

14. Prérequis ateliers

16. VM Conf Minimal
Partie-1 4 VMS
8 GO de RAM (minimum)
I3 ou plus
60 GO SSD
Partie-2 7 VMS en totale
16 GO de RAM
I5 ou équivalent
80 GO SSD
ISO (Windows 2019-2022)
ISO (Windows 10)

17. Comprendre les notions de
risque et l’intérêt de sécurité
Une formation
Mehdi DAKHAMA

18. Plan de déroulement
Une formation
Notion de risque
Différence entre Cybersecurité et sécurité
Rôle des acteurs
Notion de sécurité

19. L'utilisation des solutions Cloud offre des avantages et
une adaptabilité aux besoins des entreprises au niveau
économique et de commodité d'emploi pour ses
utilisateurs
Une mauvaise gestion des intégrations des solutions
cloud dans une infrastructure hybride peut rapidement
présenter des grands risques
Sécurité (Cyberattaques)
Fuites de données
Une formation
Notions des risques

20. Source : Bitdefender

21. Source : sectigostore

23. Cyber-sécurité ou Sécurité ?
La cybersécurité
Analyser les menaces sur les systèmes d'informations (Solution ou Produit)
Tester et démontrer les limites, ainsi que les risques

24. Une formation
Comment y accéder ?

25. Rôle et responsabilité dans l'intégration
Rôle et responsabilité dans l'intégration

26. La sécurité informatique est sujet de deux problématiques majeurs
La Fuite des données et La perte des données
Protéger les données
Durcir l'accès
Surveillez
Intervenir, Agir
Gérer l'évolution
PRA, HA, SLA
Respecter les normes ISO, RGPD
Notion de sécurité

27. Découvrir
l'architecture N-tier
Une formation
Mehdi DAKHAMA

28. C’est une présentation logique d'un système ou
application en la divisant en trois niveaux avec des rôles
bien définis
Couche de présentation
Correspondant l'affichage et le dialogue avec l'utilisateur
Couche de traitement
Correspondant à la mise en œuvre de l'ensemble des règles de
gestion
Couche d'accès aux données
Correspondant aux données qui sont destinées à être conservées
Une formation
L'architecture N-tier

30. Connaître le concept du modèle
N-tier Active Directory
Une formation
Mehdi DAKHAMA

31. Une formation
C’est une référence de sécurité recommandée pour aider les
organisations à atténuer le vol d’informations d’identification
Organiser l’ensemble de l’infrastructure informatique en différentes
couches (niveaux)
Séparer les composants de l’infrastructure en fonction de leur niveau
d’importance
Rendre ces différentes couches hermétiques les unes des autres
Ces trois niveaux augmentent le coût pour un attaquant
essayant de compromettre des systèmes sensibles
Ce modèle rend plus difficile pour un pirate informatique le
passage d'un actif de niveau 2 à un actif de niveau 0, mais ne le
rend pas impossible
Le modèle N-tier AD

32. Une formation
Mauvaises démarches
Compte standard = compte admin du domaine
Compte standard et compte admin
Délégation d’administration
Utilisation des outils d’administration RSAT / RDP DC
Exécution des tâches de délégation sur le poste
standard avec le compte délégué (ou compte
d’administration)

34. Comprendre les différents
niveaux T0-T1-T2
Une formation
Mehdi DAKHAMA

35. Une formation
Contenu de chaque couche
Niveau 0 (T0)
Composants qui contrôle les identités ( Serveurs ADDS,
Azure AD connect, PKI,…)
Niveau 1 (T1)
Serveurs et comptes de gestion de l’infrastructure et
applications(SCCM, Monitoring, ERP, …)
Niveau 2 (T2)
Périphériques et comptes utilisateurs et administrateurs

36. Tier
2
Tier
0
Tier
1

37. Tier
2
Tier
0
Tier
1
Même niveau :autorisé Niveau different: Interdit
Gestion de l'authentification
Gestion de l'authentification

38. Comprendre le PAW et SAW
Une formation
Mehdi DAKHAMA

39. Administration de l’infrastructure
Administration de l’infrastructure
Administrer ces couches avec ces différents cloisonnements
PAW
Privilege Access Workstation
Silo
Sécurisation
Hardening

