Vous êtes sur la page 1sur 133

ACTIVE DIRECTORY – Les Bases

Patrick CEREGHELLI – Consultant Sécurité – Ingénieur Systèmes – Chef de Projets


Patrick.cereghelli@digital.security
Patrick.cereghelli@laposte.net

Active Directory 1
Active Directory: les bases
✓ Cyber Attaques: les chiffres 2019
✓ Attaques sur les environnements Microsoft (2017, 2018 et 2019)
✓ Active Directory Généralités
✓ DNS et Active Directory
✓ Active Directory Structure Logique
✓ Active Directory Structure Physique
✓ Gestion des objets Active Directory
✓ Présentation des Stratégies de Groupes (GPO)
✓ Architecture d’entreprise Active Directory
✓ Présentation des outils de gestion de l’Active Directory
✓ TP Installation et manipulations de l’Active Directory
✓ Azure Active Directory
✓ Gestion des identités et Active Directory
Active Directory 2
Cyber Attaques:
les chiffres 2019

Active Directory
Quelques chiffres 2019
➢ Le type d’attaque principal reste le phishing, 73% des
entreprises y ont été exposées au moins une fois.
➢ Une autre forme de cyberattaque a pris une ampleur
considérable en 2019, c’est l’attaque par ransomware
➢ Fréquence de 14 secondes dans le monde en 2019
➢ Il faut en moyenne 7 mois à une entreprise pour détecter
une violation de données, et 75 jours pour reprendre une
activité normale et sécurisé après une attaque.

Une violation de données survient lorsque les données dont votre


entreprise/organisation est responsable subissent un incident de sécurité qui
entraîne une violation de la confidentialité, de la disponibilité ou de l’intégrité
Phishing: Technique qui cible les employés et consiste à se faire passer
pour un organisme ou une entreprise par mail afin de soutirer des
informations confidentielles sur l’entreprise

https://www.sylob.com/blog/marche-et-tendances/etude-la-cybersecurite-preoccupation-des-entreprises-en-2019-partie-1

Active Directory 4
Quelques chiffres attaques cybersécurité 2019 (baromètre CESIM)
Le Club des Experts de la Sécurité de
l’Information et du Numérique offre un lieu
d’échanges aux experts de la sécurité et du
numérique au sein de grandes entreprises

https://www.globalsecuritymag.fr/IMG/pdf/BJ20433_-_Barometre_du_CESIN_vague_5_-Vdef.pdf

Active Directory 5
Cyber-attaques et impacts les plus redoutés?
Attaques existantes (3 réponses possibles) les plus redoutées
✓ ransomwares à 46 % (53 % pour les TPE/PME)
✓ l’infection par un logiciel espion à 43 % Cyber
✓ la destruction ou l’altération d’informations à 42 % Attaques:
✓ le piratage d’informations critiques liées au métier à 33 %
✓ les virus à 30 %,
les chiffres
✓ le phishing à 27 % 2019
✓ le vol de données d’identification à 23 %

Les principaux impacts craints (3 réponses possibles)


✓ un arrêt ou un ralentissement de l’activité de l’entreprise à
67 %
✓ une atteinte à la réputation de l’entreprise à 34 %
✓ une perte financière suite à une demande de rançon à 30 %
✓ une perte de la base de données client à 26 %,
✓ une atteinte à la propriété intellectuelle à 23 %
✓ une baisse du chiffre d’affaires à 20 %.

https://www.sylob.com/blog/marche-et-tendances/etude-la-cybersecurite-preoccupation-des-entreprises-en-2019-partie-1

Active Directory 6
Quid de la politique de sécurité des systèmes d’information ?
Politique de sécurité des systèmes d’information
✓ 54 % déclarent que leur organisation dispose d’une PSSI clairement définie.
✓ 20 % affirment qu’une politique de sécurité est en cours de déploiement,
✓ 17 % que le projet est en cours de réflexion
✓ 7 % indiquent qu’aucune politique n’existe ou n’est prévue !

Quelque soit la taille des organisations, principales mesures techniques de PROTECTION en place ou en
cours de déploiement (plusieurs réponses possibles)
✓ 73 % le renforcement de la sécurité de l’ensemble des équipements,
✓ 70 % le renforcement des contrôles d’accès et des droits des utilisateurs
✓ 54 % la réalisation d’un audit de sécurité du SI
✓ 52 % le renforcement de la protection des données

Les organisations font appel à des prestataires externes


✓notamment pour avoir recours à du conseil externalisé (34 %)
✓pour assurer la gestion de leur sécurité (24 %)
✓pour effectuer des tests de vulnérabilité (23 %)
https://www.sylob.com/blog/marche-et-tendances/etude-la-cybersecurite-preoccupation-des-entreprises-en-2019-partie-1

Active Directory 7
Attaques sur les
environements
Micro$oft

Active Directory
Attaques en 2017: les environnements Microsoft cible à la mode ?
WannaCry / NSA – Mai
➢Infection en quelques heures plus de 300 000 ordinateurs Windows, dans plus de 150 pays (FedEx, Renault,
ministère de l’intérieur russe) Coûts évalués autour d’un milliard de dollars
➢Hackers Shadow Brokers dérobe à la NSA failles, virus et outils dont faille Eternal Blue (faille SMB v1).
➢Faille déjà identifiée par Microsoft, mais le patch correctif pas suffisamment massivement installé
Petya / NotPetya – Juin
➢ Petya, ransomware (2016), contamination des milliers d’ordinateurs Windows, via la même faille Windows.
➢ NotPetya (juin 2017) : virus déguisé en un ransomware, propagation presque sans intervention humaine
➢ Un seul poste non mis à jour pour que l’ensemble du réseau soit potentiellement compromis 2000 sociétés
infectées: Saint-Gobain (coût 220 millions d’euros), SNCF, labo pharmaceutique Merck.
Deloitte – Septembre
➢ Le cabinet de conseil a été victime d’une importante cyberattaque. Accès à des informations privées
➢ Les hackers ont utilisé l’identifiant et le mot de passe d’un compte administrateur, leur permettant ainsi
d’accéder au Cloud Azure de Microsoft, plateforme hébergeant une partie des données de Deloitte.

Active Directory 9
Attaques en 2017: les environnements Microsoft cible à la mode ?
Arabie Saoudite – Novembre
➢ Centre national de sécurité saoudien (NCSC) a signalé une campagne de « menaces persistantes avancées
», menée à l’aide du langage de script Powershell (Powerstats – backdoor) très difficile à détecter.
➢ Campagne massive de cyber-espionnage dirigée contre l’Arabie Saoudite.
JO de Pyeongchang / Février
➢ Malware nommé « Olympic Destroyer » car son objectif principal était apparemment d’anéantir les
systèmes et d’effacer les données, non de les voler.
➢ Effacement des fichiers ainsi que l’historique en navigant sur les réseaux visés à l’aide de fonctionnalités
de Windows (PsExec et WMI (Windows Management Instrumentation)).
➢ Outils utilisés par les administrateurs pour accéder au réseau et faire des opérations à distance.
➢ Malware utilisait des identifiants volés sur le navigateur et un système connecté aux ordinateurs infectés.
➢ Le créateur du malware connaissait beaucoup de détails techniques sur les infrastructures des JO comme
les identifiants, les noms de domaines, les noms de serveurs et bien sûr, les mots de passe

Active Directory 10
Attaques en 2018: les environnements Microsoft cible à la mode ?
Ville d’Atlanta / Mars
➢ Attaque « SamSam » avec logiciel piraté fait par la NSA,
prise de contrôle des ordinateurs Windows de la ville
➢ Les hackers ont pu interrompre les systèmes
informatiques( 1 semaine). Coût = 10 millions de dollars.
Technique d’attaque ? :
➢ Identification de l’Administrateur de Domaine à l’aide
d’outils accessibles au grand public, tels que Mimikatz
➢ Une fois ces identifiants d’Administrateur de Domaine
récupérés,) attente du moment opportun (tard dans la
nuit, vendredi juste avant un week-end) pour déclencher
l’attaque
➢ introduction du malware simultanément sur toutes les https://www.solutions-numeriques.com/samsam-des-attaques-ciblees-
et-premeditees-avec-un-gros-retour-sur-investissement
machines windows. »

Active Directory 11
Attaques en 2018: les environnements Microsoft cible à la mode ?
Système de santé de Singapour / Juillet
➢ Cyberattaque (août 2017/juillet 2018) ciblant un grand groupe d'établissements de santé publique de Singapour.
Exfiltration de données à caractère personnel (1,5 million patients, 159 000 dossiers transférés)
➢ Attaque de type « hameçonnage » sur un utilisateur de l’un des postes de travail Citrix d'un établissement
(« Poste de travail A ») et « Cheval de Troie" probablement installé sur l’ordinateur cible pour en extraire les mots
de passe, stockés en clair dans les journaux.

➢ Réutilisation des identifiants/mots de


passe, Elévation de privilèges pour
atteindre un second poste de travail (Poste
de travail B »)
➢ Compromission du système
d'authentification Windows
➢ obtenu les identifiants/mots de passe
utilisateur et « administrateur" des
contrôleurs de domaine, des serveurs,
applications et postes de travail hébergées
sur le réseau hospitalier.
Active Directory 12
Attaques en 2019: les environnements Microsoft cible à la mode ?
Altran - Janvier 2019
➢ Cyber attaque a ciblé son infrastructure le 24 janvier.
Implication d’un nouveau ransomware LockerGoga
➢ Déconnection du système informatique. Les perturbations
se sont prolongées jusqu’en février. Coût financier de cette
cyberattaque estimé à 20 millions d’euros.
Détails techniques
➢ Lockergoga est conçu pour chiffrer les fichiers contenus sur
le système de sa victime.
➢ Ce ransomware s'attaquait par défaut à la plupart des
fichiers de la suite Office (fichiers suffixés ".locked" et un
document "Readme.txt" est créé (instructions pour la rançon)
➢ LockerGoga aurait été signé avec un certificat valide,
appartenant à la société MIKL Ltd créée en 2014.
➢ Cela permet alors au programme de contourner certains
mécanismes de protection mis en place sur Windows

Active Directory 13
Attaques en 2019: les environnements Microsoft cible à la mode ?
CHU de Rouen – Novembre 2019
➢ L’attaque a provoqué un arrêt général des ordinateurs sous Windows ?
Des ascenseurs, de l’imagerie médicale, des systèmes d’analyses…
➢ Ces attaques semblent être le résultat d’une vaste campagne
d’hameçonnage (octobre 2019)
➢ Utilisation du cheval de Troie « flawed Ammyy » pour la prise de contrôle
à distance, ainsi que l’outil Cobalt Strike (tests d’intrusion) afin d’acquérir
des droits d’administration réseau sur le SI
➢ Déploiement du ransomware CLOP (.Clop)
➢ Nouvelles capacités permettant de désactiver des services adossés à
Microsoft Exchange, SQL Server ou encore MySQL et BackupExec
➢ Nouvelle variante mettant fin à un total de 663 processus incluant de
nouvelles applications Windows 10, des éditeurs de texte populaires,
des débogueurs, des langages de programmation, des programmes
terminaux et des logiciels de programmation IDE »
https://www.lemondeinformatique.fr/actualites/lire-le-ransomware-clop-s-attaque-aux-
applications-windows-10-77598.html

