Les recommandations ont changé depuis Windows 2000 avec l’apport de nouvelles fonctionnalités et la nécessité de répondre à de nouvelles contraintes : • Les choix d’architecture en fonction de la stratégie de l’entreprise et de son secteur d’activité • Placement, déploiement et consolidation des Contrôleurs de Domaine, apports du RODC et de Windows Server Core Edition • Virtualisation : les précautions à prendre • Réseau : DNS, IPV6, IPSEC • Monitoring, traçabilité, protection des données et des services sur lesquels l’annuaire s’appuie • Pourquoi et comment il faut vraiment sécuriser votre annuaire Active Directory • Délégation d’administration et sécurisation des comptes privilégiés, les nouvelles approches • Prestations d’audit du Support Microsoft : ADRAP, ADSA, … et plans de remédiation • Solutions d’interopérabilité : forest trusts, ADFS • Nouvelles solutions d’administration (PowerShell, nouvelle console, …) • Importance des process d’administration autour d’Active Directory • Sauvegarde et DRP Cette session sera l'occasion de faire un état des lieux et de passer en revue ces différentes evolutions et leurs impacts
2. Active Directory en 2012 :
les meilleures pratiques en
design, sécurité et
administration
7 février 2012
Renaud Depagne
Microsoft Consulting Services
5. Active Directory : à quoi ça sert
?
Rôle d’Active Directory
Lieu central de stockage d’information d’identité et
d’authentification
Apporte l’authentification unique (SSO) aux utilisateurs
dans le monde Microsoft
Gère l’accès aux ressources (groupes de sécurité)
Permet la gestion centralisée (GPO) des paramètres de
configuration et de sécurité des utilisateurs et postes
Supporte des applications basées sur l’annuaire
(Exchange, …)
Avantages
A trouvé sa place comme annuaire technique (ne remplace
pas un annuaire Ldap type annuaire du personnel)
Pérenne : 99%+ des entreprises ont AD
Robuste
6.
7. (Re)structurer AD : le business
Culture centralisée ou non du pays où se trouve la
direction générale du groupe
Aspect politique : exemple, participation d’un Etat
dans le capital de telle entité appartenant au
groupe
Secteur d’activité : niveau de croissance externe
passée et prévisible
Stratégie business : différences de besoin de
changement entre les différents métiers d’un grand
groupe
Stratégie financière : chaque branche a sa propre
forêt pour s’en séparer plus facilement
8. (Re)structurer AD : la sécurité
(1)
La frontière de sécurité est la forêt
La forêt est la véritable frontière de sécurité, donc il
faut autant de forêts que d’ensembles de confiance :
plusieurs équipes d’administration
Contraintes légales ou réglementaires
Les pratiques de sécurité doivent être au même niveau
(le plus élevé) dans les différents domaines d’une
même forêt
Plus le périmètre couvert par une seule forêt est
important, plus la sécurité devient cruciale : par
exemple, le temps de remise en route de la forêt en
cas d’accident est crucial
Forêt dédiée pour les administrateurs pour les grandes
entreprises particulièrement sensibles
9. (Re)structurer AD : la sécurité
(2)
Il peut exister des contraintes fortes de protection
de données (volonté, lois, …)
L’administrateur d’un domaine peut se rendre
administrateur de l’entreprise et avoir accès aux
données de serveurs membres d’autres
domaines
Solutions :
Encrypter les données avec un mécanisme
indépendant d’AD
Isoler les serveurs sensibles et les postes par IPSec
Utiliser RMS (Rights Management Services) pour
l’accès aux documents (messages, …)
Mettre les serveurs dans une forêt séparée
10. (Re)structurer AD : les coûts
Forêt
Le moins de forêts possibles (une à trois par exemple)
Forêt de ressources (ex.: Exchange) / forêt de
comptes
Domaines
Plus besoin de domaines pour avoir des stratégies de
mot de passe différenciées depuis Windows Server
2008
Le domaine a un impact sur le DNS
Déplacer des utilisateurs est nettement plus simple
avec des OUs
Consolidation des DCs
Coûts (matériel, logiciel, opérations)
11. Nom de domaine
Recommandation de prendre un sous-domaine du
nom enregistré sur Internet (ex.:
interne.contoso.com) :
Garantit l’unicité de nom en cas de fusion avec une autre
société pour la mise en place de relation d’approbation
Nom FQDN unique sur Internet : facilite la mise en place
de Direct Access
