Réseaux Active Directory
AD DS n'est pas installé par défaut ;. ? Au cours de son installation un domaine doit être défini. Introduction. Page 5. 5. Réseaux : Active Directory.
COURS DADMINISTRATION DES RÉSEAUX INFORMATIQUES
25 janv. 2019 avant tout un certain entendement de l'informatique et des connaissances de base des ... INSTALLATION DU « ACTIVE DIRECTORY ».
Livre blanc - Sécurisation de lActive Directory et dAzure AD
pas d'une bascule d'un tout on-premises vers un tout cloud Connaitre les difficultés de la reconstruction d'Active Directory.
Microsoft VSS : Tout ce quil faut savoir pour un administrateur VMware
critiques telles que Microsoft SQL Server
Formation : VMware vSphere 6 (3/6) : Tout savoir sur les machines
22 nov. 2018 Formation : VMware vSphere 6 (3/6) : Tout savoir sur les machines ... Savoir mettre en place un Active Directory est un plus pour le LAB.
SolarWinds Access Rights Manager
Identifiez et limitez rapidement tout risque d'accès non autorisé au système et de Audit (génération de rapports) pour Active Directory les serveurs.
Formation : Powershell 2.0 : Savoir tout automatiser sous Windows
9 nov. 2018 Gérer les objets Active Directory à l'aide de Windows PowerShell cmdlets. • Ecrire les scripts Windows PowerShell qui exécutent les batches ...
Note technique Recommandations de sécurité relatives à Active
19 août 2014 Prérequis à la sécurisation de l'Active Directory ... d'identification et d'authentification tout en sécurisant l'accès aux données.
Active Directory Structure logique
Tout en étant un excellent produit AD est l'un des maillons de la conquête du marché des serveurs par microsoft. Le support par AD d'un certain nombre de
Active Roles - Quest Software
Les difficultés liées à la gestion des comptes dans Active Directory (AD) et Roles automatise et unifie l'administration des comptes et des groupes tout.
[PDF] Réseaux Active Directory
Réseaux : Active Directory 1 Introduction 2 Définitions des notions employées 3 Installation du service d'annuaire 4 Configuration du service DNS
Notions de base de lActive Directory - IT-Connect
Alors ce cours théorique vous apportera les bases à connaître sur l'Active Directory afin d'aborder le sujet plus sereinement Ce cours aborde tout d'abord
Cours gratuit administration active directory en PDF - BestCours
Support de cours et exercices à télécharger gratuitement sur administration active directory - Fichier PDF PPT et DOC en informatiques
[PDF] Active Directory Structure logique - IBISC
Tout en étant un excellent produit AD est l'un des maillons de la conquête du marché des serveurs par microsoft Le support par AD d'un certain nombre de
(PDF) Cours sur Active Directory Deka Goumaneh - Academiaedu
Ainsi les savoir-faire pédagogique et technique de l'auteur conduisent à une approche claire et visuelle d'un très haut niveau technique
[PDF] Chapitre 2 : Présentation des services de domaine Active Directory
AD DS fournit un système centralisé pour la gestion des utilisateurs des ordinateurs et d'autres ressources sur un réseau • Interface de gestion commune
Cours sur Active Directory - PDF Free Download - DocPlayerfr
Cours sur Active Directory Table des matières Active Directory 1 I- Principes Annuaire LDAP Authentification Kerberos Tcp/Ip et DNS 4 II- Architecture
Quest-ce quActive Directory ? Comment est-ce que cela fonctionne
Active Directory simplifie la vie des administrateurs et des utilisateurs finaux tout en renforçant la sécurité des organisations
[PDF] TP 6 : Installation dun contrôleur de domaine Active directory
L'Active Directory est un annuaire LDAP (Lightweight Directory Access Protocol) pour les systèmes d'exploitation Windows le tout étant créé par Microsoft
[PDF] Active Directory - Annuaire
Annuaire : Active Directory Un annuaire est une structure hiérarchique qui stocke des informations sur les objets du réseau Un
C'est quoi Active Directory PDF ?
