L’objectif de cette présentation est de vous sensibiliser sur les besoins d'établir une référence des éléments composant la sécurité de votre environnement Active Directory.: • Modélisation de la délégation • Objets systèmes AD • Comptes privilégiés sur les serveurs membres • Paramètres de sécurité des contrôleurs de domaine. Cette dernière permettra d'évaluer de manière régulière l'existant et ainsi détecter facilement toute non-conformité. Pour illustrer sous une forme de démonstration, nous nous appuierons sur une maquette pour partir d’un environnement de référence et simuler des modifications non désirées. Nous utiliserons ensuite différents outils pour révéler immédiatement toute non-conformité par rapport à la référence établie.
2. Sécurité AD:
Pensez référentiel !
Jean-Philippe Klein – Sr Premier Field Engineer (Microsoft)
Didier Pilon – Principal Premier Field Engineer – PMC (Microsoft)
3. tech.days 2015#mstechdays
Introduction
Les objets AD à surveiller
Gestion de la délégation AD
Configuration des contrôleurs de domaine
Les serveurs membres
Conclusion
#
5. tech.days 2015#mstechdays
Les groupes
Administrators Backup Operators Performance Monitor Users Cryptographic Operators IIS_IUSRS
Users Network Configuration
Operators
Performance Log Users Incoming Forest Trust Builders Terminal Server License Servers
Guests Remote Desktop Users Distributed COM Users Certificate Service DCOM Access Replicator
Print Operators Windows Authorization Access
Group
Event Log Readers Pre-Windows 2000 Compatible
Access
Domain Computers Cert Publishers* Group Policy Creator Owners Allowed RODC Password Replication Group DnsAdmins
Domain Controllers Domain Admins RAS and IAS Servers Denied RODC Password Replication Group DnsUpdateProxy
Schema Admins Domain Users Server Operators Enterprise Read-only Domain Controllers Read-only Domain Controllers
Enterprise Admins Domain Guests Account Operators
#
6. tech.days 2015#mstechdays
Administrator Krbtgt Les comptes appartenant à un
groupe à fort privilege.
Utilisateurs avec des privilèges sur
les systèmes tiers
Utilisateurs VIP
Les objets “Read Only Domain
Controller”
Les comptes
Les objets “Domain Controller”
Les objets machines qui exécutent
des services sensibles/critiques
Comptes de services, …
Comptes avec délégation sur l’AD
#
7. tech.days 2015#mstechdays
AdminSDHolder Les relations d’approbation Politique de mot de passe du
domaine
Fine Grained Password Policies -
FGPP (msDS-PasswordSettings)
Les GPO
Les comptes locaux DSRM
Les autres objets
Les scripts de
logon/logoff/startup/shutdown
#
19. tech.days 2015#mstechdays
Les attributs surveillés sur tous les objets (sauf nTDSconnection)
Partition de configuration
ntSecurityDescriptor rightsGuid ValidAccesses
caCertificate crossCertificatePair
#
20. tech.days 2015#mstechdays
Les attributs surveillés sur tous les objets
Partition de schéma
ntSecurityDescriptor defaultSecurityDescriptor attributeSecurityGUID
schemaIdGuid SystemFlags SearchFlags
#