L’implémentation d’un modèle Active Directory sans recourir à une appartenance permanente à des groupes à privilèges élevés pose un défi majeur : il est nécessaire de trouver un moyen de remplir ces groupes lorsque l’appartenance temporaire est requise. Certaines solutions de gestion des identités privilégiées exigent que les comptes de service du logiciel soient membres permanents de groupes tels que DA ou Administrateurs dans chaque domaine de la forêt. Cependant, il n’est pas techniquement nécessaire que les solutions de gestion des identités privilégiées s’exécutent dans des contextes aussi privilégiés.
Cette annexe fournit des informations pour la création de comptes utilisables dans des solutions de gestion des identités privilégiées, qu’elles soient natives ou tierces. Ces comptes ont des privilèges limités, mais sont rigoureusement contrôlés et peuvent être utilisés pour remplir des groupes privilégiés dans Active Directory lorsque l’élévation temporaire est requise. Si vous mettez en œuvre une solution native, le personnel administratif pourra utiliser ces comptes pour effectuer le remplissage de groupe temporaire. Si vous mettez en œuvre une solution tierce, vous pourrez peut-être adapter ces comptes pour qu’ils fonctionnent en tant que comptes de service.
Création de comptes de gestion pour les groupes et les comptes protégés dans Active Directory
La création de comptes qui peuvent être utilisés pour gérer l’appartenance à des groupes privilégiés sans accorder des droits et des autorisations excessifs se compose de quatre activités générales :
Créez un groupe de gestion pour les comptes, qui sera géré par un ensemble limité d’utilisateurs approuvés. Si vous n’avez pas déjà une structure d’unité d’organisation qui prend en charge la séparation des systèmes et des comptes privilégiés et protégés du reste de la population dans le domaine, vous devez en créer une.
Créez les comptes de gestion en tant que comptes d’utilisateur “standard” sans droits d’utilisateur supplémentaires.
Implémentez des restrictions sur les comptes de gestion pour qu’ils ne puissent être utilisés que dans un but spécialisé pour lequel ils ont été créés, et contrôlez qui peut activer et utiliser ces comptes (le groupe créé à l’étape 1).
Configurez les autorisations sur l’objet AdminSDHolder dans chaque domaine pour permettre aux comptes de gestion de modifier l’appartenance aux groupes privilégiés dans le domaine.
Il est important de tester soigneusement ces procédures et de les adapter en fonction des besoins de votre environnement avant de les implémenter en production. Vérifiez également que tous les paramètres fonctionnent comme prévu et testez un scénario de récupération d’urgence dans lequel les comptes de gestion ne sont pas disponibles pour remplir les groupes protégés à des fins de récupération.
Instructions pas à pas pour la création de comptes de gestion pour les groupes protégés
Création d’un groupe pour activer et désactiver les comptes de gestion
Les mots de passe des comptes de gestion doivent être réinitialisés à chaque utilisation et désactivés lorsque les activités qui les nécessitent sont terminées. L’ouverture de session par carte à puce pour ces comptes est facultative et ces instructions supposent que les comptes de gestion utilisent un nom d’utilisateur et un mot de passe long et complexe comme contrôles minimaux. Pour créer un groupe permettant d’activer et de désactiver les comptes de gestion, suivez ces étapes :
Cliquez avec le bouton droit sur l’unité d’organisation dans laquelle vous souhaitez créer le groupe, puis sélectionnez “Nouveau” et “Groupe”.
Donnez un nom au groupe. Si vous prévoyez d’utiliser ce groupe pour activer tous les comptes de gestion dans votre forêt, faites-en un groupe de sécurité universel. Si vous avez une forêt à un seul domaine ou si vous prévoyez de créer un groupe dans chaque domaine, vous pouvez créer un groupe de sécurité global. Cliquez sur “OK” pour créer le groupe.
