[AD DS] Active Directory Domaine Services

 

Les services de domaines Active Directory sont la mise en œuvre d’un annuaire LDAP (Lightweight Directory Access Protocol) dans le monde Microsoft. La notion d’annuaire LDAP peut vous sembler étrangère et vous trouverez plus de détails sur le site de l’IETF : https://tools.ietf.org/html/rfc4510.

[AD CS] Gérer une autorité de certification

 

J'avais déjà écrit quelques articles sur le service de certificats Active Directory, comme une installation simple d'une autorité racine d'entreprise. Ce scénario peut sembler suffisant pour apprendre le produit et réaliser quelques petites opérations. Dans un environnement plus complexe et si l'on souhaite rester un peu plus dans les bonnes pratiques, il est préférable d'avoir une autorité racine autonome qui fournit un certificat à l'autorité secondaire d'entreprise.

[AD DS] Gestion des utilisateurs

Création d'un utilisateur

Pour créer un nouvel utilisateur faites un clic droit sur l'unité d'organisation choisi puis « nouveau » et « utilisateur ». Lors de la création d'un utilisateur un nombre minimal d'informations sont demandée par rapport à l'ensemble des attributs dont dispose un utilisateur.

 

[AD DS] Les unités d’organisations

Une unité d'organisation est un conteneur permettant de classer les objets pour simplifier l'administration du domaine. Afin d'organiser au mieux vos unités d'organisation, il est vivement conseillé de tenir compte des contraintes de délégations de certaines opérations d'administration. Par exemple, il est possible de définir un groupe de personnes qui dispose du droit d'ajouter des ordinateurs dans le domaine sans que ces personnes ne fassent partie de l'équipe qui administre l'annuaire Active Directory.

[AD DS] La console Utilisateur et Ordinateur Active Directory

La console « utilisateurs et Ordinateurs Active Directory est une des consoles les plus utilisées. Elle permet comme son nom l'indique de gérer les utilisateurs, les ordinateurs mais aussi les groupes, les unités d'organisation et quelques autres éléments. Il est possible d'accéder à la console soit par les outils d'administration dans le gestionnaire de serveur soit directement en exécutant « DSA.msc ».

[AD DS] Installation du premier contrôleur de domaine

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

[AD DS] Introduction aux Services de Domaine

Comment définir les services de Domaine AD ?

Dans ce chapitre, nous commencerons par définir la notion d'annuaire et ses avantages. Il est vrai que ce paragraphe s'adresse avant tout à un public débutant et même si cela peut paraître superflue je vais prendre quelques lignes pour définir les notions de base.

[AD DS Security] Utilisez PingCastle

 

Nous avons parlé dans un précédent article de l'outil « PolicyAnalyzer » inclut dans Microsoft Security & Compliance Toolkit.

Dans cet article, nous allons voir un autre outil pour analyser la sécurité de votre environnement Active Directory.

PingCastle est un outil gratuit dans version « basic », lorsque vous faites une analyse de votre environnement Active Directory.

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 4)

Nous avons vu comment mettre en place des certificats pour les connexions LDAP sécurisées SSL ou StartTLS dans le magasin de certificat du compte de l'ordinateur du contrôleur de domaine.

La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.

[AD DS Security] Sécurité des connexions LDAP et SSL (partie 3)

 

Nous avons déjà vu l'importance de sécurisé les connexions LDAP.

Le blocage de l'authentification simple LDAP, l'exigence d'utiliser une signature avec l'authentification SASL, permet d'améliorer la sécurité de l'authentification, mais ne chiffre pas la connexion vers le contrôleur de domaine et les réponses aux requêtes.

[AD DS Security] Sécurité des connexions LDAP (partie 2)

 

Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

 

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

 

[AD DS Security] Sécurité des connexions LDAP (partie 1)

Il est fréquent dans nos environnements de connecter des applications tierces ou des équipements afin de récupérer les informations dans notre annuaire Active Directory.

C'est le cas par exemple de copieurs multifonctions qui dispose d'option de scan vers une adresse de messagerie électronique.

Dans ce cas, vous allez configurer le copieur vers le port 389 de votre contrôleur de domaine. Il vous faudra indiquer un compte et un mot de passe pour exécuter des recherches.

[Windows News] Mise à jour cumulative 2022-11

 

Vous avez peut-être déjà entendu parler des problèmes sur Kerberos depuis l'installation des mises à jour du mois de novembre.

En effet des problèmes reconnus par Microsoft peuvent exister sur l'authentification Kerberos depuis l'application des mises à jour.

Il y aura pas mal de choses à dire sur les mises à jour du mois de novembre, vu qu'elle intègre deux évolutions progressives sur le protocole Kerberos et une sur Netlogon.

