ACTIVE DIRECTORY

1. Qu'est ce qu'un Active Directory :

Active Directory (AD) est un service d’annuaire développé
par Microsoft pour les réseaux Windows. AD joue un rôle
important pour les entreprises disposant de ressources
informatiques complexes, de droits d’utilisateur et de
groupes de travail hiérarchiques : en fait, Active Directory
peut être considéré comme un carnet d’adresses et un
annuaire téléphonique, à la différence près qu’il dispose
de beaucoup plus d’options dédiées aux administrateurs
pour gérer, modifier, interroger et structurer les données
utilisateur et objet stockées. L’infrastructure informatique
d’une organisation peut être subdivisée en « domaines »
à l’aide du service d’annuaire de façon à en obtenir une
représentation claire.

2. Les différents types d'active

Directory:
. Active
d'Active Directory local
Directory installée : C'est
sur la forme
unconçue
serveur
pour individuel.
unepas
utilisation Elle n'est pas
à grande échelle et
ne peut être répliquée.
.DS)Active Directory
: C'est la la
formeDomain
d'Active Services
Directory(AD
utilisée
des pour
ordinateurs gestion
et des des utilisateurs,
groupes de
sécurité.
d'annuaire Elle fournit
pour des services
authentifier et autoriser
les
réseau.utilisateurs et les ordinateurs sur un
.Services
Active Directory
(AD DS LDS) Lightweight
: Ilpermet
s'agit d'uneDirectory
version
allégée
applicationsd'AD qui
de stocker des aux
informations
d'annuaire
services sans avoir
d'authentification à utiliser
et les
d'autorisation d'AD DS.
.(AD
Active
FS) :Directory Federation
Il s'agit d'un serviceServices
qui
permet
des à des
identités organisations
avec sans
d'autres de partager
organisations
en toute
recréer sécurité,
des informations avoir
comptes d'utilisateurs besoin de
ou de
stocker des d'identification.
3. La structuration d'un Active
Directory
.d'utilisateurs,
Domaine : Und'ordinateurs
domaine estet und'autres
groupe
objets
objets AD associés, tels que
AD du siège social de votre tous les
entreprise.
.domaines
Aborescence : c'est l'ensemble de plusieurs
combinés. Par exemple si on crée une domaine
appelé toto.org et qu'on ajoute un sous domaine
fr.toto.org ce la devient une aborescense
. Foret : C'est l'ensemble de plusieurs aborescenses
4. Comment
Directory configurer un
: La configuration Active
d'Active
Directory
Directory (AD) dépendra
que vous du
souhaitez type d'Active
déployer.
Voici quelques
configurer étapes
Active générales pour
Services (AD DS) Directory Domain
.installer
Installation
le d'AD DS
rôle AD DS : Vous
surpeut devez
un ou plusieurs
serveurs
utilisant Windows.
le Cela
Gestionnaire de être
serveur fait
ou en
via PowerShell
.l'installation
Création d'un d'ADdomaine
DS, vous : Après
pouvez créer
un nouveauàdomaine
ordinateur un domaineou joindre
existant.unCette
étape est effectuée
l'Assistant en utilisant
Configuration initiale de la
promotion
PowerShell.du serveur ou en utilisant
.groupes
Configuration
: Vous des utilisateurs
pouvez créer deset des
utilisateurs et desde
Directory à l'aide groupes dans Active
la console
Utilisateurs
Directory. et ordinateurs
Vousdepouvez Active
également définir
des stratégies
autorisations mot de passe et des
pour les utilisateurs et les
groupes.
.pouvez
Configuration
utiliser des services
Active : Vous
Directory pour
stocker des informations
configuration pour de services, tels
d'autres
que DNS, DHCP,
d'impression. et des
Vous services
pouvez également
configurer
Active la réplication
Directory entre dedifférents
les données
contrôleurs de domaine.
.Directory
Configuration
fournitdeune
la sécurité : Activede
fonctionnalité
sécurité
définir intégrée qui
des autorisations vous permet
pour de
lespouvez
utilisateurs
utiliser et les
la console groupes. Vous
Utilisateurs et définir
ordinateurs
des Active Directory pour
autorisations pour les objets Active
Directory.
5. Active Directory Securité
• Qu'est-ce que la sécurité d'Active Directory ?
La sécurité Active Directory est souvent décrite comme un moyen de contrôler
les clés de votre château informatique - une métaphore qui a du mérite mais
aussi des limites importantes. Active Directory (AD) fonctionne comme un
gardien, déterminant qui a quelles clés pour entrer dans votre réseau, ainsi que
quelles données et autres ressources chacune de ces clés peut déverrouiller.
Mais contrairement à un bâtiment en pierre, votre environnement informatique
est un endroit incroyablement dynamique, avec des utilisateurs qui vont et
viennent constamment, des employés qui assument de nouveaux rôles, de
nouvelles applications ajoutées et d'autres supprimées. Par conséquent, la
sécurité d'Active Directory n'est pas un événement ponctuel, comme changer les
serrures d'un château, mais un processus continu.