Cliquez avec le bouton droit sur le groupe que vous venez de créer, puis sélectionnez “Propriétés” et l’onglet “Objet”. Dans la boîte de dialogue des propriétés de l’objet du groupe, sélectionnez “Protéger l’objet contre la suppression accidentelle”. Cela empêchera les utilisateurs autorisés de supprimer le groupe ou de le déplacer vers une autre unité d’organisation, sauf si l’attribut est désélectionné.
Sous l’onglet “Membres”, ajoutez les comptes des membres de votre équipe qui seront responsables de l’activation des comptes de gestion ou du remplissage des groupes protégés lorsque cela est nécessaire.
Si ce n’est pas déjà fait, dans la console “Utilisateurs et ordinateurs Active Directory”, cliquez sur “Afficher” et sélectionnez “Fonctionnalités avancées”. Cliquez avec le bouton droit sur le groupe que vous venez de créer, puis sélectionnez “Propriétés” et l’onglet “Sécurité”. Sous l’onglet “Sécurité”, cliquez sur “Avancé”.
Dans la boîte de dialogue “Paramètres de sécurité avancés pour [Groupe]”, cliquez sur “Désactiver l’héritage”. Lorsque vous y êtes invité, cliquez sur “Convertir les autorisations héritées en autorisations explicites sur cet objet”, puis sur “OK” pour revenir à la boîte de dialogue “Sécurité” du groupe.
Sous l’onglet “Sécurité”, supprimez les groupes qui ne doivent pas être autorisés à accéder à ce groupe. Par exemple, si vous ne souhaitez pas que les utilisateurs authentifiés puissent lire le nom et les propriétés générales du groupe, vous pouvez supprimer cette entrée de contrôle d’accès. Conservez les entrées de contrôle d’accès suivantes :
- SELF
- SYSTEM
- Administrateurs du domaine
- Administrateurs de l’entreprise
- Administrateurs
- Groupe d’accès d’autorisation Windows (si applicable)
- CONTRÔLEURS DE DOMAINE D’ENTREPRISE
Gardez à l’esprit que l’objectif n’est pas d’empêcher les membres de ces groupes de faire des modifications autorisées, mais de s’assurer que les modifications autorisées réussissent dans des conditions de privilèges élevés. En maintenant les structures par défaut et en vidant l’appartenance aux groupes privilégiés, vous pouvez créer un environnement plus sécurisé qui fonctionne comme prévu.
La configuration du groupe qui extraira les comptes de gestion quand cela est nécessaire et les archivera une fois leurs activités terminées est maintenant terminée.
Création des comptes de gestion
Vous devez créer au moins un compte qui sera utilisé pour gérer l’appartenance aux groupes protégés dans votre installation Active Directory, et de préférence un deuxième compte en tant que sauvegarde. Les procédures sont les mêmes, que vous choisissiez de créer les comptes de gestion dans un seul domaine avec des fonctionnalités de gestion pour les groupes protégés de tous les domaines, ou que vous choisissiez de créer des comptes de gestion dans chaque domaine de la forêt. Suivez ces étapes :
Connectez-vous à un contrôleur de domaine avec un compte membre du groupe DA du domaine.
Ouvrez “Utilisateurs et ordinateurs Active Directory” et accédez à l’unité d’organisation où vous allez créer le compte de gestion.
Cliquez avec le bouton droit sur l’unité d’organisation, sélectionnez “Nouveau” puis “Utilisateur”.
Entrez les informations souhaitées pour le nom du compte, puis cliquez sur “Suivant”.
Fournissez un mot de passe initial pour le compte utilisateur, décochez l’option “L’utilisateur doit changer le mot de passe à la prochaine ouverture de session” et sélectionnez “L’utilisateur ne peut pas modifier le mot de passe” et “Le compte est désactivé”. Cliquez sur “Suivant”.
Vérifiez que les informations du compte sont correctes, puis cliquez sur “Terminer”.
Cliquez avec le bouton droit sur le compte utilisateur que vous venez de créer, puis cliquez sur “Propriétés”.
Sous l’onglet “Compte”, dans le champ “Options du compte”, sélectionnez les indicateurs “Le compte est sensible et ne peut pas être délégué”, “Ce compte prend en charge le chiffrement Kerberos AES 128 bits” et/ou “Ce compte prend en charge le chiffrement Kerberos AES 256 bits”. Cliquez sur “OK”.
Sous l’onglet “Objet”, sélectionnez “Protéger l’objet contre la suppression accidentelle”. Cela empêche la suppression de l’objet, sauf si cette option est désélectionnée par un utilisateur autorisé.
Allez à l’onglet “Contrôle à distance” et désactivez l’option “Activer le contrôle à distance”. Le support technique ne devrait pas avoir besoin de se connecter à ce compte pour appliquer des correctifs.
Allez à l’onglet “Organisation” et entrez toutes les informations requises selon vos normes pour l’objet AD.
Allez à l’onglet “Accès à distance” et dans le champ “Autorisation d’accès réseau”, sélectionnez “Refuser l’accès”. Ce compte ne devrait pas avoir besoin de se connecter via une connexion à distance.
Allez à l’onglet “Membre de” et cliquez sur “Ajouter”. Tapez “Groupe de réplication de mot de passe RODC refusé” dans la boîte de dialogue “Sélectionner des utilisateurs, des contacts et des ordinateurs”, puis cliquez sur “Vérifier les noms”. Lorsque le nom du groupe est souligné, cliquez sur “OK”. Ne pas ajouter le compte à des groupes protégés.
Cliquez sur “OK” pour terminer la configuration du compte de gestion.
Vous pouvez créer des comptes de gestion supplémentaires en répétant les étapes précédentes, en copiant le compte que vous venez de créer ou en créant un script pour créer des comptes avec les paramètres souhaités. Veillez à sécuriser le groupe que vous avez créé et les comptes que vous y placez. Vous pouvez également envisager d’implémenter des restrictions d’objet de stratégie de groupe similaires à celles décrites dans l’annexe D pour sécuriser les comptes administrateur intégrés dans Active Directory.
Vous devez également configurer l’audit sur les comptes de gestion pour journaliser toutes les écritures sur ces comptes. Cela vous permettra d’identifier les activités autorisées et non autorisées liées à ces comptes.
Activation des comptes de gestion pour modifier l’appartenance aux groupes protégés
Dans cette procédure, vous allez configurer les autorisations sur l’objet AdminSDHolder du domaine pour permettre aux comptes de gestion nouvellement créés de modifier l’appartenance aux groupes protégés dans le domaine. Cette procédure ne peut pas être effectuée via une interface utilisateur graphique (GUI). Suivez ces étapes :
Connectez-vous à un contrôleur de domaine avec les informations d’identification d’un compte utilisateur membre du groupe DA du domaine.
Ouvrez une invite de commandes avec élévation de privilèges.
À l’invite de commandes, tapez la commande suivante (en utilisant les informations spécifiques à votre domaine) :
Dsacls [nom unique de l'objet AdminSDHolder dans votre domaine] /G [UPN compte de gestion]:RPWP;membre
. Par exemple :Dsacls CN=AdminSDHolder,CN=System,DC=mondomaine,DC=com /G PIM001@mondomaine.com:RPWP;membre
.Si vous avez créé plusieurs comptes de gestion, vous devez exécuter la commande Dsacls pour chaque compte. Une fois que vous avez terminé de configurer la liste de contrôle d’accès sur l’objet AdminSDHolder, vous devez forcer l’exécution de SDProp ou attendre que l’exécution planifiée se termine.
Une fois que vous avez terminé ces étapes, vous pouvez vérifier que les modifications que vous avez apportées à l’objet AdminSDHolder ont été appliquées aux groupes protégés dans le domaine.