Annexe F : Sécurisation des groupes d’administrateurs de domaine dans Active Directory
Annexe F : Sécurisation des groupes d’administrateurs de domaine dans Active Directory
Comme c’est le cas avec le groupe Administrateurs d’entreprise (Enterprise Admins, EA), l’appartenance au groupe Administrateurs de domaine (Enterprise Admins, EA) doit être requise uniquement dans des scénarios de génération ou de récupération d’urgence. Le groupe Administrateurs du domaine ne doit comprendre aucun compte d’utilisateur quotidien, à l’exception du compte Administrateur intégré pour le domaine, s’il a été sécurisé comme décrit dans l’Annexe D : sécurisation des comptes Administrateur intégrés dans Active Directory.
Par défaut, les Administrateurs de domaine sont membres des groupes Administrateurs locaux sur tous les serveurs membres et stations de travail de leurs domaines respectifs. Cette imbrication par défaut ne doit pas être modifiée à des fins de prise en charge et de récupération d’urgence. Si des Administrateurs de domaine ont été supprimés des groupes Administrateurs locaux sur les serveurs membres, le groupe doit être ajouté au groupe Administrateurs sur chaque station de travail et serveur membre du domaine. Le groupe Administrateurs de domaine de chaque domaine doit être sécurisé comme décrit dans les instructions pas à pas qui suivent.
Pour le groupe Administrateurs de domaine dans chaque domaine de la forêt :
Supprimez tous les membres du groupe, à l’exception possible du compte Administrateur intégré pour le domaine, s’il a été sécurisé comme décrit dans l’Annexe D : sécurisation des comptes Administrateur intégrés dans Active Directory.
Dans les objets de stratégie de groupe liés à des unités d’organisation contenant des stations de travail et des serveurs membres dans chaque domaine, le groupe Administrateurs de domaine de l’entreprise doit être ajouté aux droits utilisateur suivants dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attributions de droits utilisateur :
Refuser l'accès à cet ordinateur à partir du réseau
Interdire l’ouverture de session en tant que tâche
Interdire l’ouverture de session en tant que service
Interdire l’ouverture d’une session locale
Refuser l’ouverture de session via les droits d’utilisateur des Services Bureau à distance
L’audit doit être configuré de façon à envoyer des alertes si des modifications sont apportées aux propriétés ou à l’appartenance au groupe Administrateurs de domaine.
Instructions pas à pas pour supprimer tous les membres du groupe Administrateurs de domaine
Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Utilisateurs et ordinateurs Active Directory.
Pour supprimer tous les membres du groupe DA, procédez comme suit :
Double-cliquez sur le groupe Administrateurs de domaine, puis cliquez sur l’onglet Membres.
Sélectionnez un membre du groupe, cliquez sur Supprimer, sur Oui, puis sur OK.
Répétez l’étape 2 jusqu’à ce que tous les membres du groupe Administrateurs de domaine soient supprimés.
Instructions pas à pas pour sécuriser les administrateurs de domaine dans Active Directory
Dans Gestionnaire de serveur, cliquez sur Outils, puis sur Gestion de stratégie de groupe.
Dans l’arborescence de la console, développez <Forêt>\Domaines\<Domaine>, puis Objets de stratégie de groupe (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).
Dans l’arborescence de la console, cliquez avec le bouton droit sur Objets de stratégie de groupe, puis cliquez sur Nouveau.
Dans la boîte de dialogue Nouvel objet de stratégie de groupe, tapez <Nom de l’objet de stratégie de groupe>, puis cliquez sur OK (où <Nom de l’objet de stratégie de groupe> est le nom de cet objet de stratégie de groupe).
Dans le volet des détails, cliquez avec le bouton droit sur <Nom de l’objet de stratégie de groupe>, puis cliquez sur Modifier.
Accédez à Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies et cliquez sur Attribution des droits utilisateur.
Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine d’accéder aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :
Double-cliquez sur Refuser l’accès à cet ordinateur à partir du réseau, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine de se connecter en tant que tâche de traitement par lots en procédant comme suit :
Double-cliquez sur Refuser l’ouverture de session en tant que tâche de traitement par lots, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur de façon à empêcher les membres du groupe Administrateurs de domaine de se connecter en tant que service en procédant comme suit :
Double-cliquez sur Refuser l’ouverture de session en tant que service, puis sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine de se connecter localement aux serveurs membres et aux stations de travail sur le réseau en procédant comme suit :
Double-cliquez sur Refuser l’ouverture d’une session locale et sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Configurez les droits utilisateur pour empêcher les membres du groupe Administrateurs de domaine d’accéder aux serveurs membres et aux stations de travail via les Services Bureau à distance en procédant comme suit :
Double-cliquez sur Refuser l’ouverture de session via les Services Bureau à distance et sélectionnez Définir ces paramètres de stratégie.
Cliquez sur Ajouter un utilisateur ou un groupe, puis sur Parcourir.
Tapez Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Cliquez sur OK, puis de nouveau sur OK.
Pour quitter l’Éditeur de gestion des stratégies de groupe, cliquez sur Fichier, puis sur Quitter.
Dans Gestion des stratégies de groupe, liez l’objet de stratégie de groupe aux unités d’organisation des stations de travail et serveurs membres en procédant comme suit :
Accédez à <Forêt>\Domaines\<Domaine> (où <Forêt> est le nom de la forêt et <Domaine> est le nom du domaine dans lequel vous souhaitez définir la stratégie de groupe).
Cliquez avec le bouton droit sur l’unité d’organisation à laquelle l’objet de stratégie de groupe sera appliqué, puis cliquez sur Lier un objet de stratégie de groupe existant.
Sélectionnez l’objet de stratégie de groupe que vous venez de créer, puis cliquez sur OK.
Créez des liens vers toutes les autres unités d’organisation qui contiennent des stations de travail.
Créez des liens vers toutes les autres unités d’organisation qui contiennent des serveurs membres.
Important
Si des serveurs de saut sont utilisés pour administrer les contrôleurs de domaine et Active Directory, vérifiez qu’ils se trouvent dans une unité d’organisation à laquelle cet objet de stratégie de groupe n’est pas lié.
Étapes de vérification
Vérifier les paramètres de l’objet de stratégie de groupe « Interdire l’accès à cet ordinateur à partir du réseau »
À partir d’un serveur membre ou d’une station de travail qui n’est pas affecté(e) par les modifications de l’objet de stratégie de groupe (par exemple un « serveur de saut »), essayez d’accéder à un serveur membre ou à une station de travail sur le réseau qui est affecté(e) par les modifications de l’objet de stratégie de groupe. Pour vérifier les paramètres de l’objet de stratégie de groupe, essayez de mapper le lecteur système à l’aide de la commande NET USE.
Connectez-vous localement à l’aide d’un compte membre du groupe Administrateurs de domaine.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez invite de commandes, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu’administrateur pour ouvrir une invite de commandes avec élévation de privilèges.
Quand vous êtes invité à approuver l’élévation, cliquez sur Oui.
Dans la fenêtre Invite de commandes, tapez net use \\<Nom du serveur>\c$, où <Nom du serveur> est le nom du serveur membre ou de la station de travail auquel/à laquelle vous tentez d’accéder via le réseau.
La capture d’écran suivante montre le message d’erreur qui doit s’afficher.
Vérifier les paramètres d’objet de stratégie de groupe « Refuser l’ouverture de session en tant que tâche de traitement par lots »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Créer un fichier batch
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez bloc-notes, puis cliquez sur Bloc-notes.
Dans Bloc-notes, tapez dir c:.
Cliquez sur Fichier, puis sur Enregistrer sous.
Dans le champ Nom de fichier, tapez <Filename>.bat (où <Filename> est le nom du nouveau fichier de batch).
