Service dannuaire Domaines Windows

Programme
Domaines NT4 Active Directory
Introduction l'infrastructure Active Directory Groupes Relations dapprobation (Trust Relationships) Units dorganisation (OU) Stratgies de groupe (Group Policies) Application : scurisation des systmes Windows

Objectifs du service dannuaire (domaine) Windows

Ouverture de session unique
un utilisateur = un compte dutilisateur

Accs universel aux ressources

Quel que soit le poste de travail O que se trouve la ressource

Administration centralise ou dlgue Service dauthentification et de fourniture des donnes dautorisation

Quest-ce quun domaine ?

Une base de comptes
Utilisateurs, machines, groupes, etc. Politiques de scurit du domaine (restrictions de mots de passe, etc.) Base rplique sur les Contrleurs de Domaine (Domain Controllers DC)

Protocole de localisation des DC Protocole dauthentification Protocole dannuaire

Rles des machines

Trois rles de machines Windows : Machine autonome (en workgroup )
Nappartient pas un domaine Possde une base de comptes (SAM) locale Ouverture de session : compte local uniquement

Machine membre
Appartient un domaine Possde une base de comptes (SAM) locale Ouverture de session
compte local compte dun domaine (notion de confiance, ou dapprobation)

Contrleur de domaine (DC)

Contient une copie de la base du domaine Authentifie les machines et utilisateurs du domaine

Un peu dhistoire 1996 - 1999

DOMAINES NT4

Domaines Windows NT 4.0

Un domaine = une entit dadministration Un domaine = une base de comptes
utilisateurs groupes ordinateurs domaines approuvants

Limite pratique ~40 000 comptes par domaine

Domaine Windows NT 4.0

PDC BDC BDC

Base de comptes

Domaine Workstations Serveurs Membres

Relation d'approbation NT4

Unidirectionnelle Non transitive Notion de confiance

Domaine de ressources

Approbation

Domaine de comptes

Permissions

Accs aux ressources

Architecture logique NT4

Domaine de comptes

Domaine de ressources

Domaine de ressources

Architecture physique NT4

BDC
Domaine de comptes
Rplication PDC

Site central

Domaine de ressources

BDC

Rgion
BDC BDC

BDC

Rplication

PDC Serveur membre

Site
Stations

Serveur membre

Agence
Stations

Rappel sur les groupes et les permissions

Type de groupe Groupe global Groupe local Dfini dans Domaine Domaine ou membre Peut contenir Utilisateurs du mme domaine Groupes globaux Utilisateurs locaux

Responsable utilisateurs
Utilisateurs Jean Dupont

Responsable organisation
Groupes global Comptables

Responsable de la ressource

Groupe local Accs en lecturecriture aux donnes comptables

Ressource Donnes comptables

Limites de NT4
Limite de taille
Maximum ~40 000 objets dans le domaine
Beaucoup de domaines chez les grands comptes Complexit des relations dapprobation Complexit de larchitecture physique

Limite dans le modle de dlgation

Aucune granularit dans le domaine
Encore plus de domaines

Service dannuaire Windows 2000, 2003, 2008

ACTIVE DIRECTORY

Aperu des diffrences

Services de scurit Authentification Annuaire Localisation Contrle daccs Communications cryptes Infrastructure PKI Management API de scurit Auditing & Event Log Windows NT 4.0 NTLM RPC NetBIOS Access Control Lists SSL, Secure DCOM, PPTP SSL, Certificate Server SAM NT4 SSPI, CryptoAPI Systme daudit Windows 2000/3 Kerberos, PKI, NTLM LDAP DNS Access Control Lists avec contrle granulaire IPsec, L2TP, SSL, Secure DCOM, PPTP Active Directory, SSL, Certificate Server Active Directory, Security Configuration Editor, Cartes puces SSPI, Crypto API Systme daudit, AD

Donnes cryptes

Encrypting File System (EFS)

INTRODUCTION L'INFRASTRUCTURE ACTIVE DIRECTORY

Rle d'Active Directory

Active Directory permet de grer les diffrentes identits et relations qui composent les environnements rseau Fonctions : Simplification de ladministration et de la gestion des ressources Stockage des objets de manire scurise dans une structure logique Scurit rseau accrue et ouverture de session unique pour les utilisateurs Optimisation du trafic rseau Interoprabilit Prise en charge de fonctions supplmentaires

Contrleurs de domaine
Plus de distinction PDC / BDC Modifications possibles sur tous les DC Un PDC Emulator dans chaque domaine pour certains cas particuliers Base de donnes AD diffrente de la SAM Un DC a une SAM, utilise uniquement en mode Recovery Console / AD Restore Mode

