Télécharger en tant que PDF, PPTX
Téléchargé parMicrosoft Décideurs IT
Sécurité Active Directory: Etablir un référentiel
Le document présente une discussion sur la gestion des référentiels Active Directory, en mettant en évidence les divers objets à surveiller et les pratiques de configuration recommandées. Il aborde également les rôles et groupes avec privilèges, les politiques de mot de passe granulaires et l'analyse des contrôles d'accès. Enfin, il fournit des conseils sur l'analyse de la sécurité existante et la création d'un référentiel adapté.
Contenu connexe
Similaire à Sécurité Active Directory: Etablir un référentiel
![Active directory et cyber attaques [2018 05-15]](https://cdn.slidesharecdn.com/ss_thumbnails/activedirectoryetcyberattaques2018-05-15-190330154511-thumbnail.jpg?width=640&height=640&fit=bounds)
Sécurité Active Directory: Etablir un référentiel
- 1. AMBIENT INTELLIGENCE tech days• 2015 #mstechdaystechdays.microsoft.fr
- 2. Sécurité AD: Pensez référentiel! Jean-Philippe Klein – Sr Premier Field Engineer (Microsoft) Didier Pilon – Principal Premier Field Engineer – PMC (Microsoft)
- 3. tech.days 2015#mstechdays Introduction Les objets AD à surveiller Gestion de la délégation AD Configuration des contrôleurs de domaine Les serveurs membres Conclusion #
- 4. tech.days 2015#mstechdays Qu’estce qu’un référentiel Active Directory ? Pourquoi créer un référentiel Active Directory ? #
- 5. tech.days 2015#mstechdays Les groupes AdministratorsBackup Operators Performance Monitor Users Cryptographic Operators IIS_IUSRS Users Network Configuration Operators Performance Log Users Incoming Forest Trust Builders Terminal Server License Servers Guests Remote Desktop Users Distributed COM Users Certificate Service DCOM Access Replicator Print Operators Windows Authorization Access Group Event Log Readers Pre-Windows 2000 Compatible Access Domain Computers Cert Publishers* Group Policy Creator Owners Allowed RODC Password Replication Group DnsAdmins Domain Controllers Domain Admins RAS and IAS Servers Denied RODC Password Replication Group DnsUpdateProxy Schema Admins Domain Users Server Operators Enterprise Read-only Domain Controllers Read-only Domain Controllers Enterprise Admins Domain Guests Account Operators #
- 6. tech.days 2015#mstechdays Administrator KrbtgtLes comptes appartenant à un groupe à fort privilege. Utilisateurs avec des privilèges sur les systèmes tiers Utilisateurs VIP Les objets “Read Only Domain Controller” Les comptes Les objets “Domain Controller” Les objets machines qui exécutent des services sensibles/critiques Comptes de services, … Comptes avec délégation sur l’AD #
- 7. tech.days 2015#mstechdays AdminSDHolder Lesrelations d’approbation Politique de mot de passe du domaine Fine Grained Password Policies - FGPP (msDS-PasswordSettings) Les GPO Les comptes locaux DSRM Les autres objets Les scripts de logon/logoff/startup/shutdown #
- 8. tech.days 2015#mstechdays Access ControlList ACE ACE Owner
- 9. ACL avec PowerShell Import-ModuleActiveDirectory (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local') | gm | ?{ $_.MemberType -eq "CodeProperty"} (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').Access (Get-ACL 'AD:CN=Administrator,CN=Users,DC=nwtraders,DC=local').SDDL
- 10.
- 11.
- 12. tech.days 2015#mstechdays Format SDDL Header DACL SACL Primary Group Owner
- 13. tech.days 2015#mstechdays Création d’unréférentiel
- 14. tech.days 2015#mstechdays Création d’unréférentiel
- 15. tech.days 2015#mstechdays Création d’unréférentiel
- 16.
- 17.
- 18. tech.days 2015#mstechdays Partitionde domaine Partition de configuration Partition de schema Les autres objets #
- 19. tech.days 2015#mstechdays Lesattributs surveillés sur tous les objets (sauf nTDSconnection) Partition de configuration ntSecurityDescriptor rightsGuid ValidAccesses caCertificate crossCertificatePair #
- 20. tech.days 2015#mstechdays Lesattributs surveillés sur tous les objets Partition de schéma ntSecurityDescriptor defaultSecurityDescriptor attributeSecurityGUID schemaIdGuid SystemFlags SearchFlags #
- 21. tech.days 2015#mstechdays Analysedes ACL sur l’ensemble des objets ? Utilisation des métadonnées de réplication Configuration / Schéma
- 22. Metadonnées de réplication repadmin/showobjmeta . "CN=Administrator,CN=Users,DC=nwtraders,DC=local"
- 23.
- 24.
- 25.
- 26.
- 27.
- 28.
- 29. tech.days 2015#mstechdays Compteà privilèges sur les serveurs membres Services Taches planifiés Application Pool … Introduction #
- 30.
- 31.
- 32.
- 33.
- 34.
- 35.
- 36. tech.days 2015#mstechdays Analyser l’existant Définir le niveaude sécurité souhaité Appliquer les changements Créer son référentiel # 2 types d’analyses
- 37. tech.days 2015#mstechdays Analyser l’existant Définir le niveaude sécurité souhaité Appliquer les changements Créer son référentiel # Suivre les bonnes pratiques de l’éditeur dans votre contexte
- 38. tech.days 2015#mstechdays Analyser l’existant Définir le niveaude sécurité souhaité Appliquer les changements Créer son référentiel # Respecter les règles ITIL pour la gestion du changement Vérifier la compatibilité avec les applications
- 39. tech.days 2015#mstechdays Analyser l’existant Définir le niveaude sécurité souhaité Appliquer les changements Créer son référentiel # Et le faire vivre …
- 40. tech.days 2015#mstechdays ACLScanner https://adaclscan.codeplex.com/ Get-ServiceAccountUsage https://gallery.technet.microsoft.com/Get-ServiceAccountUsage- b2fa966f Security Compliance Manager https://technet.microsoft.com/en-us/library/cc677002.aspx Outils
- 41.
- 42. © 2015 MicrosoftCorporation. All rights reserved. tech days• 2015 #mstechdays techdays.microsoft.fr