Salut à tous.
Mon livre sur la sécurité d’Active Directory est en ligne et disponible gratuitement.
Vous pouvez le télécharger à cette adresse.
http://www.metsys.fr/livre/livre.html
Bonne lecture !
Plan du livre:
Introduction
1. Concevoir un annuaire sécurisé et qui répond aux besoins de l’entreprise
1.1 Les notions fondamentales
1.2 Analyser le besoin de votre entreprise
1.3 Choisir une topologie Active Directory
1.3.1 Exception 1 : une société avec des entités indépendantes
1.3.2 Exception 2 : des applications qui modifient le schéma Active Directory
1.3.3 Exception 3 : les hébergeurs
1.3.4 Exception 4 : les contraintes légales
1.3.5 Exception 5 : travailler avec les concurrents
1.3.6 exceptions 6 : applications hébergées dans le cloud
1.4 Utiliser Active Directory comme annuaire d’entreprise
1.4.1 Synchroniser l’annuaire avec d’autres sources de données (bases RH…)
1.4.2 Synchroniser Azure Active Directory avec Active Directory
1.4.3 Héberger les données de l’entreprise dans l’annuaire Active Directory
1.4.4 Comment et qui doit administrer ces attributs ?
1.4.5 Protéger les attributs qui contiennent des données sensibles
1.4.6 Permettre à un utilisateur de visualiser la valeur d’un attribut protégé
1.5 Renforcer la sécurité du service DNS
1.5.1 Quel est le lien entre Active Directory et le DNS
1.5.2 La mise à jour DNS dynamique
1.5.3 Quelles sont les attaques possibles avec le service DNS
1.5.4 Sécuriser vos serveurs DNS
1.6 Elévation de privilège avec l’utilisation du Sid History
1.6.1 Faire une augmentation de privilège avec le Sid History
1.6.2 Pour supprimer le Sid History
2. Les bonnes pratiques pour déléguer l’administration de son annuaire
2.1 Les principes fondamentaux de la délégation d’administration
2.1.1 Les différents types d’administrateurs Active Directory
2.1.2 Les groupes avec des privilèges d’administration
2.1.3 Déléguer l’administration à un utilisateur standard
2.2 Déléguer l’administration avec les unités d’organisation
2.3 Créer des comptes nominatifs et dédiés pour l’administration
2.4 Déléguer uniquement les permissions requises
2.5 Désactiver le compte Invite et renommer le compte Administrator
2.6 Auditer les permissions sur les objets Actives Directory
2.7 Auditer les permissions de l’objet Adminsdholder
2.8 Activer la veille écran avec mot de passe
2.9 Désactiver les comptes inactifs
2.10 Les outils tiers pour simplifier la délégation d’administration
3. Définir une politique de mots de passe d’entreprise
3.1 Analyser les besoins de l’entreprise pour la politique de mots de passe
3.2 Réduire le nombre de login / mots de passe différents
3.2.1 Limiter le nombre de login / mot de passe à retenir
3.2.2 Configurer vos applications pour s’authentifier avec Active Directory
3.2.3 Utiliser le coffre-fort Windows
3.2.4 Utiliser les protocoles de fédération d’identité
3.3 Les outils de gestion de mots de passe Microsoft
3.3.1 Les stratégies de mots de passe de la Default Domain Policy
3.3.2 Les objets PSO (fine-grained Password)
3.4 Les outils tiers de gestion des mots de passe
3.4.1 Réinitialiser son mot de passe sans contacter l’équipe informatique
3.4.2 Garantir l’identité de l’utilisateur
3.4.3 Configurer la complexité des mots de passe
3.5 Trouver le mot de passe d’un utilisateur via le réseau
3.6 Utiliser des objets MSA et GMSA pour les services et les taches planifiées
3.7 Lister tous les comptes qui n’ont pas changé de mots de passe depuis plusieurs années
3.8 Réinitialiser le mot de passe des utilisateurs avec des cartes à puces
3.9 Restreindre l’utilisation de l’option « Password Never Expires »
3.10 Le stockage des mots de passe avec Active Directory
3.10.1 Qu’est-ce qu’une empreinte (ou hash) ?
3.10.2 Le Lmhash (Lan manager hash
3.10.3 Le Nthash (NT Lan manager hash)
3.11 Récupérer le mot de passe d’un utilisateur avec le Lmhash
3.11.1 La procédure
3.11.2 Comment désactiver le Lmhash
3.12 Récupérer le mot de passe d’un utilisateur avec le Nthash
3.12.1 La procédure
3.12.2 Comment protéger les mots de passe
3.13 Protéger les mots de passe stockés sur les machines Windows
3.13.1 Les services et les taches planifiées
3.13.2 Le cache des sessions Windows
3.14 Définir une stratégie de mots de passe cible
4. Renforcer la sécurité des protocoles d’authentification
4.1 Le protocole Ldap
4.1.1 Ldap simple Bind
4.1.2 Ldap SASL Bind
4.2 Présentation du protocole Ntlm v2
4.3 Présentation du protocole Kerberos v5
4.4 La délégation d’authentification Kerberos
4.5 Les bonnes pratiques pour renforcer la sécurité de l’annuaire active directory
4.5.1 Bloquer les connexions Ldap Simple Bind sans SSL / TLS
4.5.2 Activer la signature du trafic Ldap
4.5.3 Désactiver les protocoles d’authentification Ntlm
4.5.4 Configurer algorithme de chiffrement Kerberos
4.5.5 Configurer la synchronisation horaire
4.5.6 Interdire la délégation Kerberos pour les comptes d’administration
4.6 Elévation de privilège avec la technique Ntlm Pass the hash
