[AD DS] Active Directory Domaine Services

Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510 .

[AD CS] Gérer une autorité de certification

J'avais déjà écrit quelques articles sur le service de certificats Active Directory, comme une installation simple d'une autorité racine d'entreprise. Ce scénario peut sembler suffisant pour apprendre le produit et réaliser quelques petites opérations. Dans un environnement plus complexe et si l'on souhaite rester un peu plus dans les bonnes pratiques, il est préférable d'avoir une autorité racine autonome qui fournit un certificat à l'autorité secondaire d'entreprise.

[PowerShell JEA] Just Enough Administration

PowerShell JEA permet de déléguer certaines opérations d'administration avec PowerShell à distance à vos équipes techniques. Les commandes disponibles peuvent être contrôlées. Elle facilite certaines opérations d'exploitation tout en limitant les risques.

Les recommandations de l'ANSSI concernant l'administration sécurisée des systèmes d'information reposant sur Active Directory, publiées en octobre 2023 y font référence.

[Windows Security] Vers la fin de NTLM ? Les nouveautés annoncées pour Windows 11

Quelques semaines après un article sur la désactivation de NTLM dans Active Directory, Mathieu Palko a publié un article intéressant sur l'évolution de l'authentification dans Windows.

[Windows Securité] Désactiver NTLM dans un domaine AD

NTLM est l'évolution du protocole Lan Manager. La première version de NTLM date de 1993 avec Windows NT 3.1. La version NTLM V2 quant à elle date de 1996 et Windows NT 4.0 SP4.

[AD Sécurité] Windows LAPS configuration

fvf

Nous avons dans la première partie vu une présentation des fonctionnalités ainsi que la préparation d'un Active Directory local pour Windows LAPS.

Il est maintenant possible de définir une stratégie Windows LAPS pour gérer les comptes administrateurs locaux.

Pour rappel, Windows LAPS est différent de l'ancien Microsoft LAPS. Il dispose d'attribut AD spécifique et de paramètre de GPO spécifiques.

[AD Sécurité] Windows LAPS vs LAPS legacy

Microsoft a mis en place une nouvelle version de LAPS qui remplace l'ancien LAPS hérité. La solution n'est pas juste une mise à jour, mais un nouveau produit. En effet, elle utilise de nouveaux attributs dans l'annuaire Active Directory et offre des possibilités nouvelles dont entre autres :

[AD DS] GPO : utiliser des variables

Si vous utilisez les préférences dans les stratégies de groupe, il est possible d'utiliser des variables pour cibler certains éléments. Pour accéder aux variables, il suffit d'appuyer sur la touche « F3 » lorsque vous êtes dans le champ du paramètre pour ouvrir la liste des paramètres disponibles.

[AD DS] GPO : verrouillage automatique des comptes

La stratégie de verrouillage des comptes permet de se protéger contre des tentatives de connexion abusives. La stratégie définit le nombre d'erreurs dans un intervalle de temps précis. Par exemple, 3 erreurs de mot de passe en 10 minutes provoquent le verrouillage du compte pendant 30 minutes.

[AD DS] GPO : gérer les imprimantes

Comme pour la connexion à des partages, il est possible de déployer des imprimantes via les stratégies de groupe. Si vous souhaitez déployer des imprimantes, il est nécessaire de gérer la partie installation du pilote. En effet une imprimante partagée peut être vue en 2 parties. La première est la file d'attente d'impression gérée par le serveur. La 2^ème partie est le pilote d'impression qui devra s'installer sur le poste cible. Par défaut, les comptes utilisateurs du domaine ne peuvent pas installer de pilote.

[AD DS] GPO : Gérer les lecteurs locaux

Nous avons vu dans le chapitre précédent qu'il est possible d'utiliser les scripts d'ouverture de session pour connecter des lecteurs réseaux spécifiques à chaque utilisateur. Depuis Windows 2008, il existe une autre méthode permettant de gérer ce type de paramètre à l'aide des préférences dans les stratégies de groupe. Les préférences ne sont applicables en natif que sur les postes client en Windows Vista ou supérieurs.