40. Tier
2
Tier
0
Tier
1
PAW
PAW
PAW
Même niveau :autorisé Niveau inférieur: Interdit
Niveau supérieur: avec prudence

41. Tier
2
Tier
0
Tier
1
PAW
PAW
PAW

42. Une formation
PAM et SAW
Privilege Access Management permet la sécurisation
de l’accès privilégié et la priorité de sécurité
supérieure en affectant à des utilisateurs des rôles
privilégiés qu’ils peuvent activer si nécessaire pour
un accès juste-à-temps
Ces rôles sont définis manuellement et établis dans
l’environnement bastion

45. Découvrir l’optimisation
de la sécurité et du rendement
Une formation
Mehdi DAKHAMA

46. Une formation
Mise en place
Le modèle N-tier n'étant qu'un concept, ça mise en
production doit respecter certaines critères dont on trouve
Segmentation du réseau entre les Tiers
Pare-feu entre les Tiers
Analyse du traffic vers le Tier0
Réduction au maximum des ports ouverts vers le Tier 0
Organisation des OUs en respectant les couches
Isoler le plus possible DC portant les FSMO PDC, Schéma et Domain name
Réduire les exécutions Powershell distants vers les serveurs du Tier0

48. Faire le choix
de l'architecture d'entreprise
Une formation
Mehdi DAKHAMA

49. Une formation
L'architecture
Le nombre de couche et comptes dépend des exigences
de l'entreprise, du budget, et des compétences de l'IT
L'objectif final étant d'optimiser le rendement et de
sécuriser son système informatique, et non de compliquer
la gestion
De ce fait certaines entreprises respectent le niveau à 3
couches minimum, d'autres utilisent 4 min, et quelques
unes se contentent de deux couches
Nous allons traiter les scénarios pour répondre à tous les
cas de figures

50. Lan-Serveur
192.168.10.0
Lan-Client
192.168.20.0

54. Mettre en place des prérequis
Une formation
Mehdi DAKHAMA

55. Une formation
Mise en place
Installer et configurer un deuxième serveur en DHCP
Installer un deuxième Client Win-10 (PAW)
Intégrer PAW la machine au domaine
Créer un deuxième réseau
Connecter les clients au réseau
Préparer la structure OU

57. Tester la configuration
Une formation
Mehdi DAKHAMA

58. Séparer des couches
Une formation
Mehdi DAKHAMA

59. Une formation
Mise en place des règles
Création des règles pare feu
DHCP Relais
Bloquer les protocoles sensibles (LLNMR, SMBv1)
Bloquer le ping
Autoriser seulement HTTPS

60. Lan-Serveur
192.168.10.0
Lan-Client
192.168.20.0

61. Configurer un PAW
Une formation
Mehdi DAKHAMA

62. Une formation
Mise en place
Désactiver l'utilisation des lecteurs amovibles
Désactiver le cache
Interdire l'ouverture de session en tant que tache
Administrateur restreint
Microsoft Baseline
Microsoft Policy Viewer

63. Découvrir
Microsoft Baseline Security
Une formation
Mehdi DAKHAMA

64. Une formation
Plan
Présentation
Historique
Différents modules
Microsoft Baseline Viewer
Mise en place par GPO
Mise en place Local

65. Une formation
Introduction
Même si Windows et Windows Server sont conçus pour
être immédiatement sécurisés, il existe plus de 3000
paramètres de stratégie de groupe pour Windows10, sans
compter les 1800 paramètres d’InternetExplorer11
Parmi ces 4800paramètres, seuls certains sont liés à la
sécurité
Même si Microsoft fournit de nombreux conseils sur les
différentes fonctionnalités de sécurité, la découverte de
chacun d’eux peut prendre beaucoup de temps

66. Une formation
Microsoft Security Baseline
C’est un ensemble de paramètres de référence
recommandés par Microsoft pour les postes de travail et
les serveurs Windows afin de fournir une configuration
sécurisée et de protéger les contrôleurs de domaine, les
serveurs, les ordinateurs et les utilisateurs
Ces paramètres sont inclus dans la suite Microsoft Security
Compliance Manager (SCM) contient plusieurs outils pour
analyser, tester et appliquer les meilleures pratiques et les
recommandations de sécurité

