Upload
bmbm-farid
View
223
Download
0
Embed Size (px)
Citation preview
7/30/2019 Domaines Windows
1/77
Service dannuaire
Domaines Windows
7/30/2019 Domaines Windows
2/77
Programme
Domaines NT4
Active Directory
Introduction l'infrastructure Active Directory
Groupes
Relations dapprobation (Trust Relationships)
Units dorganisation (OU)
Stratgies de groupe (Group Policies)
Application : scurisation des systmes Windows
7/30/2019 Domaines Windows
3/77
Objectifs du service dannuaire
(domaine) Windows
Ouverture de session unique un utilisateur = un compte dutilisateur
Accs universel aux ressources Quel que soit le poste de travail O que se trouve la ressource
Administration centralise ou dlgue
Service dauthentification et de fourniture desdonnes dautorisation
7/30/2019 Domaines Windows
4/77
Quest-ce quun domaine ?
Une base de comptes Utilisateurs, machines, groupes, etc.
Politiques de scurit du domaine (restrictions de
mots de passe, etc.) Base rplique sur les Contrleurs de Domaine
(Domain Controllers DC)
Protocole de localisation des DC
Protocole dauthentification
Protocole dannuaire
7/30/2019 Domaines Windows
5/77
Rles des machines
Trois rles de machines Windows : Machine autonome (en workgroup )
Nappartient pas un domaine Possde une base de comptes (SAM) locale Ouverture de session : compte local uniquement
Machine membre Appartient un domaine Possde une base de comptes (SAM) locale Ouverture de session
compte local
compte dun domaine (notion de confiance, ou dapprobation) Contrleur de domaine (DC)
Contient une copie de la base du domaine Authentifie les machines et utilisateurs du domaine
7/30/2019 Domaines Windows
6/77
DOMAINES NT4
Un peu dhistoire 1996 - 1999
7/30/2019 Domaines Windows
7/77
Domaines Windows NT 4.0
Un domaine = une entit dadministration
Un domaine = une base de comptes
utilisateurs
groupes
ordinateurs
domaines approuvants
Limite pratique ~40 000 comptes par domaine
7/30/2019 Domaines Windows
8/77
Domaine
Base decomptes
PDC
Domaine Windows NT 4.0
ServeursMembres
Workstations
BDCBDC
7/30/2019 Domaines Windows
9/77
Approbation
Accs aux ressources
Domainede comptes
Permissions
Domaine deressources
Relation d'approbation NT4
Unidirectionnelle Non transitive
Notion de confiance
7/30/2019 Domaines Windows
10/77
Architecture logique NT4
Domainede comptes
Domaine deressources
Domaine deressources
7/30/2019 Domaines Windows
11/77
Architecture physique NT4
Site
Agence
Rgion
Serveurmembre
Serveurmembre
BDC
BDC
Sitecentral
PDCBDC RplicationDomaine de comptes
Domaine de ressources
BDC
BDC PDCRplication
Stations
Stations
7/30/2019 Domaines Windows
12/77
Responsable
utilisateurs
Responsable
organisationResponsable de la ressource
Rappel sur les groupes et lespermissions
Type de groupe Dfini dans Peut contenir
Groupe global Domaine Utilisateurs du mmedomaine
Groupe local Domaine ou membre Groupes globauxUtilisateurs locaux
Utilisateurs
Jean Dupont
Groupes global
Comptables
Groupe local
Accs enlecture-criture auxdonnescomptables
Ressource
Donnescomptables
7/30/2019 Domaines Windows
13/77
Limites de NT4
Limite de taille
Maximum ~40 000 objets dans le domaine
Beaucoup de domaines chez les grands comptes
Complexit des relations dapprobation
Complexit de larchitecture physique
Limite dans le modle de dlgation
Aucune granularit dans le domaine Encore plus de domaines
7/30/2019 Domaines Windows
14/77
ACTIVE DIRECTORY
Service dannuaire Windows 2000, 2003, 2008
7/30/2019 Domaines Windows
15/77
Aperu des diffrences
Services de scurit Windows NT 4.0 Windows 2000/3
Authentification NTLM Kerberos, PKI, NTLM
Annuaire RPC LDAP
Localisation NetBIOS DNS
Contrle daccs Access Control Lists Access Control Lists avec contrlegranulaire
Communicationscryptes
SSL, Secure DCOM,PPTP
IPsec, L2TP, SSL, Secure DCOM,PPTP
Infrastructure PKI SSL, Certificate Server Active Directory, SSL, Certificate
ServerManagement SAM NT4 Active Directory, Security
Configuration Editor, Cartes puces
API de scurit SSPI, CryptoAPI SSPI, Crypto API
Auditing & Event Log Systme daudit Systme daudit, AD
Donnes cryptes Encrypting File System (EFS)
7/30/2019 Domaines Windows
16/77
INTRODUCTION L'INFRASTRUCTUREACTIVE DIRECTORY
7/30/2019 Domaines Windows
17/77
Rle d'Active Directory
Active Directory permet de grer les diffrentes identits etrelations qui composent les environnements rseau
Fonctions : Simplification de ladministration et de la gestion des