Active Directory 14
Attaques sur les environnements Microsoft: Constats
Virus, Ransomware, Phishing
Les systèmes Windows sont une cible de choix des cyber attaquants
WanaCry, Peyta, NotPeyta, LockerGaga, Clop,… s’attaquent aux environnements Windows
Correctifs
✓ systèmes obsolètes: vulnérabilités de Windows XP/Vista/Seven, anciennes versions de Windows
✓ patch correctif pas suffisamment massivement installé, contamination de milliers d’ordinateurs
Windows
Accès à privilèges
✓ Identifiants/mots de passe « administrateur« des contrôleurs de domaine
✓ Compromission du système d'authentification Windows
✓ Accès aux serveurs, applications, postes de travail hébergées, au Cloud Azure de Microsoft
Outils
✓ Outils accessibles sur Internet (Mimikatz, PsExec, Powershell)

Active Directory 15
Attaques sur les environnements Microsoft: Active Directory
➢ Depuis quelques années, augmentation du nombre d’attaques visant l’écosystème Microsoft postes clients et
serveurs sous Windows, généralement les infrastructures Microsoft au centre desquelles se trouve Active
Directory
➢ Tous les secteurs d'activités utilisant des systèmes Microsoft sont touchés
➢ « Le retour terrain montre que la majorité des cybercriminels sont opportunistes : ils ne visent aucune
organisation en particulier, ne déploient pas d'attaques d'un haut niveau de technicité, mais cherchent et
abusent de systèmes peu protégés et facilement attaquables » Gérôme Billois - Wavestone
➢ Une large majorité des attaques pourrait être évitée si les fondamentaux cybersécurité étaient respectés
o application des correctifs, vérification des paramétrages, activation des fonctions de base de sécurité…
o Mais cela devient complexe dans le contexte d'un système d'information en mouvement perpétuel et
avec l’apparition de nouvelles technologies ouverte vers l'extérieur : Cloud, IOT et 5G
➢ Pour un responsable sécurité, Il s'agit de se mettre à la place d’un attaquant pour regarder où et comment il
aurait intérêt à attaquer son organisation.
➢ Avec comme objectif ? Identifier les zones de risques prioritaires, les systèmes les plus visibles, les plus
fragiles → Active Directory et son écosystème est/reste une zone prioritaire à sécuriser

Active Directory 16
Active Directory:
Généralités

Active Directory
Annuaire: définitions et concepts
➢ Un Annuaire est un conteneur d’informations organisées de façon hiérarchique
➢ Exemples d’annuaires courants
✓ annuaire téléphonique : Les Pages Jaunes
✓ Carnet d’adresses
✓ Un annuaire global célèbre très utilisé : DNS
▪ il a un espace de nommage uniforme
▪ il est distribué entre des serveurs
➢ Rôle → rendre accessible des informations utiles pour un système à partir de différents critères
➢ Un annuaire est une base de données, mais une base de données n’est pas un annuaire
➢ Avantages → rapide en lecture, centralisé, sécurisé, extensible, fortes quantités d’enregistrements dans un
faible espace.
➢ Un annuaire n’est pas
✓ approprié à de fréquentes écritures
✓ destiné à manipuler des données volumineuses
✓ un substitut à un serveur FTP, un système de fichiers,...

Active Directory 18
Protocoles et normes pour les annuaires
X.500 : normes définies par l’UIT-T
✓ Standard conçu en 1988 par l’UIT-T pour interconnecter leurs
annuaires téléphoniques
✓ Destiné à normaliser les services d’annuaires
✓ Echec car inadapté aux communications distantes
✓ Implémentations trop lourdes

LDAP : protocole reposant sur TCP/IP


✓ Lightweight Directory Access Protocol (LDAP) a vu le jour à
l’Université du Michigan au début des années 1990

Evolution de LDAP de 1993 à maintenant :


✓ LDAPv1 → RFC 1487 (1993)
✓ LDAPv2 → RFC 1777 (1995)
✓ LDAPv3 → RFC 2251 (1997)
✓ En 1996, apparaissent les premiers serveurs commerciaux

Active Directory 19
Protocoles et normes pour les annuaires
LDAP définit :
➢ un modèle d’information → définit le type de données pouvant être stocké dans l’annuaire
✓ Entrée = Objet
✓ Une entrée contient un ensemble d’attributs (utilisateurs ou opérationnels)
✓ Classe d’objet: définit les attributs que doit contenir un objet
✓ Le schéma de l’annuaire contient les classes d’objets, Le schéma de l’annuaire permet de vérifier le respect de la syntaxe des
données
➢ un modèle de nommage → définit comment sont organisées les entrées de l’annuaire et comment elles
sont référencées
✓ Contraintes de nommage pour garantir l’interopérabilité entre annuaires
✓ DIT (directory information tree) : définit l’organisation et la désignation des données
✓ Chaque entrée est identifiée de manière unique par :Relative Distinguished Name et Distinguished Name
➢ un modèle fonctionnel → décrit les moyens d’ accès aux données et les opérations applicables aux
données
✓ Fonctions d’interrogation: search, compare
✓ Paramètres: base object, scope, derefAliases, size limit, time limit, attrOnly, search filter
✓ Fonctions de mise à jour: add, modify, delete, rename
✓ Fonctions de session: bind, unbind

Active Directory 20
Protocoles et normes pour les annuaires
LDAP définit :
➢ un modèle de sécurité → décrit le moyen de protéger les données de l’annuaire
La sécurité se fait à plusieurs niveaux
✓ par l’authentification pour se connecter au service
✓ par un modèle de contrôle d’accès au données
✓ par le chiffrement des communications (ldaps)
➢ un modèle de duplication → définit comment dupliquer l’annuaire sur d’autres serveurs
✓ Prévenir les coupures réseau, les surcharges de service ou les pannes de serveur
✓ Structure maître-esclave, multi-maître, Synchronisation totale/incrémentale
✓ Réplication en temps réel/à heure fixe
➢ des API → pour développer des applications clientes
➢ Des fonctions Bind, Connect, Search, Compare, Add,
Delete, Modify, Rename, Unbind, Abandon, Extended
➢ LDIF → un format d’échange de données
➢ Les annuaires LDAP sont utilisés pour :
✓ des applications systèmes
✓ des applications Intranet/Extranet/Internet

Active Directory 21
Principaux serveurs LDAP
OpenLDAP
ActiveDirectory
Apache Directory Server
IBM Domino …

Active Directory
➢ LDAP et Kerberos intégré
✓ Version propriétaire
✓ Légères modifications par rapport au LDAP et Kerberos open
source
➢ Solution utilisée dans beaucoup d’entreprises
✓ Facilité d’intégration dans le parc de stations/produits microsoft
➢ Attention aux différences
✓ dans les schémas
✓ Sur certaines opérations
➢ Rajoute en Plus
✓ Notion de domaines, forets, gc,
rodc, schema master, …

Active Directory 22
Environnements Microsoft: groupe de travail et domaine
Implémentation en Groupe de travail ou en domaine
Groupe de travail: Les informations de Comptes d’utilisateurs sont
stockées localement sur les machines hébergeant les ressources
réseau. Si une modification doit être apportée à un compte, celle-ci
devra être répercutée manuellement sur toutes les machines où le
compte existe.
Domaine: Les informations de comptes sont centralisées
sur un serveur, dans l’annuaire des objets du réseau. Si
23

une modification doit être apportée à un compte, elle doit


être effectuée uniquement sur le serveur qui la diffuseras à
l’ensemble du domaine.

Avantages d’un domaine :


❑ L’administration des Comptes d’utilisateurs du domaine étant centralisée en un point unique, il est possible
d’organiser ces derniers de façon à obtenir une représentation structurée de l’entreprise et donc de mieux
maîtriser la sécurité sur le réseau.
❑ L’organisation hiérarchique des objets de l’annuaire permet une délégation facilitée des pouvoirs
administratifs sur une partie des objets du réseau.
Active Directory 23
Historique
Windows 1.0 : 1985 ;
Windows 2/ Windows 2.10 / Windows 2.11 : 1987 ;
Windows 3. 0 : 1990 ;
Windows 3.1 : 1992 ;
Windows NT 3.1 : 1993 ;
Windows NT 3.5 : 1994 ;
Windows 95 : 1995 ;
Windows NT 3.51 : 1995 ;
Windows NT 4.0 : 1996 ;
Windows 98 : 1998 ;
Windows 98 SE : 1999 ;
Windows 2000 : 2000 Première version de Active Directory
Windows Me : 2000 ; ❑ Initialement publié en 1999
Windows 2000 SP2 : 2001 ; ❑ Originalement conçu pour Windows 2000 Serveur
Windows XP : 2001 ;
Windows 2000 SP3 : 2002 ;
❑ Deux types de modèles : « Workgroup » et
Windows XP Media Center : 2002 ; « Domaine »
Windows XP SP3 : 2008 ;
Windows Vista : 2008 ;
Windows Vista SP2 : 2009 ;
Windows 7 : 2009 ;
Windows 8 : 2012 ;
Windows 8.1 : 2013 ;
Windows 8.1 Update : 2014.
Windows 10