Standards dans Active Directory

Annuaire : LDAP v2 et v3 Authentification : Kerberos v5 Localisation des services et rsolution des noms : DNS

Structure logique dActive Directory

Arborescence : Fort Arbre Domaine OU Objets Le 1er domaine install est le domaine racine de la fort

Structure physique dActive Directory

Sites Contrleurs de domaine Liaisons WAN

Espaces de noms
Arbre : hirarchie de noms DNS Un domaine = un nom DNS Fort : plusieurs hirarchies DNS
DNS : france.europe.demo.com LDAP : DC=france,DC=europe,DC=demo,DC=com

Matres d'oprations
Flexible Single Master Operations (FSMO)

Rle des FSMO

Niveau
Domaine

Rle
mulateur PDC PDC Emulator

Service

Agit en tant que contrleur de domaine principal (PDC, Primary Domain Controller) pour les contrleurs de domaine secondaires Windows NT 4.0 dans le domaine Traite toutes les mises jour de mots de passe pour les clients qui n'excutent pas le logiciel client Active Directory Reoit des mises jour immdiates d'autres contrleurs de domaine lorsque le mot de passe d'un utilisateur est modifi

Matre RID RID Master

Matre d'infrastructure Infrastructure Master Fort Contrleur de schma Schema Master Matre d'attribution de noms de domaine Domain Naming Master

Assigne les identificateurs relatifs (RID, Relative ID) tous les contrleurs de domaine Vrifie que toutes les entits de scurit ont un identificateur unique Maintient une liste d'entits de scurit d'autres domaines qui sont membres de groupes dans son domaine Contrle les modifications apportes au schma

Contrle l'ajout et la suppression de domaines dans la fort

Service d'annuaire
Un rfrentiel d'informations structur sur les personnes et les ressources d'une organisation

Schma
Une dfinition au niveau de la fort d'attributs et de classes d'objets qui peut tre tendue Les modifications de schma peuvent tre redfinies ou dsactives

Catalogue global
Un rfrentiel d'informations contenant un sous-ensemble des attributs de tous les objets de la fort

Nom unique et nom unique relatif

Distinguished Name (DN) Relative Distinguished Name (RDN)

Les noms uniques identifient le domaine et le chemin d'accs d'un objet

Nom unique relatif CN=Laura Bartoli,OU=Ventes,OU=Finances,DC=contoso,DC=msft

Gestion dActive Directory

Gestion centralise
Permet un administrateur unique de grer les ressources de manire centrale Permet aux administrateurs de localiser les informations et les objets de groupe Utilise la stratgie de groupe pour dfinir des paramtres et contrler l'environnement utilisateur

Gestion dcentralise
Permet de dlguer les tches d'administration rseau de certaines units d'organisation d'autres administrateurs Permet de dlguer certaines tches entre les units d'organisation

Outils et composants logiciels enfichables (snap-ins) d'administration d'Active Directory

Composants logiciels enfichables (snap-ins) MMC d'administration
Utilisateurs et ordinateurs Active Directory Domaines et approbations Active Directory Sites et services Active Directory Schma Active Directory

Outils de ligne de commande d'administration

Dsadd, Dsmod, Dsquery, Dsmove DSrm, Dsget, CSVDE, LDIFDE

Windows Script Host

Users an Computers

Sites and Services

Niveaux dadministration
Domaine :
Stratgie de scurit Stratgie de mot de passe Stratgies de groupe Groupes : Domain Admins

Fort :
Schma Topologie rseau sites Groupes : Enterprise Admins, Schema Admins

OU :
Dlgation dadministration

Frontire de scurit = la fort !

Considrations relatives la scurit

lments Description Les fonctionnalits de scurit rsident dans le logiciel systme et la base de donnes Active Directory La base de donnes Active directory stocke les mots de passe, la constitution des groupes et les listes ACL qui contrlent l'accs aux objets de l'annuaire Le systme gre l'authentification, applique les stratgies et utilise des autorisations pour l'accs aux objets de l'annuaire Les mthodes d'attaque consistent notamment modifier l'un des deux composants systme centraux dActive Directory Des administrateurs du service peuvent installer un logiciel malveillant D'autres personnes ayant physiquement accs aux contrleurs de domaine peuvent modifier des fichiers binaires du systme, accder aux donnes ou effectuer des modifications non autorises dans la base de donnes

Fonctionnalits de scurit

Attaques potentielles

GROUPES

Types de groupes dans AD

Les groupes se caractrisent par l'tendue et le type L'tendue d'un groupe dtermine si le groupe couvre plusieurs domaines ou s'il est limit un seul domaine Les tendues de groupe peuvent tre globales, locales de domaine ou universelles

Types de groupes
Domain Local
Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de son propre domaine

