Qu’est-ce qu’Active Directory ? – Définition

Active Directory (AD) est la pierre angulaire de l’infrastructure informatique des entreprises modernes.

Il s’agit d’un service d’annuaire développé par Microsoft pour les réseaux de domaines Windows, qui constitue un outil essentiel pour organiser et gérer les utilisateurs, leurs attributs et leur appartenance à des groupes, les comptes d’ordinateurs, les ressources du réseau et bien d’autres choses encore.

L’AD est en quelque sorte l’annuaire téléphonique de votre infrastructure informatique et de vos utilisateurs.

Il fournit aux équipes des services centralisés d’authentification et d’autorisation destinés aux ordinateurs basés sur Windows. L’AD est conçu pour vérifier si une personne possède les bonnes informations d’identification (authentification) et détermine les fichiers ou les applications auxquels elle peut accéder en fonction de son rôle ou de son appartenance à un groupe (autorisation).

En termes simples, L’AD offre des fonctionnalités et des composants clés tels que la gestion des politiques de groupe, les services de domaine et la prise en charge du protocole LDAP (Lightweight Directory Access Protocol).

• La gestion des stratégies de groupe permet aux administrateurs de mettre en œuvre des configurations spécifiques sur plusieurs machines.
• Les services de domaine fournissent une structure organisationnelle hiérarchique qui aide à gérer les interactions entre les utilisateurs et les appareils dans les réseaux distribués.
• LDAP ou Lightweight Directory Access Protocol est un protocole qui aide les utilisateurs à trouver des données sur des organisations, des personnes, etc.

L’AD joue un rôle crucial dans le maintien de l’ordre tout en garantissant la sécurité dans l’ensemble de l’environnement réseau d’une organisation.

Il permet aux équipes de gérer efficacement les utilisateurs, les ordinateurs, les appareils supplémentaires et d’autres ressources à partir d’un emplacement central, ce qui rend la gestion du réseau, de l’informatique et de la sécurité plus efficace.

Active Directory stocke les informations sous forme d’“objets”, c’est-à-dire toutes les ressources du réseau, telles que les ordinateurs, les comptes d’utilisateurs, les contacts, les groupes, les unités organisationnelles et les dossiers partagés.

Les objets sont classés par nom et par attributs. Les informations sont conservées dans un magasin de données structuré, optimisé pour améliorer les performances et l’évolutivité des requêtes, ce qui permet aux utilisateurs et aux applications du réseau de localiser et d’utiliser facilement les éléments d’information dont ils ont besoin.

L’objectif d’Active Directory est donc de permettre aux organisations de sécuriser et d’organiser efficacement leur réseau.

En tant que principal service d’annuaire dans un domaine Windows, les Active Directory Domain Services (AD DS) sont chargés de stocker et de gérer les informations relatives aux utilisateurs, aux services et aux appareils connectés au réseau dans une structure à plusieurs niveaux.

Il s’agit en fait de l’épine dorsale d’Active Directory, car il contient un annuaire centralisé qui permet aux domaines et aux utilisateurs de communiquer.

AD DS aide à gérer les opérations du réseau en fournissant un moyen structuré de stocker les données dans une organisation hiérarchique.

Les administrateurs peuvent ainsi gérer plus facilement les droits d’accès des utilisateurs et les configurations des systèmes dans différents domaines au sein d’un même réseau. AD DS intègre également la sécurité en authentifiant les fonctions de connexion et en contrôlant l’accès aux ressources de l’annuaire.

Pour ce faire, il utilise les moyens suivants :

• L’authentification des utilisateurs. AD DS authentifie les utilisateurs avant qu’ils n’accèdent aux ressources du réseau, ce qui garantit que seules les personnes autorisées ont accès à des parties spécifiques du système.
• Le stockage des données. Il stocke les données de l’annuaire, telles que les noms d’utilisateur, les mots de passe et les numéros de téléphone, qui contribuent à rationaliser les opérations au sein d’une organisation.
• Application des politiques. Grâce aux objets de stratégie de groupe (GPO), les administrateurs peuvent appliquer des politiques de sécurité sur plusieurs machines à la fois, ce qui permet de gagner du temps tout en maintenant des niveaux de sécurité élevés.

De nombreux services relèvent d’AD DS. Ces services comprennent les contrôleurs de domaine, qui sont des serveurs exécutant le rôle AD DS et qui authentifient et autorisent tous les utilisateurs.

Ils comprennent également les ordinateurs d’un réseau de type domaine Windows, qui attribuent et appliquent des stratégies de sécurité pour tous les appareils, y compris l’installation et la mise à jour de logiciels.

Les domaines regroupent les objets du réseau et appliquent des stratégies de sécurité. Les forêts contiennent des arborescences de domaines et partagent un schéma et une configuration de données uniques.

