palais des congrs Paris

7, 8 et 9 fvrier 2012

Active Directory en 2012 : les meilleures pratiques en design, scurit et administration

7 fvrier 2012 Renaud Depagne Microsoft Consulting Services

Introduction

Historique dActive Directory

Active Directory : quoi a sert ?

Rle dActive Directory
Lieu central de stockage dinformation didentit et dauthentification Apporte lauthentification unique (SSO) aux utilisateurs dans le monde Microsoft Gre laccs aux ressources (groupes de scurit) Permet la gestion centralise (GPO) des paramtres de configuration et de scurit des utilisateurs et postes Supporte des applications bases sur lannuaire (Exchange, ) Avantages A trouv sa place comme annuaire technique (ne remplace pas un annuaire Ldap type annuaire du personnel) Prenne : 99%+ des entreprises ont AD Robuste

(Re)structurer AD : le business
Culture centralise ou non du pays o se trouve la direction gnrale du groupe Aspect politique : exemple, participation dun Etat dans le capital de telle entit appartenant au groupe Secteur dactivit : niveau de croissance externe passe et prvisible Stratgie business : diffrences de besoin de changement entre les diffrents mtiers dun grand groupe Stratgie financire : chaque branche a sa propre fort pour sen sparer plus facilement

(Re)structurer AD : la scurit (1)

La frontire de scurit est la fort
La fort est la vritable frontire de scurit, donc il faut autant de forts que densembles de confiance :
plusieurs quipes dadministration Contraintes lgales ou rglementaires

Les pratiques de scurit doivent tre au mme niveau (le plus lev) dans les diffrents domaines dune mme fort Plus le primtre couvert par une seule fort est important, plus la scurit devient cruciale : par exemple, le temps de remise en route de la fort en cas daccident est crucial Fort ddie pour les administrateurs pour les grandes entreprises particulirement sensibles

(Re)structurer AD : la scurit (2)

Il peut exister des contraintes fortes de protection de donnes (volont, lois, ) Ladministrateur dun domaine peut se rendre administrateur de lentreprise et avoir accs aux donnes de serveurs membres dautres domaines Solutions :
Encrypter les donnes avec un mcanisme indpendant dAD Isoler les serveurs sensibles et les postes par IPSec Utiliser RMS (Rights Management Services) pour laccs aux documents (messages, ) Mettre les serveurs dans une fort spare

(Re)structurer AD : les cots

Fort
Le moins de forts possibles (une trois par exemple) Fort de ressources (ex.: Exchange) / fort de comptes Domaines Plus besoin de domaines pour avoir des stratgies de mot de passe diffrencies depuis Windows Server 2008 Le domaine a un impact sur le DNS Dplacer des utilisateurs est nettement plus simple avec des OUs Consolidation des DCs Cots (matriel, logiciel, oprations)

Nom de domaine
Recommandation de prendre un sous-domaine du nom enregistr sur Internet (ex.: interne.contoso.com) :
Garantit lunicit de nom en cas de fusion avec une autre socit pour la mise en place de relation dapprobation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acqurir un certificat auprs dun tiers, il faut tre propritaire du nom de domaine

Ne pas utiliser de nom avec un seul label (ex.: contoso)

Avec Windows Server 2008 : avertissement la cration Windows Server 2008 R2 refuse dcpromo avec un seul label Problmes possibles avec des applications Lutilisation des services Cloud (Office 365, ) nest pas possible dans ce cas

AD et les mouvements dentreprise

Acquisition dune socit ou consolidation dactivit :
Les actifs entrant dans le cur de mtier rejoignent la fort principale Les actifs non-stratgiques peuvent rester dans leur propre fort

Vente dune entit ou externalisation dactivit

Si fort ddie, il suffit de couper les trusts Sinon, suivant le contrat, migration ncessaire ou bien export des donnes de lAD Ne pas cloner les DCs (les SIDs doivent rester uniques)

Autres points considrer

Les limites dActive Directory :
Peu de limites considrer car elle sont trs leves :
http://technet.microsoft.com/en-us/library/active-directory-maximum-limitsscalability(WS.10).aspx

Nanmoins :
Le nom FQDN ne doit pas dpasser 64 caractres

Forts hors-production
Test, validation, pr-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf
Recrer

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=14536

RODC
pour les sites non-scuriss : agences, Pas de rplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifis/autoriss sont stocks sur RODC Ajout dautres rles possibles Ladministrateur du RODC nest pas Domain Admin Option : BitLocker pour encrypter les donnes (logique puisque le RODC est dans un endroit non scuris)