• Sécurité vs conformité
Il est important de comprendre que si la sécurité d'Active Directory est
étroitement liée à la conformité réglementaire, les deux choses ne sont pas
identiques. De nombreuses réglementations de conformité incluent des
exigences qui affectent directement les politiques et procédures de sécurité AD,
mais ces mandats s'étendent souvent à de nombreux autres domaines, tels que
l'accès physique aux immeubles de bureaux, la formation de la main-d'œuvre et
la responsabilité des dirigeants. D'un autre côté, une sécurité AD complète
implique plus que la mise en conformité avec une ou plusieurs réglementations.

La sécurité AD est un élément essentiel de nombreuses réglementations de

conformité, notamment GDPR, CCPA, HIPAA, SOX et PCI-DSS. Le fait de ne pas
sécuriser correctement Active Directory peut entraîner de nombreuses
conséquences désagréables, notamment de lourdes amendes de la part des
régulateurs, des peines de prison pour les dirigeants, l'incapacité de traiter les
transactions par carte de crédit et la perte de confiance des clients.

• Le rôle crucial de la sécurité

La sécurisation d'Active Directory doit être une priorité absolue, car AD joue un
rôle essentiel dans votre infrastructure informatique, contrôlant littéralement
qui peut accéder à votre réseau et ce qu'il peut faire une fois à l'intérieur. Le fait
de ne pas mettre en œuvre et de maintenir une sécurité AD solide augmente
considérablement le risque que les utilisateurs accèdent à des données et à des
applications qu'ils ne devraient pas utiliser, que ce soit délibérément ou
accidentellement. Cela augmente également votre vulnérabilité aux attaquants
et aux logiciels malveillants qui s'emparent du compte d'un utilisateur - ou, pire,
du compte d'un administrateur - pour voler des données sensibles, les crypter
contre une rançon ou simplement faire des ravages sur les systèmes
informatiques. Une attaque réussie contre Active Directory peut causer des
dommages durables aux organisations ou les mettre complètement hors service.

• Meilleures pratiques de sécurité Active Directory

Active Directory existe depuis longtemps, de sorte que les meilleures pratiques sont
facilement disponibles et qu'il est prouvé qu'elles renforcent considérablement la sécurité et
la conformité AD. La mise en œuvre des meilleures pratiques suivantes contribuera à
minimiser les risques pour vos données et systèmes informatiques et à protéger le succès
futur de votre organisation.

