Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
 

Like this? Share it with your network

Share

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

on

  • 5,894 views

Les recommandations ont changé depuis Windows 2000 avec l’apport de nouvelles fonctionnalités et la nécessité de répondre à de nouvelles contraintes : • Les choix d’architecture en ...

Les recommandations ont changé depuis Windows 2000 avec l’apport de nouvelles fonctionnalités et la nécessité de répondre à de nouvelles contraintes : • Les choix d’architecture en fonction de la stratégie de l’entreprise et de son secteur d’activité • Placement, déploiement et consolidation des Contrôleurs de Domaine, apports du RODC et de Windows Server Core Edition • Virtualisation : les précautions à prendre • Réseau : DNS, IPV6, IPSEC • Monitoring, traçabilité, protection des données et des services sur lesquels l’annuaire s’appuie • Pourquoi et comment il faut vraiment sécuriser votre annuaire Active Directory • Délégation d’administration et sécurisation des comptes privilégiés, les nouvelles approches • Prestations d’audit du Support Microsoft : ADRAP, ADSA, … et plans de remédiation • Solutions d’interopérabilité : forest trusts, ADFS • Nouvelles solutions d’administration (PowerShell, nouvelle console, …) • Importance des process d’administration autour d’Active Directory • Sauvegarde et DRP Cette session sera l'occasion de faire un état des lieux et de passer en revue ces différentes evolutions et leurs impacts

Statistics

Views

Total Views
5,894
Views on SlideShare
5,894
Embed Views
0

Actions

Likes
0
Downloads
172
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration Presentation Transcript

