Active Directory est un service qui doit être fonctionnel 24 heures sur 24, 7 jours sur 7. Internet a fait disparaître la limite physique qui existait jadis entre le lieu de travail et le monde extérieur. Des systèmes de TI qui, dans le passé, étaient uniquement accessibles depuis un poste physique avec une chaise réglable en hauteur, sont maintenant à portée de main, n’importe où et n’importe quand. Chaque service dépend d’Active Directory, le « gardien » de toutes les interactions entre les appareils, systèmes et utilisateurs. Ainsi, le fonctionnement d’Active Directory est indispensable.
Comme avec tout autre service, le fonctionnement de votre environnement Active Directory dépend d’une gestion adéquate, avec un cycle de vie assurant une amélioration continue : conception, transition, opérations. Dans ce billet, je discuterai du cycle de vie d’un service tel qu’il s’applique à Active Directory afin de vous aider à assurer le bon fonctionnement de votre environnement tout en réagissant rapidement aux perturbations de service.
Conception
Les meilleures pratiques liées à Active Directory ont grandement évolué depuis 2000, lorsque les premières versions du produit ont vu le jour. Les nouvelles fonctionnalités et améliorations ont fait en sorte qu’aujourd’hui, un modèle simple, avec forêt/domaine unique est généralement adéquat, sauf dans quelques cas particuliers. De plus, il est crucial de réévaluer régulièrement les exigences opérationnelles d’Active Directory, dans le but de répondre aux besoins des services de votre organisation qui en dépendent.
Il est facile d’avoir une structure OU et une dénomination d’objets, le défis est au niveau de la sécurité d’Active Directory- La rétrocompatibilité continue est un cadeau et une malédiction. Même en 2022, une installation par défaut d’Active Directory est presqu’une invitation aux acteurs malveillants à obtenir vos accès administrateur :
- Vos mots de passe peuvent traverser le réseau en texte clair via des liaisons simples LDAP. (Exigences de liaison de canal LDAP et de signature LDAP 2020 pour Windows (microsoft.com)
- Les comptes d’administrateur pouvant se connecter à n’importe quelle machine du domaine vous exposent à des attaques Pass-the-Hash (Télécharger le document Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft, Version 1 and 2 à partir du Centre de téléchargement officiel Microsoft).
- Le service de spouleur d’impression exécuté sur les contrôleurs de domaine a historiquement provoqué de nombreuses vulnérabilités pouvant entraîner une escalade des informations d’identification.
Une fois à l’intérieur, les acteurs malveillants utilisent des rançongiciels et des crypto-casiers infiltré au niveau d’Active Directory pour arrêter votre entreprise et voler vos profits.
Si le pire se produit, vous devez sauvegarder Active Directory, comprendre vos objectifs de temps de récupération et vos objectifs de point de récupération et concevoir et tester vos processus de restauration Active Directory pour vous assurer que vous pouvez les atteindre. Si vous n’avez pas testé votre plan de récupération d’urgence Active Directory, vous n’avez pas de plan.
Transition
Active Directory est un service répertoire robuste avec des capacités intégrées de redondance et de résilience. Selon mon expérience, la plupart des pannes résultent d’erreurs d’administration. Bien qu’il soit impossible d’éliminer ce facteur imprévisible lors de la gestion d’Active Directory, il est essentiel d’avoir en place des processus pour atténuer les risques d’erreurs humaines, ceci dans le but d’assurer la haute disponibilité de l’environnement Active Directory.
Des protocoles de gestion du changement doivent exister pour toute infrastructure Active Directory, et les changements doivent être communiqués clairement à tous les services qui en dépendent, et ce, en définissant tous les risques. Et pour tous les changements, sauf les plus mineurs, il importe d’avoir un plan de reprise testé et clairement compris. Pour les changements apportés au schéma Active Directory, cela signifie de mettre en place un processus de récupération de forêt testé. Le simple fait de savoir quels changements ont eu lieu au cours des derniers 24 heures est extrêmement utile en cas d’incident majeur.
Il est très simple de gérer les mises à jour Active directory. Les correctifs Active Directory sont inclus avec les correctifs proposés pour votre système d’exploitation; tous les correctifs essentiels et recommandés devraient être appliqués dès que possible. En outre, votre processus d’application des correctifs devrait permettre le déploiement de tout correctif de sécurité ne faisant pas partie du cycle de vie normal des correctifs, car une faille de sécurité dans AD aura un impact sur tous vos systèmes qui en dépendent.
Lorsque des correctifs deviennent disponibles, les vulnérabilités engendrent rapidement des menaces dans l’univers sauvage du cyberespace. Par exemple, les correctifs de janvier 2022 incluaient deux vulnérabilités CVE-2022-21857 et CVE-2022-21920 qui permettaient à un utilisateur normal d’obtenir des informations d’identification d’administrateur de domaine dans certaines circonstances. Afin de déterminer si le contrôleur de domaine est vulnérable, le chercheur vérifie le temps de fonctionnement du serveur. Si les temps de disponibilité de vos contrôleurs de domaine sont de plus d’un mois, vous n’appliquez pas les correctifs assez souvent.
Opérations
Finalement, la gestion quotidienne du programme Active Directory lui-même est essentielle au maintien de la disponibilité du service. Cela est d’autant plus vrai que les attaques Active Directory ciblées par ransomware montent en flèche.
Formez une équipe unique qui est responsable du fonctionnement de votre environnement Active Directory; seuls ces individus doivent avoir les privilèges d’administrateurs de domaine. Qui plus est, ces employés expert AD doivent clairement comprendre et accepter les processus qu’ils doivent suivre pour toute modification, hormis les petits changements insignifiants.
Assurez-vous de passer en revue tous les problèmes et incidents majeurs pour en tirer les leçons qui s’imposent. Ces exercices donneront généralement lieu à des suggestions d’amélioration de vos systèmes de suivi, et vous avez intérêt à y donner suite.
Dans un environnement de sécurité dynamique, il est indispensable d’évaluer en permanence la sécurité et de mettre en place un plan de reprise après sinistre AD solide. Au minimum, consultez régulièrement les lignes de base de sécurité Microsoft (Guide des lignes de base de sécurité – | de sécurité Windows Microsoft Docs), concevoir pour faciliter l’application de correctifs et envisager de s’abonner aux Bulletins de sécurité Microsoft.
Conclusion
Pour garder votre environnement Active Directory en bonne santé, c’est toute une gamme d’activités qui doivent travailler ensemble. Souvent ignoré lorsqu’il fonctionne efficacement, Active Directory peut subir des pannes catastrophiques s’il n’est pas géré adéquatement. Étant donné que tous vos services dépendent de sa fiabilité, il est important de suivre des pratiques courantes en gestion des services pour prévenir les problèmes avant qu’ils ne deviennent graves.
À propos d’Itergy
Itergy surveille et gère Active Directory dans 65 pays, 24h/24 et 7j/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory et services gérés AD incluent des bilans de santé, des conseils stratégiques, des migrations, des consolidations, des fusions et acquisitions et dessaisissements, ainsi que la reprise après sinistre Active Directory (sauvegarde AD et récupération AD).
Nous faisons d’Active Directory l’application métier agile, sécurisée et mature qu’elle était censée être, celle dont votre entreprise a besoin pour réussir dans l’ensemble de votre entreprise.