palais des congrès Paris

7, 8 et 9 février 2012

7 février 2012 Renaud DepagneMicrosoft Consulting Services

Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration

Introduction

Historique d’Active Directory

SP1

Nombreuses améliorations de

sécuritéTombstone 180

joursGlisser/déplacer

Virtualisation avec Virtual Server

Annuaire basé sur Ldap, TcpIp, Dns et

Kerberos

ADAMAFDSIMU

RODCServer Core

Politiques de mot de passe

granulairesADMX

GP PreferencesDFS-R

Kerberos AES 256

Corbeille ADMSA

Offline domain joinAuthenticationMechi

sm Assurance

Active DirectoryWindows 2000

Windows Server 2008

Windows Server “8”

Windows Server 2008

R2

Réplication (granularité,

GC)

Commandes DS-

IFM

Renomination de DC et

de domaine

inetOrgPerson

GPMC

WMI filtering

Active DirectoryWindows 2000

Beta

1997 2003 2008 201220052000 2006 2010

Windows Server 2003 R2

Rôle d’Active DirectoryLieu central de stockage d’information d’identité et d’authentificationApporte l’authentification unique (SSO) aux utilisateurs dans le monde MicrosoftGère l’accès aux ressources (groupes de sécurité)Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postesSupporte des applications basées sur l’annuaire (Exchange, …)

AvantagesA trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel)Pérenne : 99%+ des entreprises ont ADRobuste

Active Directory : à quoi ça sert ?

Culture centralisée ou non du pays où se trouve la direction générale du groupeAspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupeSecteur d’activité : niveau de croissance externe passée et prévisibleStratégie business : différences de besoin de changement entre les différents métiers d’un grand groupeStratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement

(Re)structurer AD : le business

La frontière de sécurité est la forêtLa forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance :

plusieurs équipes d’administrationContraintes légales ou réglementaires

Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêtPlus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial

Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles

(Re)structurer AD : la sécurité (1)

Il peut exister des contraintes fortes de protection de données (volonté, lois, …)L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domainesSolutions :

Encrypter les données avec un mécanisme indépendant d’ADIsoler les serveurs sensibles et les postes par IPSecUtiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …)Mettre les serveurs dans une forêt séparée

(Re)structurer AD : la sécurité (2)

ForêtLe moins de forêts possibles (une à trois par exemple)Forêt de ressources (ex.: Exchange) / forêt de comptes

DomainesPlus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008Le domaine a un impact sur le DNSDéplacer des utilisateurs est nettement plus simple avec des OUs

Consolidation des DCsCoûts (matériel, logiciel, opérations)

(Re)structurer AD : les coûts

Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) :

Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbationNom FQDN unique sur Internet : facilite la mise en place de Direct AccessPour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine

Ne pas utiliser de nom avec un seul label (ex.: contoso)Avec Windows Server 2008 : avertissement à la créationWindows Server 2008 R2 refuse dcpromo avec un seul labelProblèmes possibles avec des applicationsL’utilisation des services Cloud (Office 365, …) n’est pas possible dans ce cas

Nom de domaine

Acquisition d’une société ou consolidation d’activité :

Les actifs entrant dans le cœur de métier rejoignent la forêt principaleLes actifs non-stratégiques peuvent rester dans leur propre forêt

Vente d’une entité ou externalisation d’activité

Si forêt dédiée, il suffit de couper les trustsSinon, suivant le contrat, migration nécessaire ou bien export des données de l’ADNe pas cloner les DCs (les SIDs doivent rester uniques)

AD et les mouvements d’entreprise

Les limites d’Active Directory :Peu de limites à considérer car elle sont très élevées :http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(WS.10).aspx

Néanmoins :Le nom FQDN ne doit pas dépasser 64 caractères…

Forêts hors-productionTest, validation, pré-productionGestion de ces environnementsConstruction :

Ne pas clonerExporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=14536

Recréer

Autres points à considérer

pour les sites non-sécurisés : agences, …Pas de réplication depuis un RODCSeuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODCAjout d’autres rôles possiblesL’administrateur du RODC n’est pas Domain AdminOption : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)

RODC

Avantages :Réduit la surface d’attaqueDemande moins d’espace disque lors de l’installationSurtout : moins de patches à appliquer (environ 50%) et moins de rebootsIdéal pour pour DC + DNS

Inconvénient :Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais :

Bien documentéPowerShellhttp://coreconfig.codeplex.com

Exemple de scénario : RODC + BitLocker + CoreLa réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker

DC sur Windows Server Core

Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays)Pourquoi réduire le nombre de DCs :

Réduction des coûtsAgilité de l’entrepriseFacilité à reconstruire la forêt en cas de nécessité

Réduction du nombre des DCs

Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agencesDocumentation technique sur http://

support.microsoft.com/kb/888794 Points de vigilance :

Les snapshots sont absolument interdits : utiliser les pass-through disksBien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs ADGarder un DC physique

Virtualisation

Ne concerne pas que les DCsRègle Common Engineering Criteria : IP V6 activéLes produits Microsoft ne sont pas testés avec IP V6 désactivéDésactiver IP V6 reste supporté mais déconseilléRecommandation : laisser IP V6, mais prioriser IP V4Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-usHKLM\System\CurrentControlSet\Services\Tcpip6\ParametersClé de registre à 0x20

IP V6 (1)

Quelques effets de la désactivation d’IPV6 sur AD :

Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante)Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN-US;816103Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)Autres à découvrir : qui veut essayer ? J

