PowerShell JEA permet de déléguer certaines opérations d'administration avec PowerShell à distance à vos équipes techniques. Les commandes disponibles peuvent être contrôlées. Elle facilite certaines opérations d'exploitation tout en limitant les risques.

Les recommandations de l'ANSSI concernant l'administration sécurisée des systèmes d'information reposant sur Active Directory, publiées en octobre 2023 y font référence.

fvf

Nous avons dans la première partie vu une présentation des fonctionnalités ainsi que la préparation d'un Active Directory local pour Windows LAPS.

Il est maintenant possible de définir une stratégie Windows LAPS pour gérer les comptes administrateurs locaux.

Pour rappel, Windows LAPS est différent de l'ancien Microsoft LAPS. Il dispose d'attribut AD spécifique et de paramètre de GPO spécifiques.

Nous allons dans ce chapitre installé le premier contrôleur de domaine de notre nouvelle forêt. Le contrôleur de domaine sera virtualisé dans un environnement Hyper-V. La machine virtuelle aura 2 processeurs virtuels et 2 Go de RAM ce qui est suffisant pour la présentation.

La première étape consiste à installer le système d'exploitation, à configurer les disques.

Nous avons vu comment mettre en place des certificats pour les connexions LDAP sécurisées SSL ou StartTLS dans le magasin de certificat du compte de l'ordinateur du contrôleur de domaine.

La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.

Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

Microsoft SCT pour Security & Compliance Toolkit est un outil qui permet d'analyser, d'exporter ou d'importer des paramètres de configuration notamment concernant la sécurité.

Microsoft Authentificator est un outil disponible sur Android et iOS pour la mise en œuvre d'une authentification multi-facteurs.

OpenSSL est un outil pratique permettant de créer des demandes et de manipuler des certificats. Il est largement utilisé dans les environnements Linux/ Apache, mais il est également possible de l'installer sur Windows.

Dans cet exemple, nous allons extraire la clé privée et le certificat d'un fichier #PKCS12 avec une extension .pfx.

La première commande avec l'option « -nokeys » permet d'exclure la clé privée de la ligne d'export. 

Il est possible de migrer une autorité de certificat vers un nouveau serveur. Le nouveau serveur devra utiliser le même nom que l'ancien. Pour remplacer votre autorité vous devez au préalable vous assurez que vous disposez de :

• La sauvegarde de la base de données
• Du certificat de l'autorité AVEC la clé privée
• De la sauvegarde des éléments de configuration

Nous avons vu comment sauvegarder la base de données de l'autorité AD CS. La base de données contient les informations sur les certificats émis, révoqués, mais n'inclut pas les paramètres de l'autorité de certification. Ces paramètres se trouvent dans le registre Windows, sous la clé :

HKLM\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration

Dans notre exemple et pour les articles à venir, nous disposons de deux contrôleurs de domaine lab2016dc1 et lab2019dc2. Le nom de domaine du lab est « htrab.lan ».

Nous allons créer une autorité racine « CA-Root » autonome et déconnectée du réseau. Nous choisissons une durée de vie du certificat de l'autorité racine de 30 ans et la durée de vie des CRL de 3 mois. L'autorité racine n'aura d'autre but que de générer des certificats pour l'autorité secondaire d'entreprise AD CS.

J'avais déjà publié un message sur la stratégie de mot de passe affiné et sur la commande « Get-ADUserResultantPasswordPolicy » ainsi qu'un article plus détaillé sur la stratégie de mot de passe dans un domaine Active Directory.

Vous trouverez dans ce post quelques informations sur l'installation des DC sous Windows server 2022.

Avant de promouvoir un nouveau contrôleur de domaine, il faut généralement mettre à jour le schéma Active Directory.

Depuis 2012 et la fin de « dcpromo.exe », l'assistant de configuration des services Active Directory effectue la mise à jour automatiquement lors de la promotion.

La commande suivante permet de connaître la version du schéma :

Nous avons vu dans un article précédent, comment activer DNSSEC sur les zones DNS de votre domaine Active Directory. Nous avons également vu le rôle joué par les ancres de confiance pour la signature des enregistrements DNS.

Dans cette article nous allons voir comment mettre à jour les ancres de confiance publié par l'IANA concernant la racine d'internet. Le lien suivant https://data.iana.org/root-anchors/root-anchors.xml permet de retrouver les ancres de confiances.

Principe de DNSSec

DNSSec est un mécanisme de sécurité permettant de signer les enregistrements DNS d'une zone afin de protéger votre environnement. La signature permet de réduire le risque de d'empoisonnement du cache du client DNS et d'éviter certaines attaques de type Man In The Middle.

DNSSEC est comparable à une autorité de certification qui utiliserait des certificats pour faire de la signature.