Les actions post-déploiement d’un Active Directory – Partie 2

Mise en place du magasin central

Par défaut, le dossier qui renferme les fichiers de configuration GPO est local. Ainsi si vous avez plusieurs AD les fichiers peuvent être différents.

Pour éviter ça, on va mettre en place le magasin central.

On copie donc le répertoire PolicyDefinition de C:\Windows vers le dossier Sysvol\Domain\Policies.

Source
Destination
Menu GPO Avant
Menu GPO après

Voilà, vos templates administratifs seront maintenant synchronisés sur tout vos DC.

Collecte des événements

Par défaut on ne collecte pas assez d’informations sur les événements touchant l’AD.
Pallions ça grâce à une GPO.

Voici la configuration par défaut.

On ne va pas se mentir, la configuration dépendra de votre capacité de traitement.

Pour du « standard », utilisez plutôt cette version :

Forcer les audits des réussites et des échecs.

Enfin, activer les détails des logs lors des connexions, déconnexions, arrêts et démarrages des sessions.

Service d’impression

Il convient de désactiver le service « spooler » sur tous les contrôleurs de domaine.
Pour ce faire, services.msc :

Le service d’impression est en démarrage automatique.

Désactiver complètement ce service via le clic droit/Propriétés :

Désactiver le redémarrage du service et arrêter le service.

L’utilisation du service d’impression pour l’extraction d’information fait parti d’un bulletin dédié chez Microsoft : https://msrc.microsoft.com/update-guide/en-US/vulnerability/ADV190006

GPO concernant les mots de passe

La Default Domain Policy contient un début de règles concernant les mots de passe.

Cette règle est bien trop faible pour être dans un réseau de production.

Règles par défaut pour les mots de passe.

Je conseil de créer :
– une GPO pour les utilisateurs sans pouvoir,
– une GPO pour les administrateurs,
– une GPO dédiée à vos comptes de services.


Concernant les règles à mettre dans chacune des GPO, deux écoles :

  • Agence nationale de la sécurité des systèmes d’information, avec son document de 2012 jamais revu : https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdf
  • Le NIST : https://stealthbits.com/blog/nist-password-guidelines/#:~:text=NIST%20now%20requires%20that%20all,characters%20as%20a%20maximum%20length.

Pour ceux ce demandant ce qu’est le NIST et pourquoi prendre leur standard ? Parce que l’ANSSI a suivi les règles du NIST, règle définie sans études de l’aveu même de l’auteur.


Article ici : https://www.developpez.com/actu/153757/L-ingenieur-du-NIST-qui-a-recommande-l-adoption-des-MdP-difficiles-a-retenir-regrette-ce-conseil-le-NIST-preconise-les-MdP-longs-et-faciles-a-retenir

Powershell

Par défaut, rien n’est audité concernant Powershell, ainsi en cas de compromission vous n’avez aucune trace des commandes saisies ou scripts exécutés.

Pour ce faire, encore une petite GPO.

Le minimum à mettre.

Sécurisé aussi la version de Powershell :

GPO de création de variable d’environnement

Une fois la GPO appliquée, vous verrez les entrées dans « Microsoft-Windows-PowerShell/Operational ».

Exemple:

Exécution d’un script.
Exécution d’une commande.

Documentation Microsoft : https://docs.microsoft.com/en-us/powershell/module/microsoft.powershell.core/about/about_logging_windows?view=powershell-7.1

Énumération de sessions

Windows permet a n’importe quels utilisateurs authentifiés de lister les utilisateurs connectés au poste sur lequel il est actuellement.

Heureusement, Microsoft fournit aussi un script pour pallier ça: https://gallery.technet.microsoft.com/Net-Cease-Blocking-Net-1e8dcb5b

LLMNR

Si votre serveur n’est pas en version 2019 à jours, LLMNR est activé à l’installation.

Par sécurité il est préférable de créer une GPO pour le désactiver expressément.

Désactivation de LLMNR

Exemple de CVE: https://nvd.nist.gov/vuln/detail/CVE-2020-17467

Interdire aux Administrateurs de se connecter aux stations de travail

Les administrateurs de domaine sont aussi administrateurs des postes de travail et serveurs qui sont dans le même domaine.

On va donc interdire à ces comptes de se connecter aux postes de travail à l’aide d’une GPO qui pourra s’appliquer aux serveurs aussi.

Ce rendre à Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment

Modifier « Deny this computer from the network » pour interdire « domain admin ».

Explication de la règle
Dans mon cas je n’est que le groupe Domain Admin.

Appliquer cette même configuration pour les autres « Deny ».

On interdit donc aux Domain Admins de se connecter depuis le réseau, en temps que tâche planifiée, en temps que service, localement et via Bureau à distance.

Attention, dans le cas d’un réseau déjà en production il est très important de vérifier qu’aucun de vos comptes administrateur n’utilise un de ces types de connexions.

Maintenant votre infrastructure AD est à peu près propre pour aller avec votre installation en Tier 3 : https://docs.microsoft.com/fr-fr/security/compass/privileged-access-access-model