Global
Contient des groupes/utilisateurs de son domaine Utilisable pour le contrle daccs aux ressources de tous les domaines

Universel
Contient des groupes/utilisateurs de tous les domaines Utilisable pour le contrle daccs aux ressources de tous les domaines Dfinition stocke dans le Global Catalog

tendues de groupes

Groupes prdfinis
Conus pour grer des ressources partages et dlguer des rles administratifs de domaine spcifiques
Oprateurs de compte Administrateurs Oprateurs de sauvegarde Gnrateurs d'approbations de fort entrante Oprateurs de configuration rseau Utilisateurs du journal de performances Utilisateurs de l'Analyseur de performances Accs compatible pr-Windows 2000 Oprateurs d'impression Utilisateurs du Bureau distance Duplicateurs Oprateurs de serveur Utilisateurs

Groupes spciaux
Conus pour fournir l'accs aux ressources sans interaction de la part de l'administrateur ou de l'utilisateur
Ouverture de session anonyme Utilisateurs authentifis Tche Crateur Crateur propritaire Ligne Tout le monde Interactif Systme local Rseau Self Service Utilisateurs Terminal Server Autre organisation Cette Organisation

Outils dadministration des groupes de scurit

Outil Utilisateurs et ordinateurs Active Directory diteur ACL Whoami Fonction Permet d'administrer des utilisateurs et des groupes dans Active Directory Permet d'administrer des utilisateurs et des groupes sur une ressource Affiche le contenu complet du jeton d'accs dans la fentre de commande

Dsadd
Ifmember Getsid

Cre des groupes et gre l'appartenance partir de la ligne de commande

numre tous les groupes auxquels le membre actif appartient Compare les identificateurs de scurit de deux comptes d'utilisateurs

(inutile de retenir tous les dtails)

RELATIONS DAPPROBATION

Que sont les approbations ?

Approbation = Trust Relation dapprobation = Trust Relationship Les approbations sont des mcanismes qui permettent un utilisateur authentifi dans son propre domaine d'accder aux ressources de n'importe quel domaine ou fort approuvant ce domaine Confiance en une autre entit pour lauthentification

Approbations implicites
Hirarchie de domaines dans un arbre : Approbations bases sur Kerberos Implicites Transitives Bidirectionnelles

Types dapprobations
Catgories dapprobation :
Approbations transitives Approbations non transitives

Directions dapprobations :
Approbation entrante sens unique Approbation sortante sens unique Approbation bidirectionnelle

Quatre types d'approbations :

Approbations de fort Approbations raccourcies Approbations externes Approbations de domaine Kerberos

Approbations de fort
Une approbation de fort est une relation d'approbation entre deux forts Windows Server 2003 Elle forme les relations d'approbation entre tous les domaines des deux forts Elle est cre entre les forts impliques dans l'approbation Elle est transitive pour tous les domaines des forts Elle peut utiliser l'authentification l'chelle de la fort ou l'authentification slective

Approbations raccourcies
Shortcut Trusts

Une approbation raccourcie : Rduit la dure de lauthentification dans les forts complexes Est partiellement transitive Peut tre sens unique ou bidirectionnelle

Approbations externes

Une approbation externe est : Une approbation cre manuellement entre :

deux domaines Active Directory situs dans des forts diffrentes un domaine Active Directory et un domaine Windows NT 4.0 ou version antrieure

Non transitive sens unique

Approbations de domaine Kerberos

Une approbation de domaine Kerberos : Est une approbation entre un domaine Kerberos et un domaine Active Directory Peut tre transitive ou non transitive Peut tre sens unique ou bidirectionnelle Permet l'interoprabilit entre plates-formes avec des services de scurit bass sur d'autres versions de Kerberos V5

Mthodes dauthentification utilises dans les approbations

Type dapprobation Parent/enfant Arborescence/racine Externe Domaine Kerberos Fort Raccourci Protocole dauthentification Kerberos, NTLM Kerberos, NTLM NTLM Kerberos Kerberos, NTLM Kerberos, NTLM

Comment empcher l'usurpation d'identificateur de scurit l'aide du filtrage SID

Usurpation de SID Lorsque l'administrateur d'un domaine approuv joint une entit de scurit connue au SID d'un compte d'utilisateur privilgi du domaine approuv Permet aux administrateurs d'ignorer les informations d'identification qui utilisent des SID susceptibles d'tre usurps Le filtrage SID doit tre dsactiv pour permettre aux utilisateurs et aux groupes ayant migr partir d'autres domaines d'accder aux ressources de ce domaine l'aide de l'attribut SIDHistory

Filtrage SID

Dsactivation du filtrage SID

Organizational Units (OU)