DC sur Windows Server Core

Avantages :
Rduit la surface dattaque Demande moins despace disque lors de linstallation Surtout : moins de patches appliquer (environ 50%) et moins de reboots Idal pour pour DC + DNS
Plus complexe linstallation (les administrateurs Windows ne sont pas habitus) mais :
Bien document PowerShell http://coreconfig.codeplex.com

Inconvnient :

Exemple de scnario : RODC + BitLocker + Core

La rduction du nombre de reboots ds des correctifs face la ncessit dentrer le code BitLocker

Rduction du nombre des DCs

Permise surtout par lvolution des rseaux Reste des cas justifiant des DCs distants (certains pays) Pourquoi rduire le nombre de DCs :
Rduction des cots Agilit de lentreprise Facilit reconstruire la fort en cas de ncessit

Virtualisation
Les DCs peuvent tre virtualiss, mais cest souvent le rle auquel on pense en dernier, sauf pour les DCs dagences Documentation technique sur
http://support.microsoft.com/kb/888794

Points de vigilance :
Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rles de ladministrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique

IP V6 (1)
Ne concerne pas que les DCs Rgle Common Engineering Criteria : IP V6 activ Les produits Microsoft ne sont pas tests avec IP V6 dsactiv Dsactiver IP V6 reste support mais dconseill Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) :

http://support.microsoft.com/kb/929852/en-us HKLM\System\CurrentControlSet\Services\Tcpip6\Parameters Cl de registre 0x20

IP V6 (2)
Quelques effets de la dsactivation dIPV6 sur AD :
Erreur lors du DCPROMO (problme RPC, erreur de connexion, chec de rplication initialE dune base NTDS.DIT de taille importante) Erreur sur des requtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;ENUS;816103 Problme de rplications dans une fort contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la dsactivation de IPV6 fait que le DC ncoute plus en IPV4 sur le port 389 (ldap) Autres dcouvrir : qui veut essayer ? J

Scurit

Pourquoi il est vital de scuriser AD

2010-2011: attaques cibles sur les entreprises exerant dans des domaines sensibles Attaques de type DHA (Determined Human Adversaries) encore appeles APT (Advanced Persistent Threats) Impact important pour les entreprises affectes Scuriser Active Directory devient crucial pour les entreprises La scurisation pour tre efficace, doit intgrer les meilleures pratiques en administration

Dlgation dadministration (1)

Organiser la dlgation dadministration selon les principes de moindre privilge Sparer les comptes dadministration du service AD et ceux du contenu dAD Limportance des privilges doit tre inversement proportionnelle au primtre dintervention Rduire les comptes privilgis au strict minimum Les groupes privilgis sont tous critiques (pas seulement Enterprise Admins et Domain Admins) Les comptes privilgis sont nominatifs et diffrents des comptes utiliss pour le travail standard (chaque compte devant tre rigoureusement utilis pour son rle)

Dlgation dadministration (2)

Best Practices for Delegating Active Directory Administration est toujours la rfrence (date de 2003) Et appendices :

http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21678 http://www.microsoft.com/download/en/search.aspx?q=Best%20Practices%20for% 20Delegating%20Active%20Directory%20Administration%3A%20Appendices

Demande un travail important Ne garantit pas la protection contre un attaquant

Recommandations (1)
Les postes des DA sont dans une OU ddie Les comptes Domain Admins ne doivent pas sauthentifier sur les serveurs et postes standards, mais seulement sur quelques machines ddies
Pas dutilisation dInternet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont ddies

Mots de passe diffrents pour chaque compte administrateur local de serveur ou poste

Recommandations (2)
Compartimentaliser par ensemble de criticit :
Isoler les serveurs membres critiques (Exchange, ) dans une OU avec des comptes administrateurs ddi

Les utilisateurs ne doivent pas tre administrateurs de leur poste Avancer sur une dmarche RBAC (Rle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises

Recommandations (3)
Patcher les DCs et tous les serveurs et postes le plus tt possible (se protger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systmes, ) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systmes anciens Compartimentaliser par niveau de criticit dans des OUs : Serveurs critiques (Exchange, ), moins critiques, Mots de passe diffrents pour chaque compte administrateur local de serveur ou poste