[AD CS] Agent d’inscription

 

Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.

Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.

Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.

[AD CS] Activation de la séparation des rôles

L'administrateur d'une autorité de certification AD CS, peut affecter des rôles aux utilisateurs. Un utilisateur pourrait avoir plusieurs rôles au sein AD CS. Il est recommandé de séparer les rôles. Il est également possible d'activer la séparation des rôles aux niveaux de l'autorité de certification.

Avant d'activer la séparation des rôles, chaque utilisateur ne doit disposer que d'un seul rôle. Un utilisateur qui dispose de plusieurs rôles pourrait être bloqué dans ses tâches d'administrations.

 

[NEWS] Evolution en preview de LAPS

Microsoft LAPS (Local Administrator Password Solution) est une solution permettant de gérer les mots de passe des comptes d'administrations locaux des machines membres de votre domaine.

L'utilisation de LAPS pour la gestion du compte administrateur local, peut être utile dans les scénarios suivants :

[News] Windows mise à jour d’octobre

 

Microsoft a renforcé la sécurité lors de la jonction d'un ordinateur au domaine dans les mises à jour d'octobre.

Cette modification peut entraîner des erreurs. Les opérations de jointure de domaine peuvent échouer si le compte de l'ordinateur existe déjà, créant une erreur "0xaac (2732): NERR_AccountReuseBlockedByPolicy". L'erreur indique qu'un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité, si un compte du même nom existe déjà dans l'annuaire.

{AD CS] Rôle gestionnaire de certificat

 

Les gestionnaires de certificats ont entre autres pour missions :

  • Emettre, approuver ou refuser des certificats
  • Révoquer des certificats émis

Il est recommandé d'affecter la permission d'émettre et de gérer les certificats à un groupe Active Directory et de gérer les membres du groupe en ajoutant les comptes autorisés.

Il est recommandé d'utiliser le modèle AGDLP.

Il est possible de créer plusieurs groupes différents de gestionnaire de certificats et de limiter les modèles de certificats gérés par chaque groupe.

[AD CS] Exemple de rôle administrateurs PKI

 

Les administrateurs de la PKI ont par exemple pour mission :

- l'installation de l'autorité de certification 

- arrêter et démarrer les services de l'autorité    

- Configurer les extensions (publication de la CRL) et les paramètres de l'autorité

- renouveler le certificat de l'autorité

- gérer les rôles et les permissions

 

Les administrateurs de la PKI doivent pour cela disposer d'autorisation :

- Sur les conteneurs Active Directory dans la partie configuration, s'il s'agit d'une autorité de certification d'entreprise.

[News] Disponibilité de Windows 10 22h2

 

Microsoft a annoncé la disponibilité de la version Windows10 22h2.

La nouvelle version de Windows 10 arrive un mois après la version Windows 11.

La mise à jour vers la version 22h2 de Windows est disponible pour les systèmes possédant une version 20h2 ou plus récente. Pour ces postes, la mise à jour s'installera comme une mise à jour mensuelle et l'installation devrait être rapide.

Vous trouverez des informations complémentaires sur la mise à jour et les éventuels problèmes signalés dans le lien suivant :

[AD CS] Gérer les permissions sur les modèles de certificats

 

Sur chaque modèle de certificat, il est possible de définir des permissions spécifiques pour des utilisateurs, ordinateurs ou des groupes. Il est préférable d'utiliser des groupes et de gérer les membres.

Pour qu'un utilisateur ou un ordinateur puisse obtenir un certificat, il lui faut la permission d' « inscrire ».

[AD CS] Permissions sur l’autorité de certification AD CS

Au niveau des droits accès sur une autorité de certification, il existe quatre permissions :

  • Lire
  • Emettre et gérer des certificats
  • Gérer l'autorité de certification
  • Demander des certificats

     

Par défaut, les groupes d'administrations (« admins du domaine », « admins de l'entreprise » et « administrateurs ») disposent des permissions « émettre et gérer des certificats » ainsi que de « gérer l'autorité de certification ».

Les utilisateurs authentifiés disposent de la permission de demander un certificat.

[AD CS] Administration basée sur les rôles

L'administration basée sur les rôles permet de séparer les actions qu'un administrateur peut faire sur l'autorité de certification. En séparant les rôles, les erreurs ou les actes malveillants deviennent plus rares et plus complexes.

Les comptes d'administrations des autorités de certification ne devraient pas être membre du groupe « admins du domaine », « administrateur de l'entreprise », « administrateur de schéma ».

Pages

S'abonner à Philippe BARTH RSS