Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
-
Upload
microsoft-technet-france -
Category
Technology
-
view
8.681 -
download
13
description
Transcript of Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
palais des congrès Paris
7, 8 et 9 février 2012
7 février 2012 Renaud DepagneMicrosoft Consulting Services
Active Directory en 2012 : les meilleures pratiques en design, sécurité et administration
Introduction
Historique d’Active Directory
SP1
Nombreuses améliorations de
sécuritéTombstone 180
joursGlisser/déplacer
Virtualisation avec Virtual Server
Annuaire basé sur Ldap, TcpIp, Dns et
Kerberos
ADAMAFDSIMU
RODCServer Core
Politiques de mot de passe
granulairesADMX
GP PreferencesDFS-R
Kerberos AES 256
Corbeille ADMSA
Offline domain joinAuthenticationMechi
sm Assurance
Active DirectoryWindows 2000
Windows Server 2008
Windows Server “8”
Windows Server 2008
R2
Réplication (granularité,
GC)
Commandes DS-
IFM
Renomination de DC et
de domaine
inetOrgPerson
GPMC
WMI filtering
Active DirectoryWindows 2000
Beta
1997 2003 2008 201220052000 2006 2010
Windows Server 2003 R2
Rôle d’Active DirectoryLieu central de stockage d’information d’identité et d’authentificationApporte l’authentification unique (SSO) aux utilisateurs dans le monde MicrosoftGère l’accès aux ressources (groupes de sécurité)Permet la gestion centralisée (GPO) des paramètres de configuration et de sécurité des utilisateurs et postesSupporte des applications basées sur l’annuaire (Exchange, …)
AvantagesA trouvé sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel)Pérenne : 99%+ des entreprises ont ADRobuste
Active Directory : à quoi ça sert ?
Culture centralisée ou non du pays où se trouve la direction générale du groupeAspect politique : exemple, participation d’un Etat dans le capital de telle entité appartenant au groupeSecteur d’activité : niveau de croissance externe passée et prévisibleStratégie business : différences de besoin de changement entre les différents métiers d’un grand groupeStratégie financière : chaque branche a sa propre forêt pour s’en séparer plus facilement
(Re)structurer AD : le business
La frontière de sécurité est la forêtLa forêt est la véritable frontière de sécurité, donc il faut autant de forêts que d’ensembles de confiance :
plusieurs équipes d’administrationContraintes légales ou réglementaires
Les pratiques de sécurité doivent être au même niveau (le plus élevé) dans les différents domaines d’une même forêtPlus le périmètre couvert par une seule forêt est important, plus la sécurité devient cruciale : par exemple, le temps de remise en route de la forêt en cas d’accident est crucial
Forêt dédiée pour les administrateurs pour les grandes entreprises particulièrement sensibles
(Re)structurer AD : la sécurité (1)
Il peut exister des contraintes fortes de protection de données (volonté, lois, …)L’administrateur d’un domaine peut se rendre administrateur de l’entreprise et avoir accès aux données de serveurs membres d’autres domainesSolutions :
Encrypter les données avec un mécanisme indépendant d’ADIsoler les serveurs sensibles et les postes par IPSecUtiliser RMS (Rights Management Services) pour l’accès aux documents (messages, …)Mettre les serveurs dans une forêt séparée
(Re)structurer AD : la sécurité (2)
ForêtLe moins de forêts possibles (une à trois par exemple)Forêt de ressources (ex.: Exchange) / forêt de comptes
DomainesPlus besoin de domaines pour avoir des stratégies de mot de passe différenciées depuis Windows Server 2008Le domaine a un impact sur le DNSDéplacer des utilisateurs est nettement plus simple avec des OUs
Consolidation des DCsCoûts (matériel, logiciel, opérations)
(Re)structurer AD : les coûts
Recommandation de prendre un sous-domaine du nom enregistré sur Internet (ex.: interne.contoso.com) :
Garantit l’unicité de nom en cas de fusion avec une autre société pour la mise en place de relation d’approbationNom FQDN unique sur Internet : facilite la mise en place de Direct AccessPour acquérir un certificat auprès d’un tiers, il faut être propriétaire du nom de domaine
Ne pas utiliser de nom avec un seul label (ex.: contoso)Avec Windows Server 2008 : avertissement à la créationWindows Server 2008 R2 refuse dcpromo avec un seul labelProblèmes possibles avec des applicationsL’utilisation des services Cloud (Office 365, …) n’est pas possible dans ce cas
Nom de domaine
Acquisition d’une société ou consolidation d’activité :
Les actifs entrant dans le cœur de métier rejoignent la forêt principaleLes actifs non-stratégiques peuvent rester dans leur propre forêt
Vente d’une entité ou externalisation d’activité
Si forêt dédiée, il suffit de couper les trustsSinon, suivant le contrat, migration nécessaire ou bien export des données de l’ADNe pas cloner les DCs (les SIDs doivent rester uniques)
AD et les mouvements d’entreprise
Les limites d’Active Directory :Peu de limites à considérer car elle sont très élevées :http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-scalability(WS.10).aspx
Néanmoins :Le nom FQDN ne doit pas dépasser 64 caractères…
Forêts hors-productionTest, validation, pré-productionGestion de ces environnementsConstruction :
