ManageEngine - logiciels administration SI : Tags K2

Nous savons tous que le partage d'un dossier sur un serveur ouvre un point d'entrée sur celui-ci. Même si le partage du dossier est caché (en ajoutant un $ au nom du partage), presque tout le monde peut découvrir le partage. Être averti lorsqu'un partage est créé sur un serveur vous permet de vous assurer que celui-ci est légitime. Si ce n'est pas le cas, vous pouvez prendre des mesures immédiates pour supprimer le partage.

Voici la situation que nous essayons de résoudre. Tout d'abord, un dossier est partagé sur un serveur. La figure 1 illustre la façon de réaliser cette action.

Figure 1. Interface de partage de dossiers Windows.

Souvent, certains ou tous les utilisateurs d'un groupe, ont besoin qu’un de leurs attributs soit mis à jour pour un projet ou besoin particulier. Mais cela peut être une tâche difficile, surtout lorsqu’il s’agit de trouver le groupe et de mettre à jour manuellement les propriétés de chaque utilisateur.
Avec le bon outil, tel qu’ADManager Plus, la mise à jour des propriétés des utilisateurs est aisée. Pour modifier une propriété de plusieurs comptes utilisateurs à la fois, vous devez d'abord obtenir une liste d’utilisateurs. Avec ADManager Plus, vous pouvez afficher les membres d'un groupe dans un seul rapport prédéfini, comme vous pouvez le voir dans la figure 1.

Figure 1. Rapport affichant les membres d’un groupe.

Maintenant que vous avez la liste des membres du groupe, vous pouvez sélectionner un membre ou plus, ainsi que la propriété qui doit être modifiée, comme le montre la figure 2.

Figure 2. Plusieurs utilisateurs peuvent être modifiés en même temps.

Comme vous pouvez le voir, vous pouvez modifier plusieurs utilisateurs à la fois en seulement quelques clics. L'interface graphique d’ADManager Plus vous permet de modifier rapidement et facilement les propriétés des utilisateurs. Vous pouvez même modifier en masse les attributs Exchange et Terminal Services !

De nombreuses organisations comptent sur les attributs des comptes utilisateurs pour exécuter des requêtes sur Active Directory et obtenir des listes de comptes utilisateurs. Par exemple, un administrateur peut vouloir exécuter une requête sur le département des utilisateurs pour trouver ceux qui appartiennent au département Finance. Cependant, si le département d'un utilisateur n'a pas été complété dans Active Directory, l'utilisateur ne sera pas pris en compte dans les résultats de la requête précédente.
Alors, comment pouvez-vous exiger que certains attributs de compte utilisateur soient renseignés pour obtenir les résultats que vous désirez ?

Surveillance des changements AD

Depuis des années, ManageEngine souligne l'importance de la surveillance des changements effectués sur Active Directory et des alertes afférentes. Avec le niveau de surveillance et d'alerte évoqué ici, vous pouvez être informé de tout changement important effectué dans Active Directory grâce à un email.
Pour surveiller et être alerté des changements apportés à Active Directory, vous devez établir des SACL (Security Access Control List - liste de contrôle d'accès de sécurité) sur les objets Active Directory. Idéalement, vous allez configurer les SACL au niveau du domaine, et les objets Active Directory de la structure en hériteront. 

Une fois configurée, vous devez vérifier que votre SACL est correcte, pour être sûr que vous ne manquerez aucune modification. Mais, comment faire cela en peu de temps et facilement ?
La réponse est assez simple, par exemple, si votre nom de domaine est "adsolutions.demo", vous exécuterez:
Dsacls dc=adsolutions,dc=demo /A
Exécutez cette commande dans une invite de commande sur un contrôleur de domaine afin d’afficher la SACL et la DACL (liste de contrôle d'accès discrétionnaire).

L'écran ci-dessous montre un exemple de résultat de la commande.

Bien sûr, vous pouvez aussi faire cela pour les unités d'organisation, les groupes, et même le schéma d'Active Directory.

Ne tardez plus et assurez-vous que votre Active Directory est sécurisé et que tous les changements sont sous surveillance !

Il y a des centaines, voire des milliers, de réglages possibles pour Active Directory, dont les droits utilisateurs, les listes de contrôle d'accès (ACL), les délégations, et tant d'autres. Avec tous ces paramètres, il y a toujours quelques paramètres oubliés ou mal configurés.

3 paramètres de sécurité régulièrement mal configurés dans les environnements AD:

Le groupe Administrateurs de l'entreprise :

Pour la plupart des installations d'Active Directory, le groupe Administrateurs de l'entreprise doit être vide. Ce groupe devrait être vide car ce dernier est rarement utilisé. Ainsi, avoir un utilisateur dans ce groupe expose le compte de cet utilisateur à des attaques et à l'utilisation malveillante des capacités du groupe. Aussi, si vous surveillez et êtes notifié lors des changements affectant le groupe Administrateurs de l'entreprise, vous serez informé immédiatement si un utilisateur est ajouté au groupe, ce qui est idéal pour ce groupe. Vous trouverez dans l'article de notre blog comment mettre en place une surveillance et une alerte pour le groupe Administrateurs de l'entreprise.

La stratégie de verrouillage de compte :

Ce paramètre (défini dans un Objet de Stratégie de Groupe) détermine le nombre de tentatives d'ouverture de session en échec qu'un utilisateur peut obtenir avant que son compte soit verrouillé. Ce réglage a historiquement été fixé à un nombre réduit (généralement trois à cinq) pour répondre aux réglementations de sécurité, faisant penser qu'un faible nombre est un signe de sécurité. Cependant, avec les utilisateurs internes qui ont la capacité d'attaquer avec de meilleurs résultats, ce nombre devrait être porté entre 75 ou 100 pour aider à réduire les chances d'un déni de service. Un déni de service, dans ce cas, consisterait à rendre tous les comptes utilisateurs verrouillés avec un simple script ou un fichier batch. En tentant d'ouvrir une session avec trois à cinq mauvais mots de passe pour chaque utilisateur du domaine, un attaquant interne pourrait verrouiller chaque utilisateur dans Active Directory (mis à part le compte d'administrateur de domaine) en quelques secondes. Si vous définissez cette valeur à un plus grand nombre, l'attaquant interne ne pourrait pas connaitre la valeur du seuil de verrouillage puisqu'il n'arriverait pas à l'atteindre.

Autorisations du compte de service ("log on to") :

Ce paramètre est un contrôle qui peut restreindre l'accès des comptes de services aux ordinateurs sur lesquels ils peuvent se connecter. Ce paramètre fait partie des propriétés des comptes utilisateurs, qui sont faciles à configurer. L'important est de savoir sur quels ordinateurs le compte de service est utilisé, puis simplement les énumérer dans la liste "Log on to". Cela permettra d'empêcher le compte utilisateur (utilisé comme un compte de service) de se connecter à n'importe quel ordinateur, mais seulement sur ceux qui sont répertoriés.

ADAudit Plus permet d'analyser l'état de tous vos groupes qui ont des privilèges étendus. Après avoir analysé vos groupes et vous être assuré que seuls les utilisateurs autorisés ont des privilèges élevés, vous devez alors garder un œil sur ces groupes pour vous assurer que la composition du groupe ne change pas à votre insu.

Si nous essayons d'accomplir cela en utilisant les outils d'audit de Microsoft, l'Observateur d'événements et les tâches planifiées, nous constatons qu'il n'y a aucun moyen simple d'obtenir des alertes concernant nos groupes à privilèges élevés.

Toutefois, si vous utilisez les capacités d'alerte d'ADAudit Plus, vous obtiendrez ces alertes extrêmement facilement. Vous pouvez voir sur l'image ci-dessous, comme il est facile de définir les groupes que vous souhaitez surveiller.

ADAudit Plus fournit des rapports personnalisés sur les modifications effectuées sur vos groupes ayant des privilèges élevés.

Maintenant que vous avez un rapport pour vos groupes à privilèges étendus, il vous suffit d'associer une alerte à ce rapport. Vous pouvez recevoir les alertes dans l'interface d'ADAudit Plus, mais vous pouvez aussi les recevoir par email, par exemple lorsque la composition des groupes change, pour obtenir une notification instantanément. L'image ci-dessous illustre comment cette alerte sera configurée.

ADAudit Plus propose des alertes pour tous les rapports, y compris des alertes par email.

Lorsqu'un changement se produit sur l'un de vos groupes à privilèges, l'interface d'ADAudit Plus indique le changement dans la zone d'alerte, comme illustré ci-après:

La capacité de détecter tous les changements qui se produisent sur tous les objets dans Active Directory peut vous donner un aperçu des attaques et des erreurs de configuration. Il est possible de détecter tous les changements effectués sur les objets dans Active Directory si vos paramètres de stratégie sont correctement activés. Malheureusement, ces paramètres de stratégie ne sont pas activés par défaut, ce qui signifie que peu, voire aucun, changement n'est détecté par défaut. Toutefois, la configuration de ces paramètres de stratégie n'est pas difficile. L'important reste à savoir quels paramétrages sont nécessaires pour détecter les modifications d'objets Active Directory.

Il y a deux options différentes à modifier, selon le système d'exploitation Windows Server que vous utilisez pour vos contrôleurs de domaine. Si vous utilisez Windows Server 2008 ou une version antérieure, vous devrez configurer les paramètres de stratégie d'audit. Si vous utilisez Windows Server 2008 R2 ou une version ultérieure, vous devez utiliser les paramètres de stratégie d'audit avancée. Vous pouvez utiliser les paramètres de stratégie d'audit sur Windows 2008 R2 ou une version ultérieure, mais les paramètres de stratégie d'audit avancé permettent d'améliorer la pertinence des changements détectés sur les objets.

NOTE : Si vous utilisez à la fois des systèmes d'exploitation d'ancienne et nouvelle génération pour vos contrôleurs de domaine, vous pouvez utiliser un mélange de paramètres de stratégie. Les contrôleurs de domaine plus anciens ignoreront automatiquement les paramètres de stratégie d'audit avancée. Ainsi, assurez-vous que les paramètres de stratégie d'audit sont également configurés.

Pour configurer les paramètres de stratégie d'audit, vous devez modifier le GPO (objet de stratégie de groupe) sous le nœud Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Audit Policy, comme le montre la Figure 1.

Figure 1. Configuration de stratégie d'audit pour détecter les modifications d'objets Active Directory.

En résumé, assurez-vous de configurer les paramètres de stratégie d'audit suivants :

Audit Account LogonSuccess/FailureAudit Account ManagementSuccess/FailureAudit Directory Service AccessSuccessAudit Logon EventsSuccess/FailureAudit Audit Policy changeSuccess/Failure

Si vous choisissez d'utiliser les paramètres de stratégie d'audit avancée, vous devez le GPO sous Configuration\Policies\Windows Settings\Security Settings\Advanced Audit Policy Configurations\Audit Policy, comme le montre la Figure 2.

Figure 2. Paramètres de stratégie d'audit avancée pour détecter les changements d'objets Active Directory.

Les configurations détaillées pour la stratégie d'audit avancée comprennent :

• Audit Account Logon
• Audit Kerberos Authentication Service – Success/Failure
• Audit Account Management
• Audit Computer Account Management – Success/Failure
• Audit Distribution Group Management – Success/Failure
• Audit Security Group Management – Success/Failure
• Audit USer Account Management – Success/Failure
• Audit DS AccessAudit Directory Service Changes – Success/Failure
• Audit Directory Service Access – Success/Failure
• Audit Logon/Logoff Audit Logon – Success/Failure
• Audit Logoff – Success/Failure
• Audit Policy changeAudit Authentication Policy Change – Success/Failure
• Audit Authorization Policy Change – Success/Failure
• Audit System EventsAudit System Security Change – Success/Failure

Vous pouvez soit lier le GPO contenant ces configurations à l'unité d'organisation (OU) des contrôleurs de domaine ou au niveau du domaine. Bien sûr, si vous liez le GPO au niveau du domaine, les paramètres auront une incidence sur tous les ordinateurs du domaine, et pas seulement les contrôleurs de domaine. Si vous voulez juste détecter les modifications apportées aux objets Active Directory, lier le GPO à l'OU des contrôleurs de domaine.

Vous avez désormais paramétré les contrôleurs de domaine pour activer la surveillance des zones relatant aux changements d'objet Active.

Dans cet article nous allons parler d’un sujet bien précis et qui peut vous intéresser en termes de gestion de vos IT. Ce sujet c’est les derniers développements en matière de gestion d’Active Directory.

Les nouvelles tendances comme la conformité IT et la BYOD, ont fait évoluer les besoins et les motivations des entreprises en termes de gestion des identités et des accès (IAM). Ce qui a ouvert la voie aux solutions IAM. Le service d'annuaire le plus populaire, Active Directory, a lui aussi évolué.

L’une des principales contraintes pour l'entreprise lorsque les utilisateurs de l’Active Directory sont autorisés à accéder aux applications Cloud, c’est la gestion de leurs identités à travers ces différentes applications. Quand il s'agit de la gestion des identités dans un scénario hybride, vous devez garder deux choses à l’esprit :

• Il fortement recommandé d’utiliser la solution de gestion des identités existante utilisée pour l’Active Directory et de l’étendre aux applications cloud.
• Il est idéal pour l’utilisateur d’avoir un seul login pour plusieurs applications. Mais, le problème est que ces différentes applications ont des dates d’expiration des mots de passe différentes.

La gestion efficace d'Active Directory et l'installation d'Exchange sont cruciales pour le bon fonctionnement d'une organisation basé sur Windows. Aujourd‘hui, les besoins en matière de gestion des identités et des accès (IAM) d'une organisation représente un défi de taille pour les administrateurs IT.

AD360 est une solution intégrée répondant aux nombreuses préoccupations des administrateurs IT qui gèrent un environnement Windows, via une interface simple et facile à utiliser. Nous avons doté cette solution de toutes les fonctionnalités nécessaires pour gérer efficacement l’IAM.