Pour acquérir un certificat auprès d’un tiers, il faut être
propriétaire du nom de domaine
Ne pas utiliser de nom avec un seul label (ex.:
contoso)
Avec Windows Server 2008 : avertissement à la création
Windows Server 2008 R2 refuse dcpromo avec un seul
label
Problèmes possibles avec des applications
12. AD et les mouvements
d’entreprise
Acquisition d’une société ou consolidation
d’activité :
Les actifs entrant dans le cœur de métier rejoignent la
forêt principale
Les actifs non-stratégiques peuvent rester dans leur
propre forêt
Vente d’une entité ou externalisation d’activité
Si forêt dédiée, il suffit de couper les trusts
Sinon, suivant le contrat, migration nécessaire ou bien
export des données de l’AD
Ne pas cloner les DCs (les SIDs doivent rester
uniques)
13. Autres points à considérer
Les limites d’Active Directory :
Peu de limites à considérer car elle sont très élevées :
http://technet.microsoft.com/en-us/library/active-directory-maximum-limits-
scalability(WS.10).aspx
Néanmoins :
Le nom FQDN ne doit pas dépasser 64 caractères
…
Forêts hors-production
Test, validation, pré-production
Gestion de ces environnements
Construction :
Ne pas cloner
Exporter : CreateXMLFromEnvironment.wsf et
CreateEnvironmentFromXML.wsf
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=1453
6
Recréer
14. RODC
pour les sites non-sécurisés : agences, …
Pas de réplication depuis un RODC
Seuls des mots de passe de comptes (machines et
utilisateurs) identifiés/autorisés sont stockés sur
RODC
Ajout d’autres rôles possibles
L’administrateur du RODC n’est pas Domain
Admin
Option : BitLocker pour encrypter les données
(logique puisque le RODC est dans un endroit non
sécurisé)
15. DC sur Windows Server Core
Avantages :
Réduit la surface d’attaque
Demande moins d’espace disque lors de l’installation
Surtout : moins de patches à appliquer (environ 50%) et
moins de reboots
Idéal pour pour DC + DNS
Inconvénient :
Plus complexe à l’installation (les administrateurs Windows
ne sont pas habitués) mais :
Bien documenté
PowerShell
http://coreconfig.codeplex.com
Exemple de scénario : RODC + BitLocker + Core
La réduction du nombre de reboots dûs à des correctifs
face à la nécessité d’entrer le code BitLocker
16. Réduction du nombre des DCs
Permise surtout par l’évolution des réseaux
Reste des cas justifiant des DCs distants
(certains pays)
Pourquoi réduire le nombre de DCs :
Réduction des coûts
Agilité de l’entreprise
Facilité à reconstruire la forêt en cas de nécessité
17. Virtualisation
Les DCs peuvent être virtualisés, mais c’est
souvent le rôle auquel on pense en dernier, sauf
pour les DCs d’agences
Documentation technique sur
http://support.microsoft.com/kb/888794
Points de vigilance :
Les snapshots sont absolument interdits : utiliser
les pass-through disks
Bien distinguer les rôles de l’administrateur des
serveurs virtuels par rapport aux administrateurs
AD
Garder un DC physique
18. IP V6 (1)
Ne concerne pas que les DCs
Règle Common Engineering Criteria : IP V6
activé
Les produits Microsoft ne sont pas testés avec IP
V6 désactivé
Désactiver IP V6 reste supporté mais déconseillé
Recommandation : laisser IP V6, mais prioriser IP
V4
Configuration (rebooter) :
http://support.microsoft.com/kb/929852/en-us
HKLMSystemCurrentControlSetServicesTcpip6Param
eters
19. IP V6 (2)
Quelques effets de la désactivation d’IPV6 sur AD
:
Erreur lors du DCPROMO (problème RPC, erreur de
connexion, échec de réplication initialE d’une base
NTDS.DIT de taille importante)
Erreur sur des requêtes LDAP via UDP (ex utilisation
de portquery
http://support.microsoft.com/default.aspx?scid=kb;EN-
US;816103
Problème de réplications dans une forêt contenant un
mix de DC 2003 et 2008
Dans certain cas de figure, la désactivation de IPV6
fait que le DC n’écoute plus en IPV4 sur le port 389
(ldap)
21. Pourquoi il est vital de
sécuriser AD
2010-2011: attaques ciblées sur les entreprises
exerçant dans des domaines sensibles
Attaques de type DHA (Determined Human
Adversaries) encore appelées APT (Advanced
Persistent Threats)
Impact important pour les entreprises affectées
Sécuriser Active Directory devient crucial pour les
entreprises
La sécurisation pour être efficace, doit intégrer les
meilleures pratiques en administration
22. Délégation d’administration (1)
