Partager via

Prise en main de l’évaluation à la demande de la sécurité d’Active Directory

  • Article

L’évaluation de sécurité Active Directory est conçue pour vous donner des instructions actionnables pour réduire le risques de sécurité de votre Active Directory et de votre organisation. Cette solution vous donne un statut sur votre progression par rapport à la feuille de route recommandée par Microsoft pour Securing Privilege Access (SPA), dont Active Directory est un composant essentiel.

L’évaluation de sécurité Active Directory se concentre sur plusieurs piliers essentiels, dont :

  • Revue des processus opérationnels
  • Revue des abonnements de comptes/groupes privilégiés ainsi que de l'intégrité des comptes standard
  • Revue des forêts et des approbations de domaines
  • Revue de la configuration du système d'exploitation, du patch de sécurité et des niveaux des mises à jour
  • Revue du domaine et de la configuration du contrôleur de domaine, par comparaison avec les instructions recommandées par Microsoft
  • Revue de la délégation clé des autorisations d'objet Active Directory

Exécution de l’évaluation de sécurité Active Directory

Conditions préalables

Pour exploiter au maximum les évaluations à la demande disponibles sur le Portail de services, vous devez :

  1. Avoir associé un abonnement Azure actif au Portail de services et ajouté l’évaluation de sécurité AD. Pour plus d’informations, consultez l’article Prise en main des évaluations à la demande ou regardez la vidéo sur la procédure d’association.
  2. Un compte de domaine (compte d’utilisateur ou compte de service géré) avec les droits suivants :
    • Appartenance au groupe d’administrateurs d’entreprise OU
    • Appartenance au groupe d'administrateurs intégré de tous les domaines de la forêt.
    • Appartenance au groupe d'administrateurs locaux sur la machine de collecte de données.
    • Accès d’administration à tous les serveurs DNS (Domain Name System) Microsoft auxquels les contrôleurs de domaine participent
  3. Consultez le document sur les conditions préalables relatif à l’évaluation de sécurité AD. Ce document décrit la documentation technique détaillée de l’évaluation de sécurité AD et la préparation du serveur nécessaire à son exécution. Il explique également les différents types de données collectées par l’évaluation.

Remarque : en moyenne, il faut compter environ deux heures au départ pour configurer votre environnement afin d’exécuter une évaluation à la demande. Après avoir exécuté l’évaluation, vous pouvez consulter les données dans Azure Log Analytics. Vous disposerez ainsi d’une liste de recommandations classées par ordre de priorité et selon six domaines qui vous permettront de comprendre rapidement les niveaux de risque et l’intégrité de vos environnements, d’agir pour réduire les risques et d’améliorer l’intégrité globale de vos outils informatiques.

Configurer l’évaluation de sécurité AD

Remarque : vous ne pourrez configurer correctement l’évaluation qu’après avoir lié votre abonnement Azure au Services Hub et ajouté l’AD Assessment de sécurité à partir de l’intégrité informatique -> Évaluations à la demande dans le Services Hub.

  1. Sur l’ordinateur de collecte de données, créez le dossier suivant : C:\OMS\ADS (ou tout autre dossier autre que C:\ODA, qui est réservé par le système).

  2. Ouvrez Powershell standard (pas ISE) en mode Administrateur et exécutez la commande de l’applet de commande ci-dessous :

    Add-ADSecurityAssessmentTask -WorkingDirectory <workingdirectorypath> command,

    WorkingDirectory correspond au chemin vers un répertoire existant servant à stocker les fichiers créés lors de la collecte et de l’analyse des données à partir de l’environnement.

    Workspace Id indiquent l’ID de l’espace de travail Log Analytics utilisé pour stocker les données téléchargées.

  3. Entrez les informations d’identification de compte d’utilisateur demandées répondant aux exigences mentionnées précédemment dans cet article.

  4. La collecte de données est déclenchée par une tâche planifiée appelée ADSecurityAssessment dans l’heure qui suit l’exécution du script précédent, puis tous les 7 jours. Il est possible de configurer la tâche de manière à l’exécuter à une date/heure différente ou immédiatement à partir de la bibliothèque du planificateur de tâches -> Microsoft -> Operations Management Suite > AOI*** > Évaluations > ADSecurityAssessment.

  5. Pendant la collecte et l’analyse, les données sont temporairement stockées dans le dossier Répertoire de travail défini au moment de la configuration.

  6. Au bout de quelques heures, les résultats de votre évaluation sont disponibles dans votre tableau de bord Log Analytics et Portail de services. Vous pouvez consulter les résultats en accédant au Services Hub > Intégrité > Évaluations, puis en cliquant sur « Afficher toutes les recommandations » en regard de l’évaluation active.

  7. Si vous souhaitez qu’un ingénieur agréé Microsoft passe en revue les problèmes concernant votre environnement AD avec vous, renseignez-vous sur la fourniture menée par un CE distant ou sur site auprès de votre représentant Microsoft.

contrat Ingénieur distant Ingénieur sur site
Premier Feuille de données distante ADS Feuille de données sur site ADS
Unifié Feuille de données distante ADS Feuille de données sur site ADS