Domaines Windows

7/30/2019 Domaines Windows

1/77

Service dannuaire

Domaines Windows


2/77

Programme

Domaines NT4

Active Directory

Introduction l'infrastructure Active Directory

Groupes

Relations dapprobation (Trust Relationships)

Units dorganisation (OU)

Stratgies de groupe (Group Policies)

Application : scurisation des systmes Windows


3/77

Objectifs du service dannuaire

(domaine) Windows

Ouverture de session unique un utilisateur = un compte dutilisateur

Accs universel aux ressources Quel que soit le poste de travail O que se trouve la ressource

Administration centralise ou dlgue

Service dauthentification et de fourniture desdonnes dautorisation


4/77

Quest-ce quun domaine ?

Une base de comptes Utilisateurs, machines, groupes, etc.

Politiques de scurit du domaine (restrictions de

mots de passe, etc.) Base rplique sur les Contrleurs de Domaine

(Domain Controllers DC)

Protocole de localisation des DC

Protocole dauthentification

Protocole dannuaire


5/77

Rles des machines

Trois rles de machines Windows : Machine autonome (en workgroup )

Nappartient pas un domaine Possde une base de comptes (SAM) locale Ouverture de session : compte local uniquement

Machine membre Appartient un domaine Possde une base de comptes (SAM) locale Ouverture de session

compte local

compte dun domaine (notion de confiance, ou dapprobation) Contrleur de domaine (DC)

Contient une copie de la base du domaine Authentifie les machines et utilisateurs du domaine


6/77

DOMAINES NT4

Un peu dhistoire 1996 - 1999


7/77

Domaines Windows NT 4.0

Un domaine = une entit dadministration

Un domaine = une base de comptes

utilisateurs

groupes

ordinateurs

domaines approuvants

Limite pratique ~40 000 comptes par domaine


8/77

Domaine

Base decomptes

PDC

Domaine Windows NT 4.0

ServeursMembres

Workstations

BDCBDC


9/77

Approbation

Accs aux ressources

Domainede comptes

Permissions

Domaine deressources

Relation d'approbation NT4

Unidirectionnelle Non transitive

Notion de confiance


10/77

Architecture logique NT4

Domainede comptes




11/77

Architecture physique NT4

Site

Agence

Rgion

Serveurmembre

Serveurmembre

BDC

BDC

Sitecentral

PDCBDC RplicationDomaine de comptes

Domaine de ressources

BDC

BDC PDCRplication

Stations

Stations


12/77

Responsable

utilisateurs

Responsable

organisationResponsable de la ressource

Rappel sur les groupes et lespermissions

Type de groupe Dfini dans Peut contenir

Groupe global Domaine Utilisateurs du mmedomaine

Groupe local Domaine ou membre Groupes globauxUtilisateurs locaux

Utilisateurs

Jean Dupont

Groupes global

Comptables

Groupe local

Accs enlecture-criture auxdonnescomptables

Ressource

Donnescomptables


13/77

Limites de NT4

Limite de taille

Maximum ~40 000 objets dans le domaine

Beaucoup de domaines chez les grands comptes

Complexit des relations dapprobation

Complexit de larchitecture physique

Limite dans le modle de dlgation

Aucune granularit dans le domaine Encore plus de domaines


14/77

ACTIVE DIRECTORY

Service dannuaire Windows 2000, 2003, 2008


15/77

Aperu des diffrences

Services de scurit Windows NT 4.0 Windows 2000/3

Authentification NTLM Kerberos, PKI, NTLM

Annuaire RPC LDAP

Localisation NetBIOS DNS

Contrle daccs Access Control Lists Access Control Lists avec contrlegranulaire

Communicationscryptes

SSL, Secure DCOM,PPTP

IPsec, L2TP, SSL, Secure DCOM,PPTP

Infrastructure PKI SSL, Certificate Server Active Directory, SSL, Certificate

ServerManagement SAM NT4 Active Directory, Security

Configuration Editor, Cartes puces

API de scurit SSPI, CryptoAPI SSPI, Crypto API

Auditing & Event Log Systme daudit Systme daudit, AD

Donnes cryptes Encrypting File System (EFS)


