none
Quelques questions sur la sécurisation d'un Active Directory RRS feed

  • Question

  • Bonjour,

    J'étais en train de voir les actions afin de sécuriser mes controleurs de domaines.

    1) Je vois qu'il est conseillé d'activer pour les comptes administrateurs l'option : "ce compte est sensible et ne peut être délégué"
    J'ai donc fait cela sur tous mes comptes administrateurs mais faut il aussi le faire sur le compte "administrateur" créé par defaut ?

    2) Je vois qu'il faut supprimer tous les comptes des groupes "administrateurs du schema" et "administrateur d'entreprise", faut il aussi supprimer de ces groupes le compte "administrateur" ? cela peut t'il poser des soucis ?

    3) Faut il aussi supprimer le compte "administrateur" du groupe "admins du domaine" ?

    Merci

    jeudi 4 mars 2021 15:32

Toutes les réponses

  • Bonjour,

    1- Je vous invite à consulter les recommandations de Microsoft par rapport à la protection des comptes.

    2- Le fait de restreindre les utilisateurs ayant Admins d'entreprise ne fait que réduire le risque d'une éventuelle attaque via l'un de ces comptes ayant un prévilège élevé. Vous pouvez garder Administrateur par défaut avec les droits attribués par défaut mais ne pas l'utiliser que dans les cas extrême. Pour le groupe Administrateurs du schéma, vous pouvez y ajouter le compte que vous voulez lorsque vous voulez faire des changements au niveau du schéma.

    3- Vous pouvez peut-être le désactiver et ne jamais l'utiliser comme étant un compte de service d'une application ou autre.


    Youssef Saad | New blog: https://youssef-saad.blogspot.com | Linkedin: linkedin.com/in/youssef-saad

    jeudi 4 mars 2021 16:53
  • Non, le compte administrateur par défaut ne devrait pas être supprimé des groupes d'administrations. Il ne devrait pas être utilisé pour les tâches d'administrations courantes. Son mot de passe très complexe devrait être stocké en lieu sur. Par exemple vous le mettez dans le coffre dans une enveloppe fermé. Si l'enveloppe a été ouverte cela signifie qu'il faudra le changer. Le compte administrateur ne doit pas être  utilisé, pour les services et tâches planifiées et autres. Ils ne devraient être utilisé que lors de l'installation et dans des situations d'urgence.

    https://docs.microsoft.com/fr-fr/windows-server/identity/ad-ds/plan/security-best-practices/appendix-d--securing-built-in-administrator-accounts-in-active-directory

    L’utilisation du compte administrateur d’un domaine doit être réservée pour les activités de génération initiales, et éventuellement les scénarios de récupération d’urgence. 
    Pour vous assurer qu’un compte d’administrateur peut être utilisé pour effectuer des réparations dans le cas où aucun autre compte ne peut être utilisé, vous ne devez pas modifier l’appartenance par défaut du compte administrateur dans n’importe quel domaine de la forêt. 

    On peut utiliser des GPOs pour limiter son usage sur les autres postes. Il est également possible d'utiliser les stratégies d'authentification pour limiter le compte.

    http://pbarth.fr/node/339

    http://pbarth.fr/node/334

    dimanche 7 mars 2021 07:37
  • Bonsoir,

    une astuce classique consiste à renommer le compte "administrateur", et à créer un nouveau compte "administrateur" bidon (sans droits) que l'on pourra surveiller.

    Cela ne changera pas les attaques basées sur le SID-500 propre à l'admin, mais cela permettra de surveiller les tentatives sur ce compte.

    A+


    Thierry DEMAN-BARCELO. Office Apps&Services MVP. MCSE:Enterprise admin, Messaging, Server Infrastructure 2016(91 MCPs). MCSA Office 365,Microsoft 365 Certified: Messaging Administrator Associate, Modern Desktop Administrator Associate, Security Admin, Azure Administrator https://base.faqexchange.info

    dimanche 7 mars 2021 23:35