UNITS ORGANISATIONNELLES

Dfinition des OU
Conteneurs dobjets de type utilisateurs, groupes, ordinateurs, OU au sein dun domaine Utilisation
Application des stratgies systmes Dlgation des droits dadministration

Dlgation de privilges administratifs

Le processus de dcentralisation de la gestion des units d'organisation La dlgation apporte :
l'autonomie administrative l'isolation de la gestion des services ou des donnes

Assistant dlgation
Simplifie la dfinition des permissions sur les OU Dlgation simplifie de tches administratives courantes Application du principe de moindre privilge
Pas ncessaire dtre administrateur du domaine pour grer une OU Rappel : le domaine nest pas une frontire de scurit ladmin. dun domaine peut devenir admin. de la fort

Assistant dlgation

Permissions sur les OU

STRATGIES DE GROUPE

Introduction aux stratgies de groupes Group Policies

Dfinir des stratgies centralises ou dcentralises Sassurer que les utilisateurs disposent de lenvironnement ncessaire Contrler les environnements utilisateur et ordinateur Appliquer les stratgies dentreprise

Composants d'un objet Stratgie de groupe Group Policy Object (GPO)

Niveau et priorit des GP

Appliques dans lordre :
1. 2. 3. 4. Local Site Domaine OU

Types de paramtres
Types de paramtres de stratgies de groupe
Administrative Templates Security Software Installation Scripts Remote Installation Services Internet Explorer Maintenance Folder Redirection Registry-based Group Policy settings Settings for local, domain, and network security Settings for central management of software installation Startup, shutdown, logon, and logoff scripts Setting that control the options available to users when running the Client Installation Wizard used by RIS Setting to administer and customize Microsoft Internet Explorer on Microsoft Windows-based computers Setting for storing users folders on a network server

Application des GPO

Application pratique de lAD et des GPO

SCURISATION DES SYSTMES WINDOWS

Guides de scurisation
Guides de scurisation (Security Guidance) : http://www.microsoft.com/technet/security/topics Windows Server 2003 Security Guide Windows XP Security Guide Threats and Countermeasures Guide Pourquoi des guides de scurisation ? Durcissement fonction de lenvironnement et des menaces Il ny a pas une seule rponse Compatibilit des applications Configuration par dfaut en gnral approprie pour des rseaux de confiance

Exemple

SCURISATION WINDOWS SERVER 2003 SP1

Mcanismes de scurisation de Windows Server 2003 SP1

Stratgies de groupes (Group Policies)
Modles de scurit (.inf)

Security Configuration Wizard (WS2003-SP1)

Dfinit des politiques de scurit en fonction des rles des serveurs
Quels services doivent tre actifs ou dsactivs Filtrage de port rseau (Windows Firewall et IPsec) Extensions IIS permises Protection des protocoles SMB, LDAP Stratgies daudit utiles

Inclusion possible de modles de scurit

Rles des serveurs

Server role Member server Domain controller Infrastructure server File server Print server Web server IAS server Certificate Services server Bastion host Description All servers that are members of the domain and reside in or below the Member Servers OU. All Active Directory domain controllers. These servers are also DNS servers. All locked down WINS and DHCP servers. All locked down file servers. All locked down print servers. All locked down IIS web servers. All locked down IAS servers. All locked down Certification Authority (CA) servers. All Internet-facing servers. Security template file name <Env>-Member Server Baseline.inf <Env>-Domain Controller.inf

<Env>-Infrastructure Server.inf <Env>-File Server.inf <Env>-Print Server.inf <Env>-Web Server.inf <Env>-IAS Server.inf <Env>-CA Server.inf <Env>-Bastion Host.inf

<Env> replaced by LC (for Legacy Client), EC (for Enterprise Client), or SSLF (for Specialized Security Limited Functionality) as appropriate.

OU et groupes
OU name Domain Controllers Member Servers Infrastructure File Print IAS Web CA Administrative group Domain Engineering Domain Engineering Infrastructure Admins Infrastructure Admins Infrastructure Admins Domain Engineering Web Services Administrators

Mthode
Crer l'environnement AD, les groupes et les OU ; dfinir les dlgations sur les OU Configurer la synchronisation de temps sur le PDC Emulator Configurer les stratgies domaine Crer les stratgies de base avec SCW Convertir les stratgies de base en GPO et les lier aux OU appropries Crer les stratgies de rles avec SCW et les modles de scurit fournis Tester les stratgies de rles avec SCW Convertir les stratgies de rles en GPO et les lier aux OU appropries

Exemple

WINDOWS XP SP2

3 scnarios
Enterprise Client
Clients XP dans un Active Directory

Stand-Alone Client
Clients XP autonomes

Specialized Security Limited Functionality

Besoins spcifiques de scurit (militaire, finance, sant)

Vue globale