16/77

INTRODUCTION L'INFRASTRUCTUREACTIVE DIRECTORY


17/77

Rle d'Active Directory

Active Directory permet de grer les diffrentes identits etrelations qui composent les environnements rseau

Fonctions : Simplification de ladministration et de la gestion des

ressources Stockage des objets de manire scurise dans une

structure logique Scurit rseau accrue et ouverture de session unique

pour les utilisateurs Optimisation du trafic rseau Interoprabilit Prise en charge de fonctions supplmentaires


18/77

Contrleurs de domaine

Plus de distinction PDC / BDC

Modifications possibles sur tous les DC

Un PDC Emulator dans chaque domaine pourcertains cas particuliers

Base de donnes AD diffrente de la SAM

Un DC a une SAM, utilise uniquement en mode Recovery Console / AD Restore Mode


19/77

Standards dans Active Directory

Annuaire : LDAP v2 et v3

Authentification : Kerberos v5

Localisation des services et rsolution desnoms : DNS


20/77

Structure logique dActive Directory

Arborescence :

Fort

Arbre

Domaine OU

Objets

Le 1er domaineinstall est le domaineracine de la fort


21/77

Structure physique dActive Directory

Sites

Contrleurs de domaine

Liaisons WAN


22/77

Espaces de noms

DNS : france.europe.demo.com

LDAP : DC=france,DC=europe,DC=demo,DC=com

Arbre : hirarchie denoms DNS

Un domaine = un nom

DNSFort : plusieurshirarchies DNS


23/77

Matres d'oprationsFlexible Single Master Operations (FSMO)


24/77

Rle des FSMONiveau Rle Service

Domaine mulateur PDC

PDC Emulator Agit en tant que contrleur de domaine principal

(PDC, Primary Domain Controller) pour lescontrleurs de domaine secondairesWindows NT 4.0 dans le domaine

Traite toutes les mises jour de mots de passepour les clients qui n'excutent pas le logicielclient Active Directory

Reoit des mises jour immdiates d'autres

contrleurs de domaine lorsque le mot de passed'un utilisateur est modifi

Matre RIDRID Master Assigne les identificateurs relatifs (RID, RelativeID) tous les contrleurs de domaine

Vrifie que toutes les entits de scurit ont unidentificateur unique

Matre d'infrastructureInfrastructure Master Maintient une liste d'entits de scurit d'autresdomaines qui sont membres de groupes dans sondomaine

Fort Contrleur de schmaSchema Master Contrle les modifications apportes au schmaMatre d'attribution de nomsde domaine

Domain Naming MasterContrle l'ajout et la suppression de domaines dansla fort


25/77

Service d'annuaire

Un rfrentiel d'informations structur sur lespersonnes et les ressources d'une organisation


26/77

Schma

Une dfinition au niveau de la fort d'attributs et declasses d'objets qui peut tre tendue

Les modifications de schma peuvent tre redfinies

ou dsactives


27/77

Catalogue global

Un rfrentiel d'informations contenant unsous-ensemble des attributs de tous les objetsde la fort


28/77

Nom unique et nom unique relatifDistinguished Name (DN)

Relative Distinguished Name (RDN)

Les noms uniques identifient le domaine et lechemin d'accs d'un objet

CN=Laura Bartoli,OU=Ventes,OU=Finances,DC=contoso,DC=msft

Nom unique relatif


29/77

Gestion dActive Directory

Gestion centralise Permet un administrateur unique de grer les ressources

de manire centrale Permet aux administrateurs de localiser les informations et

les objets de groupe Utilise la stratgie de groupe pour dfinir des paramtreset contrler l'environnement utilisateur

Gestion dcentralise Permet de dlguer les tches d'administration rseau de

certaines units d'organisation d'autres administrateurs Permet de dlguer certaines tches entre les units

d'organisation


30/77

Outils et composants logiciels enfichables(snap-ins) d'administration d'Active Directory

