SlideShare une entreprise Scribd logo
1  sur  42
Télécharger pour lire hors ligne
AMBIENT INTELLIGENCE
tech days•
2015
#mstechdays techdays.microsoft.fr
Sécurité AD:
Pensez référentiel !
Jean-Philippe Klein – Sr Premier Field Engineer (Microsoft)
Didier Pilon – Principal Premier Field Engineer – PMC (Microsoft)
tech.days 2015#mstechdays
 Introduction
 Les objets AD à surveiller
 Gestion de la délégation AD
 Configuration des contrôleurs de domaine
 Les serveurs membres
 Conclusion
#
tech.days 2015#mstechdays
 Qu’est ce qu’un référentiel Active Directory ?
 Pourquoi créer un référentiel Active Directory ?
#
tech.days 2015#mstechdays
Les groupes
Administrators Backup Operators Performance Monitor Users Cryptographic Operators IIS_IUSRS
Users Network Configuration
Operators
Performance Log Users Incoming Forest Trust Builders Terminal Server License Servers
Guests Remote Desktop Users Distributed COM Users Certificate Service DCOM Access Replicator
Print Operators Windows Authorization Access
Group
Event Log Readers Pre-Windows 2000 Compatible
Access
Domain Computers Cert Publishers* Group Policy Creator Owners Allowed RODC Password Replication Group DnsAdmins
Domain Controllers Domain Admins RAS and IAS Servers Denied RODC Password Replication Group DnsUpdateProxy
Schema Admins Domain Users Server Operators Enterprise Read-only Domain Controllers Read-only Domain Controllers
Enterprise Admins Domain Guests Account Operators
#
tech.days 2015#mstechdays
Administrator Krbtgt Les comptes appartenant à un
groupe à fort privilege.
Utilisateurs avec des privilèges sur
les systèmes tiers
Utilisateurs VIP
Les objets “Read Only Domain
Controller”
Les comptes
Les objets “Domain Controller”
Les objets machines qui exécutent
des services sensibles/critiques
Comptes de services, …
Comptes avec délégation sur l’AD
#
tech.days 2015#mstechdays
AdminSDHolder Les relations d’approbation Politique de mot de passe du
domaine
Fine Grained Password Policies -
FGPP (msDS-PasswordSettings)
Les GPO
Les comptes locaux DSRM
Les autres objets
Les scripts de
logon/logoff/startup/shutdown
#
tech.days 2015#mstechdays
Access Control List
ACE
ACE
Owner
ACL avec PowerShell
Import-Module ActiveDirectory
(Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local') | gm |
?{ $_.MemberType -eq "CodeProperty"}
(Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').Access
(Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').SDDL
tech.days 2015#mstechdays
Get-ACK
tech.days 2015#mstechdays
ACL / ACEs
tech.days 2015#mstechdays
Format SDDL
 Header
 DACL
 SACL
 Primary Group
 Owner
tech.days 2015#mstechdays
Création d’un référentiel
tech.days 2015#mstechdays
Création d’un référentiel
tech.days 2015#mstechdays
Création d’un référentiel
tech.days 2015#mstechdays
Modélisation
tech.days 2015#mstechdays
Vérification
tech.days 2015#mstechdays
 Partition de domaine
 Partition de configuration
 Partition de schema
Les autres objets
#
tech.days 2015#mstechdays
 Les attributs surveillés sur tous les objets (sauf nTDSconnection)
Partition de configuration
ntSecurityDescriptor rightsGuid ValidAccesses
caCertificate crossCertificatePair
#
tech.days 2015#mstechdays
 Les attributs surveillés sur tous les objets
Partition de schéma
ntSecurityDescriptor defaultSecurityDescriptor attributeSecurityGUID
schemaIdGuid SystemFlags SearchFlags
#
tech.days 2015#mstechdays
 Analyse des ACL sur l’ensemble des objets ?
 Utilisation des métadonnées de réplication
Configuration / Schéma
Metadonnées de réplication
repadmin /showobjmeta . "CN=Administrator,CN=Users,DC=nwtraders,DC=local"
tech.days 2015#mstechdays
Configuration / Schema
tech.days 2015#mstechdays
Introduction
#
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
tech.days 2015#mstechdays
 Compte à privilèges sur les serveurs membres
 Services
 Taches planifiés
 Application Pool
 …
Introduction
#
tech.days 2015#mstechdays
tech.days 2015#mstechdays
Analyse des
déviations
tech.days 2015#mstechdays
Compromission
tech.days 2015#mstechdays
Modèle de
délégation
tech.days 2015#mstechdays
Configuration et
Schéma
tech.days 2015#mstechdays
Serveurs membres
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
 2 types d’analyses
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
 Suivre les bonnes pratiques de l’éditeur dans
votre contexte
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
 Respecter les règles ITIL pour la gestion du
changement
 Vérifier la compatibilité avec les applications
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
 Et le faire vivre …
tech.days 2015#mstechdays
 ACL Scanner
https://adaclscan.codeplex.com/
 Get-ServiceAccountUsage
https://gallery.technet.microsoft.com/Get-ServiceAccountUsage-
b2fa966f
 Security Compliance Manager
https://technet.microsoft.com/en-us/library/cc677002.aspx
Outils
tech.days 2015#mstechdays
© 2015 Microsoft Corporation. All rights reserved.
tech days•
2015
#mstechdays techdays.microsoft.fr