4.6.1 Comprendre une attaque Ntlm Pass the hash
4.6.2 La procédure pour une attaque Ntlm Pass the hash
4.6.3 Se protéger contre les attaques Ntlm Pass the hash
5 La gestion des accès avec Active Directory
5.1 Les Sid
5.2 Les permissions
5.3 Les privilèges
5.4 Les processus
5.5 Les services
5.6 Les jetons d’accès (Access Token)
5.7 Elévation de privilège avec le vol d’un jeton d’accès
5.7.1 Présentation de l’outil Incognito
5.7.2 Procédure d’utilisation de l’outil Incognito
5.7.3 Comment bloquer l’outil Incognito ?
6. Industrialiser et sécuriser le déploiement des contrôleurs de domaine
6.1. Déployer uniquement une version supportée de Windows server
6.2 Héberger les contrôleurs de domaine dans un emplacement sécurisé
6.2.1 Quels sont les risques si un attaquant a un accès physique à un contrôleur de domaine ?
6.2.2 Comment empêcher un attaquant d’accéder au fichier ntds.dit ?
6.3 Déployer les correctifs de sécurités sur les contrôleurs de domaine
6.3.1 Pourquoi est-il nécessaire de déployer les correctifs de sécurité ?
6.3.2 Installation des correctifs de sécurité sur les contrôleurs de domaine
6.4 Réduire la surface d’attaque des contrôleurs de domaine
6.5 Ne jamais arrêter le service Windows firewall
6.6 Configurer l’UAC
6.7 Désactiver la mise en cache hors connexion des sessions
6.8. Renforcer la sécurité du Bureau à Distance
6.8.1 Utiliser des stations de travail d’administration
6.8.2 Configurer le service Bureau à Distance
6.8.3 Autoriser uniquement les outils d’administration
6.8.4 Configurer le client Bureau à Distance
6.8.5 Utiliser la fonctionnalité « restrictedadmin »
6.9 Restreindre l’accès à Internet des contrôleurs de domaine
6.10 Configurer le mot de passe DSRM
6.11 Déployer une configuration standard sur tous les contrôleurs de domaine
6.11.1 Configurer IPV6
6.11.2 Déployer un antivirus a jour et configurer les exclusions
6.11.3 Utiliser l’assistant de configuration de la sécurité
6.11.4 Tester votre image dans un environnement de qualification
6.11.5 Quelques retours d’expériences sur le déploiement de Windows 2012 R2
7. Mettre en place une politique de prévention des risques
7.1 Auditer les changements effectués sur l’annuaire et les tentatives d’accès
7.1.1 Configurer le journal Security
7.1.2 Configurer les éléments à auditer
7.1.3 Collecter le journal Security des contrôleurs de domaine et générer un rapport quotidien
7.2 Auditer la sécurité de votre annuaire
7.3 Superviser votre annuaire active directory
7.3.1 Présentation de l’outil DCDIAG
7.3.2 Déploiement de la solution
7.4 Disposer d’un plan de reprise informatique (PRI) Active Directory
7.5 Protéger vos sauvegardes active directory et les fichiers IFM (Install From Media)
8. Annexes
8.1 Procédure de déploiement d’une autorité de certification Microsoft
8.2 Procédure d’activation de Bitlocker sur un contrôleur de domaine
8.2.1 Présentation de la solution pour chiffrer les disques durs des contrôleurs de domaine
8.2.2 Mise en œuvre de Bitlocker sur des contrôleurs de domaine Windows 2012 R2
8.3 Bibliographie :
8.3.1 Livres recommandés
8.3.2 Microsoft Active Directory Technical Specification
8.3.3 Pour comprendre les protocoles Ntlm et Kerberos avec Active Directory
8.3.4L es recommandations sur la sécurité active directory de l’ANSII
8.3.5 Recommandation Microsoft sur la sécurité de l’annuaire Active Directory
8.3.6 Recommandation sur la configuration du service terminal server
8.3.7 Autres liens
A+
Guillaume MATHIEU
Architecte Metsys
La connaissance s’accroît quand on la partage.
Bonjour,
Merci pour ce partage, ainsi que pour la qualité de vos articles, bonne continuation et au plaisir de vous lire….
Ahmed
Bonjour ,
content d’avoir pu trouver un article répondant à mes besoins . Du courage et Merci encore pour la suite ….
Guillaume j’aime ce livre encore Merci
Salut Raymond
Content que le livre t’intéresse. Que deviens tu depuis le temps ?
Bonjour,
Très belle présentation Techdays 2015 sur la sécurité de Active Directory.
J’étais content de la regarder sur You tube.
Il me manquait que ce livre que je trouve très intéressant.
Bonne continuation.
ce fut un plaisir de tomber sur votre blog puis ce magnifique livre que vous avez rédigé d’une excellente qualité
Merci pour ce beau partage
bonne continuation pour la suite
jaime
merci
Excellent ouvrage et merci beaucoup de le partager avec nous.
Bonjour,
Est-il possible de ce procurer une version papier de votre excellent livre ?
Vraiment merci pour ces partages
bonjour à tous
Merci beaucoup pour le partage de savoir .
est il possible d’avoir le mot de passe pour permettre l’impression papier ?
c’est un plus non négligeable d’avoir la version papier ( en plus de reposer les yeux du rayonnement de l’écran..! )
bien à vous .
en fait c’est une version non verrouillée qu’il me faudrait !
Cordialement
Re bonjour
c’est une version non verouillée qu’il me faudrait ( comme d’autres j’imagine )
en espérant que ma demande aboutisse .
Bonne vacance à tous
Cordialement