💥 Accédez en illimité à
tous nos livres & vidéos, sur l'IA, le dev, les réseaux... Cliquez ici
-100€ sur l'abonnement annuel à
la Bibliothèque Numérique ENI. Cliquez ici
  1. Livres & vidéos
  2. Les stratégies de groupe pour sécuriser votre infrastructure Microsoft
  3. Les outils de gestion des GPO
Extrait - Les stratégies de groupe pour sécuriser votre infrastructure Microsoft (implémentation sous Windows Server)
Extraits du livre
Les stratégies de groupe pour sécuriser votre infrastructure Microsoft (implémentation sous Windows Server) Revenir à la page d'achat du livre

Les outils de gestion des GPO

Introduction

Afin de gérer les stratégies de groupe dans un environnement Windows Server, Microsoft met à disposition la console de gestion des stratégies de groupe ou GPMC. Cet outil a fait son apparition en même temps que Windows Server 2003 avec une approche novatrice pour l’époque. Il a permis le développement des stratégies de groupe en entreprise de façon marquée. Les serveurs installés avec Windows 2000 obligeaient à connaître l’emplacement exact d’une stratégie dans Active Directory pour avoir la possibilité de la modifier. Depuis son arrivée avec Server 2003, la console de gestion des stratégies de groupe permet la centralisation des informations en rapport avec les GPO qui étaient autrefois disséminées à travers le réseau.

Ce chapitre fait une présentation détaillée de la console de gestion des stratégies de groupe de Windows Server 2019. Celle-ci porte le nom de GPMC 3.0.

En comparaison avec les versions précédentes, la gestion des stratégies de groupe apparaît comme simplifiée depuis la version Windows Server 2008. En effet, la console de gestion des stratégies de groupe nécessitait autrefois un téléchargement et une installation manuelle sur les serveurs ou les postes de travail administrateur...

Administrer et gérer les GPO

L’administration des stratégies de groupe au sein d’une infrastructure Microsoft représente un des pôles majeurs de la gestion et du maintien de l’architecture réseau. Le déploiement massif de stratégies de groupe génère de nombreuses conséquences. En effet, la totalité de la chaîne informatique est impactée depuis les serveurs jusqu’aux postes de travail. Plusieurs moyens sont mis à disposition dans le but de réaliser les tâches d’administration relatives aux stratégies de groupe.

Une des méthodes envisageables est la connexion directe à l’un des contrôleurs de domaine du réseau. Dans ce cas, il est possible de créer et de gérer les stratégies à partir de la GPMC installée sur l’un d’eux.

Certains prérequis techniques doivent être respectés lorsque les administrateurs choisissent d’employer cette méthode.

La console de gestion des stratégies de groupe est un outil natif des systèmes d’exploitation Windows Server. Aucune installation additionnelle n’est requise lorsque vous utilisez un contrôleur de domaine installé avec Server pour administrer et gérer les stratégies de groupe.

Lorsque vous administrez les serveurs à partir de postes...

Gérer les GPO avec la console de gestion des stratégies de groupe GPMC 3.0

1. Implémenter la console GPMC 3.0

Selon la version de Windows Server installée sur les contrôleurs de domaine, l’utilisation de la GPMC est soumise à des conditions.

Les serveurs installés avec la version Entreprise de Windows Server 2008 et 2008 R2 ou la version Datacenter de Windows Server 2012 bénéficient de la console de gestion des stratégies de groupe dès la promotion du serveur au rang de contrôleur de domaine. Sur un serveur membre, il faudra installer la console de gestion des stratégies de groupe.

a. Installation de la fonctionnalité Gestion des stratégies de groupe

L’installation de nouvelles fonctionnalités est possible lorsque l’on exécute le Gestionnaire de serveur de Windows Server.

 Une fois dans le Gestionnaire de serveur, cliquez sur Gérer puis sélectionnez Ajouter des rôles et fonctionnalités.

images/04EI01N.png

 Choisissez ensuite Installation basée sur un rôle ou une fonctionnalité.

images/04EI03N.png

 Choisissez ensuite votre serveur (ici par exemple SRV2).

images/04EI04aN.png

 Cliquez deux fois sur Suivant.

 Une fois dans la partie Fonctionnalités, choisissez la fonctionnalité Gestion de stratégie de groupe.

images/04EI04bN.png

 Cliquez ensuite sur Suivant puis Installer.

La console de gestion des stratégies de groupe est maintenant installée sur votre serveur.

 Pour ouvrir la GPMC, allez dans le Gestionnaire de serveur puis Outils - Gestion des stratégies de groupe.

2. Fonctionnalités de la console GPMC 3.0

a. Création et édition de stratégies de groupe

La totalité des stratégies de groupe du domaine est stockée à l’intérieur du conteneur Objets de stratégie de groupe de la console de gestion des stratégies de groupe. Il existe deux stratégies par défaut créées en même temps que la base d’annuaire Active Directory : les stratégies Default Domain Controllers Policy et Default Domain Policy. Celles-ci sont respectivement appliquées aux contrôleurs de domaine et au domaine.

Après l’ouverture de la console GPMC, il est intéressant d’analyser son architecture. L’arborescence débute au niveau...

Gestion des stratégies de groupe avec PowerShell

PowerShell est apparu au public dans sa version 1 en 2006. La version 2 est arrivée avec Windows Server 2008 R2 et Windows 7. Actuellement, il existe deux versions de PowerShell : la version présente dans tous les systèmes d’exploitation Microsoft Windows PowerShell en version 5.1 et la version open source qui est basée sur le framework .NET en version 7.4.3 (à l‘écriture de ces lignes).