ressources Stockage des objets de manire scurise dans une
structure logique Scurit rseau accrue et ouverture de session unique
pour les utilisateurs Optimisation du trafic rseau Interoprabilit Prise en charge de fonctions supplmentaires
7/30/2019 Domaines Windows
18/77
Contrleurs de domaine
Plus de distinction PDC / BDC
Modifications possibles sur tous les DC
Un PDC Emulator dans chaque domaine pourcertains cas particuliers
Base de donnes AD diffrente de la SAM
Un DC a une SAM, utilise uniquement en mode Recovery Console / AD Restore Mode
7/30/2019 Domaines Windows
19/77
Standards dans Active Directory
Annuaire : LDAP v2 et v3
Authentification : Kerberos v5
Localisation des services et rsolution desnoms : DNS
7/30/2019 Domaines Windows
20/77
Structure logique dActive Directory
Arborescence :
Fort
Arbre
Domaine OU
Objets
Le 1er domaineinstall est le domaineracine de la fort
7/30/2019 Domaines Windows
21/77
Structure physique dActive Directory
Sites
Contrleurs de domaine
Liaisons WAN
7/30/2019 Domaines Windows
22/77
Espaces de noms
DNS : france.europe.demo.com
LDAP : DC=france,DC=europe,DC=demo,DC=com
Arbre : hirarchie denoms DNS
Un domaine = un nom
DNSFort : plusieurshirarchies DNS
7/30/2019 Domaines Windows
23/77
Matres d'oprationsFlexible Single Master Operations (FSMO)
7/30/2019 Domaines Windows
24/77
Rle des FSMONiveau Rle Service
Domaine mulateur PDC
PDC Emulator Agit en tant que contrleur de domaine principal
(PDC, Primary Domain Controller) pour lescontrleurs de domaine secondairesWindows NT 4.0 dans le domaine
Traite toutes les mises jour de mots de passepour les clients qui n'excutent pas le logicielclient Active Directory
Reoit des mises jour immdiates d'autres
contrleurs de domaine lorsque le mot de passed'un utilisateur est modifi
Matre RIDRID Master Assigne les identificateurs relatifs (RID, RelativeID) tous les contrleurs de domaine
Vrifie que toutes les entits de scurit ont unidentificateur unique
Matre d'infrastructureInfrastructure Master Maintient une liste d'entits de scurit d'autresdomaines qui sont membres de groupes dans sondomaine
Fort Contrleur de schmaSchema Master Contrle les modifications apportes au schmaMatre d'attribution de nomsde domaine
Domain Naming MasterContrle l'ajout et la suppression de domaines dansla fort
7/30/2019 Domaines Windows
25/77
Service d'annuaire
Un rfrentiel d'informations structur sur lespersonnes et les ressources d'une organisation
7/30/2019 Domaines Windows
26/77
Schma
Une dfinition au niveau de la fort d'attributs et declasses d'objets qui peut tre tendue
Les modifications de schma peuvent tre redfinies
ou dsactives
7/30/2019 Domaines Windows
27/77
Catalogue global
Un rfrentiel d'informations contenant unsous-ensemble des attributs de tous les objetsde la fort
7/30/2019 Domaines Windows
28/77
Nom unique et nom unique relatifDistinguished Name (DN)
Relative Distinguished Name (RDN)
Les noms uniques identifient le domaine et lechemin d'accs d'un objet
CN=Laura Bartoli,OU=Ventes,OU=Finances,DC=contoso,DC=msft
Nom unique relatif
7/30/2019 Domaines Windows
29/77
Gestion dActive Directory
Gestion centralise Permet un administrateur unique de grer les ressources
de manire centrale Permet aux administrateurs de localiser les informations et
les objets de groupe Utilise la stratgie de groupe pour dfinir des paramtreset contrler l'environnement utilisateur
Gestion dcentralise Permet de dlguer les tches d'administration rseau de
certaines units d'organisation d'autres administrateurs Permet de dlguer certaines tches entre les units
d'organisation
7/30/2019 Domaines Windows
30/77
Outils et composants logiciels enfichables(snap-ins) d'administration d'Active Directory
Composants logiciels enfichables (snap-ins) MMCd'administration Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Sites et services Active Directory Schma Active Directory
Outils de ligne de commande d'administration Dsadd, Dsmod, Dsquery, Dsmove DSrm, Dsget, CSVDE, LDIFDE
Windows Script Host
7/30/2019 Domaines Windows
31/77
Users an Computers
7/30/2019 Domaines Windows
32/77
Sites and Services
7/30/2019 Domaines Windows
33/77
Niveaux dadministration
Domaine : Stratgie de scurit Stratgie de mot de passe Stratgies de groupe
Groupes : Domain Admins Fort :
Schma Topologie rseau sites Groupes : Enterprise Admins, Schema Admins
OU : Dlgation dadministration
Frontire de scurit = la fort !
