Active Directory est un service qui doit \u00eatre fonctionnel 24 heures sur 24, 7 jours sur 7. Internet a fait dispara\u00eetre la limite physique qui existait jadis entre le lieu de travail et le monde ext\u00e9rieur. Des syst\u00e8mes de TI qui, dans le pass\u00e9, \u00e9taient uniquement accessibles depuis un poste physique avec une chaise r\u00e9glable en hauteur, sont maintenant \u00e0 port\u00e9e de main, n\u2019importe o\u00f9 et n\u2019importe quand. Chaque service d\u00e9pend d\u2019Active Directory, le \u00ab gardien \u00bb de toutes les interactions entre les appareils, syst\u00e8mes et utilisateurs. Ainsi, le fonctionnement d\u2019Active Directory est indispensable.<\/p>\n
Comme avec tout autre service, le fonctionnement de votre environnement Active Directory d\u00e9pend d\u2019une gestion ad\u00e9quate, avec un cycle de vie assurant une am\u00e9lioration continue : conception, transition, op\u00e9rations. Dans ce billet, je discuterai du cycle de vie d\u2019un service tel qu\u2019il s\u2019applique \u00e0 Active Directory afin de vous aider \u00e0 assurer le bon fonctionnement de votre environnement tout en r\u00e9agissant rapidement aux perturbations de service.<\/p>\n
Les meilleures pratiques li\u00e9es \u00e0 Active Directory ont grandement \u00e9volu\u00e9 depuis 2000, lorsque les premi\u00e8res versions du produit ont vu le jour. Les nouvelles fonctionnalit\u00e9s et am\u00e9liorations ont fait en sorte qu\u2019aujourd\u2019hui, un mod\u00e8le simple, avec for\u00eat\/domaine unique est g\u00e9n\u00e9ralement ad\u00e9quat, sauf dans quelques cas particuliers. De plus, il est crucial de r\u00e9\u00e9valuer r\u00e9guli\u00e8rement les exigences op\u00e9rationnelles d\u2019Active Directory, dans le but de r\u00e9pondre aux besoins des services de votre organisation qui en d\u00e9pendent.<\/p>\n
Il est facile d\u2019avoir une structure OU et une d\u00e9nomination d\u2019objets, le d\u00e9fis est au niveau de la s\u00e9curit\u00e9 d\u2019Active Directory- La r\u00e9trocompatibilit\u00e9 continue est un cadeau et une mal\u00e9diction. M\u00eame en 2022, une installation par d\u00e9faut d\u2019Active Directory est presqu\u2019une invitation aux acteurs malveillants \u00e0 obtenir vos acc\u00e8s administrateur :<\/p>\n
Une fois \u00e0 l\u2019int\u00e9rieur, les acteurs malveillants utilisent des ran\u00e7ongiciels et des crypto-casiers infiltr\u00e9 au niveau d\u2019Active Directory pour arr\u00eater votre entreprise et voler vos profits.<\/p>\n
Si le pire se produit, vous devez sauvegarder Active Directory, comprendre vos objectifs de temps de r\u00e9cup\u00e9ration et vos objectifs de point de r\u00e9cup\u00e9ration et concevoir et tester vos processus de restauration Active Directory pour vous assurer que vous pouvez les atteindre. Si vous n\u2019avez pas test\u00e9 votre plan de r\u00e9cup\u00e9ration d\u2019urgence Active Directory, vous n\u2019avez pas de plan.<\/p>\n
Active Directory est un service r\u00e9pertoire robuste avec des capacit\u00e9s int\u00e9gr\u00e9es de redondance et de r\u00e9silience. Selon mon exp\u00e9rience, la plupart des pannes r\u00e9sultent d\u2019erreurs d\u2019administration. Bien qu\u2019il soit impossible d\u2019\u00e9liminer ce facteur impr\u00e9visible lors de la gestion d\u2019Active Directory, il est essentiel d\u2019avoir en place des processus pour att\u00e9nuer les risques d\u2019erreurs humaines, ceci dans le but d\u2019assurer la haute disponibilit\u00e9 de l\u2019environnement Active Directory.<\/p>\n
Des protocoles de gestion du changement doivent exister pour toute infrastructure Active Directory, et les changements doivent \u00eatre communiqu\u00e9s clairement \u00e0 tous les services qui en d\u00e9pendent, et ce, en d\u00e9finissant tous les risques. Et pour tous les changements, sauf les plus mineurs, il importe d\u2019avoir un plan de reprise test\u00e9 et clairement compris. Pour les changements apport\u00e9s au sch\u00e9ma Active Directory, cela signifie de mettre en place un processus de r\u00e9cup\u00e9ration de for\u00eat test\u00e9. Le simple fait de savoir quels changements ont eu lieu au cours des derniers 24 heures est extr\u00eamement utile en cas d\u2019incident majeur.<\/p>\n
Il est tr\u00e8s simple de g\u00e9rer les mises \u00e0 jour Active directory. Les correctifs Active Directory sont inclus avec les correctifs propos\u00e9s pour votre syst\u00e8me d\u2019exploitation; tous les correctifs essentiels et recommand\u00e9s devraient \u00eatre appliqu\u00e9s d\u00e8s que possible. En outre, votre processus d\u2019application des correctifs devrait permettre le d\u00e9ploiement de tout correctif de s\u00e9curit\u00e9 ne faisant pas partie du cycle de vie normal des correctifs, car une faille de s\u00e9curit\u00e9 dans AD aura un impact sur tous vos syst\u00e8mes qui en d\u00e9pendent.<\/p>\n