Les arbres sont des collections de domaines apparentés qui simplifient la localisation des ressources. Les unités organisationnelles sont des conteneurs au sein d’un domaine qui simplifient les tâches de gestion.

Ensemble, ces composants fonctionnent harmonieusement pour optimiser l’efficacité et les performances d’un Active Directory.

Active Directory est bien plus qu’un simple service d’annuaire unifié. C’est aussi un atout inestimable pour les organisations qui souhaitent simplifier leurs opérations informatiques et renforcer leur sécurité.

En retour, l’AD offre plusieurs avantages clés.

Gestion simplifiée des utilisateurs

L’AD simplifie la gestion des comptes utilisateurs en fournissant une plateforme centralisée pour créer, modifier ou supprimer des utilisateurs sur l’ensemble du réseau.

Cela signifie que l’administration manuelle des utilisateurs sur des machines individuelles au sein de votre réseau appartient au passé.

Sécurité renforcée du réseau

Les fonctions de sécurité robustes d’AD protègent les données sensibles contre les cybermenaces.

Les stratégies de groupe et les contrôles d’accès imposent des exigences strictes en matière de mot de passe et limitent l’accès des utilisateurs à des fichiers ou applications spécifiques en fonction de leur rôle au sein de l’entreprise.

Partage simplifié des ressources

Le partage de ressources telles que des imprimantes ou des fichiers sur un réseau est beaucoup plus simple avec l’AD.

Les administrateurs peuvent gérer ces ressources de manière centralisée et les mettre à la disposition de tous les utilisateurs sans installation de logiciel supplémentaire.

Meilleure mise en œuvre de la stratégie de groupe

La fonction de stratégie de groupe d’AD permet aux administrateurs de contrôler le fonctionnement des systèmes et ce que les utilisateurs peuvent faire sur ces systèmes.

De la mise en place de règles de pare-feu à la désactivation des ports USB sur les terminaux pour une meilleure sécurité, tout devient plus facile avec la mise en place de stratégies de groupe.

Dépannage plus rapide

Lorsque des problèmes surviennent, un système centralisé comme l’AD permet de les diagnostiquer plus rapidement en fournissant des journaux détaillés sur les activités des utilisateurs et les événements du système.

Active Directory offre des fonctions de sécurité telles que les listes de contrôle d’accès (ACL), le chiffrement et les capacités d’audit pour protéger les données et les ressources sensibles.

Il est important d’utiliser ces fonctions. Mais la sécurité complète et permanente d’Active Directory implique de nombreuses autres étapes et stratégies.

Voici quelques bonnes pratiques pour la sécurité d’Active Directory :

Sécuriser les comptes d’administrateurs de domaine

Les attaquants sont impatients de compromettre les comptes d’administrateur de domaine associés à votre AD. En effet, ces utilisateurs d’Active Directory disposent de privilèges élevés, d’un contrôle administratif et d’une autorité sur l’ensemble d’un domaine au sein d’une “forêt” AD. (Une forêt est un ensemble d’une ou plusieurs arbres de domaines dans l’annuaire de service).

Une astuce pour sécuriser les comptes d’administrateurs de domaine consiste à les renommer à partir du nom par défaut “administrateur” en quelque chose de plus créatif (et plus difficile à deviner).

La mise en œuvre de politiques de mots de passe forts et l’utilisation de phrases de passe peuvent être utiles à cet égard. Une autre bonne pratique consiste à exiger l’authentification multifactorielle pour les administrateurs de domaine.

Limiter l’utilisation d’AD aux accès hautement privilégiés

Il n’y a que le personnel autorisé qui devrait avoir un accès administratif à votre AD. Et ceux qui ont des privilèges d’administrateur de domaine ne devraient pas utiliser ces comptes pour des tâches quotidiennes.

Pour ces tâches, ils doivent utiliser des comptes de niveau utilisateur plus classiques. Les mesures connexes pour limiter l’accès à Active Directory — qui peuvent également contribuer à réduire le risque de menaces internes — sont les suivantes :

• La mise en œuvre du principe du moindre privilège (PoLP), qui consiste à n’accorder aux utilisateurs que les autorisations dont ils ont besoin pour effectuer leur travail, sans plus.
• Utiliser le contrôle d’accès basé sur les rôles (RBAC) pour limiter l’accès des utilisateurs à des tâches ou à des systèmes spécifiques.
• Auditer régulièrement les comptes administratifs.

Utiliser un poste de travail administratif sécurisé (SAW) verrouillé

Un SAW est un environnement hautement sécurisé et isolé pour effectuer des tâches administratives dans des systèmes et services critiques comme Active Directory.

L’administrateur doit provenir du SAW avant de pouvoir effectuer toute tâche administrative ou de se connecter à tout autre serveur ou réseau administré.