Active Directory 24
Active Directory dans l’entreprise
Applications Sécurité
Services d’infrastructure
⚫ PGI progiciel intégré de gestion (ERP) ⚫ Identification
⚫ Service de supervision (SNMP)
⚫ CRM (gestion de la relation client) ⚫ Authentification
⚫ Service WEB (HTTP), Serveur NTP
⚫ SCM (gestion de la chaîne logistique ) ⚫ Habilitation
Sauvegardes
⚫ Serveurs de mails, Filtrage anti-spam
⚫ HRM (gestion des ressources ⚫ SSO, Kerberos, certificats
des serveurs, des postes,
⚫ Service d’annuaire – LDAP- Active
humaines) ⚫ Confidentialité des
des bases de données, des
Directory services critiques
⚫ Gestion de contenu (CMS) et GED données personnelles,
⚫ Serveur d'application
⚫ Outils de collaboration, messagerie Services de stockages
⚫ Services de virtualisation
instantanée externes / internes
⚫ Services de résolution de noms
Sureté
⚫ Informatique décisionnelle ⚫ Gestion des intervenants
⚫ Gestion des licences
⚫ Systèmes spécifiques Stockage des données
⚫ Protection extérieur
⚫ Bases de données (BDD)
⚫ Protection intérieur
⚫ relationnelle (SQL)
Infrastructure logique ⚫ PRA, PRI
⚫ hiérarchique (LDAP)
▪ Sous réseaux, VLAN, Zone démilitarisée (ou DMZ), DNS, Pare feu (Firewall) ⚫ Haute Disponibilité
⚫ objet (Zope)
▪ Serveur mandataire (Proxy), Définition du routage, VPN (Réseau Privé Virtuel) ⚫ Qualité se service,
⚫ XML
répartition de charge
⚫ Fichiers
Infrastructure physique
▪ Poste de travail, serveurs, imprimantes, périphériques, robot / serveur de Stockage de données
sauvegardes Disques SATA, SCSI, SSD, RAID
▪ LAN et WAN, LS (Ligne Spécialisé), ligne DSL, Liaison internet, FAI Médias amovibles, CD, DVD, disques usb, clés usb,
▪ Câblage et infrastructure réseau, câbles (RJ45 / fibre optique), armoire de brassage bandes
▪ Concentrateurs, commutateurs, routeurs, wifi NAS (Network attached storage) (ftp, NFS (Network File
▪ salle machine, arrivée électrique, climatisation, sécurité du bâtiment, sécurité Système) smb et cifs, webdav, sshfs
incendie SAN (Storage Area Network)

Active Directory 25
Active Directory: annuaire d’entreprise
➢ Utilisation
✓ Regrouper toutes les informations sur les employés en un seul endroit (Base RH, Base de comptes informatique, …)
✓ Un seul point d’entrée pour saisie/correction des données.
➢ Toutes les applications utilisent la même référence
✓ Logiciel RH (SAP par exemple), Outlook pour les contacts, les serveurs de messagerie
✓ Site web (portail intranet de l’entreprise)
✓ Le login sur les ordinateurs Windows, Linux, …
➢ Référencer les postes de travail et serveur
✓ Stocker des informations sur le matériel (Localisation)
✓ Les authentifier dans certains cas
➢ Faire des groupes
✓ De personne, pour limiter des accès à des fichiers, des stations, …
✓ Gérer l’accès à des ressources partagées (boite mail commune, …)
✓ De personne/mail pour faire des listes de distribution
✓ Envoyer un mail à tous le employés de l’entreprise
➢ Faire des objets techniques: Alias mail, comptes de services, comptes techniques
➢ Préférence ou paramètres des utilisateurs:
✓ Des informations simples: prénom, nom de Famille, numéro de badge, référence à son manager
✓ De types différents: Photo en base 64, des certificats, des clés publiques

Active Directory 26
Vue d’ensemble d’Active Directory
Active Directory se compose à la fois de composants physiques et logiques

Composants physiques Composants logiques


✓ base de données ✓ Partitions

✓ Contrôleurs de domaine ✓ Schéma

✓ Contrôleur de Domaine ✓ Domaines


en lecture seule
✓ Arborescences de
✓ Serveur de catalogue domaines
global
✓ Forêts

✓ Sites

✓ Unités d'organisation

Gestion des Identités 27


Active Directory ?
L’ARCHITECTURE d’Active Directory comporte 2 aspects INDEPENDANTS

Catalogue
CatalogueGlobal
Global
• Architecture LOGIQUE : Forêt
Forêt

pour l’Administration Arbre


Arbre
Arbre
Arbre

(décentralisation ou délégation) Domai Arbre Domai ne Domai ne


DomaineneDomai
Domainene Arbre Domai ne Domai ne

Domai
DomaineneDomai
Domainene

OU Serveur
Serveur
OU OU Catalogue
Catalogue
• Architecture PHYSIQUE : Global
Global
OU Domaine Objets
pour limiter le Trafic Réseau
Domain
Domain
Domain
Domain
Controller
Controller OU OU OU OU
Controller
Controller
(Réplication et Session) Domain
Domain
Controller
Controller

Intra-Si te - TCP/IP ou SMTP


Intra-Si
Repli cationte Inter-Si te
Repli cation Inter-Si te - Com pression ~ 15 %
Repli cation
Repli cation - Schedulable
Site 1

Domain Domain
Domain
Domain Controller
Controller
Controller Controller Domain
Domain
Controller
Controller
Aut om atique et Transparent e Domain
Domain Domain
Domain
Controller
Controller
Site 2 Controller
Controller
(dans le périm ètre du s ite
défini pa r l ’administrate ur)
Domain
Domain Domain
Domain
Controller
Controller Controller
Controller

Active Directory 28
DNS et Active
Directory

Active Directory
DNS

Le DNS est constitué de trois composants principaux :


1. L’espace de noms de domaines (Domain Namespace), lequel comprend les
enregistrements de ressources associés à cet espace.
2. Les serveurs de noms DNS (DNS Name Servers). Il s’agit de machines sur lesquelles
s’exécute le processus offrant le service "Serveur DNS". Ces serveurs hébergent tout ou
partie de l’espace de nom géré ainsi que les enregistrements de ressources.
3. Les clients DNS (DNS Resolvers ou DNR). Il s’agit des machines devant invoquer un
ou plusieurs serveurs DNS. Ces machines doivent disposer d’un client leur permettant de
solliciter un ou plusieurs serveurs DNS.

Active Directory 30
DNS résolution de noms
Voici une liste des types d'enregistrement les plus
courants :

A établit le lien entre un nom unique et une


adresse IPv4.
CNAME (Canonical Name) permet de faire d'un
domaine un alias vers un autre.
MX (Mail Exchange) définit les serveurs de
courrier pour le domaine.
NS (Name Server) définit les serveurs de noms
du domaine.
SOA (Start Of Authority) donne les informations
générales de la zone (serveur principal, e-mail de
contact, durée d’expiration…).
SRV définit un serveur spécifique pour une
application, notamment pour la répartition de
charge.

Active Directory 31
Domaines et Zones?
Un domaine DNS est une partie de l’espace de noms au sens logique du
terme. Il s’agit d’un élément de structuration logique
Une zone est vraiment l’information stockée concernant tout ou partie de
l’espace de noms. Il s’agit d’un espace de stockage physique composé ➢ Le domaine corporate.com est mis en
d’une partie de l’espace de noms œuvre à l’aide du fichier de base de
données de zone corporate.com.dns.
➢ Le domaine europe.corporate.com est
mis en œuvre à l’aide du fichier de base de
données de zone
europe.corporate.com.dns.
➢ Le domaine europe.corporate.com
contient les sous-domaines be, de et nl
(pour la Belgique, l’Allemagne et les Pays-
Bas).
➢ Le domaine fr.europe.corporate.com est
mis en œuvre à l’aide du fichier de base de
données de zone
fr.europe.corporate.com.dns
➢ Le domaine fr.europe.corporate.com
contient les sous-domaines apps, research
et paris.

Active Directory 32
DNS: quelques commandes?

Quelques commandes utiles sous Windows


La commande ipconfig /displaydns permet d’afficher le cache de résolutions, lequel est implémenté au
sein du service Client DNS.
La commande ipconfig /flushdns permet de vider et réinitialiser le cache de résolution du client DNS.
ipconfig /registerdns pour renouveler l’inscription du client DNS suite à un changement de configuration ou
pour résoudre un problème d’échec d’inscription ou de mise à jour dynamique entre un client et un serveur
DNS, sans redémarrer l’ordinateur. Cette dernière remarque concerne particulièrement les serveurs.
ipconfig /release : libère l’adresse IPv4 pour la carte spécifiée.
ipconfig /renew : renouvelle l’adresse IPv4 pour la carte spécifiée.
NSLookup est une commande souvent utilisée pour diagnostiquer d’éventuels problèmes de résolution de
noms d’hôtes au sein de l’infrastructure DNS. Elle est particulièrement puissante pour envoyer vers tel ou tel
serveur DNS des demandes de résolution de noms et présenter en retour des réponses détaillées relatives
à ces requêtes. La commande NSLookup présente la particularité de pouvoir fonctionner en mode interactif
ou en mode non interactif.

Active Directory 33
DNS et Active Directory ?

Active Directory 34
DNS et Active Directory ?

DNS
NIVEAU 1 FT
(National)
ft.fr

NIVEAU 2
(Dir. Régional
ou applicatif)
stquentiny agen albi

NIVEAU 3
Ad.ft.fr
(local) local 1 local 2

Localisation des Services


d’Annuaires
Localisation des Serveurs
et des postes
- enregistrements A et PTR

Active Directory 35
Contrôle des Acquis
1. Qu’est ce que LDAP ?
2. A quoi servent les annuaires LDAP ?
3. Quelle est la fonction première de tout service d’annuaire ?
4. Quels sont les avantages d’un domaine Active Directory dans l’entreprise ?
5. Est-il important que l’annuaire Active Directory offre une information la plus à jour possible ?
6. Quel rôle joue le protocole DNS au sein des services de domaine Active Directory ?
7. Quel service du système d’exploitation Windows permet de résoudre un nom tel que corpnet.corporate.com ?
8. Quel fichier peut être manuellement configuré pour prendre en charge la résolution des noms d’hôtes ?
9. Quel type d’enregistrement standard est utilisé par les services DNS Microsoft pour aider les utilisateurs et les
applications à localiser les services de domaine Active Directory ?
10. Quelle est la différence entre une requête DNS récursive et une requête DNS itérative ?
11. Quelle est la différence entre une zone de recherche directe et une zone de recherche inversée ?
12. Quels sont les avantages apportés par la délégation des zones DNS ?

Active Directory 36
Structure Logique
Active Directory

Active Directory
Structure Logique (domaine, forêt, site)
Structure logique: décomposition de l'entreprise en domaines, forêts, unités d'organisation (OU)
➢ Il est important de planifier la structure avant de l'implanter.
➢ Cette décomposition pourra être guidée par la structure de l'entreprise et, surtout, par les
besoins d'administrations
✓ Limites de sécurité (qui est responsable de quoi) : domaines
✓ Possibilité de délégation d'administration : unités d'organisation
✓ Autorisation d'accès aux ressources
✓ Contraintes ou configurations des comptes et des sessions des utilisateurs

Gestion des Identités 38


Domaine et arborescence Active Directory
INSA.NET

LYON.INSA.NET TOULOUSE.INSA.NET

INSA.NET

LABO.LYON,INSA.NET

Domaine Arborescences
➢ « Frontière » de sécurité ➢ Arbre ou arborescence: ensemble de domaines
✓ Authentification appartenant à une même hiérarchie de nom DNS
✓ Stratégies de sécurité ➢ Domaine racine → premier domaine créé, non
➢ « Frontière » pour la réplication re-nommable, non supprimable
réplication de la partition de domaine ➢ Domaine enfant
➢ « Frontière » pour l’espace de noms DNS ➢ Le nom complet (DNS) du nouveau domaine est
➢ « Frontière » pour l’administration obtenu en concaténant son nom au nom du
✓ délégation domaine parent.