[AD DS] Définir la stratégie de mot de passe

Définir la stratégie de mot de passe

Nous allons dans ce premier exemple modifier la stratégie de mot de passe définit par défaut dans un domaine. L'option la plus souvent utilisée est de modifier les paramètres de la stratégie de groupe « Default Domain Policy ». Si vous définissez une stratégie de mot de passe sur une unité d'organisation contenant des objets ordinateurs, la stratégie que vous avez définie remplacera la stratégie pour les comptes créés localement sur la machine (voir SAM local), mais les comptes du domaine ne sont pas impactés.

[AD DS] GPO et filtre

Filtrer une stratégie sur un groupe

Il est possible de restreindre l'application d'une stratégie de groupe à l'aide de filtres. Dans la partie « étendue » de la stratégie de groupe, en dessous des liaisons, vous retrouvez « filtrage de sécurité ». Par défaut il est défini sur « utilisateurs authentifiés » qui est un groupe dynamique contenant tous les utilisateurs et ordinateurs authentifiés. Il est possible de supprimer ce filtrage pour le remplacer par un groupe Active Directory, dans ce cas seul les membres des groupes seront concernés :

[AD DS] GPO : La console GPMC

La console de gestion des stratégies de groupes est installée par défaut avec les services Active Directory Domain Services depuis Windows 2008.

Vous pouvez y accéder par le gestionnaire de serveur dans le menu déroulant « outils » ou dans les outils d'administrations du panneau de configuration ou en saisissant la commande « gpmc.msc ».

[AD DS] Gérer les paramètres avec les GPOs

Une stratégie de groupe, qu'est-ce que c'est ?

[AD DS] Gestions des groupes

Les différents types de groupes

[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

[AD DS] Les unités d’organisations

Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.

[AD DS] La console Utilisateur et Ordinateur Active Directory

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

[AD DS] Autres options d’installation : IFM & Clonage de DC

Installation à partir d'un Média : IFM (Install from Media)

[AD DS] Installation du premier contrôleur de domaine

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

[AD DS] Pré requis pour les contrôleurs de domaine

Au niveau de l'édition de Windows Serveur 2016 et supérieur, vous pouvez, utiliser une version standard ou entreprise. Nous ne donnerons pas plus de détail sur la version Essentiel qui est très limitée.

[AD DS] Planification et installation

Comment préparer son déploiement

Avant de déployer votre environnement, je vous conseille de réfléchir aux points suivants :

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[AD DS Security] Utilisez PingCastle

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 4)

Nous avons vu comment mettre en place des certificats pour les connexions LDAP sécurisées SSL ou StartTLS dans le magasin de certificat du compte de l'ordinateur du contrôleur de domaine.

La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 3)

Nous avons déjà vu l'importance de sécurisé les connexions LDAP.

Le blocage de l'authentification simple LDAP, l'exigence d'utiliser une signature avec l'authentification SASL, permet d'améliorer la sécurité de l'authentification, mais ne chiffre pas la connexion vers le contrôleur de domaine et les réponses aux requêtes.

[AD DS Security] Sécurité des connexions LDAP (partie 2)

Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

[AD DS Security] Sécurité des connexions LDAP (partie 1)

Il est fréquent dans nos environnements de connecter des applications tierces ou des équipements afin de récupérer les informations dans notre annuaire Active Directory.

C'est le cas par exemple de copieurs multifonctions qui dispose d'option de scan vers une adresse de messagerie électronique.

Dans ce cas, vous allez configurer le copieur vers le port 389 de votre contrôleur de domaine. Il vous faudra indiquer un compte et un mot de passe pour exécuter des recherches.

[Windows News] Evolution Kerberos et Netlogon

Microsoft a prévu de renforcer la sécurité du protocole Kerberos et de Netlogon dans les prochains mois.

Formulaire de recherche