Ne pas clonerExporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=14536
Recréer
Autres points à considérer
pour les sites non-sécurisés : agences, …Pas de réplication depuis un RODCSeuls des mots de passe de comptes (machines et utilisateurs) identifiés/autorisés sont stockés sur RODCAjout d’autres rôles possiblesL’administrateur du RODC n’est pas Domain AdminOption : BitLocker pour encrypter les données (logique puisque le RODC est dans un endroit non sécurisé)
RODC
Avantages :Réduit la surface d’attaqueDemande moins d’espace disque lors de l’installationSurtout : moins de patches à appliquer (environ 50%) et moins de rebootsIdéal pour pour DC + DNS
Inconvénient :Plus complexe à l’installation (les administrateurs Windows ne sont pas habitués) mais :
Bien documentéPowerShellhttp://coreconfig.codeplex.com
Exemple de scénario : RODC + BitLocker + CoreLa réduction du nombre de reboots dûs à des correctifs face à la nécessité d’entrer le code BitLocker
DC sur Windows Server Core
Permise surtout par l’évolution des réseaux Reste des cas justifiant des DCs distants (certains pays)Pourquoi réduire le nombre de DCs :
Réduction des coûtsAgilité de l’entrepriseFacilité à reconstruire la forêt en cas de nécessité
Réduction du nombre des DCs
Les DCs peuvent être virtualisés, mais c’est souvent le rôle auquel on pense en dernier, sauf pour les DCs d’agencesDocumentation technique sur http://
support.microsoft.com/kb/888794 Points de vigilance :
Les snapshots sont absolument interdits : utiliser les pass-through disksBien distinguer les rôles de l’administrateur des serveurs virtuels par rapport aux administrateurs ADGarder un DC physique
Virtualisation
Ne concerne pas que les DCsRègle Common Engineering Criteria : IP V6 activéLes produits Microsoft ne sont pas testés avec IP V6 désactivéDésactiver IP V6 reste supporté mais déconseilléRecommandation : laisser IP V6, mais prioriser IP V4Configuration (rebooter) : http://support.microsoft.com/kb/929852/en-usHKLM\System\CurrentControlSet\Services\Tcpip6\ParametersClé de registre à 0x20
IP V6 (1)
Quelques effets de la désactivation d’IPV6 sur AD :
Erreur lors du DCPROMO (problème RPC, erreur de connexion, échec de réplication initialE d’une base NTDS.DIT de taille importante)Erreur sur des requêtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;EN-US;816103Problème de réplications dans une forêt contenant un mix de DC 2003 et 2008Dans certain cas de figure, la désactivation de IPV6 fait que le DC n’écoute plus en IPV4 sur le port 389 (ldap)Autres à découvrir : qui veut essayer ? J
IP V6 (2)
Sécurité
2010-2011: attaques ciblées sur les entreprises exerçant dans des domaines sensiblesAttaques de type DHA (Determined Human Adversaries) encore appelées APT (Advanced Persistent Threats)Impact important pour les entreprises affectéesSécuriser Active Directory devient crucial pour les entreprisesLa sécurisation pour être efficace, doit intégrer les meilleures pratiques en administration
Pourquoi il est vital de sécuriser AD
Organiser la délégation d’administration selon les principes de moindre privilègeSéparer les comptes d’administration du service AD et ceux du contenu d’ADL’importance des privilèges doit être inversement proportionnelle au périmètre d’interventionRéduire les comptes privilégiés au strict minimumLes groupes privilégiés sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilégiés sont nominatifs et différents des comptes utilisés pour le travail standard (chaque compte devant être rigoureusement utilisé pour son rôle)
Délégation d’administration (1)
« Best Practices for Delegating Active Directory Administration » est toujours la référence (date de 2003) http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21678
Et appendices : http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20for%20Delegating%20Active%20Directory%20Administration%3A%20Appendices
Demande un travail importantNe garantit pas la protection contre un attaquant
Délégation d’administration (2)
Les postes des DA sont dans une OU dédiéeLes comptes Domain Admins ne doivent pas s’authentifier sur les serveurs et postes standards, mais seulement sur quelques machines dédiées
Pas d’utilisation d’Internet sur ces machinesGPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont dédiées
Mots de passe différents pour chaque compte administrateur local de serveur ou poste
Recommandations (1)
Compartimentaliser par ensemble de criticité :Isoler les serveurs membres critiques (Exchange, …) dans une OU avec des comptes administrateurs dédié
Les utilisateurs ne doivent pas être administrateurs de leur posteAvancer sur une démarche RBAC (Rôle Based Access Control)Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager)Rendre faciles les bonnes pratiques et difficiles les mauvaises
Recommandations (2)
Patcher les DCs et tous les serveurs et postes le plus tôt possible (se protéger contre les exploits zero-day)Patcher hors Microsoft (applications, autres systèmes, …) :
Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise riskGartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available