Active Directory 39
Les domaines

Une organisation avec de multiple domaines

➢ Un domaine Active Directory nécessite un ou plusieurs contrôleurs de domaine


➢ Le domaine est le contexte dans lequel des comptes d'utilisateurs, des comptes de groupes et des
comptes d'ordinateurs sont créés. C’est un centre d'administration pour configurer et gérer des objets
➢ Le domaine est une limite de réplication
➢ N'importe quel contrôleur de domaine peut authentifier n'importe quelle connexion au domaine

Gestion des Identités 40


Forêt AD
Forêt
➢ Hiérarchie de domaines forme un espace de noms contiguë INSA.NET

✓ Stratégies de sécurité
➢ Tous les domaines dans la forêt partagent
✓ Le schéma
LYON.INSA.NET TOULOUSE.INSA.NET
✓ La configuration
✓ La catalogue global

LABO.LYON.INSA.NET

➢ Une forêt est un ensemble d'arborescences ayant des noms appartenant à des espaces non contigus.
➢ Le nom de la forêt est le nom de l'arborescence racine (première arborescence créée dans la forêt).
➢ Une forêt peut ne contenir qu'une seule arborescence.

Gestion des Identités 41


Forêt AD
Relation d’approbation INSA.NET

✓ Sert à déléguer l'authentification


✓ Permettre d'autoriser des utilisateurs d'un autre Relation
domaine à utiliser des ressources de son domaine d’approbation LYON.INSA.NET TOULOUSE.INSA.NET
✓ Utilise le protocole Kerberos transitive

LABO.LYON.INSA.NET

Relation ➢ Une relation d'approbation permet à l'administrateur d’un domaine


d’approbation A de déléguer l'authentification de certains utilisateurs à un autre
unidirectionnelle Utilisateurs domaine B.
DomA DomB ➢ L'administrateur du domaine A peut accorder l'accès à certaines
Entreprise A Entreprise B ressources (ouvrir une session, accès à des ressources, ...) aux
utilisateurs validés par le domaine B.
Domaine Domaine ➢ Une relation entre un domaine A et un domaine B est
Approuvant Approuvé bidirectionnelle si A approuve B et si B approuve A.
➢ Une relation est transitive si A approuve B, B approuve C alors A
approuve C même s'il n' y a pas de relation d'approbation explicite
entre A et C.
Gestion des Identités 42
Les unités d’organisations (OU)

➢ Une unité d'organisation (UO) est un « container »


pouvant contenir des utilisateurs, des ordinateurs,
des groupes, ... et d'autres unités d'organisation
➢ Une OU est unique sur le domaine
➢ Permet de définir une organisation logique à
l'intérieur d'un domaine
➢ Une OU permet
✓ De déléguer des pouvoirs
✓ De simplifier la sécurité
AD.ENT1.FR ✓ D'appliquer une stratégie à des ordinateurs
ou utilisateurs

Active Directory 43
Sites
➢ Un site est un ensemble de plusieurs sous réseaux IP reliés entre eux par des liaisons à haut débit.
➢ Les liaisons entre sites peuvent être plus lentes ou plus coûteuses.
➢ Objet Active Directory qui représente une partie bien connectée du réseau réseau
✓ Associé à des objets de sous-réseau représentant des sous-réseaux IP

➢ Définir des sites, c'est donner des informations au


contrôleur de domaine lui permettant d'optimiser
le trafic lié à la réplication entre contrôleurs de
domaines et la vitesse de la liaison entre les
utilisateurs et leur contrôleur de domaine. Site A: Lyon
➢ La notion de site est indépendante de la notion de
domaine
➢ un domaine peut contenir plusieurs sites et un site Site B: Lille
peut contenir plusieurs domaines.
Domaine AD.ENT1.FR

Active Directory 44
Structure Physique
Active Directory

Active Directory
Le contrôleur de domaine
La structure physique permet de gérer et d'optimiser le trafic du réseau
➢ Elle se compose de deux éléments: les contrôleurs de domaine et les
sites:
➢ Un contrôleur de domaine est un ordinateur sous Windows 20xx server
✓ Il stocke et gère une copie de la base d'active directory.
✓ Il réplique les modifications de l'annuaire vers les autres contrôleurs.

Les serveurs jouant le rôle « Domain Controller »


➢ hébergent la base de données Active Directory (NTDS.DIT) et SYSVOL
➢ sont répliqués entre les contrôleurs de domaine.
➢ Service Centre de distribution de clés Kerberos (KDC) : authentification

Pratiques recommandées
Disponibilité : au moins deux par domaine
Sécurité : installation minimale, contrôleurs de domaine en lecture seule

Active Directory 46
Que sont les maîtres d’opérations
Dans toute topologie de réplication multimaître,
certaines opérations doivent être à maître unique
Ces rôles s'exécutent tous sur un contrôleur de
➢ Maître d'opérations (ou rôles de maître d'opérations)
domaine, si bien que la perte d'un contrôleur de
➢ Rôles de maître unique domaine est susceptible de provoquer des
➢ Opérations à maître unique flottant (FSMO : Flexible problèmes graves.
Single Master Operation Role) Emulateur PDC
- Modification des stratégies de groupe du domaine
Forêt -> 2roles pour la forêt (éviter les conflits et les écrasements)
➢ Maître attribution de noms de domaine - Synchroniser les horloges sur tous les contrôleurs de
➢ Contrôleur de schéma INSA.NET
domaine (heure et date)
- Gérer le verrouillage des comptes
Domaine → 3 roles par
- Changer les mots de passe
Domaine
- Assure la compatibilité avec les contrôleurs de
➢ RID master LYON.INSA.NET TOULOUSE.INSA.NET
domaine Windows NT
➢ Maître d'infrastructure
Maître RID
➢ Maître d'émulateur de
- fournit un pool d'ID relatifs à chaque contrôleur de
contrôleur de domaine
domaine
principal
LABO.LYON.INSA.NET

Gestion des Identités 47


Base Active Directory

➢ %racinesystème%\NTDS\ntds.dit
➢ Partitions logiques
✓ Schéma
✓ Contexte d'appellation de domaine
✓ Configuration
✓ Catalogue global (aussi appelé Jeu d'attributs
partiel [PAS, Partial Attribute Set])
✓ DNS (partitions d'applications)
➢ SYSVOL
✓ %racinesystème%\SYSVOL
✓ Scripts d'ouverture de session
✓ Stratégies

Active Directory 48
Catalogue Global

➢ Contient tous les objets dans chaque


domaine de la forêt
➢ Le catalogue global est un point
central dans un environnement où il y
a plusieurs domaines, puisqu’il doit
faire le lien entre tous les objets de
tous les domaines de la forêt.
➢ Contient uniquement les attributs
sélectionnés
➢ Peut être consulté depuis tout
domaine
➢ Très important pour de nombreuses
applications

Active Directory 49
La réplication des contrôleurs de domaine
✓ S’assurer que l’information de l’Active
Directory soit concordante dans toute la
forêt
✓ LDAP distribué dans un environnement
« multi-master »
✓ KCC (Knowledge Consistency Checker)
o Service sur chaque contrôleur de
domaine de la forêt
o Négocie des connections de
réplication (anneau)
o Recommence aux 15 minutes

Active Directory 50
Types de réplication

➢ Réplication intrasite/intersites
✓ La réplication au sein d'un site se produit très
rapidement (15 à 45 secondes).
✓ La réplication entre sites peut être gérée (par
défaut 15 min)
➢ Il est donc important que tout utilisateur puisse avoir
une liaison rapide et fiable avec au moins un contrôleur
de domaine.
➢ Le processus d'ouverture de session des utilisateurs
implique forcément un contrôleur de domaine.
Site B: Lille
➢ Ouverture de session sur un contrôleur de domaine du
site si le poste utilisateur se trouve sur le site Site A: Lyon

Domaine AD.ENT1.FR

Active Directory 51
Contrôle des Acquis
1. Quels sont les éléments de structure logique utilisés dans une forêt Active Directory ?
2. Qu’est-ce qu’une arborescence (un arbre) de domaine(s) ?
3. Quel est le rôle de l’objet Unité Organisationnelle au sein des domaines d’une forêt ?
4. Quelle relation existe-t-il entre les domaines d’une même arborescence ?
5. Un contrôleur de domaine comprend trois partitions indispensables. Lesquelles ?
6. Que signifie le terme Partition ?
7. Active Directory gère deux grands types de réplications. Lesquelles ?
8. Où est stockée l’information qui permettra aux contrôleurs de domaine de répliquer correctement les
informations ?
9. Qu’est ce que le catalogue global pour un contrôleur de domaine ?
10. Quels sont les trois rôles de maîtres d’opérations indispensables à tout domaine Active Directory ?
11. Précisez en quoi le rôle de maître d’opération Emulateur PDC est particulièrement important ?

Active Directory 52
Gestion des objets
Active Directory
❑ Le schéma
❑ Les comptes
❑ Les groupes
❑ Les OU

Active Directory
Le schéma : qu’est-ce que c’est ?
Des classes Types de classe
o Chaque objet de l’AD est une instance d’une classe Classe abstraite
C’est un gabarit pour d’autres classes dans la
o La classe défini les caractéristiques d’un objet
hiérarchie du schéma. Elle ne peut pas être
o Les attributs associés à l’objet l’instance d’un objet.
o Les sécurités par défaut
o Le « relative-distinguished name » (RDN) Classe auxiliaire
o Etc. Elle sert à grouper des attributs. Elle ne fait
pas partie de la hiérarchie mais est plutôt
associée à d’autres classes. Elle aussi ne
Des attributs peut pas être l’instance d’un objet.
• Les attributs sont regroupés par classe
• Toutes les propriétés qui définissent le contenu Classe structurale
de l’objet C’est la classe qui permet de créer des objets
dans l’AD. Elle est souvent dérivée d’une
• Chaque attribut défini le format d’une propriété
classe abstraite ou d’une autre classe
• Type, longueur, syntaxe, etc. structurale.

Active Directory 54
Le schéma : hiérarchie

Active Directory 55
L’objet « user » et ses classes
distinguishedName: CN=ldap OU=Ldap,OU=Projets,dc=sit,dc=ulaval,dc=ca
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
whenCreated: 20030307201959.0Z
whenChanged: 20040323191737.0Z
uSNChanged: 7378645
uSNCreated: 11101
objectGUID: {06733BCC-79B5-454A-AE6F-29F8E5C248BD}
objectCategory: CN=Person,CN=Schema,CN=Configuration, forestDN>instanceType: 4

L’objet « User »
✓ Permet de créer des comptes dans Active Directory
✓ Permet de renseigner des attributs sur l’utilisateur
✓ Chaque objet dispose d’identifiants uniques qui
sont représentés par deux attributs : le
« DistinguishedName » et le « GUID ».