Composants logiciels enfichables (snap-ins) MMCd'administration Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Sites et services Active Directory Schma Active Directory

Outils de ligne de commande d'administration Dsadd, Dsmod, Dsquery, Dsmove DSrm, Dsget, CSVDE, LDIFDE

Windows Script Host


31/77

Users an Computers


32/77

Sites and Services


33/77

Niveaux dadministration

Domaine : Stratgie de scurit Stratgie de mot de passe Stratgies de groupe

Groupes : Domain Admins Fort :

Schma Topologie rseau sites Groupes : Enterprise Admins, Schema Admins

OU : Dlgation dadministration

Frontire de scurit = la fort !


34/77

Considrations relatives la scurit

lments Description

Fonctionnalitsde scurit

Les fonctionnalits de scurit rsident dans le logiciel systme etla base de donnes Active Directory La base de donnes Active directory stocke les mots de passe, la

constitution des groupes et les listes ACL qui contrlent l'accs

aux objets de l'annuaire Le systme gre l'authentification, applique les stratgies et

utilise des autorisations pour l'accs aux objets de l'annuaire

Attaquespotentielles

Les mthodes d'attaque consistent notamment modifier l'un desdeux composants systme centraux dActive Directory Des administrateurs du service peuvent installer un logiciel

malveillant D'autres personnes ayant physiquement accs aux contrleurs de

domaine peuvent modifier des fichiers binaires du systme,accder aux donnes ou effectuer des modifications nonautorises dans la base de donnes


35/77

GROUPES

T d d AD


36/77

Types de groupes dans AD

Les groupes se caractrisent par l'tendue et le type

L'tendue d'un groupe dtermine si le groupecouvre plusieurs domaines ou s'il est limit unseul domaine

Les tendues de groupe peuvent tre globales,

locales de domaine ou universelles


37/77

Types de groupes

Domain Local Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de son propre

domaine

Global Contient des groupes/utilisateurs de son domaine Utilisable pour le contrle daccs aux ressources de tous les

domaines

Universel

Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de tous les

domaines Dfinition stocke dans le Global Catalog


38/77

tendues de groupes


39/77

Groupes prdfinis

Conus pour grer des ressources partages etdlguer des rles administratifs de domainespcifiques

Oprateurs de compte

Administrateurs

Oprateurs de sauvegarde

Gnrateurs d'approbationsde fort entrante

Oprateurs de configurationrseau

Utilisateurs dujournal de performances

Utilisateurs de l'Analyseurde performances

Accs compatiblepr-Windows 2000

Oprateurs d'impression

Utilisateurs du Bureau distance

Duplicateurs

Oprateurs de serveur

Utilisateurs


40/77

Groupes spciaux

Conus pour fournir l'accs aux ressourcessans interaction de la part de l'administrateurou de l'utilisateur

Ouverture de sessionanonyme

Utilisateurs authentifis

Tche

Crateur

Crateur propritaire

Ligne

Tout le monde

Interactif

Systme local

Rseau

Self

Service

Utilisateurs Terminal ServerAutre organisation

Cette Organisation


41/77

Outils dadministration des groupes de

scuritOutil Fonction

Utilisateurs et ordinateursActive Directory

Permet d'administrer des utilisateurs et des groupesdans Active Directory

diteur ACL Permet d'administrer des utilisateurs et des groupes surune ressource

Whoami Affiche le contenu complet du jeton d'accs dans lafentre de commande

Dsadd Cre des groupes et gre l'appartenance partir de laligne de commande

Ifmember numre tous les groupes auxquels le membre actif

appartient

Getsid Compare les identificateurs de scurit de deuxcomptes d'utilisateurs


42/77

RELATIONS DAPPROBATION

(inutile de retenir tous les dtails)


43/77

Que sont les approbations ?