7/30/2019 Domaines Windows
34/77
Considrations relatives la scurit
lments Description
Fonctionnalitsde scurit
Les fonctionnalits de scurit rsident dans le logiciel systme etla base de donnes Active Directory La base de donnes Active directory stocke les mots de passe, la
constitution des groupes et les listes ACL qui contrlent l'accs
aux objets de l'annuaire Le systme gre l'authentification, applique les stratgies et
utilise des autorisations pour l'accs aux objets de l'annuaire
Attaquespotentielles
Les mthodes d'attaque consistent notamment modifier l'un desdeux composants systme centraux dActive Directory Des administrateurs du service peuvent installer un logiciel
malveillant D'autres personnes ayant physiquement accs aux contrleurs de
domaine peuvent modifier des fichiers binaires du systme,accder aux donnes ou effectuer des modifications nonautorises dans la base de donnes
7/30/2019 Domaines Windows
35/77
GROUPES
T d d AD
7/30/2019 Domaines Windows
36/77
Types de groupes dans AD
Les groupes se caractrisent par l'tendue et le type
L'tendue d'un groupe dtermine si le groupecouvre plusieurs domaines ou s'il est limit unseul domaine
Les tendues de groupe peuvent tre globales,
locales de domaine ou universelles
7/30/2019 Domaines Windows
37/77
Types de groupes
Domain Local Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de son propre
domaine
Global Contient des groupes/utilisateurs de son domaine Utilisable pour le contrle daccs aux ressources de tous les
domaines
Universel
Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de tous les
domaines Dfinition stocke dans le Global Catalog
7/30/2019 Domaines Windows
38/77
tendues de groupes
7/30/2019 Domaines Windows
39/77
Groupes prdfinis
Conus pour grer des ressources partages etdlguer des rles administratifs de domainespcifiques
Oprateurs de compte
Administrateurs
Oprateurs de sauvegarde
Gnrateurs d'approbationsde fort entrante
Oprateurs de configurationrseau
Utilisateurs dujournal de performances
Utilisateurs de l'Analyseurde performances
Accs compatiblepr-Windows 2000
Oprateurs d'impression
Utilisateurs du Bureau distance
Duplicateurs
Oprateurs de serveur
Utilisateurs
7/30/2019 Domaines Windows
40/77
Groupes spciaux
Conus pour fournir l'accs aux ressourcessans interaction de la part de l'administrateurou de l'utilisateur
Ouverture de sessionanonyme
Utilisateurs authentifis
Tche
Crateur
Crateur propritaire
Ligne
Tout le monde
Interactif
Systme local
Rseau
Self
Service
Utilisateurs Terminal ServerAutre organisation
Cette Organisation
7/30/2019 Domaines Windows
41/77
Outils dadministration des groupes de
scuritOutil Fonction
Utilisateurs et ordinateursActive Directory
Permet d'administrer des utilisateurs et des groupesdans Active Directory
diteur ACL Permet d'administrer des utilisateurs et des groupes surune ressource
Whoami Affiche le contenu complet du jeton d'accs dans lafentre de commande
Dsadd Cre des groupes et gre l'appartenance partir de laligne de commande
Ifmember numre tous les groupes auxquels le membre actif
appartient
Getsid Compare les identificateurs de scurit de deuxcomptes d'utilisateurs
7/30/2019 Domaines Windows
42/77
RELATIONS DAPPROBATION
(inutile de retenir tous les dtails)
7/30/2019 Domaines Windows
43/77
Que sont les approbations ?
