7, 8 et 9 fvrier 2012
Introduction
(Re)structurer AD : le business
Culture centralise ou non du pays o se trouve la direction gnrale du groupe Aspect politique : exemple, participation dun Etat dans le capital de telle entit appartenant au groupe Secteur dactivit : niveau de croissance externe passe et prvisible Stratgie business : diffrences de besoin de changement entre les diffrents mtiers dun grand groupe Stratgie financire : chaque branche a sa propre fort pour sen sparer plus facilement
Les pratiques de scurit doivent tre au mme niveau (le plus lev) dans les diffrents domaines dune mme fort Plus le primtre couvert par une seule fort est important, plus la scurit devient cruciale : par exemple, le temps de remise en route de la fort en cas daccident est crucial Fort ddie pour les administrateurs pour les grandes entreprises particulirement sensibles
Nom de domaine
Recommandation de prendre un sous-domaine du nom enregistr sur Internet (ex.: interne.contoso.com) :
Garantit lunicit de nom en cas de fusion avec une autre socit pour la mise en place de relation dapprobation Nom FQDN unique sur Internet : facilite la mise en place de Direct Access Pour acqurir un certificat auprs dun tiers, il faut tre propritaire du nom de domaine
Nanmoins :
Le nom FQDN ne doit pas dpasser 64 caractres
Forts hors-production
Test, validation, pr-production Gestion de ces environnements Construction : Ne pas cloner Exporter : CreateXMLFromEnvironment.wsf et CreateEnvironmentFromXML.wsf
Recrer
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=14536
RODC
pour les sites non-scuriss : agences, Pas de rplication depuis un RODC Seuls des mots de passe de comptes (machines et utilisateurs) identifis/autoriss sont stocks sur RODC Ajout dautres rles possibles Ladministrateur du RODC nest pas Domain Admin Option : BitLocker pour encrypter les donnes (logique puisque le RODC est dans un endroit non scuris)
Inconvnient :
La rduction du nombre de reboots ds des correctifs face la ncessit dentrer le code BitLocker
Virtualisation
Les DCs peuvent tre virtualiss, mais cest souvent le rle auquel on pense en dernier, sauf pour les DCs dagences Documentation technique sur
http://support.microsoft.com/kb/888794
Points de vigilance :
Les snapshots sont absolument interdits : utiliser les pass-through disks Bien distinguer les rles de ladministrateur des serveurs virtuels par rapport aux administrateurs AD Garder un DC physique
IP V6 (1)
Ne concerne pas que les DCs Rgle Common Engineering Criteria : IP V6 activ Les produits Microsoft ne sont pas tests avec IP V6 dsactiv Dsactiver IP V6 reste support mais dconseill Recommandation : laisser IP V6, mais prioriser IP V4 Configuration (rebooter) :
IP V6 (2)
Quelques effets de la dsactivation dIPV6 sur AD :
Erreur lors du DCPROMO (problme RPC, erreur de connexion, chec de rplication initialE dune base NTDS.DIT de taille importante) Erreur sur des requtes LDAP via UDP (ex utilisation de portquery http://support.microsoft.com/default.aspx?scid=kb;ENUS;816103 Problme de rplications dans une fort contenant un mix de DC 2003 et 2008 Dans certain cas de figure, la dsactivation de IPV6 fait que le DC ncoute plus en IPV4 sur le port 389 (ldap) Autres dcouvrir : qui veut essayer ? J
Scurit
Recommandations (1)
Les postes des DA sont dans une OU ddie Les comptes Domain Admins ne doivent pas sauthentifier sur les serveurs et postes standards, mais seulement sur quelques machines ddies
Pas dutilisation dInternet sur ces machines GPO pour interdire le logon aux DA sur les machines autres que celles qui leur sont ddies
Mots de passe diffrents pour chaque compte administrateur local de serveur ou poste
Recommandations (2)
Compartimentaliser par ensemble de criticit :
Isoler les serveurs membres critiques (Exchange, ) dans une OU avec des comptes administrateurs ddi
Les utilisateurs ne doivent pas tre administrateurs de leur poste Avancer sur une dmarche RBAC (Rle Based Access Control) Gestion du cycle de vie des comptes, Provisioning/Deprovisioning : FIM (Forefront Identity Manager) Rendre faciles les bonnes pratiques et difficiles les mauvaises
Recommandations (3)
Patcher les DCs et tous les serveurs et postes le plus tt possible (se protger contre les exploits zero-day) Patcher hors Microsoft (applications, autres systmes, ) : Aberdeen: Microsoft-only vulnerability management initiatives cover only 10-20% of enterprise risk Gartner: Over 90% of attacks exploit known security vulnerabilities for which fixes are available Eliminer les systmes anciens Compartimentaliser par niveau de criticit dans des OUs : Serveurs critiques (Exchange, ), moins critiques, Mots de passe diffrents pour chaque compte administrateur local de serveur ou poste
Monitoring et traabilit
Difficile de reprer une attaque DHA, mais possible Les comptes privilgis dAD sont un moyen pour atteindre les donnes sensibles Les comptes VIP sont aussi viss car ils ont accs aux donnes vitales Il faut pouvoir dterminer qui a fait quoi sur quel objet quel moment Surveillance particulire des comptes ou objets sensibles (qui sauthentifie) Il faut monitorer les DCs, mais aussi les serveurs et les postes (notamment lauthentification)
Fort dadministration
Introduction ADSA-R
Principales activits
1. 2. 3.
ADSA-R : Primtre
PFE + Itops + MCS
Workshops de dcouverte de lenvironnement en prsence du responsable scurit et des responsables informatiques. Comprhension et analyse des processus organisationnels lis la gestion de vos Active Directory Analyse, identification des remdiations immdiates et futures Construction dun plan de remdiation Workshop de restitution : vue technique Workshop de restitution vue responsable informatique
Prvention
Tenir jour un inventaire centralis et accessible des dpendances des applications et serveurs vis--vis de linfra AD :
Extensions de schema Comptes utilisateurs Comptes de service Permissions, flux Chaque application doit avoir un responsable mtier en plus du responsable informatique
AD-RAP : dfinition
Prestation daudit dune fort : 850 contrles Ralise par un PFE (Premier Field Engineer) Microsoft habilit (10 en France) Actuellement rserv aux clients ayant un contrat de support Microsoft Premier Ncessite de pouvoir accder tous les DCs Rapport daudit Plan de remdiation mettre en uvre Outil laiss libre usage durant 18 mois pour le lancement des tests et indfiniment pour consultation
Merci
rdepagne@microsoft.com
http://www.mstechdays.fr http://blogs.technet.com/rdepagne