Approbation = Trust Relation dapprobation = Trust

Relationship

Les approbations sont des mcanismes quipermettent un utilisateur authentifi dans sonpropre domaine d'accder aux ressources den'importe quel domaine ou fort approuvant ce

domaine Confiance en une autre entit pour

lauthentification


44/77

Approbations implicites

Hirarchie de domaines dans un arbre :

Approbations bases sur Kerberos

Implicites

Transitives

Bidirectionnelles


45/77


46/77

Types dapprobations

Catgories dapprobation : Approbations transitives Approbations non transitives

Directions dapprobations :

Approbation entrante sens unique Approbation sortante sens unique Approbation bidirectionnelle

Quatre types d'approbations : Approbations de fort

Approbations raccourcies Approbations externes Approbations de domaine Kerberos


47/77

Approbations de fort

Une approbation defort est une relationd'approbation entredeux forts WindowsServer 2003 Elle forme les relations d'approbation entre tous les

domaines des deux forts Elle est cre entre les forts impliques dans

l'approbation Elle est transitive pour tous les domaines des forts Elle peut utiliser l'authentification l'chelle de la fort

ou l'authentification slective


48/77

Approbations raccourciesShortcut Trusts

Une approbation raccourcie : Rduit la dure de lauthentification dans les forts

complexes Est partiellement transitive

Peut tre sens unique ou bidirectionnelle

Approbations externes


49/77

Approbations externes

Une approbation externe est : Une approbation cre manuellement entre :

deux domaines Active Directory situs dans des forts

diffrentes un domaine Active Directory et un domaine WindowsNT 4.0 ou version antrieure

Non transitive

sens unique


50/77

Approbations de domaine Kerberos

Une approbation dedomaine Kerberos :

Est une approbation entreun domaine Kerberos et undomaine Active Directory

Peut tre transitive ou nontransitive

Peut tre sens unique oubidirectionnelle

Permet l'interoprabilitentre plates-formes avecdes services de scuritbass sur d'autres versionsde Kerberos V5

Mth d d th tifi ti tili


51/77

Mthodes dauthentification utilises

dans les approbationsType dapprobation Protocole dauthentification

Parent/enfant Kerberos, NTLM

Arborescence/racine Kerberos, NTLM

Externe NTLM

Domaine Kerberos KerberosFort Kerberos, NTLM

Raccourci Kerberos, NTLM


52/77

Comment empcher l'usurpation d'identificateur descurit l'aide du filtrage SID

Lorsque l'administrateur d'un domaine approuvjoint une entit de scurit connue au SID d'uncompte d'utilisateur privilgi du domaineapprouv

Usurpation de

SID

Permet aux administrateurs d'ignorer lesinformations d'identification qui utilisent des SIDsusceptibles d'tre usurps

Filtrage SID

Le filtrage SID doit tre dsactiv pour permettreaux utilisateurs et aux groupes ayant migr partir d'autres domaines d'accder auxressources de ce domaine l'aide de l'attributSIDHistory

Dsactivation

du filtrage SID


53/77

UNITS ORGANISATIONNELLES

Organizational Units (OU)


54/77

Dfinition des OU

Conteneurs dobjets de type utilisateurs,

groupes, ordinateurs, OU au sein dun

domaine

Utilisation Application des stratgies systmes

Dlgation des droits dadministration


55/77


56/77

Dlgation de privilges administratifs

Le processus dedcentralisation de lagestion des units

d'organisation La dlgation apporte :

l'autonomie administrative

l'isolation de la gestion desservices ou des donnes


57/77

Assistant dlgation

Simplifie la dfinition des permissions sur les OU

Dlgation simplifie de tches administrativescourantes

Application du principe de moindre privilge Pas ncessaire dtre administrateur du domaine pour

grer une OU

Rappel : le domaine nest pas une frontire de scuritladmin. dun domaine peut devenir admin. de lafort


58/77

Assistant dlgation


59/77

Permissions sur les OU


60/77

STRATGIES DE GROUPE

Introduction aux stratgies de groupes


61/77

Introduction aux stratgies de groupesGroup Policies

Dfinir des stratgies centralises oudcentralises Sassurer que les utilisateurs disposent de

lenvironnement ncessaire

Contrler les environnements utilisateur etordinateur Appliquer les stratgies dentreprise