Active Directory (AD) est une base de données et un ensemble de services qui permettent de mettre en lien les utilisateurs avec les ressources réseau dont ils ont besoin pour mener à bien leurs missions.Quelles sont les quatre composantes d'organisation d'Active Directory ?
Quatre composants techniques AD principaux
LDAP (Lightweight Directory Access Protocol) : protocole pour les requêtes unifiées soumises aux répertoires Active Directory.Protocole Kerberos : protocole pour l'authentification centralisée et unifiée et les droits d'accès des utilisateurs sur les serveurs AD.Comment Ça Marche Active Directory ?
Active Directory joue un rôle d'annuaire technique pour les ressources matérielles et logicielles du réseau informatique. Active Directory regroupe les ressources (poste de travail, imprimante, dossiers partagés …), les utilisateurs et les applications comme la messagerie qui ont tous une identification unique.- AD DS fournit des certificats de sécurité, l'authentification unique (SSO), LDAP, et la gestion des droits. La compréhension d'AD DS est une priorité absolue pour les professionnels de la réponse aux incidents et de la cybersécurité.
Enjeux et trajectoires de transformation
Livre Blanc
Sécurisation
de l'Active Directory et d'Azure AD 2Introduction
Depuisplusde 20ansqu'ilexiste,leserviceActiveDirectory estdevenuunstandarddumarché,présen tdansquasiment tousles syst èmesd'informati ondesorganisations.Deux importantestendances l'ontremissurledevantdelascène cesd ernièresannées. Lapremièredécoul edelaforteexpos itiondececomposantà lamenacecyb er.S'agissantdelapierreangu lairedusystème pourdép loyerdeslogicielsmalveilla ntsou encorepour accéderàdesi nformations,avantdelesfairefuiter.Devastes projetsderemédiationontainsiétélancéscesd ernières années,pardenombreusesorganisations,pouryfairefac e. Lasecondedécoul edel'accroissementdel'usagedeservices recoursautélétravail.Pourd éverrouillertouslesnouveaux étendusonchampd'actionpourin tégrerlepérimètredansle cloud,grâceàAzureAD.Dansla majoritédescas,ilnes'agit maisplutôtd'uneextensiondel'existantau travers d'architectureshybrides.Cemouvementnéces siteuneprise en comptedesenjeuxdesécurité,pournepasexposer l'organisation. MicrosoftetWavest one sesontassociéspouranalyserles tendancesobservéessurleterrain,listerlesr éflexionsà meneret don nerquelques clésetbonnespratiquespour conduirelesc hangementsstructurants.Sommaire
1 2 3Commentfairefaceàunecyberattaque?
Quellesarchi tecturesetquelbilandelamaturité
cybersécurité?CERT-W
Enterprise Access Model
Sécuriser le Tier 0 et mettre en uvre le plan de contrôle Connaitrelesdifficultésdelareconstructiond'ActiveDi rectory pourmieuxanticiperlacrise Nepasse contenterd'unesimplereconstructiondel'ADSécuriser sa souscription Azure AD Migrer d'Active Directory vers Azure Active DirectoryAméliorer sa posture de sécurité4
5 11 19 20 25Conclusion
3343
52
55
59
6054
etAzureAD.
Nousreviendronsdansunpremiertempssur
lesgrandstypes d'architecturerencontréset lesenseignementstirésdesattaques rencontréesparleCERTWavestone(CERT- W) Quelle est la maturité rencontrée sur le terrain ? 5Quelles architectures et quel bilan
de la maturité cybersécurité ?Troisgrandstypesd'architecture
peuventêtrer encontrées :ArchitectureADon-premises
Architecturehistoriquedemoins
en moinsrenc ontréechezles clients(<10%).Ils'agit généralementdeclientsayant desen jeuxfortsdesouveraineté.ArchitecturehybrideAD/Azure
ADCettearchitecturetiréepar
l'essord'Office365est aujourd'huimajoritairechezles clients(80à95%).Desvariations d'implémentationexistent cependant,enparticuliersurla synchronisationounond eshashs dehashsdesmot sdepasse.Architecture100%AzureAD
Présenteuniq uementpourde
nouvellesentitéscon struitesavec unprisme100%numérique (<5%).Ellen écessited'avoirun systèmed'in formationquirépondàuncertainnombredeprérequis.
