Durcissement Active Directory
Je vous donne des astuces pour améliorer la sécurité de votre contrôleur de domaine Active Directory. La démonstration est réalisée sous Windows Server 2022 mais est valable pour les éditions 2016 et 2019.
1. Activer la corbeille Active Directory
2. Désactiver la possibilité de mettre au domaine des ordinateurs pour tous les utilisateurs authentifiés
Le paramètre modifié dans ADSI Edit est le suivant : ms-DS-MachineAccountQuota
3. Supprimer les membres du groupe CN=Accès compatible pré-Windows 2000,CN=Builtin À ne pas faire si vous utilisez encore des applications Windows NT.
4. Supprimer les membres du groupe CN=Administrateur du Schéma,CN=Users L’idéal étant d’ajouter la journalisation et une alerte en cas d’ajout d’utilisateurs dans ce groupe.
5. Ajouter les comptes administrateurs au groupe CN=Protected Users,CN=Users
6. Désactiver NTLMv1 et NTLMv2 Avant de désactiver, il est nécessaire de simplement auditer les connexions en NTLMv1/NTLMv2 pour vous assurer que ces protocoles ne sont plus utilisés.
7. Réinitialiser le mot de passe krbtgt
Mot de passe à modifier deux fois en attendant la réplication entre les différents contrôleurs de domaine. Commande utilisée : powershell -executionpolicy bypass .\Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1
Crédit et remerciements pour le script : Jorge de Almeida Pinto – https://github.com/zjorz/Public-AD-Scripts/blob/master/Reset-KrbTgt-Password-For-RWDCs-And-RODCs.ps1
Avant toutes ces modifications, il convient de :
Réaliser une sauvegarde de votre système et de vos configurations
S’assurer que les services désactivés ne sont pas utilisés dans votre réseau
Réaliser les modifications en environnement de test afin d’anticiper de mauvaises réactions
Lors de l’application de ces modifications, il convient également de respecter quelques principes :
Appliquer les modifications hors production et être présent à la reprise de celle-ci
Ne pas appliquer toutes les modifications en même temps pour pouvoir facilement isoler un paramétrage problématique
Ne pas appliquer les modifications sur tous vos serveurs/ordinateurs, mais procéder par vague, en commençant par une machine et en augmentant le nombre au fur et à mesure Informer votre équipe et les utilisateurs
Mettre à jour vos documentations et schémas d’infrastructure