Active Directory 56
Les différents types de comptes en entreprise
➢ Compte nominatif : il s’agit d’un compte appartenant et utilisé par un et un seul utilisateur.
➢ Compte générique : il s’agit d’un compte partagé entre membre d’une même équipe,
généralement utilisé en raison des forts privilèges qu’il possède. Les comptes « Administrator » ou
root en sont des exemples
➢ Compte de service : il s’agit d’un type particulier de compte générique. Il s’agit de compte
système, ceux-ci sont généralement bridés et ne peuvent réaliser qu’un nombre limité d’action
qu’elle soit ou non privilégiées. Un compte de service servira généralement à faire fonctionner des
services systèmes, des logiciels ou des scripts.
➢ Compte applicatif : il s’agit d’un type particulier de compte de service dédié non pas à des
services systèmes mais à une application métier. Les applications ont besoin de privilèges (par
exemple se connecter à une base de donnée) mais doivent avoir le moins de droit possible sur le
système afin d’éviter qu’une faille applicative rendent le système vulnérable
➢ Compte à privilèges : Un compte à privilèges est un compte utilisé pour exécuter des tâches
d’administration comme par exemple modifier la configuration d’un équipement, modifier les droits,
la structure de base de données ou le paramétrage d’une application.

Gestion des Identités 57


Les objets « groupes »
Groupes de distribution
➢Utilisés uniquement avec les applications de messagerie
➢Sans sécurité activée (pas de SID) ; ne peuvent pas se voir
attribuer des autorisations

Groupes de sécurité
➢Entitéde sécurité avec un SID ;
peuvent se voir attribuer des autorisations
➢La réception de messages électroniques peut être activée

Active Directory 58
Groupes prédéfinis
Groupe Description
Domain Admins ✓ Groupe global dont les membres sont autorisés à administrer l’ensemble des objets d’un
domaine donné.
✓ Par défaut, ce groupe est membre du groupe local Administrateurs de tous les ordinateurs
membres du domaine, y compris les contrôleurs de domaine. Ce groupe est le propriétaire
par défaut de tous les objets créés dans l’annuaire du domaine.
Schema Admins ✓ Ce groupe n’existe qu’au niveau du domaine racine de la forêt. Il est universel si le
domaine est en mode natif et global en mode mixte.
✓ Les membres de ce groupe (par défaut le compte Administrateur du domaine racine)
disposent des droits de modification du schéma de la forêt.
Enterprise Admins ✓ Ce groupe n’existe qu’au niveau du domaine racine de la forêt. Il est universel si le
domaine est en mode natif et global en mode mixte. Les membres de ce groupe (par
défaut le compte Administrateur du domaine racine) peuvent apporter des modifications à
la structure de la forêt.
✓ Les membres de ce groupe peuvent gérer toute la forêt
✓ Révocable par l’administrateur du domaine
✓ Possibilité de s’approprier un domaine de la forêt
✓ Capacités intéressantes pour le dépannage de forêt
✓ L’administrateur du domaine racine est membre de ce groupe
Gestion des Identités 59
Groupes de sécurité
Peut bénéficier d’autorisations
Étendue du groupe Peut contenir… Peut être membre de
pour
Des comptes d’utilisateur,
des groupes globaux et des
groupes universels d’un
Groupes de domaine local Le domaine dans lequel le
Domaine local domaine quelconque de la
du même domaine groupe de domaine local existe
forêt, et des groupes de
domaine local du même
domaine
Groupes universels et de
Des comptes d’utilisateur et
domaine local d’un domaine
Global des groupes globaux du Tous les domaines de la forêt
quelconque, et de groupes
même domaine
globaux du même domaine
Des comptes d’utilisateur,
des groupes globaux et Groupes de domaine local
Universel d’autres groupes universels et de groupes universels Tous les domaines de la forêt
d’un domaine quelconque de d’un domaine quelconque
la forêt

Active Directory 60
Etendue de groupe
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory. Elles peuvent aller
d’une portée uniquement sur le domaine local mais aussi s’étendre sur la forêt AD entière.

➢ Comptabilité : étendue « domaine


local » sur « paris.it-connect.local »
➢ Direction : étendue « globale » sur «
learn-online.local » qui approuve tous
les sous-domaines
➢ Informatique : étendue « universelle »
sur la forêt

Active Directory 61
Groupes intégrés

➢ Les groupes intégrés (« Built-in ») : Ce sont


des groupes qui permettent d’assigner des
autorisations d’administration, de façon
générale ou sur des fonctionnalités précises
afin de gérer la sécurité finement.
➢ Ces groupes sont directement intégrés et
stockés dans l’annuaire Active Directory au
sein du container « Builtin » accessible de la
console « Utilisateurs et ordinateurs Active
Directory »
➢ Leur étendue est toujours de type local.

Active Directory 62
Groupes prédéfinis et spéciaux
➢ Les groupes prédéfinis : On les trouve dans l’unité
d’organisation « Users » au sein de la console «
Utilisateurs et ordinateurs Active Directory ».
➢ Ces groupes prédéfinis sont là en complément des
groupes intégrés, sauf que pour eux il y a différents
niveaux d’étendues qui sont prédéfinies et qu’on ne peut
pas modifier.

➢ Les groupes spéciaux : Seul le système à la main sur


ces groupes, qui sont pratique et qui permettent
d’englober les utilisateurs à différentes échelles. On
trouve par exemple les groupes « Tout le monde » et «
Utilisateurs authentifiés ».
➢ Ces groupes peuvent être utilisés pour définir du
contrôle d’accès (exemple : donner accès aux
utilisateurs authentifiés l’accès à un partage).
➢ Par ailleurs, il n’est pas possible de gérer les membres
de ces groupes, le système gère ces groupes en
exclusivité.
Active Directory 63
Les Stratégies de
Groupes (GPO)

Active Directory
Group Policy Object (GPO) : définition
✓ Une Stratégie de Groupe (GPO) est définie comme un ensemble des configurations et
paramètres permettant la gestion des ordinateurs et des utilisateurs répertoriés dans un
annuaire Active Directory.
✓ Une GPO est la manière la plus simple de configurer des paramètres de sécurité qui seront
appliqués sur des utilisateurs et des ordinateurs.
✓ Les GPO existent sur les systèmes d'exploitation client et serveur de Microsoft. Au fil des
années, elles ont été adaptées et perfectionnées

Les GPO sont des composants essentiels des environnements Active Directory
✓ Application d'une politique de sécurité commune à des utilisateurs et ordinateurs.
✓ Déploiement des applications sur des postes de travail ciblés.
✓ Gestion centralisée et dynamique des utilisateurs et ordinateurs.
✓ Contrôle efficace des actions des utilisateurs.
✓ Renforcement de la sécurité dans un domaine Active Directory

Active Directory 65
Application des GPO
GPOs Windows 20XX
Champ d’application peuvent s’appliquer aussi bien à un site, un domaine ou une OU
spécifique
Personnalisation peuvent être définies en fonction de l’appartenance des utilisateurs ou
des ordinateurs à des groupes de sécurité spécifiques

Sécurité seuls les administrateurs désignés ont accès à la configuration des GPOs

Persistence à la différence des fichiers de stratégies, les paramètres sont supprimés à


la déconnexion, puis réappliqués à la prochaine connexion

Périmètre d’action intègrent de nouvelles fonctionnalités (sécurité, installation de logiciels,


scripts, redirection de dossiers)

➢ Il existe deux types de stratégies : les stratégies « ordinateur » et les stratégies « utilisateur »,
contenant des paramètres propres à chaque type d’objets.
➢ Pour des questions d’optimisation, il est possible, pour un GPO donné et en fonction de son contenu,
de désactiver le traitement de l’une ou l’autre de ces stratégies.

Active Directory 66
Héritage des GPO
L’application des GPOs se fait par héritage, en
partant du niveau le plus haut de la hiérarchie (site)
au plus bas (OU) : Ordre de Exemples de stratégies
traitement applicables
➢ Un objet GPO rattaché à un site s’applique à •Application d’ouvertures de
Site sessions sécurisées
1
l’ensemble des domaines qu’il contient •Ajout de clés de registre

➢ Un objet GPO rattaché à un domaine s’applique à •Longueur du mot de passe


tous les utilisateurs et ordinateurs du domaine et 2 •Définition du papier peint
Domaine
par héritage à tous les objets contenus dans les
OUs sous-jacentes, y compris les OUs génériques •Configuration du Menu Démarrer
OU1 •Script d’ouverture de session
Active Directory 3
➢ Un objet GPO rattaché à une OU s’applique à •Configuration du Menu Démarrer
OU2
l’ensemble des objets contenus dans cette OU et •Script de démarrage machine
par héritage aux objets des OUs sous-jacentes à
cette OU.

Active Directory 67
Création, localisation et manipulation des GPO

➢ Il s’agit d’une hiérarchie de dossiers située dans le dossier Sysvol des contrôleurs de domaine. Il
contient toutes les informations de stratégie de groupe relatives aux modèles d’administration, à la
sécurité, à l’installation des logiciels, aux scripts et à la redirection de dossiers.
➢ Lorsque un objet GPO est créé, Windows 20XX crée la hiérarchie de dossiers du modèle GPT
correspondante. Le nom du dossier de ce modèle est l’identificateur universel unique (GUID,
Globally Unique Identifier) de cet objet GPO.
➢ Par exemple, pour un objet qui se voit affecter l’identificateur {A3A2C853-F033-11D1-9BE4-
00C0DFE00C63}, le nom du dossier du modèle GPT qui en résulte est le suivant :
racine_système\Sysvol\Sysvol\ad.ft.fr\Policies\{A3A2C853-F033-11D1-9BE4-00C0DFE00C63}.
➢ Pour pouvoir créer ou modifier des GPOs, l’utilisateur doit pouvoir accéder au contrôleur de domaine
associé à l’annuaire correspondant, avoir les permissions de Lecture/Ecriture sur le volume Sysvol
de ce contrôleur et avoir la permission de Modification des Droits sur le conteneur donné.

Active Directory 68
Contrôle des Acquis
Que contient le schéma ?
Quel type de compte trouve t’on en entreprise ?
Quels sont les deux grands types de groupes disponibles dans un domaine Active Directory ?
Quelles sont les étendues possibles lorsque vous créez un groupe dans un domaine Active Directory ?
Quelle est l’une des fonctionnalités qui intéressera particulièrement les administrateurs dans la mise en place
d’une hiérarchie d’OUs ?
Quel type de paramètres contient un objet stratégie de groupe ?
A quel moment la partie « ordinateur » des objets stratégies de groupe est-elle appliquée ?
A quel moment la partie utilisateur des objets stratégies de groupe est-elle appliquée ?
Quel est le contrôleur de domaine qui sera sollicité pour les opérations de création et de modification d’un objet
stratégie de groupe ?