Approbation = Trust Relation dapprobation = Trust
Relationship
Les approbations sont des mcanismes quipermettent un utilisateur authentifi dans sonpropre domaine d'accder aux ressources den'importe quel domaine ou fort approuvant ce
domaine Confiance en une autre entit pour
lauthentification
7/30/2019 Domaines Windows
44/77
Approbations implicites
Hirarchie de domaines dans un arbre :
Approbations bases sur Kerberos
Implicites
Transitives
Bidirectionnelles
7/30/2019 Domaines Windows
45/77
7/30/2019 Domaines Windows
46/77
Types dapprobations
Catgories dapprobation : Approbations transitives Approbations non transitives
Directions dapprobations :
Approbation entrante sens unique Approbation sortante sens unique Approbation bidirectionnelle
Quatre types d'approbations : Approbations de fort
Approbations raccourcies Approbations externes Approbations de domaine Kerberos
7/30/2019 Domaines Windows
47/77
Approbations de fort
Une approbation defort est une relationd'approbation entredeux forts WindowsServer 2003 Elle forme les relations d'approbation entre tous les
domaines des deux forts Elle est cre entre les forts impliques dans
l'approbation Elle est transitive pour tous les domaines des forts Elle peut utiliser l'authentification l'chelle de la fort
ou l'authentification slective
7/30/2019 Domaines Windows
48/77
Approbations raccourciesShortcut Trusts
Une approbation raccourcie : Rduit la dure de lauthentification dans les forts
complexes Est partiellement transitive
Peut tre sens unique ou bidirectionnelle
Approbations externes
7/30/2019 Domaines Windows
49/77
Approbations externes
Une approbation externe est : Une approbation cre manuellement entre :
deux domaines Active Directory situs dans des forts
diffrentes un domaine Active Directory et un domaine WindowsNT 4.0 ou version antrieure
Non transitive
sens unique
7/30/2019 Domaines Windows
50/77
Approbations de domaine Kerberos
Une approbation dedomaine Kerberos :
Est une approbation entreun domaine Kerberos et undomaine Active Directory
Peut tre transitive ou nontransitive
Peut tre sens unique oubidirectionnelle
Permet l'interoprabilitentre plates-formes avecdes services de scuritbass sur d'autres versionsde Kerberos V5
Mth d d th tifi ti tili
7/30/2019 Domaines Windows
51/77
Mthodes dauthentification utilises
dans les approbationsType dapprobation Protocole dauthentification
Parent/enfant Kerberos, NTLM
Arborescence/racine Kerberos, NTLM
Externe NTLM
Domaine Kerberos KerberosFort Kerberos, NTLM
Raccourci Kerberos, NTLM
7/30/2019 Domaines Windows
52/77
Comment empcher l'usurpation d'identificateur descurit l'aide du filtrage SID
Lorsque l'administrateur d'un domaine approuvjoint une entit de scurit connue au SID d'uncompte d'utilisateur privilgi du domaineapprouv
Usurpation de
SID
Permet aux administrateurs d'ignorer lesinformations d'identification qui utilisent des SIDsusceptibles d'tre usurps
Filtrage SID
Le filtrage SID doit tre dsactiv pour permettreaux utilisateurs et aux groupes ayant migr partir d'autres domaines d'accder auxressources de ce domaine l'aide de l'attributSIDHistory
Dsactivation
du filtrage SID
7/30/2019 Domaines Windows
53/77
UNITS ORGANISATIONNELLES
Organizational Units (OU)
7/30/2019 Domaines Windows
54/77
Dfinition des OU
Conteneurs dobjets de type utilisateurs,
groupes, ordinateurs, OU au sein dun
domaine
Utilisation Application des stratgies systmes
Dlgation des droits dadministration
7/30/2019 Domaines Windows
55/77
7/30/2019 Domaines Windows
56/77
Dlgation de privilges administratifs
Le processus dedcentralisation de lagestion des units
d'organisation La dlgation apporte :
l'autonomie administrative
l'isolation de la gestion desservices ou des donnes
7/30/2019 Domaines Windows
57/77
Assistant dlgation
Simplifie la dfinition des permissions sur les OU
Dlgation simplifie de tches administrativescourantes
Application du principe de moindre privilge Pas ncessaire dtre administrateur du domaine pour
grer une OU
Rappel : le domaine nest pas une frontire de scuritladmin. dun domaine peut devenir admin. de lafort
7/30/2019 Domaines Windows
58/77
Assistant dlgation
7/30/2019 Domaines Windows
59/77
Permissions sur les OU
7/30/2019 Domaines Windows
60/77
STRATGIES DE GROUPE
Introduction aux stratgies de groupes
7/30/2019 Domaines Windows
61/77
Introduction aux stratgies de groupesGroup Policies
Dfinir des stratgies centralises oudcentralises Sassurer que les utilisateurs disposent de