Active Directory
on- premisesou le poids de l'histoireL'ActiveDirectoryestorganisé
autourdedomainesregrou pésen uneouplusieursforêts.Iln'est pasrare ,pourdesgrandes organisations,d'avoirplusde100 domainesouforêt s.Cettearchitecturecomplexe
s'expliqueparlepoidsde l'histoireet lesmultiples transformationssubiespar l'entreprise:fusions,acquisitions, réorganisations,etc.L'ActiveDirectoryn'étantpasvu
commeuneapplication "apportantdelavaleurau métier»,l'intégrationdes nouveauxpérimètresaété réaliséeenminimisantlesévolutions(moyenlemoinscher
etleplusrapide),sansréflexion globalesurl'optimisationde l'architecture.Desrelationsde confianceentredomainesou forêtsontét éajo utées, pour permettreàunutilisateurd'être reconnupartoutdansleSI.Un faible niveau de
sécuritéDansla majoritédes
organisations,le maintienen conditiondesécuritédel'AD passesouventuniq uementpar l'applicationdesc orrectifsde sécuritéetletraitementde l'obsolescencedel'OS. "Seules 25% des authentifications sont encore réalisées on- premises» " Le SI est compromis en moins de 24h dans 80% des audits réalisés»Wavestone, audits AD 2020
6Lesmi sesàjourfon ctionnelles
sontquantàellespeumisesen oeuvre,génér alementpar méconnaissanceouparc rainte desimpactspossiblessuiteà l'extensionduschéma.Les organisationsneprofitentdonc pasdesn ouvellesfonctionnalités, permettantdelimiterlesrisques desécurité(parexemplelamise en oeuvredugroupeprotected users,AuthenticationSilosetKerberosArmoring ).Delamême
façon,tropraressontles organisationsàdésactiverles protocolesobsolètes .Iln'estpasrare d'avoirdes
organisationsavecdescentaines decomptesAdministrateursde domaineoud'entreprisealors quelesbonnespratiqueset l'applicationduprincipede moindreprivilègesignif ieraient deleslimiteràmoinsde5.Cette situations'ex pliqueparla difficultéàassurerla conduitedu changement(retirerdesdroits peutêtr evucommeune rétrogradationouune dépossession).Maisaussila demandedecomptesdeservices avecdes droitsexcessifspour faciliterl'intég rationd'une nouvelleapplication.Lesév olutionsdel'architecture,
enparticulierlamiseen oeuvre derelationsdeconfiance,ontét é définiesuniqu ementsousle prismefonc tionnelsansévaluer lesrisquesdepropagationd'une attaqueentrelesd omaines etles forêts.Wavestonerencontre régulièrementpendantdesaudits undomaineabandonnéavecune relationdeconfiance sécurité!Delamêmefaçon,lamiseen
oeuvred'AzureADaviséà répondreàdesb esoins fonctionnelssansconsidération desécurité.Raressontles organisationsàavoirdéfiniun processusdegestiondes comptesàprivilègesadaptéaux particularitésd'AzureAD.Autre exemple,seuls30%(*)des comptesadministrateurgénéral (ouGlobalAdministrator)ont l'authentificationmulti -facteur (MFA)activée,alorsquela fonctionnalitéestnativeet gratuite. (*)Microsoftaoût2021Une prise de
conscience récente des enjeux de sécuritéDanslecontexteactuel
d'explosiondesattaques exploitantdesdéfautsde configurationdel'AD,iln'estplus raredevoirleCOMEXinterroger leDSIouleRSSIsurleniveaude sécuritédel'ADetvaliderdes enveloppesdeplusieurs centainesdemilliersvoire millionsd'eurospourmenerd es projetsderefonteetde sécurisation. "53% des grandes entreprises ont un projet de sécurisation de l'AD»Baromètre CESIN 2021
7Lesp rojetsdesécurisationde
l'ADsontlancéspourlavaste majoritémaisles auditsmenés parWavestone,nousmontrent que:Eneffet,bienquelespratiques
d'administrationaientpuévoluer, ilrestebiensouventdesdéfauts deconfigurationquipermettent deremonterauTier0(concept détaillédanslechapitre2).Des cheminsdecompromissionet d'élévationdeprivilègespeuvent parexemplesecacherdansdes droitsd'accès(ACL)dangereuses configuréessurlesob jetsduTier0,ousubsisterdufaitdemauvais
usagesdescomp tesàhautsADestdétailléau chapitre2..