Composants d'un objet Stratgie de groupe


62/77

Composants d un objet Stratgie de groupeGroup Policy Object (GPO)


63/77

Niveau et priorit des GP

Appliques danslordre :

1. Local

2. Site3. Domaine

4. OU


64/77

Types de paramtres

Types de paramtres de stratgies de groupeAdministrativeTemplates Registry-based Group Policy settingsSecurity Settings for local, domain, and network securitySoftware Installation Settings for central management of softwareinstallationScripts Startup, shutdown, logon, and logoff scriptsRemote InstallationServices Setting that control the options available to userswhen running the Client Installation Wizard used by

RISInternet ExplorerMaintenance Setting to administer and customize MicrosoftInternet Explorer on Microsoft Windows-based

computers

Folder Redirection Setting for storing users folders on a network server


65/77


66/77

Application des GPO


67/77

SCURISATION DES SYSTMESWINDOWS

Application pratique de lAD et des GPO


68/77

Guides de scurisation

Guides de scurisation (Security Guidance) :http://www.microsoft.com/technet/security/topics

Windows Server 2003 Security Guide Windows XP Security Guide

Threats and Countermeasures Guide

Pourquoi des guides de scurisation ? Durcissement fonction de lenvironnement et des menaces Il ny a pas une seule rponse Compatibilit des applications Configuration par dfaut en gnral approprie pour des rseaux

de confiance
http://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topicshttp://www.microsoft.com/technet/security/topics


69/77

SCURISATION WINDOWS SERVER2003 SP1

Exemple

Mcanismes de scurisation de


70/77

Mcanismes de scurisation deWindows Server 2003 SP1

Stratgies de groupes (Group Policies) Modles de scurit (.inf)

Security Configuration Wizard (WS2003-SP1)

Dfinit des politiques de scurit en fonction des rlesdes serveurs Quels services doivent tre actifs ou dsactivs

Filtrage de port rseau (Windows Firewall et IPsec)

Extensions IIS permises

Protection des protocoles SMB, LDAP

Stratgies daudit utiles

Inclusion possible de modles de scurit


71/77

Rles des serveursServer role Description Security template file nameMember server All servers that are members of

the domain and reside in or belowthe Member Servers OU.

-Member ServerBaseline.inf

Domaincontroller

All Active Directory domaincontrollers. These servers are alsoDNS servers.

-Domain Controller.inf

Infrastructureserver

All locked down WINS and DHCPservers.

-Infrastructure Server.inf

File server All locked down file servers. -File Server.infPrint server All locked down print servers. -Print Server.infWeb server All locked down IIS web servers. -Web Server.infIAS server All locked down IAS servers. -IAS Server.inf

CertificateServices server All locked down CertificationAuthority (CA) servers. -CA Server.inf

Bastion host All Internet-facing servers. -Bastion Host.inf

replaced by LC (for Legacy Client), EC (forEnterprise Client), or SSLF (for Specialized Security

Limited Functionality) as appropriate.


72/77

OU et groupes

OU name Administrative groupDomain Controllers Domain EngineeringMember Servers Domain EngineeringInfrastructure Infrastructure AdminsFile Infrastructure AdminsPrint Infrastructure AdminsIAS Domain Engineering

Web Web ServicesCA Administrators


73/77

Mthode

Crer l'environnement AD, les groupes et les OU ; dfinirles dlgations sur les OU

Configurer la synchronisation de temps sur le PDC Emulator Configurer les stratgies domaine

Crer les stratgies de base avec SCW Convertir les stratgies de base en GPO et les lier aux OU

appropries Crer les stratgies de rles avec SCW et les modles de

scurit fournis

Tester les stratgies de rles avec SCW Convertir les stratgies de rles en GPO et les lier aux OU

appropries


74/77


75/77

WINDOWS XP SP2

Exemple


76/77

3 scnarios

Enterprise Client Clients XP dans un Active Directory

Stand-Alone Client

Clients XP autonomes

Specialized Security Limited Functionality

Besoins spcifiques de scurit (militaire, finance,

sant)


77/77

Vue globale

Documents

Domaines Windows