none
Security question in Active directory

    Question

  • Hello

    I'm working on our current Active Directory (windows server 2012R2) architecture and I have some questions about security.

    A) Some of our domain admin use the same account (personal one) to open a session on their laptop or to administer the domain. Is this a good practice? I think it is a risk. What if the laptop get corrupted or infected by a virus. Can this have a potential effect on the domain?

    B) We have in our Active directory some groups that give access to application or give admin right on some computers. I'm surprised that this group are public by default. Every connected user to active directory can see the group. Is this a good practice? I’ve read that hiding object in on active directory is not a good idea. What do you think about that?

    Thank you in advance.

    Best regards

    Thomas

    lundi 30 avril 2018 15:48

Réponses

  • Hello,

    A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.

    Avec le logiciel MIMIKATZ on peut recuperer les identifiants.

    Cela s'appel une attaque : pass the hash

    https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/

    La bonne pratique consite a utiliser deux comptes utilisateurs

    _Admin de domaine

    _utilisateur de domaine

    B. je ne comprends pas bien la question B...

    cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)


    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème





    lundi 30 avril 2018 15:54
  • Bonjour,

    Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :

    -Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine

    -Sur les servuers membre un autre compte du domaine admin local

    -Sur les DC des comptes admins du domaine.

    2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 1 mai 2018 01:44
  • Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.

    Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).

    J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO. 

    J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine

    L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.


    mardi 1 mai 2018 11:48
    Modérateur

Toutes les réponses

  • Hello,

    A. il ne faut pas se connecter sur les postes de travail avec le compte admin du domaine.

    Avec le logiciel MIMIKATZ on peut recuperer les identifiants.

    Cela s'appel une attaque : pass the hash

    https://anothermicrosoftblog.wordpress.com/2017/08/16/protect-against-pass-the-hash/

    La bonne pratique consite a utiliser deux comptes utilisateurs

    _Admin de domaine

    _utilisateur de domaine

    B. je ne comprends pas bien la question B...

    cependant la bonne pratique consitste a permettre / voir seulement ce qui est necessaire dans le reseau (en general)


    Donnez des informations sur vos environnements ainsi que les codes erreurs. S'il vous plaît n'oubliez pas de "Marquer comme réponse" les réponses qui ont résolu votre problème





    lundi 30 avril 2018 15:54
  • Bonjour,

    Alors en effet, pour éviter les attaque de récupération de mot de passe par pass the hash par exemple, il est nécessaire que :

    -Sur les stations de travail on se connecte avec un compte du domaine qui est admin local des machine

    -Sur les servuers membre un autre compte du domaine admin local

    -Sur les DC des comptes admins du domaine.

    2) Un compte utilisateur du domaine a des droits de lecture sur l'AD. Il n'est pas nécessaire de modifier cela.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    mardi 1 mai 2018 01:44
  • Le principe du moindre privilège impose que l'on utilise juste le niveau utile pour l'action.

    Pour moi les utilisateurs sont juste utilisateurs du domaine et membre de groupe d'accès (globaux en général).

    J'ai un compte administrateur des postes qui est membre du groupe administrateurs de l'ensemble des poste du domaine par GPO. 

    J'ai un troisième compte qui est admin du domaine pour les opérations sur le domaine

    L'administration des postes et l'administration du domaine sont 2 rôles distincts... Les utilisateurs ne sont pas administrateurs de leur postes.


    mardi 1 mai 2018 11:48
    Modérateur
  • <abbr class="affil"></abbr>Merci Sanio74,

    Pour la question A, je la reformule en français car ce n'est pas exactement la question que je me pose.

    Dans notre organisation il y a plusieurs personnes qui sont membres du groupe  Domain Admin.

    Avec leur compte personnel ils peuvent donc se connecter sur leur portable ou leur station de travail  où ils sont admin local et en même temps avoir des droits sur le domaine car ils sont membres de Domain Admin.

    Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas et je n'arrive pas à trouver de document microsoft sur les bonnes pratiques  (i.e comment faire quand on a plusieurs Administrateur du domaine pour pouvoir identifier qui a fait quoi sans compromettre le niveau de sécurité ce qui me semble être le cas dans la solution évoquée  ci-dessus )

    Pour la question B elle n'est plus d'actualité . Merci

    lundi 7 mai 2018 16:46
  • Je me demande si ce type de fonctionnement est une bonne pratique ou si cela abaisse le niveau de sécurité pas 

    Comme déja expliqué ce n'est pas une bonne chose que les comptes pour l'utilisation quotidienne dispose de droit étendu. Même pour l'administrateur du domaine, il devrait avoir un compte utilisateur et un compte administrateur différent. L'idéal est séparer les rôles :

    - utilisateurs

    - administrateur de poste de travail

    - administrateur de domaine

    et même si c'est la même personne qui gère les différents éléments.



    lundi 7 mai 2018 17:29
    Modérateur