Une architecture 100%
Azure AD, la cible pour
tous ?Aucunegrandeorganisationn'est
aujourd'huienmesurede remplacertotalem entsonADon -premisesparunservice100% portéparl'AzureAD.Peu d'organisationssontenmes ur e d'avoirunSIquiremplisse l'ensembledespréreq uis technologiquespourfairecette transformation(postesdetravail gérésav ecunMDM(MobileDeviceMana gement)etAzure
NTLM(NTLanM anager),
KerberosouLDAP(Lightweight
DirectoryAccessProtocol),
créationdesutilisateursdansle cloud,etc.).L'usaged'unservice d'ADmanagépourraitêtreune optionpourassurerla rétrocompatibilitésansavoirà gérerleTier0.L'usageducloudpeutêtrevu
commeunedélégationàMicrosoftdela maitrisedes
risques,maisellen'estque partielle.Lesclientsrestent responsablesdelaconfiguration delaplateforme,desidentitéset desd onnées.Malheureusementla prisedeconsciencerestefaible.Pourrappel,unnouvel
abonnementàla solutionTeams s'accompagnedelacréation d'unesouscriptionAzureAD.Ilesti mportantqueles
organisationsprennent possessiondesoutilsproposés pourpiloterleursécuritéetqui n'existaientpason-premises(ils peuventnéanmoinsnécess iter desniveauxdelicenceavancés).LeSecureScore(détaillédansun
focusci-après)-cibleviséparles organisations-devraitêtreau minimumentre 60et70. "Moins de 10% des clients ont correctement implémenté les bonnes pratiques de sécurité »Wavestone, audit AD 2020
32/100
Securescoremoye n
34,6score le plus élevé
pour le secteur technologie24score à la création
d'une souscription Office365 E3
88Azure AD : un annuaire cloud
AzureActiveDirectory(Azure
AD),lancéen novembre2011,est
unesolutiond'Id entityasaService(IDaaS).
AzureAD,fournitaux
organisationslesfonctionnalités pourgér erl'authentificationdes applicationsmodernes(SAMLetWS-Federation,OAuth2,OpenID
ConnectetFIDO2).
Ilnes'agitpasd'ActiveDirectory
dansleCloudmaisbiend'une nouvellesolution.AzureADaétéconçuesurune
architecturecloud,baséesurdes micro -services,répartiesur plusieurszonesgéographiques.UntenantAzur eADest
automatiquementcréélorsqu'une organisationsouscritàunservice clouddeMicrosoft,telqu'Azure ou bienOffice365.GraphAPI
Pouri nterrogeretmettreàjour
lesob jetsdel'annuaire,AzureAD proposeuneApplicationProgrammingInterface(API)qui
senommeGraphAPI.GraphAPIestunepasserelle
unifiantdenombreusesautresAPIRESTtellesquecellesd'Exchange
Online,OneD rive,Endpoint
ManageroubienSecurityGraph.
Un remède miracle?
