WebLog de Stéphane PAPP [MSFT]

Journal sur le web de Stéphane PAPP sur l'administration de systèmes.

Sécuriser l’Active Directory

Blog - About

A propos du WebLog de Stéphane PAPP [MSFT]

Après près de 10 ans de conseil dans l'équipe française de Microsoft Consulting Services (MCS), j'ai rejoint l'équipe européenne de Customer Service and Support (CSS) comme ingénieur conseil grands comptes. Mon rôle consiste à délivrer du conseil proactif et réactif sur les logiciels de la gamme System Center (ConfigMgr et OpsMgr, principalement).
Je délivre de l'expertise technique associée aux méthodologies ITIL/MOF sous la forme d'atelier de type vérification de l'état de santé, évaluation des risques, revues de supportabilité, cours magistraux.
Si vous êtes intéressés pour avoir un contact Microsoft dédié pour des ressources techniques, travailler avec vous sur des projets, délivrer une formation ou un transfert d’expertise et vous aider à résoudre vos problèmes, le PFE dédié est fait pour vous. Pour en savoir plus, contactez votre responsable technique de compte ou interlocuteur habituel chez Microsoft.

Sécuriser l’Active Directory

  • Comments 0

Parmi les objectifs du service informatique de Microsoft (MSIT pour Microsoft Information Technology) figurent en bonne place les obligations de décrire comment les produits Microsoft sont utilisés à l’intérieur de Microsoft, lui-même. Lorsque l’équipe qui gère la sécurité de l’Active Directory publie un document, il convient d’en prendre connaissance. C’est possible en lisant le document publié en anglais sur :
http://www.microsoft.com/en-us/download/details.aspx?id=38785

Ce document de plus de 300 pages devra forcément être adapté à vos propres besoins. Il donne une idée de la manière dont Microsoft tire parti des possibilités de l’Active Directory. Les joyaux de la couronne de Microsoft ne sont pas forcément de même nature que ceux que vous voudriez protéger. Nul doute, en revanche, que l’annuaire d’authentification représente un bien relativement précieux chez vous comme chez Microsoft. Vous n’êtes, sans doute, pas non plus dans une situation similaire en termes de cible potentielle comme peut l’être Microsoft. Si certaines pratiques sont mises en œuvre chez Microsoft, vous pouvez, en revanche, vous en inspirer pour vos propres infrastructures.

De manière générale, je retiens, en particulier, les vulnérabilités initiales contre lesquelles une grande majorité d’entre vous devez vous prémunir :

  • des trous dans le déploiement des logiciels de protection contre les virus et autres logiciels malfaisants (malware)
  • des mises à jour appliquées de manière incomplète
  • des applications et systèmes d’exploitation périmés
  • des erreurs de configuration
  • des absences de pratiques de développements sécurisés d’applications

Ces éléments sont les points de départ de failles utilisées pour pénétrer dans les systèmes d’information.

Viennent ensuite des pratiques qui augmentent le risque de pouvoir rentrer dans le système d’information telles que :

  • l’ouverture de session avec des comptes privilégiés sur des ordinateurs qui ne sont pas sécurisés
  • la navigation sur Internet avec un compte privilégié
  • l’utilisation de mêmes comptes privilégiés et mots de passe sur plusieurs ordinateurs
  • les effectifs pléthoriques des groupes d’utilisateurs ayant des privilèges
  • une gestion déficiente de la sécurité des contrôleurs de domaine

Un rappel est fait régulièrement aux 10 lois immuables de la sécurité et aux 10 lois immuables de l’administration de la sécurité qui, dans leur première publication, datent pourtant de l’an 2000. Elles restent applicables et d’un excellent conseil.

Active Directory Security Assessment (ADSA) est une offre de service citée par ce document pour l’évaluation des mesures que vous avez prises pour la protection de votre Active Directory.

Leave a Comment
  • Please add 2 and 5 and type the answer here:
  • Post