Meilleur auteur de réponses
Security question in Active directory

Question
-
Hello
I'm working on our current Active Directory (windows server 2012R2) architecture and I have some questions about security.
A) Some of our domain admin use the same account (personal one) to open a session on their laptop or to administer the domain. Is this a good practice? I think it is a risk. What if the laptop get corrupted or infected by a virus. Can this have a potential effect on the domain?
B) We have in our Active directory some groups that give access to application or give admin right on some computers. I'm surprised that this group are public by default. Every connected user to active directory can see the group. Is this a good practice? I’ve read that hiding object in on active directory is not a good idea. What do you think about that?
Thank you in advance.
Best regards
Thomas
Réponses
-
Hello,
A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.
Avec le logiciel MIMIKATZ on peut recuperer les identifiants.
Cela s'appel une attaque : pass the hash
https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/
La bonne pratique consite a utiliser deux comptes utilisateurs
_Admin de domaine
_utilisateur de domaine
B. je ne comprends pas bien la question B...
cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)
Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jérôme Sanchez (BLUEINFO) mardi 1 mai 2018 13:28
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
-
Bonjour,
Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :
-Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine
-Sur les servuers membre un autre compte du domaine admin local
-Sur les DC des comptes admins du domaine.
2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.
Merci de marquer comme reponses les interventions qui vous ont ete utile.
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
-
Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.
Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).
J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO.
J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine
L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.
- Modifié Philippe BarthMVP, Moderator mardi 1 mai 2018 11:49
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
Toutes les réponses
-
Hello,
A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.
Avec le logiciel MIMIKATZ on peut recuperer les identifiants.
Cela s'appel une attaque : pass the hash
https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/
La bonne pratique consite a utiliser deux comptes utilisateurs
_Admin de domaine
_utilisateur de domaine
B. je ne comprends pas bien la question B...
cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)
Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème
- Modifié Jérôme Sanchez (BLUEINFO) mardi 1 mai 2018 13:28
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
-
Bonjour,
Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :
-Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine
-Sur les servuers membre un autre compte du domaine admin local
-Sur les DC des comptes admins du domaine.
2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.
Merci de marquer comme reponses les interventions qui vous ont ete utile.
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
-
Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.
Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).
J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO.
J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine
L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.
- Modifié Philippe BarthMVP, Moderator mardi 1 mai 2018 11:49
- Proposé comme réponse Jérôme Sanchez (BLUEINFO) mercredi 2 mai 2018 18:38
- Marqué comme réponse Philippe BarthMVP, Moderator mardi 22 mai 2018 14:54
-
<abbr class="affil"></abbr>Merci Sanio74,
Pour la question A, je la reformule en français car ce n'est pas exactement la question que je me pose.
Dans notre organisation il y a plusieurs personnes qui sont membres du groupe Domain Admin.
Avec leur compte personnel ils peuvent donc se connecter sur leur portable ou leur station de travail où ils sont admin local et en même temps avoir des droits sur le domaine car ils sont membres de Domain Admin.
Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas et je n'arrive pas à trouver de document microsoft sur les bonnes pratiques (i.e comment faire quand on a plusieurs Administrateur du domaine pour pouvoir identifier qui a fait quoi sans compromettre le niveau de sécurité ce qui me semble être le cas dans la solution évoquée ci-dessus )
Pour la question B elle n'est plus d'actualité . Merci
-
Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas
Comme déja expliqué ce n'est pas une bonne chose que les comptes pour l'utilisation quotidienne dispose de droit étendu. Même pour l'administrateur du domaine, il devrait avoir un compte utilisateur et un compte administrateur différent. L'idéal est séparer les rôles :
- utilisateurs
- administrateur de poste de travail
- administrateur de domaine
et même si c'est la même personne qui gère les différents éléments.