67. Microsoft Security Baseline remplace Microsoft baseline analyser
Historique

68. Historique
Il est publié après chaque nouvelle version OS

69. Différents modules
LGPO : est utilisé pour gérer les paramètres GPO locaux
La documentation : contient les fichiers XLSX et PDF avec la description détaillée des paramètres appliqués
GP Reports : contient des rapports HTML avec les paramètres GPO à appliquer
GPO : contient des objets GPO pour différents scénarios
Scripts : contient des scripts PowerShell pour importer facilement les paramètres GPO
Templates : Contient les modèles ADML/ADMX supplémentaire (exemple paramétrés LAPS)

70. Une formation
Microsoft Baseline Viewer
PolicyAnalyzer : est un outil inclus avec Security
Compliance Toolkit 1.0
Il permet d'analyser les stratégies de groupe
existantes et de les comparer avec les stratégies de
référence de la ligne de base de sécurité
Policy Analyzer ne peut pas appliquer les paramètres
de stratégie

72. Une formation
Démos
Mise en place par GPO
Mise en place Local

73. Mettre en place
Microsoft Baseline Security
Une formation
Mehdi DAKHAMA

74. Une formation
Plan
Télécharger SCT
Extraire les fichiers
Tester et comparer les stratégies
Appliquer avec LGPO
Importer les GPOs

75. Découvrir Blindage Kerberos
Une formation
Mehdi DAKHAMA

76. Une formation
Plan
Présentation du Blindage
Mauvaise pratique
Mise en place de Revendication KDC

78. PAW
Restreindre la connexion aux serveurs
Une formation
Mehdi DAKHAMA

80. Restreindre l'accès aux
utilisateurs
Une formation
Mehdi DAKHAMA

82. Protéger l'ouverture de session
Une formation
Mehdi DAKHAMA

84. Auditer et protéger le RDP
Une formation
Mehdi DAKHAMA

85. Une formation
Plan
Activer l'audit sur la machine
Lier l'événement à une tache
Utiliser un script

86. Mettre en place l’architecture
Une formation
Mehdi DAKHAMA

87. Une formation
Mise en place des règles
Ajout de deuxième DC
Configuration des règles
Création d'un nouveau réseau
Configuration du DHCP

89. Mettre en place l’architecture
Les configurations
Une formation
Mehdi DAKHAMA

90. Configurer des silos
Une formation
Mehdi DAKHAMA

91. Une formation
Rappel et définition
Les stratégies d'authentification contrôlent les
éléments suivants
La durée de vie TGT du compte, qui est définie pour être non
renouvelable
Les critères que les comptes d'appareils doivent remplir pour se
connecter avec un mot de passe ou un certificat
Les critères que les utilisateurs et les appareils doivent remplir
pour s'authentifier auprès des services exécutés dans le cadre du
compte

92. Une formation
Les Silos quant à eux sont des conteneurs auxquels les
administrateurs peuvent attribuer des comptes
d'utilisateur, des comptes d'ordinateur et des comptes de
service
L'ensemble des comptes peuvent être gérés par les
politiques d'authentification qui ont été appliquées à ce
conteneur
On peut alors déduire que les Silos sont des relations et
non des conditions
Les stratégies d'authentification

94. Découvrir
le Paw-T1-Avancé
Une formation
Mehdi DAKHAMA

95. Une formation
Protection de PAW T1
Auditer et tester le PAW T1
Durcir le PAW T1

96. Configurer le Paw-T1-Avancé
Une formation
Mehdi DAKHAMA

97. Découvrir le durcissement AD
Restreindre le Flux
Une formation
Mehdi DAKHAMA

98. Découvrir le durcissement AD
Transfert serveur NTP
Une formation
Mehdi DAKHAMA

99. Retenir l’Architecture N-tier
Une formation
Mehdi DAKHAMA

100. Une formation
Activation du Blindage
Configuration des silos
le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis

102. Découvrir le durcissement AD
Bloquer l'énumeration
Une formation
Mehdi DAKHAMA

103. Une formation
Bloquer l’énumération
Restreindre l’énumération SAM-R
Bloquer l’énumération SMB
Bloquer l’énumération Anonyme

104. Découvrir
la configuration Ldaps
Une formation
Mehdi DAKHAMA

105. Une formation
Définition
Tester la connexion Ldap
Mise en place de CA
Signature des demandes
Tester Ldaps
Exiger Ldaps par GPO
Forcer le flux SSL
Plan