Contenu connexe

En vedette

En vedette (6)

Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)Etude PwC sécurité de l’information et protection des données (2014)
Etude PwC sécurité de l’information et protection des données (2014)
 
2015 - Concilier exploitabilité & Sécurité : challenge relevé !
2015 - Concilier exploitabilité & Sécurité : challenge relevé !2015 - Concilier exploitabilité & Sécurité : challenge relevé !
2015 - Concilier exploitabilité & Sécurité : challenge relevé !
 
Rapport de stage
Rapport de stageRapport de stage
Rapport de stage
 
2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service2016 12-14 colloque ssi-le rssi as a service
2016 12-14 colloque ssi-le rssi as a service
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
SSH - Secure Shell
SSH - Secure ShellSSH - Secure Shell
SSH - Secure Shell
 

Similaire à Sécurité Active Directory: Etablir un référentiel

M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
CERTyou Formation
 

Similaire à Sécurité Active Directory: Etablir un référentiel (20)

En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
Migration vers Active Directory 2012 et 2012 R2 : les meilleures pratiques
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideRetour d'expérience : rendre votre IT agile grâce au cloud hybride
Retour d'expérience : rendre votre IT agile grâce au cloud hybride
 
PowerShell Desired State Configuration & Azure
PowerShell Desired State Configuration & AzurePowerShell Desired State Configuration & Azure
PowerShell Desired State Configuration & Azure
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
PowerShell Desired State Configuration & Azure
PowerShell Desired State Configuration & AzurePowerShell Desired State Configuration & Azure
PowerShell Desired State Configuration & Azure
 
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
M20417 formation-mise-a-jour-des-competences-d-administrateur-sur-windows-ser...
 
Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012Active Directory : nouveautés Windows Server 2012
Active Directory : nouveautés Windows Server 2012
 
Présentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinIDPrésentation de l'offre IAM de LINAGORA LinID
Présentation de l'offre IAM de LINAGORA LinID
 
MERAZKA Messaoud
MERAZKA MessaoudMERAZKA Messaoud
MERAZKA Messaoud
 
ToulouseJUG - REX Flex, Spring & Agilité
ToulouseJUG - REX Flex, Spring & AgilitéToulouseJUG - REX Flex, Spring & Agilité
ToulouseJUG - REX Flex, Spring & Agilité
 
System Center 2012 R2 en environnement hétérogène et hybride
System Center 2012 R2 en environnement hétérogène et hybrideSystem Center 2012 R2 en environnement hétérogène et hybride
System Center 2012 R2 en environnement hétérogène et hybride
 
System Center 2012 R2 en environnement hétérogène et hybride
System Center 2012 R2 en environnement hétérogène et hybrideSystem Center 2012 R2 en environnement hétérogène et hybride
System Center 2012 R2 en environnement hétérogène et hybride
 
Rendez vos objets connectés intelligents avec la "Lambda architecture"
Rendez vos objets connectés intelligents avec la "Lambda architecture"Rendez vos objets connectés intelligents avec la "Lambda architecture"
Rendez vos objets connectés intelligents avec la "Lambda architecture"
 
Rendez vos objets connectés intelligents avec la "Lambda architecture"
Rendez vos objets connectés intelligents avec la "Lambda architecture"Rendez vos objets connectés intelligents avec la "Lambda architecture"
Rendez vos objets connectés intelligents avec la "Lambda architecture"
 
SQL Server sur Azure dans tous ses états !
SQL Server sur Azure dans tous ses états !SQL Server sur Azure dans tous ses états !
SQL Server sur Azure dans tous ses états !
 
SQL Server sur Azure dans tous ses états !
SQL Server sur Azure dans tous ses états !SQL Server sur Azure dans tous ses états !
SQL Server sur Azure dans tous ses états !
 

Plus de Microsoft Technet France

Plus de Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Sécurité Active Directory: Etablir un référentiel