Introduction
Cet article résume la session qui a été présentée
par Brian Komar, Président de la firme IdenIT au TechEd 2004 d'Amsterdam.
Cette session a pour but de vous présenter les 10 principales règles
à respecter lors de l'installation, l'implémentation et l'administration
d'Active Directory.
La sécurité est devenue un critère incontournable, voir
vital lors de la conception d'un système d'information; il est donc nécessaire
d'adopter une stratégie de sécurité qui pourra garantir
l'intégrité et la protection de vos données.
En cas d'intrusion de votre système, les données peuvent être
altérées et/ou perdues; ces actions peuvent altérer voir
interrompre la productivité de votre système d'informations. Conséquence
: Informations incomplètes, baisse de productivité, perte d'argent,
perte de crédibilité, perte de clients et fournisseurs; etc...
Quels sont les principaux apports d'Active Directory au sein de votre
infrastructure ?
AD est un annuaire permettant une administration centralisée sécurisée;
Active Directory est le coeur de votre système d'informations, où
viendra se greffer par la suite d'autres couches Windows serveur system ou autres,
ces couches seront emmener à interagir avec Active Directory pour l'authentification
et autres paramètres.
Active Directory joue un rôle clé dans la sécurisé
distribuée.
- Authentification requise à la connexion sur le réseau ( KDC
)
- Protection des ressources de la forêt ( Stratégie AGDLP )
- Stratégie de sécurité commune ( GPO )
Gestion des identités:
-Stockage et protection des identités
( Microsoft Identity Integration Server dit MISS est un nouveau venu dans la
gamme Windows Server System, ce serveur vous permettra de gérer les identités
au sein d'une infrastructure comprenant des annuaires et base de données
hétérogène)
Plus d'informations
sur MIIS
- Gestion des ressources réseau (ADMINPACK.MSI)
- Délégation de l'autorité administrative
- Mise en place d'un politique de sécurité centralisée
- Montée en charge des services d'annuaire, mode multi-maître,
multi-fôrets.
Il est possible d'ajouter des services supplémentaires pour renforcer
ces couches de sécurité par défaut, ( IPSEC, serveur de
certificats X.509)
Depuis Active Directory, il est possible de contrôler des règles
de sécurité pour les mots de passe, la stratégie Kerberos,
les scripts et autres règles.
Quel est l'impact en cas d'infiltration malveillante d'Active Directory
?
Au cas où une attaque aboutirai, les conséquences pourraient
être catastrophique, en effet depuis Active Directory, il est possible
d'élever les privilèges d'un compte, de gérer les comptes,
modifier les stratégies de sécurité, modifier les autorisations
d'accès à distance et exécuter des scripts, effacer des
comptes, appliquer des GPO, modifier des relations d'approbation, accéder
aux données confidentiel des l'entreprise, etc...
Evidement ces infiltrations ne sont pas à la portée de tout le
monde, malgré tout même les apprentis hackers ont la possibilité
de se procurer un certains nombre d'outils et de scripts prêt à
l'emploi sur le net, l'utilisation de ces scripts prêt à l'emploi
pour exécuter un exploit s'appelle le script kidding, il est donc possible
à n'importe quelle personne sachant se servir d'un moteur de recherche
de se donner les moyens pour attaquer un serveur distant ou un serveur interne
( 80 % des attaques viennent de l'interne !)
Quels sont les points important à prendre en compte lors de
votre déploiement d'Active Directory ?
- Identifier les risques
- Implémenter des mesures de sécurité contre les risques
connus et anticiper les risques inconnus
- Mettre à jour sa stratégie de sécurité, l'adapter
en fonction de la politique de l'entreprise
- Surveiller en permanence Active Directory contre d'éventuelles attaques
- Auditer régulièrement l'accès à Active Directory
- Effectuer de la veille technologique
Avant d'implémenter des mesures de sécurité, comme nous
l'avons vu dans ce plan, encore faut il savoir contre qui se défendre.
Passons à présent à la phase d'analyse des risques.
 Introduction
1.Analyse
2.Les règles (1)
3.Les règles (2)
Conclusion
|
|
 |
 Pour afficher ou poster un commentaire, cliquez sur ce lien : Forum-Microsoft
|
|
Tech-Ed 2004 : Sécuriser Active Directory en 10 étapes
