sécurité active directory: etablir un référentiel
TRANSCRIPT
Sécurité AD:Pensez référentiel !
Jean-Philippe Klein – Sr Premier Field Engineer (Microsoft)
Didier Pilon – Principal Premier Field Engineer – PMC (Microsoft)
tech.days 2015#mstechdays
Introduction
Les objets AD à surveiller
Gestion de la délégation AD
Configuration des contrôleurs de domaine
Les serveurs membres
Conclusion
#
tech.days 2015#mstechdays
Qu’est ce qu’un référentiel Active Directory ?
Pourquoi créer un référentiel Active Directory ?
#
tech.days 2015#mstechdays
Les groupes
Administrators Backup Operators Performance Monitor Users Cryptographic Operators IIS_IUSRS
Users Network Configuration
Operators
Performance Log Users Incoming Forest Trust Builders Terminal Server License Servers
Guests Remote Desktop Users Distributed COM Users Certificate Service DCOM Access Replicator
Print Operators Windows Authorization Access
Group
Event Log Readers Pre-Windows 2000 Compatible
Access
Domain Computers Cert Publishers* Group Policy Creator Owners Allowed RODC Password Replication Group DnsAdmins
Domain Controllers Domain Admins RAS and IAS Servers Denied RODC Password Replication Group DnsUpdateProxy
Schema Admins Domain Users Server Operators Enterprise Read-only Domain Controllers Read-only Domain Controllers
Enterprise Admins Domain Guests Account Operators
#
tech.days 2015#mstechdays
Administrator Krbtgt Les comptes appartenant à un
groupe à fort privilege.
Utilisateurs avec des privilèges sur
les systèmes tiersUtilisateurs VIP
Les objets “Read Only Domain
Controller”
Les comptes
Les objets “Domain Controller”
Les objets machines qui exécutent
des services sensibles/critiquesComptes de services, …
Comptes avec délégation sur l’AD
#
tech.days 2015#mstechdays
AdminSDHolder Les relations d’approbation Politique de mot de passe du
domaine
Fine Grained Password Policies -
FGPP (msDS-PasswordSettings)Les GPO
Les comptes locaux DSRM
Les autres objets
Les scripts de
logon/logoff/startup/shutdown
#
ACL avec PowerShell
Import-Module ActiveDirectory
(Get-ACL 'AD:\CN=Administrator,CN=Users,DC=nwtraders,DC=local') | gm | ?{ $_.MemberType -eq "CodeProperty"}
(Get-ACL 'AD:\CN=Administrator,CN=Users,DC=nwtraders,DC=local').Access
(Get-ACL 'AD:\CN=Administrator,CN=Users,DC=nwtraders,DC=local').SDDL
tech.days 2015#mstechdays
Partition de domaine
Partition de configuration
Partition de schema
Les autres objets
#
tech.days 2015#mstechdays
Les attributs surveillés sur tous les objets (sauf nTDSconnection)
Partition de configuration
ntSecurityDescriptor rightsGuid ValidAccesses
caCertificate crossCertificatePair
#
tech.days 2015#mstechdays
Les attributs surveillés sur tous les objets
Partition de schéma
ntSecurityDescriptor defaultSecurityDescriptor attributeSecurityGUID
schemaIdGuid SystemFlags SearchFlags
#
tech.days 2015#mstechdays
Analyse des ACL sur l’ensemble des objets ?
Utilisation des métadonnées de réplication
Configuration / Schéma
Metadonnées de réplication
repadmin /showobjmeta . "CN=Administrator,CN=Users,DC=nwtraders,DC=local"
tech.days 2015#mstechdays
Compte à privilèges sur les serveurs membres
Services
Taches planifiés
Application Pool
…
Introduction
#
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
2 types d’analyses
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
Suivre les bonnes pratiques de l’éditeur dansvotre contexte
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
Respecter les règles ITIL pour la gestion du changement
Vérifier la compatibilité avec les applications
tech.days 2015#mstechdays
Analyser
l’existant
Définir le
niveau de
sécurité
souhaité
Appliquer les
changements
Créer son
référentiel
#
Et le faire vivre …
tech.days 2015#mstechdays
ACL Scannerhttps://adaclscan.codeplex.com/
Get-ServiceAccountUsagehttps://gallery.technet.microsoft.com/Get-ServiceAccountUsage-b2fa966f
Security Compliance Managerhttps://technet.microsoft.com/en-us/library/cc677002.aspx
Outils