Planifier une tâche
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez planificateur de tâches, puis cliquez sur Planificateur de tâches.
Notes
Sur les ordinateurs exécutant Windows 8, dans la zone Rechercher, tapez planifier des tâches, puis cliquez sur Planifier des tâches.
Dans la barre de menus Planificateur de tâches, cliquez sur Action, puis sur Créer une tâche.
Dans la boîte de dialogue Créer une tâche, tapez <Nom de la tâche> (où <Nom de la tâche> est le nom de la nouvelle tâche).
Cliquez sur l’onglet Actions, puis sur Nouveau.
Dans le champ Action, sélectionnez Démarrer un programme.
Sous Programme/script, cliquez sur Parcourir, recherchez et sélectionnez le fichier de commandes créé dans la section Créer un fichier de commandes, puis cliquez sur Ouvrir.
Cliquez sur OK.
Cliquez sur l’onglet General (Général).
Sous les options de Sécurité, cliquez sur Modifier l’utilisateur ou le groupe.
Tapez le nom d’un compte membre du groupe Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Sélectionnez Exécuter même si l’utilisateur n’est pas connecté, puis Ne pas stocker le mot de passe. La tâche n’aura accès qu’aux ressources de l’ordinateur local.
Cliquez sur OK.
Une boîte de dialogue doit s’afficher, invitant à fournir les informations d’identification du compte d’utilisateur pour exécuter la tâche.
Après avoir entré les informations d’identification, cliquez sur OK.
Une boîte de dialogue similaire à ce qui suit doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture de session en tant que service »
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez services, puis cliquez sur Services.
Recherchez et double-cliquez sur Spouleur d’impression.
Cliquez sur l'onglet Se connecter.
Sous Ouvrir une session en tant que, sélectionnez l’option Ce compte.
Cliquez sur Parcourir, tapez le nom d’un compte membre du groupe Administrateurs de domaine, cliquez sur Vérifier les noms, puis sur OK.
Sous Mot de passe et Confirmer le mot de passe, tapez le mot de passe du compte sélectionné, puis cliquez sur OK.
Cliquez à nouveau sur OK à trois reprises.
Cliquez avec le bouton droit sur Spouleur d’impression et cliquez sur Redémarrer.
Quand le service est redémarré, une boîte de dialogue similaire à celle-ci doit s’afficher.
Rétablir les modifications apportées au service de spouleur d’impression
À partir d’un serveur membre ou d’une station de travail affecté(e) par les modifications d’objet de stratégie de groupe, connectez-vous localement.
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez services, puis cliquez sur Services.
Recherchez et double-cliquez sur Spouleur d’impression.
Cliquez sur l'onglet Se connecter.
Sous Se connecter en tant que, sélectionnez le compte Système local, puis cliquez sur OK.
Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture d’une session locale »
À partir de n’importe quel serveur membre ou station de travail affecté(e) par les modifications apportées à l’objet de stratégie de groupe, essayez de vous connecter localement à l’aide d’un compte membre du groupe Administrateurs de domaine. Une boîte de dialogue similaire à ce qui suit doit s’afficher.
Vérifier les paramètres de l’objet de stratégie de groupe « Refuser l’ouverture de session via les Services Bureau à distance »
Avec la souris, déplacez le pointeur dans le coin supérieur droit ou inférieur droit de l’écran. Lorsque la barre des icônes s’affiche, cliquez sur Rechercher.
Dans la zone Rechercher, tapez connexion Bureau à distance, puis cliquez sur Connexion Bureau à distance.
Dans le champ Ordinateur, tapez le nom de l’ordinateur auquel vous souhaitez vous connecter, puis cliquez sur Se connecter. (Vous pouvez également taper l’adresse IP au lieu du nom de l’ordinateur.)
Quand vous y êtes invité, fournissez les informations d’identification d’un compte membre du groupe Administrateurs de domaine.
Une boîte de dialogue similaire à ce qui suit doit s’afficher.