Active Directory 69
Architectures AD
d’entreprise

Active Directory
Active Directory
Utilisateurs Serveurs Postes clients
• Informations de comptes
• Privilèges • Ressources réseau • Configuration
• Profiles • Stockage • Sécurité
• Stratégies • Impression • Quarantaine IPSec
• Single Sign-On • Stratégies • Stratégies

Eléments réseau
Produits Microsoft
• Product Information • Configuration
• Privileges Active Directory • Qualité de service
• Profiles • Stratégies de sécurité
• Policies • Single Sign-On
• Automated deployment • Operational Efficiency
• Improved Security
• Improved Productivity
• Interoperability

Autres systèmes Accès Internet/Intranet


• Configuration
• Annuaires Applications tierces • Stratégie de sécurité
• Bases de données • VPN et accés distant
• Mainframes • Quarantaine VPN
• UNIX • Single Sign-On
• Single Sign-On
• Déploiement
• Configuration
• Données spécifiques

Active Directory 71
Active Directory: exemple architecture environnement Microsoft
DFS Sous Domaine AD
Scripts
Gestion
Serveur
Serveur Service Serveur Service
...
DHCP Connecteur DNS Connecteur

Service Active
Serveur Service Service Publication
Printer … Directory
DNS BAL BAL Bureau

GRD Netscape Serveur Domain Exchange Serveur


IP
(pop/SMTP) Membre Controller W2K 2000 Citrix
Serveur Serveur Serveur Serveur Serveur Serveurs Serveur
Bureautique Infrastr. Messagerie Application Administration Messagerie Application

Proxy

Internet Intranet
Poste Poste & Portable Imprimante Exploitant Poste Serveur
Utilisateur
Bureau (150.000) (150.000 W2K) Exploit. Exploitation
Service Serveur
(n NT,9x)
Workflow DM Net RAS DNS
& Poste xxxx9999
Office 2K Agent Tivoli Admin
Tivoli
Shield +SecurID
Ogata Serveur
Métier (NT) + DHCP
(n OS2, n TRX) Outlook 2K Agent Dazel Outil Délégation Télé- Anti-virus Web
Prenom SSO Admin Gestion
I.E 5.5 Agent PKI Service Fédérateur
Nom
Netscape (Mail) Utilitaires Client Citrix Time SMTP Mail
Patrol …
Messenger Appli client Navigator
Profil User
Notes Sauvegarde Surveillance ...
File Printer Mail BAL.pst

Active Directory 72
Active Directory: mono Domaine Grande entreprise publique

Domaine W2K
ad.xx.fr

1 GPO Station

Domain Computers Users


Adminis- XX Groupe Applications <Filiale>
Controller (default) (default)
tration XXX

1 GPO Stand.
5 GPO Spécial.
1 GPO 1 GPO

serveurs stations utilisateurs groupes contacts annexe <Entité> E2K MIS

150.000 150.000 5.000 Serveurs Serveurs


postes users groupes Exchange 2K MIS

Citrix_Srv
Bureautique Citrix_Grp E2K
-G-ebur -G-Utilisa. Avancés
-G-Nomade
Serveurs -G-<DR>
-G-CIL Groupes Groupes Groupes
Citrix -G-<UO>
-G-Exploit. Support Citrix Exchange 2000
-G-<Applicatif>
-G-Sécurité

Active Directory 73
Active Directory: sites et liens de site: vue réseau
Légende

Site AD Site
Réseau
Lille DC Domaine AD
Toulouse Lien Inter-site
Site S-F
2 DC W2K Lyon

1 DC W2K 2 DC W2K Site S-H


2 DC W2K
Toulouse
Site S-T

Nanterre

WAN n DC W2K Site S-E2K


(~ XXX b/s)

Strasbourg Site S-U


2 DC W2K
Ile de la
Réunion
Site S-S
2 DC W2K
Nantes
Savigny
Site S-4G
1 DC W2K

Site S-M
Site S-W 2 DC W2K
2 DC W2K

Active Directory 74
Active Directory: sites et liens de site: vue AD

Légende
Site Site S-H
Lille Lyon DC Domaine W2K
1 DC W2K + GC + DNS 1 DC W2K + GC + DNS Site AD
Lien Inter-Site
Site Lien Lien
Coût 180 Coût 180
Strasbourg
Délais 30mn Délais 30mn Nanterre
Lien
1 DC W2K + GC + DNS Coût 180 Site
Délais 30mn
Site Nanterre
Toulouse 1 DC W2K + GC + DNS
Lien FSMO + Serveur de Temps
Lien 1 DC W2K + GC + DNS Coût 180
Coût 180 Délais 30mn 2 DC W2K + GC + DNS
Site Délais 30mn
1 DC W2K + GC + DNS
Savigny
Lien Site
1 DC W2K + GC + DNS Coût 180
Lien Lien Nanterre
Coût 300 Délais 30mn
Coût 180
Délais 30mn Délais 180mn 1 DC W2K + GC + DNS
Site Site
Nantes Ile de la Réunion
1 DC W2K + GC + DNS

Active Directory 75
Active Directory: base AD

Base LDAP contenue dans Fichier


NTDS.DIT :
+ Intégrité (Sauvegarde et DACL)
+ Confidentialité(Kerberos et ACL)

Active
Directory

Réplication d’Annuaire
Disques Durs
Internes
Accès aux
volumes
AD et Log Réplication d’Annuaire Active
Directory
entre Domain Controllers :
+ Disponibilité(DC équivalents et RAID1)
+ Scalabilité(DC démultipliés)
Domain Domain
Controller W2K Controller W2K

Ouverture de Session
Requêtes d’Accès aux ressources

Informations de dernière Ouverture de Session


Mise en Cache en local sur le poste :
+ Disponibilité (en cas de coupure réseau)
Poste & Portable

Active Directory 76
Active Directory, une architecture vieillissante…

➢ Active Directory, c’est le socle informatique de 99 % des sociétés disposant d’un annuaire d’entreprise.
✓ Des entreprises de 10 postes de travail aux multinationales et leurs dizaines de milliers de postes
répartis dans plusieurs pays.
✓ Il est tellement ancré dans la structure de chaque entreprise qu’on ne le voit plus
✓ Or l’annuaire c’est la clé de voûte de toute l’architecture informatique de l’entreprise.
➢ La plupart des designs Active Directory des grandes entreprises françaises ou mondiales ont été réalisés il
y a plusieurs années, entre 10 et 15 ans pour la plupart.
➢ A cette époque, les problématiques de sécurité liées à Active Directory n’étaient pas connues du « grand
public », seuls de rares initiés se concentrés sur la sécurité des environnements Microsoft.
➢ Les aspects sécurité étaient traités, mais principalement sous le prisme du modèle de délégation et de
l’accès aux objets dans l’annuaire Active Directory.
➢ Les designs de l’époque ne prenaient donc pas en compte les attaques spécifiques sur Active Directory.
➢ Les mises à jour des systèmes d’exploitation (contrôleurs de domaine AD, postes de travail, serveurs)
n’étaient pas aussi surveillés qu’aujourd’hui

Active Directory 77
Forêt AD avec plusieurs domaines grande entreprise publique

Visualisation Document

Active Directory 78
Présentation des outils
de gestion de l’AD

Active Directory
Administration

Pour gérer les objets AD DS, il est


possible d’utiliser
les outils graphiques suivants:
✓ Composants logiciels enfichables
d'administration Active Directory
via la console mmc (microsoft
management console)
✓ Centre d'administration Active
Directory

Vous pouvez utiliser les outils en


ligne de commande suivants
✓ Outils en lignes de Commandes
du service d'annuaire
✓ Module Active Directory dans
Windows PowerShell

Active Directory 80
Active Directory Users and Computers (ADUC)
➢ ADUC (Active Directory Users and Computers)
est un module de console d’administration
Microsoft (snap-in) utilisée pour administrer
Active Directory (AD).
➢ Il permet de gérer des objets (utilisateurs,
ordinateurs), des unités organisationnelles (UO)
et les attributs de toutes ces entités.
➢ Il existe depuis Windows 2000, il s’agit de l’un
des outils les plus utilisés pour l’administration
de l’AD.
➢ Il est possible de gérer les rôles serveur FSMO,
réinitialiser les mots de passe, déverrouiller les
utilisateurs, changer l’appartenance aux
groupes, gérer les délégations … etc.
➢ Les outils d’administration peuvent être installés
sur des postes clients dédiés. Attention ces
postes sont sensibles et il faut bien les protéger.

Active Directory 81
Création d’un utilisateur

Gestion des Identités 82


Création d’un groupe

Gestion des Identités 83


LDP

Active Directory 84
Active Directory Sites et Services

➢ Permet de voir et administrer les


sites et services.
➢ Permet de définir la topologie d’AD
et planifier la réplication.

Active Directory 85
GPMC
➢ L’Éditeur de stratégie de groupe est un
outil d’administration Windows permettant
aux utilisateurs de configurer de
nombreux paramètres importants de leurs
ordinateurs ou réseaux.
➢ Les administrateurs peuvent y configurer
les exigences en matière de mot de
passe, les programmes de démarrage, et
définir quels sont les applications ou
paramètres que les utilisateurs pourront
modifier eux mêmes

Active Directory 86
GPMC

Il existe deux catégories majeures de


stratégies de groupe, Ordinateur et Utilisateur
➢ Configuration ordinateur : ces stratégies
s’appliquent à l’ordinateur local et ne sont
pas modifiées en fonction de l’utilisateur.
➢ Configuration utilisateur : ces stratégies
s’appliquent aux utilisateurs de la machine
locale, et s’appliqueront à tous les futurs
nouveaux utilisateurs, sur cet ordinateur
local.

