Assurer le fonctionnement d’Active Directory en tout temps

Active Directory est un service qui doit être fonctionnel 24 heures sur 24, 7 jours sur 7. Internet a fait disparaître la limite physique qui existait jadis entre le lieu de travail et le monde extérieur. Des systèmes de TI qui, dans le passé, étaient uniquement accessibles depuis un poste physique avec une chaise réglable en hauteur, sont maintenant à portée de main, n’importe où et n’importe quand. Chaque service dépend d’Active Directory, le « gardien » de toutes les interactions entre les appareils, systèmes et utilisateurs. Ainsi, le fonctionnement d’Active Directory est indispensable.

Comme avec tout autre service, le fonctionnement de votre environnement Active Directory dépend d’une gestion adéquate, avec un cycle de vie assurant une amélioration continue : conception, transition, opérations. Dans ce billet, je discuterai du cycle de vie d’un service tel qu’il s’applique à Active Directory afin de vous aider à assurer le bon fonctionnement de votre environnement tout en réagissant rapidement aux perturbations de service.

Conception

Les meilleures pratiques liées à Active Directory ont grandement évolué depuis 2000, lorsque les premières versions du produit ont vu le jour. Les nouvelles fonctionnalités et améliorations ont fait en sorte qu’aujourd’hui, un modèle simple, avec forêt/domaine unique est généralement adéquat, sauf dans quelques cas particuliers. De plus, il est crucial de réévaluer régulièrement les exigences opérationnelles d’Active Directory, dans le but de répondre aux besoins des services de votre organisation qui en dépendent.

Prenez la synchronisation du temps, par exemple. Bon nombre d’environnements font appel à Active Directory pour la synchronisation du temps à l’échelle de l’entreprise. Active Directory offre des temps de synchronisation assez approximatifs () mais beaucoup de systèmes d’entreprise typiques exigent une synchronisation très précise à travers toute la forêt – l’authentification NetApp échouera si la dispersion de racine est de plus de 10 secondes, ce qui est fréquent dans un environnement Active Directory d’envergure mondiale avec une configuration par défaut.

Côté sécurité, il est très important de viser l’élimination des protocoles compromis et des problèmes courants. Avez-vous des liaisons LDAP simples (« simple binds ») activées sur vos contrôleurs de domaine? Dans la configuration par défaut de vos contrôleurs de domaine, il se peut que votre mot de passe traverse le réseau en texte clair.

Vous devriez passer en revue votre environnement Active Directory régulièrement et déterminer si des améliorations s’imposent. Sur le plan technique, cela implique souvent de faire des bilans de santé et de revoir la conception de l’environnement. En ce qui concerne les services, de manière plus globale, vous devrez recueillir les exigences opérationnelles et, en fonction de celles-ci, évaluer l’efficacité de votre AD.

Transition

Active Directory est un service répertoire robuste avec des capacités intégrées de redondance et de résilience. Selon mon expérience, la plupart des pannes résultent d’erreurs d’administration. Bien qu’il soit impossible d’éliminer ce facteur imprévisible lors de la gestion d’Active Directory, il est essentiel d’avoir en place des processus pour atténuer les risques d’erreurs humaines, ceci dans le but d’assurer la haute disponibilité de l’environnement Active Directory.

Des protocoles de gestion du changement doivent exister pour toute infrastructure Active Directory, et les changements doivent être communiqués clairement à tous les services qui en dépendent, et ce, en définissant tous les risques. Et pour tous les changements, sauf les plus mineurs, il importe d’avoir un plan de reprise testé et clairement compris. Pour les changements apportés au schéma Active Directory, cela signifie de mettre en place un processus de récupération de forêt testé. Le simple fait de savoir quels changements ont eu lieu au cours des derniers 24 heures est extrêmement utile en cas d’incident majeur.

Il est très simple de gérer les mises à jour Active directory. Les correctifs Active Directory sont inclus avec les correctifs proposés pour votre système d’exploitation; tous les correctifs essentiels et recommandés devraient être appliqués dès que possible. En outre, votre processus d’application des correctifs devrait permettre le déploiement de tout correctif de sécurité ne faisant pas partie du cycle de vie normal des correctifs, car une faille de sécurité dans AD aura un impact sur tous vos systèmes qui en dépendent.

Lorsque des correctifs deviennent disponibles, les vulnérabilités engendrent rapidement des menaces dans l’univers sauvage du cyberespace. Par exemple, Microsoft a émis un correctif pour MS14-068 en novembre 2014 pour corriger une vulnérabilité majeure qui permettait à tout utilisateur régulier d’élever ses privilèges à ceux d’un compte d’administrateur de domaine. Moins d’un mois plus tard, TrustedSec a publié la procédure étape par étape visant à exploiter cette vulnérabilité. Afin de déterminer si le contrôleur de domaine est vulnérable, le chercheur vérifie le temps de fonctionnement du serveur. Si les temps de disponibilité de vos contrôleurs de domaine sont de plus d’un mois, vous n’appliquez pas les correctifs assez souvent.

Opérations

Finalement, la gestion quotidienne du programme Active Directory lui-même est essentielle au maintien de la disponibilité du service.

Formez une équipe unique qui est responsable du fonctionnement de votre environnement Active Directory; seuls ces individus doivent avoir les privilèges d’administrateurs de domaine. Qui plus est, ces employés doivent clairement comprendre et accepter les processus qu’ils doivent suivre pour toute modification, hormis les petits changements insignifiants.

Assurez-vous de passer en revue tous les problèmes et incidents majeurs pour en tirer les leçons qui s’imposent. Ces exercices donneront généralement lieu à des suggestions d’amélioration de vos systèmes de suivi, et vous avez intérêt à y donner suite.

Conclusion

Pour garder votre environnement Active Directory en bonne santé, c’est toute une gamme d’activités qui doivent travailler ensemble. Souvent ignoré lorsqu’il fonctionne efficacement, Active Directory peut subir des pannes catastrophiques s’il n’est pas géré adéquatement. Étant donné que tous vos services dépendent de sa fiabilité, il est important de suivre des pratiques courantes en gestion des services pour prévenir les problèmes avant qu’ils ne deviennent graves.

Category: Consultation Active DirectoryServicesSujets d’actualitésTechnologies

Tags:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *