Organisation de l’Active Directory. Suite…
Les groupes de sécurité
Nous allons étudier un cas de figure…
Voici une simulation :
Nous reprenons notre entreprise locale LeenDIS de 220 personnes, avec différents services. L’ infrastructure informatique est la suivante :
Côté Admin :
- Quelques machines SAW
Côté serveur :
- 3 serveurs Hyper-V,
- 2 contrôleurs de domaine / DNS (AD DS),
- 1 serveur de fichier,
- 1 serveur AD CS (PKI),
- 1 serveur Radius,
- 4 serveurs applicatifs RDS,
- 1 serveur d’impression,
- 2 serveurs DHCP,
- 1 serveur Exchange,
- 1 serveur WSUS,
- 1 serveur FTP,
- 2 NAS.
Côté client :
- 150 postes Windows,
- 50 laptops Windows,
- 40 Thin Client.
Pour accéder à la plus part des serveurs de manière sécurisée, l’architecture a été construite autour d’une configuration Tiering Model (N-Tier)…
Ce qui se traduit schématiquement par ceci :
Voici un tableau qui résume les autorisations et les restrictions au niveau du Tiering Model :
Au niveau des groupes AD avec séparation des niveaux par des OU, cela se traduit comme ceci :
Explication :
Dans l’OU « Groupes/Sécurité/Serveurs », l’arborescence a été calqué sur le Tiering Model. Un groupe de sécurité a été créé pour chaque rôle de serveur. Les noms des groupes doivent rester obscures pour les hackers de passage… Nous ajoutons à ces groupes, les comptes nominatifs des administrateurs habilités et autorisés à accéder à ces serveurs…
Exemples de nom de groupe :
- GL_RDA-0ACDI
Décryptage :
GL = pour Groupe (Domain) local
RDA = pour Remote Desktop Access
0 = pour le niveau T0
ACDI = pour ACtive DIrectory
—————————————————————-
- GL_RDA-2DH
Décryptage :
GL = pour Groupe (Domain) local
RDA = pour Remote Desktop Access
2 = pour le niveau T2
DH = pour DHcp
—————————————————————-
Il ne reste plus qu’à se rendre dans le « gestionnaire de l’ordinateur » des différents serveurs et machines SAW, ensuite dans le conteneur « Utilisateurs et groupes locaux » puis dans le conteneur « Groupes » et enfin dans le groupe « Administrateurs » pour placer le groupe de sécurité qui correspond au rôle de la machine (ici, c’est un serveur DHCP que nous avons…). Désactiver le compte « Administrateur » local (remplacer par deux comptes administratifs, voir section Sécurité des machines, notions avancées et supprimer le groupe « Admins de domaine« .
Pour plus de facilités et de commodités : ajouter, supprimer ou désactiver ces groupes / comptes par GPO, ceci évitera les erreurs ou les oublis… Mais attention, des pirates ou des personnes malveillantes peuvent exploiter ces GPO pour obtenir et déchiffrer les données de mot de passe sans droits d’accès élevés. De telles éventualités peuvent avoir des répercussions considérables sur toute l’infra. Donc attention…
Au niveau réseau, cela se traduit par ceci :
Explication :
En plus du Tiering Model (qui lui agit au niveau des ACL), une infrastructure hermétique a été mis en place au niveau réseau :
- Vlan,
- Règles de Firewall (local et central)
Vlan
Deux manières pour sécuriser :
- soit un Vlan par niveau (T) : ceci est une bonne solution à défaut de rien avoir mais elle présente un risque. Si un serveur est compromis dans un niveau (au cas où), les autres le seront aussi…
- soit un Vlan par rôle : cette solution me parait plus judicieuse car elle permet de cloisonner les serveurs entre eux en fonction du rôle qui est installé sur la machine.
Ex :
- AD : Vlan 10
- DHCP : Vlan 11
- Filer : Vlan 12
- Printer : Vlan 13
- etc…
Règles de Firewall
Le Firewall local (serveur) doit-être activé. L’application des règles de Firewall (local et central) vont pouvoir autoriser ou interdire les flux entre les machines SAW et les serveurs mais aussi entre les serveurs d’un niveau identique ou différent.
Ex :
La machine « SAW A » (niveau T0) est autorisé à aller sur les serveurs critiques (niveau T0) et (niveau T1). Mais grâce aux groupes, l’accès à ces serveurs se fera de manière plus fine. Par contre « SAW A » est interdite d’accès sur les niveaux (niveau T2) et (niveau T3).
A bientôt.