Bienquela majoritédesattaques
n'estpaspourautantunremède miracle.AzureADsimplifiela miseenoeuvrede l'authentificationfortesansmot depasseou bienlecontrôle d'accèsconditionnelbasésurles risques,cependantlescomptesà privilègesdoiventtoujou rsêtre fortementencad rés.Ilestimpératifdemeneràbien
unprojetdesécurisationpour maitrisercettenouvellebriqueet profiterdelatransformationpour passeràdespratiques d'administrationàl'étatdel'art.Enparticulier,ilestr ecommandé
/D'auditerlaconfiguration d'AzureAD,devalider régulièrementlesmembresdes rôlesprivilégiésainsiqueles applicationsautoriséesàinteragir avecAzureAD; /Dedév elopperdesscénarios
dedétectionspécifiquespour limiterletempspendantlequel lesintrusdemeurentinvisibles dansleSI. FOCUS345 Millions
Azure AD gère plus de
345 millions
d'utilisateurs actifs chaque mois, avec une moyenne de 30 milliards de demandes d'authentification par jour. 99NTLM, toujours le talon d'Achille
de la sécurité ?NTLM(NTLANManager)est
utiliséparlesapplicationspour authentifierlesutilisateurset,éventuellement,pourfournirune
sécuritédesessionlorsque l'applicationledemande.Lesp rotocolesNTLMsontdes
protocolesd'authentification obsolètesquiutilisentune méthodededéfietréponsepour quelesclientspuissentprouver mathématiquementqu'ils possèdentlecondensatdemot depasse,lehashNT.Lesv ersions actuelleset passéesdeWindows prennentenchargeplusieurs versionsdeceprotocole,dontNTLMv2,NTLMa insiquele
protocoleLM.DepuisWindo ws2000,le
protocoleKerberos estle protocoled'authentificationpar défaut.Cependant,sileprotocoleKerberosn'est pasnégociépour
uneraisonquelconque,alorsles applicationsreliéesàActiveDirectorytenteront d'utiliserun
desp rotocolesNTLM,si disponible.Touteslesv ersion sdeNTLMsont
vulnérablesàdesattaques largementdocument ées.Pour cetteraison,leprotocoleNTLM n'estpassupportédansAzureActiveDirectory,peutêtre
désactivédansAzureADDSainsi quedansActiveDirectory.Au-delàd'unsupport
cryptographiquefaible,l'absence d'authentificationduserveur peutper mettreàunattaquant d'usurperl'identitéd'unserveur.Ainsi,lesapplicationsutilisant
NTLMpe uventêtrevu lnérablesàuneattaquepar"réflexion» :un attaquantpeutdétourner l'échanged'authentificationd'un utilisateurversunserveur légitimeetl'utiliserpour s'authentifiersurunautre ordinateur,voiresurl'ordinateur del'utilisateur.Lasuppressioncomplètede
NTLMdansunenvironnement
amélioreindéni ablementla sécuritéenéliminantlesattaques detypePtH(Pass-The-Hash).Cependant,celanepermetpas
d'éliminerd'autresclasses d'attaques,commelevoldemots depasseenclairoubienlevolde ticketsKerberos,TicketGrantingTicket(TGT).
Lesorganisationssont
encouragéesàmettreenoeuvreKerberosouàutiliserdes
protocolesd'authentification modernes(OpenIDConnect,SAML,etc.)pourleurs
applicationsexistantes, carMicrosoftneprévoitaucune
améliorationduprotocoleNTLM.PourquoiNTLMest-il
toujoursutilisé?NTLMestencorelargement
utilisédufaitd'applications historiquesquin'ontpasévolué, maisaussienraisonde mauvaisesconfigurations d'applicationsquisupportent pourtantKerberos.Le protocole NTLM n'est pas
supporté dans Azure ActiveDirectory.
NTLMNTLMv1NTLMv2LM
FOCUSquotesdbs_dbs29.pdfusesText_35[PDF] université internationale de rabat
[PDF] calcul adresse ip masque pdf
[PDF] adresse ip cours informatique
[PDF] adressage ip exercices corrigés pdf
[PDF] exercice corrigé adressage ipv4 pdf
[PDF] adressage cidr pdf
[PDF] outils d'aide ? la décision management
[PDF] cours système d'information d'aide ? la décision pdf
[PDF] les outils d'aide ? la prise de décision
[PDF] aide ? la décision multicritère
[PDF] préparation des alcanes
[PDF] alcane alcène alcyne
[PDF] cours algebre 2 1ere année mi
[PDF] les amortissements cours 2 bac