  • 1. palais descongrèsParis7, 8 et 9février 2012
  • 2. Active Directory en 2012 :les meilleures pratiques endesign, sécurité etadministration 7 février 2012 Renaud Depagne Microsoft Consulting Services
  • 3. Introduction
  • 4. Historique d’Active Directory
  • 5. Active Directory : à quoi ça sert? Rôle d’Active Directory Lieu central de stockage d’information d’identité et d’authentification Apporte l’authentification unique (SSO) aux utilisateurs dans le monde Microsoft Gère l’accès aux ressources (groupes de sécurité) Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postes Supporte des applications basées sur l’annuaire (Exchange, …) Avantages A trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Pérenne : 99%+ des entreprises ont AD Robuste
  • 6. (Re)structurer AD : le business Culture centralisée ou non du pays où se trouve la direction générale du groupe Aspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupe Secteur d’activité : niveau de croissance externe passée et prévisible Stratégie business : différences de besoin de changement entre les différents métiers d’un grand groupe Stratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
  • 7. (Re)structurer AD : la sécurité(1) La frontière de sécurité est la forêt La forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance : plusieurs équipes d’administration Contraintes légales ou réglementaires Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêt Plus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
  • 8. (Re)structurer AD : la sécurité(2) Il peut exister des contraintes fortes de protection de données (volonté, lois, …) L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domaines Solutions : Encrypter les données avec un mécanisme indépendant d’AD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …) Mettre les serveurs dans une forêt séparée
  • 9. (Re)structurer AD : les coûts Forêt Le moins de forêts possibles (une à trois par exemple) Forêt de ressources (ex.: Exchange) / forêt de comptes Domaines Plus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008 Le domaine a un impact sur le DNS Déplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Coûts (matériel, logiciel, opérations)
  • 10. Nom de domaine Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) : Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine Ne pas utiliser de nom avec un seul label (ex.: contoso) Avec Windows Server 2008 : avertissement à la création Windows Server 2008 R2 refuse dcpromo avec un seul label Problèmes possibles avec des applications
  • 11. AD et les mouvementsd’entreprise Acquisition d’une société ou consolidation d’activité : Les actifs entrant dans le cœur de métier rejoignent la forêt principale Les actifs non-stratégiques peuvent rester dans leur propre forêt Vente d’une entité ou externalisation d’activité Si forêt dédiée, il suffit de couper les trusts Sinon, suivant le contrat, migration nécessaire ou bien export des données de l’AD Ne pas cloner les DCs (les SIDs doivent rester uniques)
  • 12. Autres points à considérer Les limites d’Active Directory : Peu de limites à considérer car elle sont très élevées : http://technet.microsoft.com/en-us/library/active-directory-maximum-limits- scalability(WS.10).aspx Néanmoins : Le nom FQDN ne doit pas dépasser 64 caractères … Forêts hors-production Test, validation, pré-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453 6 Recréer
  • 13. RODC pour les sites non-sécurisés : agences, … Pas de réplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODC Ajout d’autres rôles possibles L’administrateur du RODC n’est pas Domain Admin Option : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
  • 14. DC sur Windows Server Core Avantages : Réduit la surface d’attaque Demande moins d’espace disque lors de l’installation Surtout : moins de patches à appliquer (environ 50%) et moins de reboots Idéal pour pour DC + DNS Inconvénient : Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais : Bien documenté PowerShell http://coreconfig.codeplex.com Exemple de scénario : RODC + BitLocker + Core La réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
  • 15. Réduction du nombre des DCs Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi réduire le nombre de DCs : Réduction des coûts Agilité de l’entreprise Facilité à reconstruire la forêt en cas de nécessité
  • 16. Virtualisation Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agences Documentation technique sur http://support.microsoft.com/kb/888794 Points de vigilance : Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
  • 17. IP V6 (1) Ne concerne pas que les DCs Règle Common Engineering Criteria : IP V6 activé Les produits Microsoft ne sont pas testés avec IP V6 désactivé Désactiver IP V6 reste supporté mais déconseillé Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-us HKLMSystemCurrentControlSetServicesTcpip6Param eters
  • 18. IP V6 (2) Quelques effets de la désactivation d’IPV6 sur AD : Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante) Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN- US;816103 Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)
  • 19. Sécurité
  • 20. Pourquoi il est vital desécuriser AD 2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats) Impact important pour les entreprises affectées Sécuriser Active Directory devient crucial pour les entreprises La sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
  • 21. Délégation d’administration (1) Organiser la délégation d’administration selon les principes de moindre privilège Séparer les comptes d’administration du service AD et ceux du contenu d’AD L’importance des privilèges doit être inversement proportionnelle au périmètre d’intervention Réduire les comptes privilégiés au strict minimum Les groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
  • 22. Délégation d’administration (2) « Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167 8 Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20 for%20Delegating%20Active%20Directory%20Administration%3A%20Append ices Demande un travail important Ne garantit pas la protection contre un attaquant
  • 23. Recommandations (1) Les postes des DA sont dans une OU dédiée Les comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées Pas d’utilisation d’Internet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 24. Recommandations (2) Compartimentaliser par ensemble de criticité : Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié Les utilisateurs ne doivent pas être administrateurs de leur poste Avancer sur une démarche RBAC (Rôle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
  • 25. Recommandations (3) Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systèmes, …) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systèmes anciens Compartimentaliser par niveau de criticité dans des OUs : Serveurs critiques (Exchange, …), moins critiques, … Mots de passe différents pour chaque compte administrateur local de serveur ou poste
  • 26. Monitoring et traçabilité Difficile de repérer une attaque DHA, mais possible Les comptes privilégiés d’AD sont un moyen pour atteindre les données sensibles Les comptes VIP sont aussi visés car ils ont accès aux données vitales Il faut pouvoir déterminer qui a fait quoi sur quel objet à quel moment Surveillance particulière des comptes ou objets sensibles (qui s’authentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
  • 27. Administration des DCs Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
  • 28. Forêt d’administration (1) Pour les grandes entreprises les plus sensibles Créer une nouvelle forêt avec seulement les comptes d’administration Relation d’approbation de forêt unidirectionnelle avec authentification sélective Les administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …) Les comptes DA de la forêt de production ne sont plus utilisés
  • 29. Forêt d’administration (2) Relation d’approbation Authentification sélective Forêt d’administration
  • 30. Introduction à ADSA-R
  • 31. Vue d’ensemble d’ADSA-R Active Directory Service Security Assessment and Remediation : Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion PFE + Itops + MCS Itops + MCS + VOUS Principales activités 1. Découverte de votre environnement Active Directory et évaluation de sa sécurité sous un angle technique et opérationnel 2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité 3. Mise en œuvre du plan de remédiation en fonction de vos priorités
  • 32. ADSA-R : Périmètre PFE + Itops + MCS Workshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques. Compréhension et analyse des processus organisationnels liés à la gestion de vos Active Directory Analyse, identification des remédiations immédiates et futures Construction d’un plan de remédiation Workshop de restitution : vue technique Workshop de restitution vue « responsable informatique » Itops + MCS + VOUS Mise en œuvre du plan de remédiation (pour les projets retenus)
  • 33. Managed Service Accounts Nouveau type de compte de domaine (msDS- ManagedServiceAccount) pour remplacer les comptes de service traditionnels : Mot de passe de 240 caractères généré automatiquement Changement de mot de passe automatique (30 jours par défaut) Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attaché à un serveur Nest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas être bloqué, ni utilisé pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell
  • 34. Récupération après sinistre(DRP) Nécessité de disposer de procédures de reconstruction de la forêt Active Directory : Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id= 16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entreprise Mettre à jour cette procédure si besoin La dérouler au moins une fois par an en pré-production Sites avec réplication différée : Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas supporté comme procédure de récupération d’Active Directory A garder si vous les utilisez, sinon ne pas chercher à le faire
  • 35. Prévention Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis- à-vis de l’infra AD : Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable métier en plus du responsable informatique
  • 36. AD-RAP : définition Prestation d’audit d’une forêt : 850 contrôles Réalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France) Actuellement réservé aux clients ayant un contrat de support Microsoft Premier Nécessite de pouvoir accéder à tous les DCs Rapport d’audit Plan de remédiation à mettre en œuvre Outil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
  • 37. AD-RAP : Le top ten desanomalies
  • 38. AD-RAP : autres anomalies Lingering objects Réplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou Forwarder Pas de Backup du System State …
  • 39. Les points à retenir Design Faire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins Sécurité Devient la préoccupation majeure Technique + conduire des opérations Audit de sécurité AD : ADSA-R, … Administration Importance des procédures de DRP Audit technique AD : ADRAP
  • 40. Mercirdepagne@microsoft.comhttp://blogs.technet.com/rdepagnehttp://www.mstechdays.fr