Eliminer les systèmes anciensCompartimentaliser par niveau de criticité dans des OUs :
Serveurs critiques (Exchange, …), moins critiques, …
Mots de passe différents pour chaque compte administrateur local de serveur ou poste
Recommandations (3)
Difficile de repérer une attaque DHA, mais possibleLes comptes privilégiés d’AD sont un moyen pour atteindre les données sensiblesLes comptes VIP sont aussi visés car ils ont accès aux données vitalesIl faut pouvoir déterminer qui a fait quoi sur quel objet à quel momentSurveillance particulière des comptes ou objets sensibles (qui s’authentifie)Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment l’authentification)
Monitoring et traçabilité
Les administrateurs AD depuis leur station d’administration passent par un serveur de rebond :
Administration des DCs
MMCRDP
RDP RDP
Serveursde rebond
Admins et leur stationd’administration
Contrôleursde domaine
Pour les grandes entreprises les plus sensiblesCréer une nouvelle forêt avec seulement les comptes d’administrationRelation d’approbation de forêt unidirectionnelle avec authentification sélectiveLes administrateurs gèrent de manière autonome leur forêt (supervision, gestion des correctifs, …)Les comptes DA de la forêt de production ne sont plus utilisés
Forêt d’administration (1)
Forêt d’administration
Forêt d’administration (2)
Relation d’approbation Authentification sélective
Introduction à ADSA-R
Active Directory Service Security Assessment and Remediation :
Processus d’évaluation et de remédiation de la sécurité de votre référentiel d’identités Active Directory couvrant aussi bien son infrastructure technique que ses opérations de gestion
Vue d’ensemble d’ADSA-R
Principales activités1. Découverte de votre environnement Active Directory et
évaluation de sa sécurité sous un angle technique et opérationnel
2. Définition du plan de remédiation au regard des résultats de l’évaluation de la sécurité
3. Mise en œuvre du plan de remédiation en fonction de vos priorités
PFE + Itops + MCS Itops + MCS + VOUS
PFE + Itops + MCSWorkshops de découverte de l’environnement en présence du responsable sécurité et des responsables informatiques.Compréhension et analyse des processus organisationnels liés à la gestion de vos Active DirectoryAnalyse, identification des remédiations immédiates et futuresConstruction d’un plan de remédiationWorkshop de restitution : vue techniqueWorkshop de restitution vue « responsable informatique »
Itops + MCS + VOUSMise en œuvre du plan de remédiation (pour les projets retenus)
ADSA-R : Périmètre
Nouveau type de compte de domaine (msDS-ManagedServiceAccount) pour remplacer les comptes de service traditionnels :
Mot de passe de 240 caractères généré automatiquementChangement de mot de passe automatique (30 jours par défaut)Gestion des SPN simplifiés (si niveau fonctionnel de domaine = Windows Server 2008 R2)Attaché à un serveurNest pas soumis à la politique de mot de passe du domaine, ou granulaire (fine-grained password policy)Ne peut pas être bloqué, ni utilisé pour une authentification interactiveDans CN=Managed Service Accounts, DC=, DC=Gestion avec PowerShell
Managed Service Accounts
Nécessité de disposer de procédures de reconstruction de la forêt Active Directory :
Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id=16506 pour réaliser une procédure de reconstruction adaptée au contexte de l’entrepriseMettre à jour cette procédure si besoinLa dérouler au moins une fois par an en pré-production
Sites avec réplication différée :Peuvent rendre service pour restaurer des objetsMais effets de bord possiblesPas supporté comme procédure de récupération d’Active DirectoryA garder si vous les utilisez, sinon ne pas chercher à le faire
Récupération après sinistre (DRP)
Tenir à jour un inventaire centralisé et accessible des dépendances des applications et serveurs vis-à-vis de l’infra AD :
Extensions de schemaComptes utilisateursComptes de servicePermissions, flux
Chaque application doit avoir un responsable métier en plus du responsable informatique
Prévention
Prestation d’audit d’une forêt : 850 contrôlesRéalisée par un PFE (Premier Field Engineer) Microsoft habilité (10 en France)Actuellement réservé aux clients ayant un contrat de support Microsoft PremierNécessite de pouvoir accéder à tous les DCsRapport d’auditPlan de remédiation à mettre en œuvreOutil laissé à libre usage durant 18 mois pour le lancement des tests et indéfiniment pour consultation
AD-RAP : définition
AD-RAP : Le top ten des anomalies
Lingering objectsRéplication AD ou/et SYSVOLJournal Wrap FRSInconsistance des enregistrement DNS ou mauvaise adresse IP d’un DNS ou ForwarderPas de Backup du System State…
AD-RAP : autres anomalies
DesignFaire simple, mais prendre en compte les recommandations pour définir la structure AD répondant le mieux aux besoins de l’entreprise avec son contexte et ses besoins
SécuritéDevient la préoccupation majeureTechnique + conduire des opérationsAudit de sécurité AD : ADSA-R, …
AdministrationImportance des procédures de DRPAudit technique AD : ADRAP
Les points à retenir