Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Public visé: Développeur Administrateur ✓ RSSI ✓ DSI Utilisateur DAT-NT-17/ANSS

Public visé: Développeur Administrateur ✓ RSSI ✓ DSI Utilisateur DAT-NT-17/ANSSI/SDE P R E M I E R M I N I S T R E Secrétariat général Paris, le 10 septembre 2014 de la défense et de la sécurité nationale No DAT-NT-17/ANSSI/SDE/NP Agence nationale de la sécurité Nombre de pages du document des systèmes d’information (y compris cette page) : 49 Note technique Recommandations de sécurité relatives à Active Directory. Informations Avertissement Ce document rédigé par l’ANSSI présente les « Recommandations de sécurité relatives à Active Directory. ». Il est téléchargeable sur le site www.ssi.gouv.fr. Il constitue une production originale de l’ANSSI. Il est à ce titre placé sous le régime de la « Licence ouverte » publiée par la mission Etalab (www.etalab.gouv.fr). Il est par conséquent diﬀusable sans restriction. Ces recommandations sont livrées en l’état et adaptées aux menaces au jour de leur pub- lication. Au regard de la diversité des systèmes d’information, l’ANSSI ne peut garantir que ces informations puissent être reprises sans adaptation sur les systèmes d’information cibles. Dans tous les cas, la pertinence de l’implémentation des éléments proposés par l’ANSSI doit être soumise, au préalable, à la validation de l’administrateur du système et/ou des personnes en charge de la sécurité des systèmes d’information. Personnes ayant contribué à la rédaction de ce document: Contributeurs Rédigé par Approuvé par Date BAI, SIS BSS SDE 10 septembre 2014 Évolutions du document : Version Date Nature des modiﬁcations 1.0 19 août 2014 Version initiale 1.1 10 septembre 2014 Corrections mineures Pour toute remarque: Contact Adresse @mél Téléphone Bureau Communication de l’ANSSI 51 bd de La Tour-Maubourg 75700 Paris Cedex 07 SP communication@ssi.gouv.fr 01 71 75 84 04 No DAT-NT-17/ANSSI/SDE/NP du 10 septembre 2014 Page 1 sur 48 Table des matières 1 Introduction 4 1.1 Quels risques de sécurité ? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.2 Objectifs et périmètre du document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3 Priorisation des recommandations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.4 Concepts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4.1 Annuaire Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4.2 Forêt et domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2 Prérequis à la sécurisation de l’Active Directory 6 2.1 Architecture physique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6 2.1.1 Sites Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.1.2 La réplication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 2.1.2.1 Port utilisé par la réplication . . . . . . . . . . . . . . . . . . . . . . . 8 2.1.2.2 Utilisation du KCC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 2.1.2.3 Planiﬁcation et fréquence de la réplication . . . . . . . . . . . . . . . . 9 2.1.3 Placement des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . . . 9 2.2 Architecture réseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.1 DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 2.2.1.1 Rappel sur la méthode de résolution des noms d’hôtes . . . . . . . . . 11 2.2.1.2 Rappel sur les zones de recherche . . . . . . . . . . . . . . . . . . . . . 11 2.2.1.3 Rappel sur les types de zones . . . . . . . . . . . . . . . . . . . . . . . 11 2.3 Santé des contrôleurs de domaine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.3.1 Journalisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.4 Accès à distance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 2.5 Environnement logiciel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14 3 Éléments de sécurité Active Directory 15 3.1 Niveaux fonctionnels . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 3.2 Schéma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 3.3 Architecture logique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.3.1 Relations d’approbation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 3.3.1.1 Types des relations d’approbation . . . . . . . . . . . . . . . . . . . . 17 3.3.1.2 Transitivité des relations d’approbation . . . . . . . . . . . . . . . . . 18 3.3.1.3 Direction des relations d’approbation . . . . . . . . . . . . . . . . . . 18 3.3.1.4 Étendue de l’authentiﬁcation des utilisateurs . . . . . . . . . . . . . . 18 3.3.1.5 Historique des SIDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.3.1.6 Filtrage des SIDs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.3.2 Les unités organisationnelles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 3.3.3 Rôles de maître d’opérations . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 uploads/Management/ np-activedirectory-notetech-pdf.pdf