Lorsque des correctifs deviennent disponibles, les vuln\u00e9rabilit\u00e9s engendrent rapidement des menaces dans l\u2019univers sauvage du cyberespace. Par exemple, les correctifs de janvier 2022 incluaient deux vuln\u00e9rabilit\u00e9s CVE-2022-21857<\/a> et CVE-2022-21920<\/a> qui permettaient \u00e0 un utilisateur normal d\u2019obtenir des informations d\u2019identification d\u2019administrateur de domaine dans certaines circonstances. Afin de d\u00e9terminer si le contr\u00f4leur de domaine est vuln\u00e9rable, le chercheur v\u00e9rifie le temps de fonctionnement du serveur. Si les temps de disponibilit\u00e9 de vos contr\u00f4leurs de domaine sont de plus d\u2019un mois, vous n\u2019appliquez pas les correctifs assez souvent.<\/p>\n Finalement, la gestion quotidienne du programme Active Directory lui-m\u00eame est essentielle au maintien de la disponibilit\u00e9 du service. Cela est d\u2019autant plus vrai que les attaques Active Directory cibl\u00e9es par ransomware montent en fl\u00e8che<\/a>.<\/p>\n Formez une \u00e9quipe unique qui est responsable du fonctionnement de votre environnement Active Directory; seuls ces individus doivent avoir les privil\u00e8ges d\u2019administrateurs de domaine. Qui plus est, ces employ\u00e9s expert AD doivent clairement comprendre et accepter les processus qu\u2019ils doivent suivre pour toute modification, hormis les petits changements insignifiants.<\/p>\n Assurez-vous de passer en revue tous les probl\u00e8mes et incidents majeurs pour en tirer les le\u00e7ons qui s\u2019imposent. Ces exercices donneront g\u00e9n\u00e9ralement lieu \u00e0 des suggestions d\u2019am\u00e9lioration de vos syst\u00e8mes de suivi, et vous avez int\u00e9r\u00eat \u00e0 y donner suite.<\/p>\n Dans un environnement de s\u00e9curit\u00e9 dynamique, il est indispensable d\u2019\u00e9valuer en permanence la s\u00e9curit\u00e9 et de mettre en place un plan de reprise apr\u00e8s sinistre AD solide<\/a>. Au minimum, consultez r\u00e9guli\u00e8rement les lignes de base de s\u00e9curit\u00e9 Microsoft (Guide des lignes de base de s\u00e9curit\u00e9 \u2013 | de s\u00e9curit\u00e9 Windows Microsoft Docs<\/a>), concevoir pour faciliter l\u2019application de correctifs et envisager de s\u2019abonner aux Bulletins de s\u00e9curit\u00e9 Microsoft.<\/p>\n Pour garder votre environnement Active Directory en bonne sant\u00e9, c\u2019est toute une gamme d\u2019activit\u00e9s qui doivent travailler ensemble. Souvent ignor\u00e9 lorsqu\u2019il fonctionne efficacement, Active Directory peut subir des pannes catastrophiques s\u2019il n\u2019est pas g\u00e9r\u00e9 ad\u00e9quatement. \u00c9tant donn\u00e9 que tous vos services d\u00e9pendent de sa fiabilit\u00e9, il est important de suivre des pratiques courantes en gestion des services pour pr\u00e9venir les probl\u00e8mes avant qu\u2019ils ne deviennent graves.<\/p>\n \u00c0 propos d\u2019Itergy<\/span><\/p>\n Itergy surveille et g\u00e8re Active Directory dans 65 pays, 24h\/24 et 7j\/7 pour le compte de ses clients depuis plus de 20 ans. Certains de nos services Active Directory<\/a> et services g\u00e9r\u00e9s AD<\/a> incluent des bilans de sant\u00e9, des conseils strat\u00e9giques, des migrations<\/a>, des consolidations<\/a>, des fusions et acquisitions et dessaisissements, ainsi que la reprise apr\u00e8s sinistre Active Directory (sauvegarde AD et r\u00e9cup\u00e9ration AD).<\/p>\n Nous faisons d\u2019Active Directory l\u2019application m\u00e9tier agile, s\u00e9curis\u00e9e et mature qu\u2019elle \u00e9tait cens\u00e9e \u00eatre, celle dont votre entreprise a besoin pour r\u00e9ussir dans l\u2019ensemble de votre entreprise.<\/p>\n","protected":false},"author":32,"featured_media":10621,"parent":0,"menu_order":0,"template":"","blog_tag":[96,139,141,102,142,154,158],"class_list":["post-10609","blog","type-blog","status-publish","has-post-thumbnail","hentry","blog_tag-active-directory","blog_tag-conformite","blog_tag-gestion-des-identites-et-des-acces","blog_tag-microsoft","blog_tag-securite","blog_tag-securite-informatique","blog_tag-services-geres-active-directory"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/10609","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog"}],"about":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/types\/blog"}],"author":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/users\/32"}],"version-history":[{"count":3,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/10609\/revisions"}],"predecessor-version":[{"id":22533,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog\/10609\/revisions\/22533"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media\/10621"}],"wp:attachment":[{"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/media?parent=10609"}],"wp:term":[{"taxonomy":"blog_tag","embeddable":true,"href":"https:\/\/itergy.com\/fr\/wp-json\/wp\/v2\/blog_tag?post=10609"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Op\u00e9rations<\/h2>\n
Conclusion<\/h2>\n