Organiser la délégation d’administration selon les
principes de moindre privilège
Séparer les comptes d’administration du service AD
et ceux du contenu d’AD
L’importance des privilèges doit être inversement
proportionnelle au périmètre d’intervention
Réduire les comptes privilégiés au strict minimum
Les groupes privilégiés sont tous critiques (pas
seulement Enterprise Admins et Domain Admins)
Les comptes privilégiés sont nominatifs et différents
des comptes utilisés pour le travail standard (chaque
compte devant être rigoureusement utilisé pour son
rôle)
23. Délégation d’administration (2)
« Best Practices for Delegating Active
Directory Administration » est toujours la
référence (date de 2003)
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=2167
8
Et appendices :
http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20
for%20Delegating%20Active%20Directory%20Administration%3A%20Append
ices
Demande un travail important
Ne garantit pas la protection contre un attaquant
24. Recommandations (1)
Les postes des DA sont dans une OU dédiée
Les comptes Domain Admins ne doivent pas
s’authentifier sur les serveurs et postes
standards, mais seulement sur quelques
machines dédiées
Pas d’utilisation d’Internet sur ces machines
GPO pour interdire le logon aux DA sur les machines
autres que celles qui leur sont dédiées
Mots de passe différents pour chaque compte
administrateur local de serveur ou poste
25. Recommandations (2)
Compartimentaliser par ensemble de criticité :
Isoler les serveurs membres critiques (Exchange, …)
dans une OU avec des comptes administrateurs dédié
Les utilisateurs ne doivent pas être
administrateurs de leur poste
Avancer sur une démarche RBAC (Rôle Based
Access Control)
Gestion du cycle de vie des
comptes, Provisioning/Deprovisioning : FIM
(Forefront Identity Manager)
Rendre faciles les bonnes pratiques et difficiles
les mauvaises
26. Recommandations (3)
Patcher les DCs et tous les serveurs et postes le plus tôt
possible (se protéger contre les exploits zero-day)
Patcher hors Microsoft (applications, autres systèmes, …)
:
Aberdeen: Microsoft-only vulnerability management
initiatives cover only 10-20% of enterprise risk
Gartner: Over 90% of attacks exploit known security
vulnerabilities for which fixes are available
Eliminer les systèmes anciens
Compartimentaliser par niveau de criticité dans des OUs :
Serveurs critiques (Exchange, …), moins critiques, …
Mots de passe différents pour chaque compte
administrateur local de serveur ou poste
27. Monitoring et traçabilité
Difficile de repérer une attaque DHA, mais possible
Les comptes privilégiés d’AD sont un moyen pour
atteindre les données sensibles
Les comptes VIP sont aussi visés car ils ont accès
aux données vitales
Il faut pouvoir déterminer qui a fait quoi sur quel
objet à quel moment
Surveillance particulière des comptes ou objets
sensibles (qui s’authentifie)
Il faut monitorer les DCs, mais aussi les serveurs
et les postes (notamment l’authentification)
28. Administration des DCs
Les administrateurs AD depuis leur station
d’administration passent par un serveur de
rebond :
29. Forêt d’administration (1)
Pour les grandes entreprises les plus sensibles
Créer une nouvelle forêt avec seulement les
comptes d’administration
Relation d’approbation de forêt unidirectionnelle
avec authentification sélective
Les administrateurs gèrent de manière autonome
leur forêt (supervision, gestion des correctifs, …)
Les comptes DA de la forêt de production ne sont
plus utilisés
32. Vue d’ensemble d’ADSA-R
Active Directory Service Security Assessment and
Remediation :
Processus d’évaluation et de remédiation de la sécurité de votre référentiel
d’identités Active Directory couvrant aussi bien son infrastructure technique
que ses opérations de gestion
PFE + Itops + MCS Itops + MCS + VOUS
Principales activités
1. Découverte de votre environnement Active Directory et évaluation de sa
sécurité sous un angle technique et opérationnel
2. Définition du plan de remédiation au regard des résultats de l’évaluation
de la sécurité
3. Mise en œuvre du plan de remédiation en fonction de vos priorités
33. ADSA-R : Périmètre
PFE + Itops + MCS
Workshops de découverte de l’environnement en
présence du responsable sécurité et des responsables
informatiques.
