locked
Sécurisation environnement Active Directory (annuaire, postes utilisateurs) RRS feed

  • Question

  • Bonjour à tous,

    J'ai pour projet de fin d'étude de sécuriser un environnement Active Directory.

    J'ai avancé sur plusieurs points clés :

    - Mise en place d'une stratégie de mot de passe affinée

    - Sortir les users du groupe admin local de leurs postes de travail respectifs

    - Réactivation de l'UAC sur les postes utilisateurs

    - Mise en place de GPO pour sécuriser les postes

    - Mise en place de l'outil LAPS pour les gestion du password sur les postes clients

    - Audit de l'AD via Powershell et l'outil opensource BTA

    - Audit des permissions NTFS et correction de celles-ci

    - Audit des journaux AD 

    Voilà j'ai avancé sur ces différents points mais je me rapproche de vous afin de savoir s'il y a des retours d'expériences sur des projets similaires, quelles sont les bonnes pratiques à adopter dans un environnement Active Directory en matière de sécurisation.

    Merci d'avance.

    Jordan

    jeudi 22 juin 2017 12:20

Réponses

  • Bonjour Jordan,

    Voici quelques bonnes pratiques pour assurer la sécurité et  continuité de service active directory:

    • choisir une architecture AD ( nombre de forêt et domaine ) adaptée au besoin de toutes les entités de votre entreprise 
    • Avoir au minimum deux contrôleurs de domaine par domaine en cas de panne sur l'un l'autre va assurer la continuité du service
    • installer régulièrement les mises à jours.
    • installer une solution d'antivirus
    • Pour les rôle FSMO, il recommandé de choisir le contrôleur de domaine capable de communiquer tous les DC du domaine ( ports et routage).
    • Si vous avez un site non sécurisé , il est recommandé installer un RODC , en cas du vol de serveur la base d'annuaire sera accessible que en lecture.
    • Définir tous les DCs comme catalogue globale
    • Eviter de virtualiser les DC sous Windows 2008 R2 , pour éviter d'avoir le problème Rollback USN
    • Il est recommander d'avoir une sauvegarde complète de deux DCs de chaque domaine
    • Il est recommandé d'augmenter le niveau fonctionnel du domaine en Windows 2008R2 , pour pouvoir activer la corbeille active directory et le DFS-R pour la réplication Sysvol
    • Pour de raison de sécurité , Il est recommander de changer le mot de passe du compte krbtgt ( le mot de passe d ce compte est utilisé pour chiffrer les ticket kerberos)
    • Installer la zone DNS du domaine sur tous les contrôleur de domaine, comme une zone intégrer AD pour assurer la réplication des entrées DNS dans tous les DCs de la forêt 
    • Activer la mise à jour dynamique DNS avec l'option secure only, pour laisser que les machines membre du domaine mettre à jour leurs entrée DNS 
    • Activer le scavenging , pour purger automatiquement les entrées DNS obsolètes.
    • Aplliquer une stratégie pour tous les utilisateurs ddu domaine via la GPO par défaut Default Domaine Policy , si vous avez des compte critique vous pouvez utiliser PSO pour appliquer une policy plus exigeante.
    • Sauvegarder tous les GPOs
    • Mettre en place une structure d'unité d'organisation adaptée au besoin de délégation et GPOs 
    • Pour l'administration , il est recommandé de ne pas donner le droit domaine admin à plusieurs personne et utiliser la délégation au niveau de l'unité d'organisation et de  GPO pour les tâches d'administration.
    • Ne pas utiliser les comptes membres du groupe domain admin sur les poste de travail
    • installer un antivirus sur chaque poste de travail et les mises à jour régulièrement

    J'ai essayer de lister les bonnes les plus connues mais il y en a sur d'autre bonnes pratiques.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    vendredi 23 juin 2017 12:44
  • Je vous invite également à consulter ce livre qui parle sur le même sujet:

    LA SECURITE DE VOTRE ANNUAIRE ACTIVE


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 23 juin 2017 12:45
  • Je rajoute les stratégie de verrouillage de comptes en cas de mauvais mot de passe répété.

    la réinitialisation du mot de passe de krbtgt, voir http://pbarth.fr/node/203 

    La sécurité physique des serveurs, l'éducation des utilisateurs ...

    Chaque administrateur dispose d'un compte administrateur personnel et d'un compte utilisateur différent.

    vendredi 23 juin 2017 16:01

Toutes les réponses

  • Bonjour,

    Sortir toutes les utilisateurs des comptes admin du domaine / entreprise / schéma qui n'ont rien à y faire.

    Mettre en place des délagations sur les OU pour le reset de mot de passe par exemple

    Pour les mots de passe garder la règle de complexité de mot de passe

    Ne jamais se connecter sur un poste client avec des credentials admin du domaine / entreprise / schema

    Pour les comptes admin domaine / entreprise / schema mot de passe de 15 caractère min (pour éviter les attaque de type pass the hash)

    Avoir un mot de passe de compte administrateur local différent sur tous les postes

    Audit de l'AD via powershell ? Il y a l'audit possible via les GPO déjà qu'est ce que vous souhaitez mettre de plus via powershell ? Il y a des solution spécialisées la dedans après comme netwrix par exemple.

    Auditer les permission NTFS est loin d'être évident attention car cela doit être réaliser uniquement sur les shares dit sensibles sous peine d'avoir un audit qui ne sera pas utilisé car trop verbeux.

    Il faut auditer les réplication AD et l'état de santé de l'AD

    S'assurer des sauvegarde et restauration de l'AD.

    Ne pas avoir d'accés physique au serveur pour les personnes qui ne le nécessitent pas.

