💥 Accédez en illimité à
tous nos livres & vidéos, sur l'IA, le dev, les réseaux... Cliquez ici
-100€ sur l'abonnement annuel à
la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres & vidéos
  2. Les stratégies de groupe pour sécuriser votre infrastructure Microsoft
  3. Implémentation de la sécurité au sein d’un SI
Extrait - Les stratégies de groupe pour sécuriser votre infrastructure Microsoft (implémentation sous Windows Server)
Extraits du livre
Les stratégies de groupe pour sécuriser votre infrastructure Microsoft (implémentation sous Windows Server) Revenir à la page d'achat du livre

Implémentation de la sécurité au sein d’un SI

Notions fondamentales

Nous devons comprendre certains aspects techniques de la sécurité au sein d’Active Directory. Nous avons longuement évoqué les stratégies de groupes (GPO) ; cependant, d’autres notions sont-elles aussi fondamentales lorsque nous souhaitons parler de sécurité ? Nous avons évoqué les Identifiants de Sécurité (SID) ou encore les tickets Kerberos (TGT) ou les privilèges attribués à un utilisateur. Nous allons voir comment tout cela s’articule au sein d’un environnement Microsoft.

1. L’identité et le SID

  • L’identité au sein d’un système d’exploitation Microsoft est représentée à l’aide d’un identifiant de sécurité appelé SID.

  • Chaque compte possède un SID unique émis par une autorité, telle qu’un contrôleur de domaine Windows, l’ordinateur local, le gestionnaire de services ou tout package tiers chargé d’authentifier un mandataire.

  • Le SID des utilisateurs est stocké dans la base SAM - Security Account Manager qui est la base de données d’identité de Windows, à la fois pour les machines en groupes de travail et les domaines Active Directory.

  • Le système d’exploitation utilise le SID dans le jeton d’accès pour identifier l’utilisateur dans toutes les interactions ultérieures avec la sécurité Windows.

images/EI07-01.png

La forme générale d’un SID se décompose en trois parties. D’abord, le numéro de révision qui est encore à la valeur 1 aujourd’hui. Ensuite, un numéro d’autorité qui va permettre de définir quel composant au sein du système s’occupe de la gestion du SID et une liste variable de mots de 32 bits appelés les identifiants. Ces derniers définissent l’identité toujours relativement à l’autorité indiquée. On appellera le dernier identifiant du SID un RID (pour Relative Identifier) au sein du système.

Les SID sont représentés de manière binaire. On commence par un octet pour coder le numéro de révision - c’est toujours 1 -, puis un octet pour indiquer le nombre d’identifiants....

Comment durcir nos environnements ?

Les contrôleurs de domaine doivent eux aussi être durcis pour protéger au mieux les identités. Pour cela, il existe le kit SCT que nous avons plusieurs fois mentionné et utilisé. Toutefois, cela n’est pas suffisant. Dans ce cas, comment se rendre compte de nos faiblesses ?

La réponse n’est pas si facile. Cependant, nous disposons de plusieurs outils qui permettent d’évaluer la sécurité des environnements Active Directory.

1. Analyser la configuration de sécurité avec PingCastle

PingCastle est un outil qui était jusqu’alors en version gratuite. Il existe actuellement deux versions de PingCastle : une gratuite et une soumise à licence, du moment que l’on effectue une prestation de service d’audits de sécurité.

Nous serons bientôt fixés sur l’avenir de PingCastle car, à l’écriture de ces lignes, la société Netwrix a annoncé son acquisition.

images/EI07-09N.png

PingCastle permet de réaliser un audit de sécurité et de santé de nos Active Directory. La solution est présente sur le site https://www.pingcastle.com/download. Actuellement, c’est la version 3.3.0.1 qui est disponible.

Attention, PingCastle est un outil en ligne de commande et il existe uniquement en anglais.

PingCastle permet d’avoir un retour sur la sécurité de notre environnement en fournissant deux rapports : un au format XML et un au format HTML.

Auditer son Active Directory avec PingCastle

Une fois que vous avez récupéré et extrait l’archive, il ne vous reste plus qu’à exécuter l’outil PingCastle.exe.

En fonction du nombre d’objets au sein de votre Active Directory, il est recommandé de changer la limite d’énumération, fixée à 100 par défaut.

images/EI07-10N.png

 Naviguez avec les flèches de navigation jusqu’à advanced, puis appuyez sur la touche [Entrée].

 Naviguez avec les flèches de navigation jusqu’à noenumlimit, puis appuyez sur la touche [Entrée].

images/EI07-11N.png

 Naviguez avec les flèches de navigation jusqu’à log, puis appuyez sur la touche [Entrée].

Nous sommes prêts à analyser notre Active Directory. Nous avons...