Active Directory 87
GPMC
Ces deux catégories principales se décomposent
elles-mêmes en sous-catégories :
Paramètres du logiciel : les Paramètres du
logiciel contiennent des stratégies de groupe
spécifiques à des logiciels ; par défaut, ce
paramètre est vide.
Paramètres Windows : les paramètres Windows
contiennent des paramètres de sécurité locale.
Pour effectuer des modifications dans cette
catégorie, vous pouvez également définir des
scripts de connexion ou d’administration.
Modèles d’administration : les modèles
d’administration permettent de contrôler la façon
dont se comporte l’ordinateur local. Ces stratégies
permettent de modifier la façon dont se présente le
Panneau de configuration, d’indiquer quelles sont
les imprimantes accessibles, quelles sont les
options disponibles dans le menu Démarrer et bien
plus encore.
Active Directory 88
GPMC
Ces deux catégories principales se décomposent
elles-mêmes en sous-catégories :
Paramètres du logiciel : les Paramètres du
logiciel contiennent des stratégies de groupe
spécifiques à des logiciels ; par défaut, ce
paramètre est vide.
Paramètres Windows : les paramètres Windows
contiennent des paramètres de sécurité locale.
Pour effectuer des modifications dans cette
catégorie, vous pouvez également définir des
scripts de connexion ou d’administration.
Modèles d’administration : les modèles
d’administration permettent de contrôler la façon
dont se comporte l’ordinateur local. Ces stratégies
permettent de modifier la façon dont se présente le
Panneau de configuration, d’indiquer quelles sont
les imprimantes accessibles, quelles sont les
options disponibles dans le menu Démarrer et bien
plus encore.
Active Directory 89
GPMC
On peut faire beaucoup de choses
avec les GPO
o définir un fond d’écran
o désactiver certains services
o supprimer l’Explorateur du menu
Démarrer par défaut.
o définir des règles sur les mots de passe

L’équipe de sécurité informatique a tout intérêt à définir et à maintenir des stratégies de groupe stricte.
Voici quelques exemples de bonnes pratiques pour la sécurité informatique :
o Désactivez les périphériques amovibles tels que les clés USB.
o Désactivez TLS 1.0 afin d’imposer l’utilisation de protocoles plus sûrs.
o Limitez les paramètres que peut modifier l’utilisateur à partir du Panneau de configuration.
o Autorisez-les à modifier la résolution de l’écran, mais pas les paramètres de VPN.
o Spécifiez un fond d’écran entériné par l’entreprise, et désactivez l’option permettant aux utilisateurs d’en changer.
o Empêchez les utilisateurs d’accéder à l’outil gpedit pour modifier les paramètres décrits ci-dessus.

Active Directory 90
Profil Utilisateur

Il est possible d'affecter un répertoire pour héberger les


répertoires de base et les profils itinérant en allant dans
le menu d'un utilisateur dans sa section 'Profil' ;

Active Directory 91
PowerShell
Pourquoi PowerShell ?
➢ CMD est restreint à une liste de commandes
➢ Depuis Windows XP, les administrateurs utilisent des langages de scripts tels
que VBScript, Perl, KixStart, ….
➢ Powershell: interpréteur de commandes et un langage de script modifiable
par un éditeur de texte (notepad…)
➢ Plus puissant que le CMD avec l’utilisation du framework.Net
➢ Powershell est un langage orienté objet (POO Programmation Orientée
Objet)
o Utilise .Net objects
o Est natif dès Vista (Windows NT6.x) (vista/2008 et suppérieur)
o A une liste fournis d’aides contextuelles
o Est relativement simple à apprendre
➢ Dans PowerShell les commandes sont basées sur le .Net
➢ Framework. Net est une énorme bibliothèque de classes à partir duquel nous
allons utiliser des objets
➢ Win2016 = 2014 Cmdlets basiques avec plus de 89 modules

Active Directory 92
PowerShell ISE

➢ Liste des commandes


➢ Auto-Completion avec la
syntaxe en aide

Active Directory 93
PowerShell
➢ PowerShell n’est pas sensible à la casse
GET-Command= Get-command= gEt-cOmMaNd= gcm
➢ Utilisez la tabulation pour avoir un meilleur visuel
➢ Avec PowerShell on utilise un verbe :
o Get (Récupère une/des information(s))
o Set (Action sur un objet)
o Add (Ajoute à un objet existant) (diffèrent de New)
o Remove (Supprime un objet ou une valeur)
o …
➢ Puis vous avez un nom comme :
o Path
o Variable
o Item
o Object
o …
➢ En croisant le couple Verb-Nom vous avez une large liste de
commandes possibles

Active Directory 94
PowerShell
➢ Get-command retourne les Alias, Fonctions et Cmdlet
➢ Get-help <Cmdlet> pour lire le manuel de commandes particulières (–examples ou –
full donnent plus d’informations)
➢ Cmdlet | get-member affiche les propriétés et méthodes d’une Cmdlet
➢ Dans PowerShell, tout est objet. Pensez Propriétés/Méthodes
➢ Le |«pipe» ajoute un filtre ou autre à la Cmdlet courante
➢ Le $_fait référence à l’objet courant (résultat de la partie gauche du pipe)
➢ Les filtres s’utilisent avec where-object ou where ou ?
➢ Les collections sont utilisés avec foreach-object ou foreach ou %
➢ Get-command –module active directory permet de voir toutes les cmdlets utilisables
dans l’ad

Active Directory 95
PowerShell
➢ Par défaut, les scripts .ps1 ne sont pas autorisé, le fonctionnement est «Restricted»
➢ En faisant Get-executionpolicy, vous verrez un accès restreint
➢ PowerShell propose 4 modes de sécurités:
o Restricted (pas d’éxécution de script)
o AllSigned (script signé)
o RemoteSigned (exécution script local)
o Unrestricted (aucune restriction, script local, distant)
➢ Set-executionpolicy RemoteSigned pour exécuter les scripts localement

➢ Pour exécuter vos scripts, placer vous sous le dossier ou se trouve vos scripts et cliquez
«.\nomDuScript.ps1»

Active Directory 96
PowerShell

Active Directory 97
Travaux Dirigés – Travaux Pratiques

➢ Installation d’un AD
➢ Installation des postes Windows
➢ Opérations sur l’AD

Active Directory 98
Installation de
Active Directory

Active Directory
Installation d’AD 2016: préparation de la machine virtuelle VMware

Active Directory 100


Installation d’AD 2016: préparation du système Windows
Changer le nom par défaut Outil « Gérer les comptes » Pour un serveur contrôleur de
de la machine + reboot créer le mot de passe du compte domaine: mettre une adresse fixe !
administrateur par défaut si celui-ci
n’est pas positionné

Active Directory 101


Installation d’AD 2016: installation des rôles
Gestionnaire de serveur, gérer et
ajout des rôles et fonctionnalités

Sélectionner ADDS et DNS

Active Directory 102


Installation d’AD 2016: installation du contrôleur de domaine
Promouvoir ce serveur en contrôleur de domaine

Active Directory 103


Installation d’AD 2016: installation du contrôleur de domaine
Pas de délégation DNS, cliquer sur suivant

Si tout est OK, cliquer sur Installer et reboot

Active Directory 104


Installation d’AD 2016: Connexion à l’AD
Authentification

Active Directory Users and Computers (dsa.msc)

Active Directory 105


Azure Active Directory

Active Directory
Une identité hybride : Active Directory et Azure Active Directory

Active Directory 107


Extension de l’Active Directory: hybridation de l’identité

Active Directory 108


Extension de l’Active Directory: Authentification Password Sync

➢ Hash du password qui est stocké


dans Azure Active Directory
➢ Authentification effectuée sur le
portail Office 365 en local
➢ Synchronisation du hash mot de
passe

Active Directory 109


Extension de l’Active Directory: Authentification Pass-Through

➢ Hash du password n’est pas stocké


dans Azure Active Directory
➢ Flux uniquement en sortie (ports 80 et
443)
➢ Positionnement d’un serveur
secondaire pour assurer la
disponibilité
➢ En cas de panne les nouveaux
utilisateurs ne pourront pas être crées
sur Office 365

Active Directory 110


Extension de l’Active Directory: Authentification via ADFS

Active Directory 111


Extension de l’Active Directory: Authentification via ADFS

➢ Fédération d’identité :
création d’un trust entre
les deux parties
➢ Infrastructure
conséquente
➢ Maintenance plus
complexe

Active Directory 112


Protection de l’Active Directory via Azure Advanced Threat Protection

➢ Azure ATP est une solution cloud qui


détecte les menaces, et attaques
malveillantes au sein d’un SI
➢ Azure ATP se base sur le trafic
Active Directory pour détecter les
activités suspectes
➢ L’infrastructure Active Directory
protégée qu’elle que soit le type
d’architecture
➢ Être alerté en temps réel lors d’un
risque ou une activité anormale de la
part d’un utilisateur ou une machine

Active Directory 113


Gestion des identités
et accès

Active Directory
Système d’information vs Système Informatique

Rôle du Système d’Information


➢ Collecter les informations
➢ Stocker les informations
➢ Traiter les informations
➢ Diffuser les informations

➢ Le système d’information se décompose en un ensemble d’acteurs, de processus et


d’informations. Les acteurs manipulent ces informations au travers des processus.
➢ Le système informatique est composé de logiciels, matériels et applications. Il fournit
l’infrastructure et les applications qui permettront d’alimenter le système d’information.

Active Directory 115


L’identité numérique
➢ L’identité numérique fournit des
informations sur son détenteur regroupées
Passeport dans une combinaison d’attributs propre à
chaque entité (personne, application,
User/mot de passe machine).
Photos Ces attributs sont:
✓ constants (nom, prénom, profession,
Cartes à puce
sexe)
✓ variables (identifiant, mot de passe,
adresse IP, adresse électronique)
✓ liés ou non à l’identité réelle.
Adresse IP
Biométrie ➢ Ils peuvent faire partie des données à
caractère personnel et donc soumis à la
règlementation.
➢ Les facteurs de contrôle de l'identité
Nom, Adresse, Téléphone, Mobile, Fax, Bâtiment, Numéro Sécu, … appartiennent à trois catégories :
o « Ce que l’on sait » (mot de passe...),
o « Ce que l’on a » (badge, téléphone...) et
o « Ce que l’on est » (biométrie).