lenvironnement ncessaire
Contrler les environnements utilisateur etordinateur Appliquer les stratgies dentreprise
Composants d'un objet Stratgie de groupe
7/30/2019 Domaines Windows
62/77
Composants d un objet Stratgie de groupeGroup Policy Object (GPO)
7/30/2019 Domaines Windows
63/77
Niveau et priorit des GP
Appliques danslordre :
1. Local
2. Site3. Domaine
4. OU
7/30/2019 Domaines Windows
64/77
Types de paramtres
Types de paramtres de stratgies de groupeAdministrativeTemplates Registry-based Group Policy settingsSecurity Settings for local, domain, and network securitySoftware Installation Settings for central management of softwareinstallationScripts Startup, shutdown, logon, and logoff scriptsRemote InstallationServices Setting that control the options available to userswhen running the Client Installation Wizard used by
RISInternet ExplorerMaintenance Setting to administer and customize MicrosoftInternet Explorer on Microsoft Windows-based
computers
Folder Redirection Setting for storing users folders on a network server
7/30/2019 Domaines Windows
65/77
7/30/2019 Domaines Windows
66/77
Application des GPO
7/30/2019 Domaines Windows
67/77
SCURISATION DES SYSTMESWINDOWS
Application pratique de lAD et des GPO
7/30/2019 Domaines Windows
68/77
Guides de scurisation
Guides de scurisation (Security Guidance) :http://www.microsoft.com/technet/security/topics
Windows Server 2003 Security Guide Windows XP Security Guide
Threats and Countermeasures Guide
Pourquoi des guides de scurisation ? Durcissement fonction de lenvironnement et des menaces Il ny a pas une seule rponse Compatibilit des applications Configuration par dfaut en gnral approprie pour des rseaux
de confiance
http://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topics7/30/2019 Domaines Windows
69/77
SCURISATION WINDOWS SERVER2003 SP1
Exemple
Mcanismes de scurisation de
7/30/2019 Domaines Windows
70/77
Mcanismes de scurisation deWindows Server 2003 SP1
Stratgies de groupes (Group Policies) Modles de scurit (.inf)
Security Configuration Wizard (WS2003-SP1)
Dfinit des politiques de scurit en fonction des rlesdes serveurs Quels services doivent tre actifs ou dsactivs
Filtrage de port rseau (Windows Firewall et IPsec)
Extensions IIS permises
Protection des protocoles SMB, LDAP
Stratgies daudit utiles
Inclusion possible de modles de scurit
7/30/2019 Domaines Windows
71/77
Rles des serveursServer role Description Security template file nameMember server All servers that are members of
the domain and reside in or belowthe Member Servers OU.
-Member ServerBaseline.inf
Domaincontroller
All Active Directory domaincontrollers. These servers are alsoDNS servers.
-Domain Controller.inf
Infrastructureserver
All locked down WINS and DHCPservers.
-Infrastructure Server.inf
File server All locked down file servers. -File Server.infPrint server All locked down print servers. -Print Server.infWeb server All locked down IIS web servers. -Web Server.infIAS server All locked down IAS servers. -IAS Server.inf
CertificateServices server All locked down CertificationAuthority (CA) servers. -CA Server.inf
Bastion host All Internet-facing servers. -Bastion Host.inf
replaced by LC (for Legacy Client), EC (forEnterprise Client), or SSLF (for Specialized Security
Limited Functionality) as appropriate.
7/30/2019 Domaines Windows
72/77
OU et groupes
OU name Administrative groupDomain Controllers Domain EngineeringMember Servers Domain EngineeringInfrastructure Infrastructure AdminsFile Infrastructure AdminsPrint Infrastructure AdminsIAS Domain Engineering
Web Web ServicesCA Administrators
7/30/2019 Domaines Windows
73/77
Mthode
Crer l'environnement AD, les groupes et les OU ; dfinirles dlgations sur les OU
Configurer la synchronisation de temps sur le PDC Emulator Configurer les stratgies domaine
Crer les stratgies de base avec SCW Convertir les stratgies de base en GPO et les lier aux OU
appropries Crer les stratgies de rles avec SCW et les modles de
scurit fournis
Tester les stratgies de rles avec SCW Convertir les stratgies de rles en GPO et les lier aux OU
appropries
7/30/2019 Domaines Windows
74/77
7/30/2019 Domaines Windows
75/77
WINDOWS XP SP2
Exemple
7/30/2019 Domaines Windows
76/77
3 scnarios
Enterprise Client Clients XP dans un Active Directory
Stand-Alone Client
Clients XP autonomes
Specialized Security Limited Functionality
Besoins spcifiques de scurit (militaire, finance,
sant)
7/30/2019 Domaines Windows
77/77
Vue globale