IP V6 (2)

Sécurité

2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensiblesAttaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats)Impact important pour les entreprises affectéesSécuriser Active Directory devient crucial pour les entreprisesLa sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration

Pourquoi il est vital de sécuriser AD

Organiser la délégation d’administration selon les principes de moindre privilègeSéparer les comptes d’administration du service AD et ceux du contenu d’ADL’importance des privilèges doit être inversement proportionnelle au périmètre d’interventionRéduire les comptes privilégiés au strict minimumLes groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)

Délégation d’administration (1)

« Best Practices for Delegating Active Directory Administration  » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21678

Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20for%20Delegating%20Active%20Directory%20Administration%3A%20Appendices

Demande un travail importantNe garantit pas la protection contre un attaquant

Délégation d’administration (2)

Les postes des DA sont dans une OU dédiéeLes comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées

Pas d’utilisation d’Internet sur ces machinesGPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées

Mots de passe différents pour chaque compte administrateur local de serveur ou poste

Recommandations (1)

Compartimentaliser par ensemble de criticité :Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié

Les utilisateurs ne doivent pas être administrateurs de leur posteAvancer sur une démarche RBAC (Rôle Based Access Control)Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager)Rendre faciles les bonnes pratiques et difficiles les mauvaises

Recommandations (2)

Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day)Patcher hors Microsoft (applications, autres systèmes, …) :

Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise riskGartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available

Eliminer les systèmes anciensCompartimentaliser par niveau de criticité dans des OUs :

Serveurs critiques (Exchange, …), moins critiques, …

Mots de passe différents pour chaque compte administrateur local de serveur ou poste

Recommandations (3)

Difficile de repérer une attaque DHA, mais possibleLes comptes privilégiés d’AD sont un moyen pour atteindre les données sensiblesLes comptes VIP sont aussi visés car ils ont accès aux données vitalesIl faut pouvoir déterminer qui a fait quoi sur quel objet à quel momentSurveillance particulière des comptes ou objets sensibles (qui s’authentifie)Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)

Monitoring et traçabilité

Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :

Administration des DCs

MMCRDP

RDP RDP

Serveursde rebond

Admins et leur stationd’administration

Contrôleursde domaine

Pour les grandes entreprises les plus sensiblesCréer une nouvelle forêt avec seulement les comptes d’administrationRelation d’approbation de forêt unidirectionnelle avec authentification sélectiveLes administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …)Les comptes DA de la forêt de production ne sont plus utilisés

Forêt d’administration (1)

Forêt d’administration

Forêt d’administration (2)

Relation d’approbation Authentification sélective

Introduction à ADSA-R

Active Directory Service Security Assessment and Remediation :

Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion

Vue d’ensemble d’ADSA-R

Principales activités1. Découverte de votre environnement Active Directory et

évaluation de sa sécurité sous un angle technique et opérationnel

2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité

3. Mise en œuvre du plan de remédiation en fonction de vos priorités

PFE + Itops + MCS Itops + MCS + VOUS

PFE + Itops + MCSWorkshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques.Compréhension et analyse des processus organisationnels liés à la gestion de vos Active DirectoryAnalyse, identification des remédiations immédiates et futuresConstruction d’un plan de remédiationWorkshop de restitution : vue techniqueWorkshop de restitution vue « responsable informatique »

Itops + MCS + VOUSMise en œuvre du plan de remédiation (pour les projets retenus)

ADSA-R : Périmètre

Nouveau type de compte de domaine (msDS-ManagedServiceAccount) pour remplacer les comptes de service traditionnels :

Mot de passe de 240 caractères généré automatiquementChangement de mot de passe automatique (30 jours par défaut)Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2)Attaché à un serveurNest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy)Ne peut pas être bloqué, ni utilisé pour une authentification interactiveDans CN=Managed Service Accounts, DC=, DC=Gestion avec PowerShell

Managed Service Accounts

Nécessité de disposer de procédures de reconstruction de la forêt Active Directory :

Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id=16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entrepriseMettre à jour cette procédure si besoinLa dérouler au moins une fois par an en pré-production

Sites avec réplication différée :Peuvent rendre service pour restaurer des objetsMais effets de bord possiblesPas supporté comme procédure de récupération d’Active DirectoryA garder si vous les utilisez, sinon ne pas chercher à le faire

Récupération après sinistre (DRP)

Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis-à-vis de l’infra AD :

Extensions de schemaComptes utilisateursComptes de servicePermissions, flux

Chaque application doit avoir un responsable métier en plus du responsable informatique

Prévention

Prestation d’audit d’une forêt : 850 contrôlesRéalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France)Actuellement réservé aux clients ayant un contrat de support Microsoft PremierNécessite de pouvoir accéder à tous les DCsRapport d’auditPlan de remédiation à mettre en œuvreOutil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation

AD-RAP : définition

AD-RAP : Le top ten des anomalies

Lingering objectsRéplication AD ou/et SYSVOLJournal Wrap FRSInconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou ForwarderPas de Backup du System State…

AD-RAP : autres anomalies

DesignFaire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins

SécuritéDevient la préoccupation majeureTechnique + conduire des opérationsAudit de sécurité AD : ADSA-R, …

AdministrationImportance des procédures de DRPAudit technique AD : ADRAP

Les points à retenir

Merci

rdepagne@microsoft.comhttp://blogs.technet.com/rdepagne

http://www.mstechdays.fr