Aujourd’hui, en tant qu’administrateur, la création de script est une méthode d’administration que tout bon administrateur se doit de connaître et d’utiliser à bon escient. Microsoft l’a bien compris. PowerShell est de plus en plus présent dans la gamme de ses produits : Microsoft Configuration Manager, Office 365, Intune, Graph API pour interagir avec Entra ID (anciennement Azure Active Directory).

Mais le plus grand changement que Microsoft ait fait a été de se tourner vers l’open source avec sa solution PowerShell ainsi que d’autres produits qui se sont déclinés sur le monde open source tels que SQL Server sous Linux et Bash sous Windows. La frontière entre les deux mondes est de plus en plus mince.

Concernant les stratégies de groupe et PowerShell, nous allons pouvoir effectuer certaines tâches d’administration en créant des scripts.

Ils vont nous permettre de gérer le cycle de vie d’une stratégie de groupe, avec les opérations classiques de maintenance (création, suppression, sauvegarde, rapport), de gestion des liens de l’objet (activation, suppression, mise à jour) et d’application de la sécurité (notions d’héritage et d’autorisations).

PowerShell permet aussi de modifier des paramètres de la base de registre ainsi que les paramètres de préférence contenus dans une stratégie de groupe.

1. Prérequis

Pour utiliser les applets relatifs à la stratégie de groupe, vous devez réaliser les opérations suivantes sur :

  • Un contrôleur de domaine qui fonctionne sur Windows Server 2012 ou 2008 R2 au minimum.

Ou

  • Un serveur membre avec les outils de gestion de la stratégie de groupe qui exécute Windows Server 2012 ou 2008 R2 minimum....

Gestion avancée avec AGPM 4.0

La gestion avancée des stratégies de groupe (AGPM) offre un contrôle complet du cycle de vie d’une stratégie de groupe. Elle permet de faire une modification hors ligne d’une stratégie de groupe et propose une délégation basée sur les rôles pour les GPO. AGPM est disponible dans la solution Microsoft Desktop Optimization Pack (MDOP) lorsque l’on dispose d’un contrat Software Assurance.

images/EIN04c_C01.png

Cet outil vous aide à déléguer, passer en revue, éditer, approuver, et déployer des objets de politique de groupe (GPO). Il vous donne la possibilité de garder l’historique d’une stratégie de groupe en gardant une version après chaque modification d’une GPO.

La gestion avancée des stratégies de groupe par Microsoft (AGPM) est l’application de MDOP qui peut vous aider à surmonter les défis qui peuvent affecter la gestion de politique de groupe dans n’importe quelle organisation, en particulier lorsque les environnements sont complexes et qu’il existe une hiérarchie bien organisée dans la responsabilité de chacun des administrateurs réseau dans l’entreprise : un modèle robuste de délégation, une administration basée sur des rôles (Administrateur AGPM, Approbateur, Éditeur et Réviseur).

1. Quelques termes employés avec AGPM

Les termes de base employés dans le contexte d’AGPM sont :

  • Client AGPM : ordinateur qui exécute le composant logiciel enfichable AGPM pour la Console de gestion des stratégies de groupe (GPMC), à partir duquel les administrateurs de stratégies de groupe gèrent les GPO.

  • Composant logiciel enfichable AGPM : composant logiciel d’AGPM installé sur les clients AGPM afin qu’ils puissent générer les GPO.

  • Serveur AGPM : serveur qui exécute le service AGPM et gère une archive. Chaque serveur AGPM peut gérer une archive seulement, mais un serveur AGPM peut gérer les données d’archive de nombreux domaines dans une même archive. Une archive peut être hébergée sur un ordinateur autre qu’un serveur AGPM.

  • Service AGPM : composant logiciel d’AGPM...

Comparaison de stratégie de groupe

Il est important de suivre l’évolution de configuration de vos différentes stratégies de groupes présentes au sein de votre système d’information. La modification et l’évolution nous permettent parfois de mieux comprendre ou de découvrir certaines dérives.

Quels sont les outils pour nous permettre aujourd’hui de faire un suivi de nos stratégies de groupe. Plusieurs solutions s’offrent à nous :

  • AGPM : contenu dans le produit Microsoft Desktop Optimization Pack que nous venons de détailler cependant cela reste une solution payante.

  • Policy Analyser : est un outil qui fait partie du kit de référence de sécurité publié par Microsoft (SCT). C’est un produit en libre accès qui nous permet d’analyser et de comparer les stratégies de groupes entre elles ou de comparer notre configuration avec les baselines de sécurités que Microsoft publie pour chaque version de Microsoft Windows Client ou version Windows Server.

  • PowerShell : oui il est possible de comparer des stratégies de groupes entre elles avec quelques commandes PowerShell et de créer une page HTML du résultat.

Nous détaillerons l’utilisation de Policy Analyser et de la comparaison avec PowerShell, car nous avons déjà traité le cas d’utilisation d’AGPM.

1. Policy Analyser

a. Récupération de l’outil

Pour récupérer l’outil Policy Analyser nous allons suivre ces étapes :

 Ouvrez votre navigateur préféré et naviguez à l’adresse suivante https://www.microsoft.com/en-us/download/details.aspx?id=55319.

images/EI04_01N.png

 Cliquez sur Download, sélectionnez Policy Analyser.zip et Windows Server 2022 Security Baseline.zip.

images/EI04_02N.png

 Dans votre dossier de téléchargement, réalisez l’extraction respective des deux archives au format zip que vous venez de télécharger.

b. Comparaison de deux stratégies de groupes

Pour effectuer cette comparaison, le plus simple est de faire une sauvegarde de votre stratégie de groupe avec le script PowerShell, ce qui va vous permettre déjà de voir le nombre de fois où la stratégie de groupe a été modifiée....