Parmi les moyens de “verrouiller” un SAW, citons :

• Utiliser du matériel dédié ou une machine virtuelle (VM) pour les tâches administratives.
• Durcir les systèmes d’exploitation du SAW, par exemple en désactivant les services et les fonctions inutiles.
• Mettre en œuvre des contrôles d’accès stricts et une gestion des privilèges des utilisateurs.
• Placer le SAW dans un segment de réseau distinct.
• Réduire ou supprimer la connectivité internet directe au SAW.

Désactiver les comptes d’administrateurs locaux

Les administrateurs locaux disposent également de privilèges élevés. Mais contrairement aux administrateurs de domaine, ils sont limités à une seule machine locale.

Les administrateurs locaux ont cependant un accès complet aux ressources du serveur ou du client local. Ils peuvent utiliser leur compte pour créer des utilisateurs locaux, attribuer des droits d’utilisateur et des autorisations de contrôle d’accès et installer des logiciels.

Les comptes d’administrateurs locaux sont souvent configurés avec le même mot de passe sur tous les ordinateurs d’un domaine. Il suffit donc à un pirate de compromettre les informations d’identification d’un compte pour se connecter à d’autres.

Il n’est donc pas surprenant que des acteurs malveillants utilisent souvent des informations d’identification d’administrateur local non gérées dans des attaques de ransomware.

Vous pouvez envisager de désactiver complètement les comptes d’administrateur local. À la place, vous pouvez configurer des comptes individuels avec les droits nécessaires pour effectuer des tâches clés.

Pour désactiver un compte d’administrateur local, vous devez modifier les paramètres de la stratégie de groupe dans Active Directory. Vous pourrez alors appliquer des stratégies de sécurité sur les ordinateurs Windows qui sont reliés au domaine.

Utiliser des comptes de services gérés (MSA)

Les comptes MSA ont des mots de passe complexes que AD gère automatiquement. Le contrôleur de domaine AD effectue une rotation régulière des mots de passe, ce qui réduit le risque que les mots de passe des comptes de service soient faibles, périmés ou exposés.

En éliminant les changements manuels de mots de passe, la probabilité d’une erreur humaine est minimisée. Il en va de même pour le risque d’interruptions de service dues aux changements de mot de passe.

(Remarque : les MSA sont disponibles dans Windows Server 2008 R2 et les versions ultérieures, y compris Windows Server 2012, 2012 R2, 2016, 2019 et 2022. Les caractéristiques et capacités spécifiques des MSA peuvent varier en fonction de la version de Windows Server utilisée).

Rechercher et supprimer des comptes inutilisés

La création d’un processus formel pour identifier les utilisateurs inactifs et les comptes inutilisés ou orphelins dans votre AD peut vous aider à maîtriser ce risque.

Dans le cadre de ce processus, vous devrez déterminer les critères d’identification des comptes inactifs, tels qu’une période d’inactivité spécifique (90 jours par exemple). Vous devez également informer les parties prenantes concernées afin de vous assurer que les comptes identifiés peuvent être supprimés en toute sécurité.

Il est judicieux de prendre le temps de sauvegarder votre environnement AD avant de commencer à supprimer des comptes. Vous pouvez aussi documenter les comptes que vous prévoyez de supprimer et indiquer les raisons pour lesquelles vous les supprimez, afin de disposer d’une trace.

Être vigilant vis-à-vis de la gestion des correctifs et de l’analyse des vulnérabilités

Ce conseil peut sembler banal ou évident. Cependant, vous devez agir rapidement pour corriger les vulnérabilités d’Active Directory, comme vous devriez le faire pour protéger tout autre système critique. Veillez à rechercher les vulnérabilités AD et à y remédier souvent — une fois par mois ou plus fréquemment, si possible. Accordez la priorité aux correctifs qui présentent les risques les plus graves pour votre entreprise et vos utilisateurs. Identifiez et corrigez également les logiciels obsolètes ou non pris en charge.

En mettant en œuvre ces meilleures pratiques de sécurité, les entreprises peuvent renforcer leur posture de sécurité AD et minimiser les risques pour leur infrastructure informatique.

Active Directory est le service d’annuaire par excellence qui permet d’organiser, d’optimiser et de sécuriser les données stockées.

Avec les services de domaine Active Directory (AD DS), les équipes informatiques peuvent créer une hiérarchie de domaines et de sous-domaines, ce qui facilite la gestion de l’authentification et de l’autorisation des utilisateurs ainsi que la gestion des ressources.

L’utilisation d’AD se traduit par une sécurité accrue, une administration simplifiée et une meilleure évolutivité. Mais les équipes doivent mettre en œuvre les meilleures pratiques, telles que des politiques de mots de passe forts et une surveillance régulière, afin de préserver la sécurité de leur environnement AD.