Compréhension et analyse des processus
organisationnels liés à la gestion de vos Active Directory
Analyse, identification des remédiations immédiates et
futures
Construction d’un plan de remédiation
Workshop de restitution : vue technique
Workshop de restitution vue « responsable informatique
»
Itops + MCS + VOUS
Mise en œuvre du plan de remédiation (pour les projets
retenus)
34.
35. Managed Service Accounts
Nouveau type de compte de domaine (msDS-
ManagedServiceAccount) pour remplacer les comptes
de service traditionnels :
Mot de passe de 240 caractères généré automatiquement
Changement de mot de passe automatique (30 jours par
défaut)
Gestion des SPN simplifiés (si niveau fonctionnel de domaine
= Windows Server 2008 R2)
Attaché à un serveur
Nest pas soumis à la politique de mot de passe du
domaine, ou granulaire (fine-grained password policy)
Ne peut pas être bloqué, ni utilisé pour une authentification
interactive
Dans CN=Managed Service Accounts, DC=, DC=
Gestion avec PowerShell
36. Récupération après sinistre
(DRP)
Nécessité de disposer de procédures de
reconstruction de la forêt Active Directory :
Partir du guide Microsoft (MAJ septembre 2011) sur
http://www.microsoft.com/download/en/details.aspx?id=
16506 pour réaliser une procédure de reconstruction
adaptée au contexte de l’entreprise
Mettre à jour cette procédure si besoin
La dérouler au moins une fois par an en pré-production
Sites avec réplication différée :
Peuvent rendre service pour restaurer des objets
Mais effets de bord possibles
Pas supporté comme procédure de récupération d’Active
Directory
A garder si vous les utilisez, sinon ne pas chercher à le faire
37. Prévention
Tenir à jour un inventaire centralisé et accessible
des dépendances des applications et serveurs vis-
à-vis de l’infra AD :
Extensions de schema
Comptes utilisateurs
Comptes de service
Permissions, flux
Chaque application doit avoir un responsable métier en
plus du responsable informatique
38. AD-RAP : définition
Prestation d’audit d’une forêt : 850 contrôles
Réalisée par un PFE (Premier Field Engineer)
Microsoft habilité (10 en France)
Actuellement réservé aux clients ayant un contrat
de support Microsoft Premier
Nécessite de pouvoir accéder à tous les DCs
Rapport d’audit
Plan de remédiation à mettre en œuvre
Outil laissé à libre usage durant 18 mois pour le
lancement des tests et indéfiniment pour
consultation
40. AD-RAP : autres anomalies
Lingering objects
Réplication AD ou/et SYSVOL
Journal Wrap FRS
Inconsistance des enregistrement DNS ou
mauvaise adresse IP d’un DNS ou Forwarder
Pas de Backup du System State
…
41.
42. Les points à retenir
Design
Faire simple, mais prendre en compte les
recommandations pour définir la structure AD répondant
le mieux aux besoins de l’entreprise avec son contexte
et ses besoins
Sécurité
Devient la préoccupation majeure
Technique + conduire des opérations
Audit de sécurité AD : ADSA-R, …
Administration
Importance des procédures de DRP
Audit technique AD : ADRAP