Active Directory 116


Evolution de la gestion des identités et des accès dans le temps
Population du SI Gestion
1970
Salariés Compte local

Centralisation des
Salariés et prestataires internes 1990 identités et des comptes
Internet
Salariés, prestataires internes Centralisation des identités et des
et administrateurs 2005 habilitations
Gestion des comptes à privilèges
Mobilité
Salariés, prestataires internes, Ouverture réseau
administrateurs, partenaires et Gestion des identités et des accès,
fournisseurs 2008 Gestion des comptes à privilèges
Attaques
Règlementation Gestion des identités et des accès,
Salariés, prestataires internes, Gouvernance des identités et des
administrateurs, partenaires, 2012 accès, Gestion des comptes à
fournisseurs et clients
Cloud privilèges, Gestion des données,
Habilitations applicatives
2020
Active Directory 117
Gestion des identités et des accès dans le modèle de référence Cybersécurité

Active Directory 118


Gestion des identités et des accès: composants clés
Services Commentaires
Services de gestion Ensemble des processus de gestion du cycle de vie des personnes (embauche, mutation,
des identités départ) ou des objets au sein d’une organisation. Elle fait intervenir plusieurs composants
(« provisionning », synchronisation, structure organisationnelle, habilitations, audit,
processus métier, règles et stratégies).
Service de gestion Assure le contrôle d’accès aux ressources du SI (identification, authentification). Ils
des accès s’appliquent aux collaborateurs, partenaires, clients ou aux entités non humaines. Ils se
basent de plus en plus sur des systèmes multi-facteurs (MFA) pour les opérations dites
sensibles.
Services d’annuaire Référentiels permettant le stockage et l’administration des comptes, informations d’identité
et crédentials (mots de passe, certificats)→ Active Directory
Gestion des Concerne les droits accordés aux utilisateurs sur les ressources. Ces droits sont
habilitations déterminés par une stratégie organisationnelle.
Gouvernance des Fournit un suivi de l’évolution des identités et des accès des utilisateurs au sein de
identités l’entreprise pour un ensemble d’acteurs (responsables sécurité, auditeurs). Ce type d’outil
doit permettre de répondre aux questions suivantes : Qui a accès à quoi ? Quelles sont les
anomalies et risques associés ? Quels sont les écarts par rapport aux règles de gestion en
place ?
Active Directory 119
Gestion des identités et des accès: composants clés

Gestion de l’identité et de son cycle Gestion des accès aux services Gestion des habilitations dans les
de vie proposés services proposés
• Gestion des comptes • Gestion du modèle de droits
• Identité unique • Gestion des méthodes (cycle de vie des habilitations)
• Arrivée, mutation, départ d’accès et d’authentification • Gestion de l’affectation des
• Concerne les différentes habilitations
typologies d’utilisateur
P1
App A
App A Role 1

Départ Arrivée Profil 1


P2
App B
Role 2

App C
P1
Modifi Profil 2
App B
cation Role 3

P2

Active Directory 120


Cycle de vie des identités

Arrivée
Changement de Gestion des droits
fonction ou d’équipe d’accès

Rôle
initial

Gestion des mots de


passe

Départ

Active Directory 121


Problématiques autour de l’identité
Différentes typologies d’utilisateur 1 Respect des normes
4
Normes de nommage, normes de sécurité
Les processus de gestion sont différents entre les
3 4 Difficile de respecter les normes avec du
internes, externes, partenaires, fournisseurs,
provisioning manuel
Comment gérer les arrivées, les départs 2 5

Différents annuaires / Gestion des


2 5 habilitations
référentiels non connectés Besoin de
1 consolider et 6
Comment faire vivre le modèle de
En conséquence, des informations rationaliser droit ? Comment s’assurer que
hétérogènes qui ne sont pas à jour tout le monde a le bon niveau
d’habilitations ?
Beaucoup d’applications
3
et de périphériques 6 Audit
Qui a droit à quoi ?
Applications métiers, applications Qui fait quoi ?
d’infrastructure
Devices : PC, tablettes, smartphones
Comment gérer les accès et
l’authentification ?
Active Directory 122
Gestion des identités et des accès: composants clés
Utilisateurs -Systemes Service d identités Ressources gérées
- Gestion des utilisateurs
- Gestion des habilitations - Identification
- Gestion des mots de passe - Authentification
- Provisionning - Autorisation
Utilisateurs - Single Sign-On
- Workflow Applications
Technologies - Fédération Identité
Responsables Gestion des d identités
identités Gestion des
Bases UMA
SAML accés
API
Services OpenID REST
d annuaires Connect Oauth2
SCIM
RBAC
IoT
LDAP On Premise
Gouvernance des
identités Identité et accés
intelligent
- Gestion des rôles métiers
- Contrôle de conformité - Prévention des risques (IA&ML)
péripheriques
- Certification des habilitations - Détection de la fraude et anomalie Cloud
- Respect de la règlementation - Analyse prédictive identité
- Audit (autorisations, comportements)
- Classification accés et évènements
inhabituels)
Administrateurs

Active Directory 123


Les populations concernées par l’IAM
➢ UTILISATEUR FINAL ➢ EXPLOITANTS ET ADMINISTRATEURS
• Avoir un guichet unique des demandes d’habilitation • Réduire les appels au support
• Obtenir les accès aux actifs plus rapidement • Rationaliser les référentiels ad hoc
• Se protéger contre les mauvaises manipulations • Centraliser les actions d’administration
• Consulter les ressources disponibles
➢ SÉCURITÉ ET CONFORMITÉ
➢ MANAGER • Réduire le risque de fraude
• Maîtriser les habilitations de son équipe • Réduire le nombre de comptes orphelins
• Faciliter l’approbation des demandes • Améliorer les processus d’audit et de
• Faciliter le processus de certification des contrôle Adresser des contraintes
habilitations réglementaires

➢ MÉTIER ➢ COMMUNICATION
• Délivrer les habilitations nécessaires à l’exercice • Avoir une liste des collaborateurs à jour
d’une activité • Alimenter un annuaire « Pages blanches »
• Contrôler ou réduire les coûts IT
• Simplifier la mise en place de nouveaux outil
• Décentraliser la gestion des habilitations vers les
sachants

Active Directory 124


Les tendances IAM: Identity as a service (IdaaS)
APPLICATIONS ➢ L’ouverture du SI a provoqué une
Cloud AZURE rupture liée à la décentralisation des
IAM
GOOGLE WEB
systèmes.
AWS SAAS
SAAS
SAAS ➢ Les entreprises doivent aujourd’hui
Internet Utilisateurs gérer des identités internes, externes
IDAAS Externes
et sécuriser les accès aux ressources
« OnPremise » et « Cloud ».
Identity Cloud
Réseau Externe
Réseau Interne
➢ La solution IdaaS (identity as a
service) permet de gérer l’ensemble
Agent Administrateurs Utilisateurs
WEB
de ces problématiques.
➢ Une telle solution en mode Cloud est
OpenIDM
Poste Client attrayante parce qu'elle adopte une
IAM
approche plus « neutre », rapidement
AD Mys ql
opérationnelle en réduisant
considérablement les étapes
LDAP
SqlServer
APPLI1 d’intégration.
CSV APPLI2

Active Directory 125


Les tendances IAM: CIAM (Customer Identity and Access Management)

➢ Le CIAM (Customer Identity and Access


Management) est l’évolution de la
gestion des identités en entreprise.
➢ L’IAM est généralement associé aux
entreprises (B2B), alors que CIAM est
davantage destiné aux clients finaux
(B2C).
➢ L’IAM permet une gestion des identités
maîtrisées par l’entreprise (employé,
partenaire).
➢ Le CIAM permet une gestion de l’identité
orienté client-consommateur centré sur
le métier de l’entreprise.

Active Directory 126


Les tendances IAM: gestion des objets connectés
Un objet connecté peut être relié à son
Système d information environnement de trois façons
➢ Avec le SI de l’entreprise : Chaque objet
APPLICATIONS communique avec une identité unique et
des droits d’accès associés. L’objet doit
également s’authentifier auprès des
Employés applications afin de pouvoir les utiliser.
Partenaires ➢ Avec les clients finaux via une
prestataires IAM CIAM plateforme CIAM entre l’objet enregistré
et l’utilisateur qui l’utilise. Les deux sont
Clients-Consommateurs
appairés. L’objet doit par exemple
identifier les services auxquels
Internet Of Things
l’utilisateur a droit.
➢ Avec les employés de l’entreprise et ses
partenaires qui interagissent directement
avec les objets

Active Directory 127


Les tendances IAM: l’intelligence artificielle ?
La gestion IAM classique basée sur les règles peut ➢ L’analyse intelligente utilisant les technologies du Big
être complétée par une approche analytique Data et de l'intelligence artificielle.
s'appuyant sur l'intelligence artificielle
➢ Il s’agit d’analyser de grandes quantités de données et
On parle alors de « Identity Analytics » ou « Identity les transformer en informations exploitables pour une
and Access Intelligence ». détection plus rapide.
➢ Un système « Identity ans Access Intelligence » travaille
avec des données en provenance de différentes
sources (employés, fournisseurs, partenaires, clients),
ressources (applications, partages, services cloud),
droits (permissions), stratégies (règles d’accès définies)
et activité courante.
➢ Ces données sont extraites et stockées dans un « data
warehouse » (entrepôt de données) pour être analysées
et corrélées et les convertir en informations facilitant la
prise de décision.
➢ Ces solutions doivent permettre aux administrateurs
d’être proactif en les aidant à se concentrer sur la
réduction des risques remontés via les analyses
prédictives et comportementales.
Active Directory 128
Les tendances IAM: évolution de la règlementation
➢ La Loi de programmation militaire (LPM), la transposition de la directive NIS (Network and Information System
Security en mai 2018), les normes ISO 270XX et le RGPD (mai 2018) ont renforcé les dispositifs
réglementaires liés à la cybersécurité.
➢ La LPM et la directive NIS concernent les infrastructures critiques et essentielles. Ces organisations doivent
mettre en œuvre des chantiers de mise en conformité selon quatre principales dimensions :
▪ Gouvernance de la sécurité (plan SSI, homologation SIE)
▪ Protection (sécurité, architecture, administration et accès SI)
▪ Défense (détection et traitement incident SI)
▪ Résilience (gestion de crise)
➢ Le RGPD concerne toute entreprise manipulant les données à caractère personnel (DCP).
➢ Le cadre règlementaire actuel incite à la mise en place et l’évolution de projets IAM pour les infrastructures
critiques (OIV, OSE, FSN) mais également pour tous les SI concernés par la règlementation et les normes.
➢ Un IAM traditionnel gère les données des employés interne par l’intermédiaire du service RH. Il apportera un
niveau d'abstraction entre l'identité et les droits d'accès à l'ensemble des applications du SI
➢ Le CIAM avec son utilisation orienté client est souvent liée à la mise en conformité RGPD. Il permet au client-
consommateur d'accéder et de gérer plus facilement ses données avec son consentement. Il doit pouvoir
demander où gérer la suppression de ses propres DCP (article 17 du RGPD : droit à l'oubli et la suppression)

Active Directory 129


Architecture Entreprise: Situation Initiale

Active Directory 130


Architecture Entreprise: situation désirée avec mise en place IAM

Active Directory 131


Provisionning d’un Active Directory avec un produit IAM

Active Directory 132


Les solutions IAM
Editeur Produit Type Plateforme

OpenIDM IAM/CIAM OnPremise

Okta Identity Cloud IAM/CIAM IDaaS


IAM: Identity Access Management
IGA: Identity Gouvenance Access
OneIdentity manager IAM/IGA IDaaS
CIAM: Customer Identity Access
Management
Identity IQ
IGA OnPremise IDaaS AM: Access Management
Identity Now

Ping Federate AM OnPremise IDaaS

SiteMinder AM OnPremise IDaaS

Il existe de nombreuses solutions IAM que l’on peut classer de la façon suivante :
✓ Les produits de gestion d’identités et d’accès orientés consommateur (CIAM)
✓ Les produits « Identity as a service » (IDAAS)
✓ Les produits « Gestion des accès et fédération » (AM-FEDE)
✓ Les produits « Gouvernance des identités et des accès » (IGA) et « Identité et accès intelligent » (IAI)

Active Directory 133