1. Des évaluations régulières

L'une des meilleures pratiques de sécurité AD les plus importantes consiste à examiner
régulièrement l'état de votre environnement informatique et à rechercher de manière
proactive les problèmes potentiels de sécurité et de conformité. Comparez périodiquement
les paramètres de configuration de vos points de terminaison Windows, contrôleurs de
domaine et autres systèmes à un bon état connu, puis corrigez rapidement toute dérive
involontaire ou modification malveillante. Assurez-vous de revoir régulièrement la stratégie
de groupe, qui est utilisée pour appliquer les paramètres standard à vos utilisateurs et
ordinateurs. La stratégie de groupe contrôle de nombreuses activités ; vous pouvez interdire
aux utilisateurs d'accéder au Panneau de configuration, en utilisant l'invite de commande ou
en installant un logiciel. Même une modification inappropriée d'un objet de stratégie de
groupe (GPO) peut causer des dommages importants. Par exemple, les utilisateurs pourraient
soudainement être en mesure d'insérer des clés USB et ainsi libérer des rançongiciels ou
d'autres logiciels malveillants dans vos systèmes. Par conséquent, assurez-vous que vos GPO
fonctionnent comme prévu et peuvent rapidement repérer et annuler toute modification
inappropriée ou non autorisée. De plus, assurez-vous que les systèmes d'exploitation
Windows Server et les autres logiciels sont à jour sur les correctifs et que vous n'utilisez que
des versions entièrement prises en charge par les fournisseurs.
2. Minimisez les autorisations des utilisateurs
La meilleure pratique la plus fondamentale en matière de sécurité informatique est peut-être
le principe du moindre privilège. Donnez à chaque utilisateur exactement l'accès dont il a
besoin pour faire son travail, ni plus, ni moins. AD vous permet de placer des utilisateurs
ayant des rôles similaires (tels que tous les administrateurs du service d'assistance ou tout le
personnel des RH) dans un groupe de sécurité AD et de les gérer ensemble. Les utilisateurs
peuvent être - et sont généralement - membres de plusieurs groupes AD, tels que des groupes
basés sur des projets. L'utilisation des groupes de sécurité AD n'est pas simplement une
commodité pour les administrateurs ; il améliore la sécurité en réduisant les erreurs de
provisionnement et de déprovisionnement, et en minimisant la complexité de la structure des
autorisations afin qu'il soit plus facile de dire avec certitude qui a accès à quoi.
3. Enquêter sur les incidents de sécurité
Quelle que soit la qualité de vos efforts de prévention, vous rencontrerez des incidents de
cybersécurité, vous devez donc être prêt à enquêter rapidement et à réagir de manière
appropriée. Vous devez être en mesure de déterminer rapidement l'origine de la violation,
comment elle s'est déroulée et exactement quels systèmes et données étaient impliqués. De
cette façon, vous pouvez tenir les individus responsables de leurs actions et prendre des
mesures pour empêcher que des incidents similaires ne se reproduisent à l'avenir.
4. Gérer les autorisations des utilisateurs et des groupes
Comme indiqué précédemment, le principe du moindre privilège est la meilleure pratique la
plus élémentaire en matière de sécurité informatique. Si vous deviez attribuer manuellement
chaque autorisation d'utilisateur à chaque ressource individuellement - et maintenir ces
autorisations à jour au fur et à mesure que les utilisateurs vont et viennent et changent de
rôle au sein de l'organisation - vous seriez dépassé et votre organisation serait exposée à un
risque élevé de violation et de non-conformité. La possibilité de créer des groupes de sécurité
AD et de gérer ensemble les autorisations d'utilisateurs similaires réduit la charge. Les
utilisateurs peuvent – et sont généralement – membres de plusieurs groupes AD, tels que des
groupes basés sur des projets. Par exemple, un nouveau directeur des ventes peut avoir accès
à toutes les bonnes ressources simplement en les ajoutant au groupe de sécurité des ventes
et au groupe de sécurité du directeur des ventes. De même, s'il existe un nouveau dossier ou
partage de fichiers auquel tous les vendeurs ont besoin d'accéder, vous pouvez accorder
l'accès au groupe Ventes, au lieu de devoir l'ajouter un par un aux comptes d'utilisateurs
individuels. Inversement, si un utilisateur passe d'un rôle Ventes à un poste différent, vous
pouvez supprimer son accès à toutes les ressources Ventes en le supprimant du groupe Ventes
au lieu d'avoir à examiner minutieusement chaque ressource pour laquelle il dispose
d'autorisations et à déterminer si l'accès est toujours légitime.
5. Contrôlez les autorisations d'administration
L'utilisation des groupes de sécurité AD n'est pas simplement une commodité pour les
administrateurs ; il améliore la sécurité en réduisant les erreurs de provisionnement et de
déprovisionnement, et en minimisant la complexité de la structure des autorisations afin qu'il
soit plus facile de dire avec certitude qui a accès à quoi. Les groupes de sécurité AD qui
accordent des privilèges de niveau administratif, tels que les groupes extrêmement puissants
d'administrateurs d'entreprise, d'administrateurs de domaine et d'administrateurs de
schéma, ainsi que le compte d'administrateur local créé lors de l'installation de Windows et
qui a le contrôle total des fichiers, sont particulièrement préoccupants. , répertoires, services
et autres ressources sur l'ordinateur local. Les organisations doivent contrôler étroitement qui
fait partie de ces groupes d'accès privilégiés et être à l'affût de tout changement dans leur
appartenance, ce qui pourrait indiquer qu'un attaquant ou un initié malveillant tente d'élever
leurs privilèges pour accéder à des systèmes ou des données supplémentaires.
6. Autorisations du compte de service
Les comptes de service sont des comptes d'utilisateurs spéciaux que les applications et les
services utilisent pour se connecter et effectuer des actions dans votre environnement
informatique. Malheureusement, les comptes de service ont souvent plus d'autorisations
qu'ils n'en ont réellement besoin, ce qui augmente les risques de sécurité. Les raisons
courantes de surprovisionnement incluent l'acceptation docile des exigences spécifiées par le
fournisseur de l'application, fait pour résoudre correctement les problèmes opérationnels et
simplement cloner un service existant au lieu de prendre le temps d'en créer un nouveau avec
les autorisations appropriées.
La meilleure pratique consiste à s'assurer que tous les comptes de service respectent le
principe du moindre privilège. Vous devez également prendre des précautions particulières
chaque fois qu'un compte de service a besoin de privilèges administratifs. Vous ne devez
jamais faire d'un compte de service un membre d'un groupe d'administration standard, tel
que le groupe Administrateur local ou Administrateurs de domaine. Les meilleures options
consistent à exécuter le service sous le compte LocalSystem ou à créer un groupe personnalisé
pour le compte de service et à refuser explicitement l'accès aux autres comptes de ce groupe.
Et, dans la mesure du possible, il est prudent de configurer les comptes de service afin qu'ils
puissent se connecter uniquement pendant une période spécifiée de la journée.