Remove From My Forums

Security question in Active directory

Question

2

Connectez-vous pour voter

Hello

I'm working on our current Active Directory (windows server 2012R2) architecture and I have some questions about security.

A) Some of our domain admin use the same account (personal one) to open a session on their laptop or to administer the domain. Is this a good practice? I think it is a risk. What if the laptop get corrupted or infected by a virus. Can this have a potential effect on the domain?

B) We have in our Active directory some groups that give access to application or give admin right on some computers. I'm surprised that this group are public by default. Every connected user to active directory can see the group. Is this a good practice? I’ve read that hiding object in on active directory is not a good idea. What do you think about that?

Thank you in advance.

Best regards

Thomas

lundi 30 avril 2018 15:48

Réponse

|

Citation

Réponses

2

Connectez-vous pour voter
Hello,

A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.

Avec le logiciel MIMIKATZ on peut recuperer les identifiants.

Cela s'appel une attaque : pass the hash

https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/

La bonne pratique consite a utiliser deux comptes utilisateurs

_Admin de domaine

_utilisateur de domaine

B. je ne comprends pas bien la question B...

cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)

Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jerome SANCHEZ (sanio74) mardi 1 mai 2018 13:28
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
lundi 30 avril 2018 15:54

Réponse

|

Citation

2

Connectez-vous pour voter
Bonjour,

Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :

-Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine

-Sur les servuers membre un autre compte du domaine admin local

-Sur les DC des comptes admins du domaine.

2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.
Merci de marquer comme reponses les interventions qui vous ont ete utile.
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
mardi 1 mai 2018 01:44

Réponse

|

Citation

2

Connectez-vous pour voter
Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.

Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).

J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO.

J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine

L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.
- Modifié Philippe BarthMVP, Moderator mardi 1 mai 2018 11:49
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
mardi 1 mai 2018 11:48

Réponse

|

Citation

Modérateur

Toutes les réponses

2

Connectez-vous pour voter
Hello,

A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.

Avec le logiciel MIMIKATZ on peut recuperer les identifiants.

Cela s'appel une attaque : pass the hash

https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/

La bonne pratique consite a utiliser deux comptes utilisateurs

_Admin de domaine

_utilisateur de domaine

B. je ne comprends pas bien la question B...

cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)

Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jerome SANCHEZ (sanio74) mardi 1 mai 2018 13:28
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
lundi 30 avril 2018 15:54

Réponse

|

Citation

2

Connectez-vous pour voter
Bonjour,

Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :

-Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine

-Sur les servuers membre un autre compte du domaine admin local

-Sur les DC des comptes admins du domaine.

2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.
Merci de marquer comme reponses les interventions qui vous ont ete utile.
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
mardi 1 mai 2018 01:44

Réponse

|

Citation

2

Connectez-vous pour voter
Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.

Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).

J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO.

J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine

L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.
- Modifié Philippe BarthMVP, Moderator mardi 1 mai 2018 11:49
- Proposé comme réponse Jerome SANCHEZ (sanio74) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
mardi 1 mai 2018 11:48

Réponse

|

Citation

Modérateur

1

Connectez-vous pour voter

<abbr class="affil"></abbr>Merci Sanio74,

Pour la question A, je la reformule en français car ce n'est pas exactement la question que je me pose.

Dans notre organisation il y a plusieurs personnes qui sont membres du groupe Domain Admin.

Avec leur compte personnel ils peuvent donc se connecter sur leur portable ou leur station de travail où ils sont admin local et en même temps avoir des droits sur le domaine car ils sont membres de Domain Admin.

Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas et je n'arrive pas à trouver de document microsoft sur les bonnes pratiques (i.e comment faire quand on a plusieurs Administrateur du domaine pour pouvoir identifier qui a fait quoi sans compromettre le niveau de sécurité ce qui me semble être le cas dans la solution évoquée ci-dessus )

Pour la question B elle n'est plus d'actualité . Merci

lundi 7 mai 2018 16:46

Réponse

|

Citation

1

Connectez-vous pour voter

Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas

Comme déja expliqué ce n'est pas une bonne chose que les comptes pour l'utilisation quotidienne dispose de droit étendu. Même pour l'administrateur du domaine, il devrait avoir un compte utilisateur et un compte administrateur différent. L'idéal est séparer les rôles :

- utilisateurs

- administrateur de poste de travail

- administrateur de domaine

et même si c'est la même personne qui gère les différents éléments.

lundi 7 mai 2018 17:29

Réponse

|

Citation

Modérateur

Produits

Resources

Solutions

Mises à jour

Évaluations

Sites connexes

Formation

Certifications

Autres ressources

Support TechNet

Autres liens

Pas un pro ?

Meilleur auteur de réponses

Security question in Active directory

Question

Réponses

Toutes les réponses