PowerShell JEA permet de déléguer certaines opérations d'administration avec PowerShell à distance à vos équipes techniques. Les commandes disponibles peuvent être contrôlées. Elle facilite certaines opérations d'exploitation tout en limitant les risques.

Les recommandations de l'ANSSI concernant l'administration sécurisée des systèmes d'information reposant sur Active Directory, publiées en octobre 2023 y font référence.

NTLM est l'évolution du protocole Lan Manager. La première version de NTLM date de 1993 avec Windows NT 3.1. La version NTLM V2 quant à elle date de 1996 et Windows NT 4.0 SP4.

Microsoft a mis en place une nouvelle version de LAPS qui remplace l'ancien LAPS hérité. La solution n'est pas juste une mise à jour, mais un nouveau produit. En effet, elle utilise de nouveaux attributs dans l'annuaire Active Directory et offre des possibilités nouvelles dont entre autres :

La stratégie de verrouillage des comptes permet de se protéger contre des tentatives de connexion abusives. La stratégie définit le nombre d'erreurs dans un intervalle de temps précis. Par exemple, 3 erreurs de mot de passe en 10 minutes provoquent le verrouillage du compte pendant 30 minutes.

Nous avons vu dans le chapitre précédent qu'il est possible d'utiliser les scripts d'ouverture de session pour connecter des lecteurs réseaux spécifiques à chaque utilisateur. Depuis Windows 2008, il existe une autre méthode permettant de gérer ce type de paramètre à l'aide des préférences dans les stratégies de groupe. Les préférences ne sont applicables en natif que sur les postes client en Windows Vista ou supérieurs.

Filtrer une stratégie sur un groupe

Il est possible de restreindre l'application d'une stratégie de groupe à l'aide de filtres. Dans la partie « étendue » de la stratégie de groupe, en dessous des liaisons, vous retrouvez « filtrage de sécurité ». Par défaut il est défini sur « utilisateurs authentifiés » qui est un groupe dynamique contenant tous les utilisateurs et ordinateurs authentifiés. Il est possible de supprimer ce filtrage pour le remplacer par un groupe Active Directory, dans ce cas seul les membres des groupes seront concernés :

Une stratégie de groupe, qu'est-ce que c'est ?

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

Comment préparer son déploiement

Avant de déployer votre environnement, je vous conseille de réfléchir aux points suivants :

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

Nous avons déjà vu l'importance de sécurisé les connexions LDAP.

Le blocage de l'authentification simple LDAP, l'exigence d'utiliser une signature avec l'authentification SASL, permet d'améliorer la sécurité de l'authentification, mais ne chiffre pas la connexion vers le contrôleur de domaine et les réponses aux requêtes.

Il est fréquent dans nos environnements de connecter des applications tierces ou des équipements afin de récupérer les informations dans notre annuaire Active Directory.

C'est le cas par exemple de copieurs multifonctions qui dispose d'option de scan vers une adresse de messagerie électronique.

Dans ce cas, vous allez configurer le copieur vers le port 389 de votre contrôleur de domaine. Il vous faudra indiquer un compte et un mot de passe pour exécuter des recherches.