    Ne pas avoir d'autres roles qu'AD+dns+dhcp maximum sur le serveur

    Que les serveurs soient à jour

    Je dois en oublier beaucoup beaucoup... Mais voici les premiers qui me viennent en tête


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.


    jeudi 22 juin 2017 13:46
  • Bonjour Matteu,

    Un grand merci à vous pour ces différents conseils et bonnes pratiques sur la sécurisation d'un environnement Active Directory.

    Via Powershell, j'audite les postes non utilisés et toujours actifs, les users qui ne sont pas impactés par les stratégies de mot de passe etc. Semblable à ce que fait l'outil BTA. 

    Je vais également tester PowerSploit : https://github.com/PowerShellMafia/PowerSploit 

    Si d'autres personnes on des bonnes pratiques, des remarques à apporter sur ce sujet je suis preneur.

    Merci à vous, 

    Jordan

    vendredi 23 juin 2017 11:23
  • Bonjour Jordan,

    Voici quelques bonnes pratiques pour assurer la sécurité et  continuité de service active directory:

    • choisir une architecture AD ( nombre de forêt et domaine ) adaptée au besoin de toutes les entités de votre entreprise 
    • Avoir au minimum deux contrôleurs de domaine par domaine en cas de panne sur l'un l'autre va assurer la continuité du service
    • installer régulièrement les mises à jours.
    • installer une solution d'antivirus
    • Pour les rôle FSMO, il recommandé de choisir le contrôleur de domaine capable de communiquer tous les DC du domaine ( ports et routage).
    • Si vous avez un site non sécurisé , il est recommandé installer un RODC , en cas du vol de serveur la base d'annuaire sera accessible que en lecture.
    • Définir tous les DCs comme catalogue globale
    • Eviter de virtualiser les DC sous Windows 2008 R2 , pour éviter d'avoir le problème Rollback USN
    • Il est recommander d'avoir une sauvegarde complète de deux DCs de chaque domaine
    • Il est recommandé d'augmenter le niveau fonctionnel du domaine en Windows 2008R2 , pour pouvoir activer la corbeille active directory et le DFS-R pour la réplication Sysvol
    • Pour de raison de sécurité , Il est recommander de changer le mot de passe du compte krbtgt ( le mot de passe d ce compte est utilisé pour chiffrer les ticket kerberos)
    • Installer la zone DNS du domaine sur tous les contrôleur de domaine, comme une zone intégrer AD pour assurer la réplication des entrées DNS dans tous les DCs de la forêt 
    • Activer la mise à jour dynamique DNS avec l'option secure only, pour laisser que les machines membre du domaine mettre à jour leurs entrée DNS 
    • Activer le scavenging , pour purger automatiquement les entrées DNS obsolètes.
    • Aplliquer une stratégie pour tous les utilisateurs ddu domaine via la GPO par défaut Default Domaine Policy , si vous avez des compte critique vous pouvez utiliser PSO pour appliquer une policy plus exigeante.
    • Sauvegarder tous les GPOs
    • Mettre en place une structure d'unité d'organisation adaptée au besoin de délégation et GPOs 
    • Pour l'administration , il est recommandé de ne pas donner le droit domaine admin à plusieurs personne et utiliser la délégation au niveau de l'unité d'organisation et de  GPO pour les tâches d'administration.
    • Ne pas utiliser les comptes membres du groupe domain admin sur les poste de travail
    • installer un antivirus sur chaque poste de travail et les mises à jour régulièrement

    J'ai essayer de lister les bonnes les plus connues mais il y en a sur d'autre bonnes pratiques.


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/


    vendredi 23 juin 2017 12:44
  • Je vous invite également à consulter ce livre qui parle sur le même sujet:

    LA SECURITE DE VOTRE ANNUAIRE ACTIVE


    Please don't forget to mark the correct answer, to help others who have the same issue. Thameur BOURBITA MCSE | MCSA My Blog : http://bourbitathameur.blogspot.fr/

    vendredi 23 juin 2017 12:45
  • Je rajoute les stratégie de verrouillage de comptes en cas de mauvais mot de passe répété.

    la réinitialisation du mot de passe de krbtgt, voir http://pbarth.fr/node/203 

    La sécurité physique des serveurs, l'éducation des utilisateurs ...

    Chaque administrateur dispose d'un compte administrateur personnel et d'un compte utilisateur différent.

    vendredi 23 juin 2017 16:01
  • Bonjour,

    - Mise en place d'une stratégie de mot de passe affinée :  Mot de passe compliqué et utiliser les GPO par défaut pour le changement automatique après une durée bien déterminé.

    - Sortir les users du groupe admin local de leurs postes de travail respectifs: Tous les utilisateurs appartient à des groupes avec pouvoirs mais n'appartient pas au groupe administrateurs afin d'assurer la sécurités de vos postes de travails..

    - Réactivation de l'UAC sur les postes utilisateurs

    - Mise en place de GPO pour sécuriser les postes: De préference utiliser les GPOs sur les utilisateurs et non pas sur les computers car en cas du problème l'administrateur du domaine doivent résoudre le problème dans le poste du travail mais en cas l'application des GPOs sur les computers les stratégies sont appliqué même sur l'administrateur du poste du travail. 

    - Mise en place de l'outil LAPS pour les gestion du password sur les postes clients

    - Audit de l'AD via Powershell et l'outil opensource BTA

    - Audit des permissions NTFS et correction de celles-ci

    - Audit des journaux AD. Activer l'audit de sécurité sur l'active Directory.

    --Il faut crée un sauvegarde de l'active directory de façon journalier, car en cas de pert ou problème au sein de l'AD vous pouvez avoir des point de restauration. Vous pouvez utiliser l'outil Microsoft existant dans le serveur AD.

    samedi 24 juin 2017 07:21