Monitoring et traabilit
Difficile de reprer une attaque DHA, mais possible Les comptes privilgis dAD sont un moyen pour atteindre les donnes sensibles Les comptes VIP sont aussi viss car ils ont accs aux donnes vitales Il faut pouvoir dterminer qui a fait quoi sur quel objet quel moment Surveillance particulire des comptes ou objets sensibles (qui sauthentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment lauthentification)

Administration des DCs

Les administrateurs AD depuis leur station dadministration passent par un serveur de rebond :

Fort dadministration (1)

Pour les grandes entreprises les plus sensibles Crer une nouvelle fort avec seulement les comptes dadministration Relation dapprobation de fort unidirectionnelle avec authentification slective Les administrateurs grent de manire autonome leur fort (supervision, gestion des correctifs, ) Les comptes DA de la fort de production ne sont plus utiliss

Fort dadministration (2)

Relation dapprobation Authentification slective

Fort dadministration

Introduction ADSA-R

Vue densemble dADSA-R

Active Directory Service Security Assessment and Remediation :
Processus dvaluation et de remdiation de la scurit de votre rfrentiel didentits Active Directory couvrant aussi bien son infrastructure technique que ses oprations de gestion

Principales activits
1. 2. 3.

PFE + Itops + MCS Itops + MCS + VOUS

Dcouverte de votre environnement Active Directory et valuation de sa scurit sous un angle technique et oprationnel Dfinition du plan de remdiation au regard des rsultats de lvaluation de la scurit Mise en uvre du plan de remdiation en fonction de vos priorits

ADSA-R : Primtre
PFE + Itops + MCS
Workshops de dcouverte de lenvironnement en prsence du responsable scurit et des responsables informatiques. Comprhension et analyse des processus organisationnels lis la gestion de vos Active Directory Analyse, identification des remdiations immdiates et futures Construction dun plan de remdiation Workshop de restitution : vue technique Workshop de restitution vue responsable informatique

Itops + MCS + VOUS

Mise en uvre du plan de remdiation (pour les projets retenus)

Managed Service Accounts

Nouveau type de compte de domaine (msDSManagedServiceAccount) pour remplacer les comptes de service traditionnels :
Mot de passe de 240 caractres gnr automatiquement Changement de mot de passe automatique (30 jours par dfaut) Gestion des SPN simplifis (si niveau fonctionnel de domaine = Windows Server 2008 R2) Attach un serveur Nest pas soumis la politique de mot de passe du domaine, ou granulaire (fine-grained password policy) Ne peut pas tre bloqu, ni utilis pour une authentification interactive Dans CN=Managed Service Accounts, DC=, DC= Gestion avec PowerShell

Rcupration aprs sinistre (DRP)

Ncessit de disposer de procdures de reconstruction de la fort Active Directory :
Partir du guide Microsoft (MAJ septembre 2011) sur http://www.microsoft.com/download/en/details.aspx?id=16 506 pour raliser une procdure de reconstruction adapte au contexte de lentreprise Mettre jour cette procdure si besoin La drouler au moins une fois par an en pr-production Sites avec rplication diffre :
Peuvent rendre service pour restaurer des objets Mais effets de bord possibles Pas support comme procdure de rcupration dActive Directory A garder si vous les utilisez, sinon ne pas chercher le faire

Prvention
Tenir jour un inventaire centralis et accessible des dpendances des applications et serveurs vis--vis de linfra AD :
Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable mtier en plus du responsable informatique

AD-RAP : dfinition
Prestation daudit dune fort : 850 contrles Ralise par un PFE (Premier Field Engineer) Microsoft habilit (10 en France) Actuellement rserv aux clients ayant un contrat de support Microsoft Premier Ncessite de pouvoir accder tous les DCs Rapport daudit Plan de remdiation mettre en uvre Outil laiss libre usage durant 18 mois pour le lancement des tests et indfiniment pour consultation

AD-RAP : Le top ten des anomalies

AD-RAP : autres anomalies

Lingering objects Rplication AD ou/et SYSVOL Journal Wrap FRS Inconsistance des enregistrement DNS ou mauvaise adresse IP dun DNS ou Forwarder Pas de Backup du System State

Les points retenir

Design
Faire simple, mais prendre en compte les recommandations pour dfinir la structure AD rpondant le mieux aux besoins de lentreprise avec son contexte et ses besoins Scurit Devient la proccupation majeure Technique + conduire des oprations Audit de scurit AD : ADSA-R, Administration Importance des procdures de DRP Audit technique AD : ADRAP

Merci
rdepagne@microsoft.com
http://www.mstechdays.fr http://blogs.technet.com/rdepagne