106. Une formation
Définition
LDAP (Lightweight Directory Access Protocol) est un
protocole utilisé pour lire et écrire dans Active Directory
Par défaut, le trafic LDAP est transmis en claire
La technologie SSL/TLS (Transport Layer Security) permet
de rendre le trafic LDAP confidentiel et sécurisé en
installant un certificat correctement mis en forme à partir
d’une autorité de certification Microsoft ou autres

109. User-1
PC-1
PC-2
LDAP
TLS Request
Bind Reponse
Bind Request Bind Search
PC
?>£¨S%µ**sXCeq%:;£¨S

110. Comprendre et configurer Ldaps
Serveur tiers
Une formation
Mehdi DAKHAMA

111. Mettre en place JEA
Une formation
Mehdi DAKHAMA

112. Une formation
C’est une technologie de sécurité qui permet une
administration déléguée de tout ce qui est géré avec
PowerShell
Réduire le nombre d’administrateurs sur nos machines en utilisant
des comptes virtuels ou des comptes de service gérés de groupe
pour effectuer des actions privilégiées au nom d’utilisateurs
normaux
Limiter les opérations réalisables par les utilisateurs en spécifiant
les applets de commande, fonctions et commandes externes
qu’ils peuvent exécuter
Mieux comprendre ce que font vos utilisateurs avec des
transcriptions et des journaux
Just Enough Administration (JEA)

113. Activer Winrm
Création d'un fichier de configuration de session PS
Création d'un dossier pour JEA
Création d'un fichier de capacité
Enregistrement de la configuration
Etapes

115. Retenir l’Architecture N-tier
Une formation
Mehdi DAKHAMA

116. Une formation
Activation du Blindage
Configuration des silos
Le passage entre PAW se fait à partir des comptes spécifiques
LDAPS
Audit AD
Mode administrateur restreint (RDP)
Empêcher l'énumération AD (SAM-R)
Microsoft Baseline
JEA mode Restriction
Bilan des acquis

118. Mettre en place IDS/IPS
Une formation
Mehdi DAKHAMA

119. Une formation
Définition IDS / IPS
IDS
La détection d'intrusion est le processus qui consiste à surveiller
les événements qui se produisent sur le réseau et les analyser
pour détecter les signes d'éventuels incidents, violations ou
menaces imminentes aux stratégies de sécurité
IPS
La prévention d'intrusion consiste à détecter les intrusions puis à
résoudre les incidents détectés

120. Snort est un moyen de prévention des intrusions (IPS)
open source
Snort IPS utilise une série de règles qui aident à définir
l'activité réseau malveillante et utilise ces règles pour
trouver les paquets qui leur correspondent et génère des
alertes pour les utilisateurs
les règles Snort sont réparties en deux ensembles : le
"Community Ruleset" et le "Snort Subscriber Ruleset"
Présentation de Snort

122. Tester IPS avec AD
Une formation
Mehdi DAKHAMA

123. Découvrir l’authentification
Squid avec Active Directory
Une formation
Mehdi DAKHAMA

124. Une formation
Définition du Proxy
Un Proxy est une solution (matériel ou logiciel) permettant
de masquer un réseau interne sur internet
Il agit comme un intermédiaire entre les clients et leur
destinations (rendant ainsi la traçabilité difficile, et
réduisant la surface d'attaque)
Il nous permet aussi de récupérer les logs et d'appliquer
des règles d'accès

126. Squid est un serveur mandataire (proxy) et Proxy-inverse conçu
pour relayer les protocoles FTP, HTTP, Gopher, et HTTPS
Serveur Mandataire ( Centralise les demandes d’accès web et
fait la demande à notre place)
Serveur Cache et Serveur Filtrant
C'est un logiciel libre distribué sous licence GNU GPL
SquidGuard est un logiciel complémentaire à Squid qui permet de
gérer le filtrage avec des bases de données qu’il a créé à partir
d’une blacklist
A propos de Squid

128. Mettre en place
la liste de SquidGard
Une formation
Mehdi DAKHAMA

129. Configurer le proxy
et bloquer les extensions
Une formation
Mehdi DAKHAMA

130. Conclusion
Une formation
Mehdi DAKHAMA

131. Dans cette formation nous avons appris comment
réduire les surfaces d'attaques, élaborer et mettre en
place une infrastructure sécurisé Microsoft Windows
server avec l'architecture N-tier, en respectant les
bonnes pratiques et les meilleurs recommandations
Bilan