Lorsque vous vous penchez sur des problèmes de sécurité essentiels, il est facile de passer à côté des petits détails. Cet article aborde l’un de ces aspects secondaires : l’objet AdminSDHolder dans Active Directory.
Cache-cache avec les permissions Active Directory
Il y a peu, j’ai redécouvert un comportement obscur d’Active Directory alors que je devais configurer ActiveSync sur un serveur Exchange 2010 pour un utilisateur équipé d’un iPhone. Un message m’a signalé que le compte d’utilisateur dans AD n’avait pas les permissions héritées nécessaires requises par Exchange Server pour créer un objet représentant l’iPhone. Au cours de mes vérifications, j’ai constaté que les permissions étaient en place au niveau du domaine mais, à l’examen des paramètres de sécurité de l’objet utilisateur, j’ai constaté que l’héritage avait été désactivé.
Cache-cache avec les permissions Active Directory
Ce phénomène m’a paru étrange car la case à cocher était activée pour d’autres objets utilisateurs. J’ai activé l’héritage mais, quelques minutes plus tard, le paramètrea mystérieusement disparu. J’ai réalisé rapidement d’où venait le problème. L’utilisateur en question était membre du groupe Admins du domaine (Domain Admins) et l’héritage des permissions avait été désactivé en raison d’un mécanisme AD obscur chargé de protéger les comptes utilisateur avec privilèges.
Lors de la conception initiale d’Active Directory, les développeurs de Microsoft étaient préoccupés par le fait que les permissions à l’échelle du domaine puissent mettre en danger la sécurité des comptes nécessitant un niveau de protection accru. Par exemple, si vous autorisez le personnel du help desk à réinitialiser les mots de passe utilisateurs dans votre domaine, qu’est-ce qui les empêcherait de modifier les mots de passe administrateurs et d’interdire à ces derniers l’accès au domaine ? Dans une structure AD bien organisée, vous pouvez éviter ce problème en délégant les permissions uniquement pour certaines entités organisationnelles (OU) et en déplaçant tous les comptes avec privilèges vers une OU distincte. Néanmoins, soyons réalistes, la majorité des sociétés placent tous les utilisateurs dans une seule OU, et quiconque en mesure de modifier les objets représentant des utilisateurs lambda peut aussi modifier les objets représentant les administrateurs.
Pour éviter ce type de phénomène, un processus s’exécute toutes les heures sur les contrôleurs de domaine et désactive l’héritage des permissions au niveau de tous les objets utilisateurs membres de certains groupes avec privilèges. Le processus remplace toutes les permissions existantes par celles définies dans un modèle. Ainsi, des permissions au niveau du domaine qui, par inadvertance, autoriseraient un compte utilisateur sans privilèges à modifier un compte avec privilèges seront annulées en un maximum d’une heure. Par exemple, même si vous octroyez des permissions de niveau domaine permettant à votre personnel de help desk de modifier les mots de passe, ils ne pourront pas toucher au mot de passe de l’administrateur dès l’exécution suivante du processus d’arrière-plan.
Pour aller Plus loin sur AD avec les experts @ITPROFR :
ChatGPT : bénédiction ou malédiction pour la sécurité d’AD ? (itpro.fr)
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Les 6 étapes vers un diagnostic réussi
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Et si les clients n’avaient plus le choix ?
Les plus consultés sur iTPro.fr
- Les actions pour un environnement de travail numérique durable
- Fin de vie pour Windows Server Update Services ! Après ?
- Cycle des données d’IA : le rôle stratégique du stockage dans l’entreprise
- DAF 2035 : principaux axes de transformation
- Les attaques par détournement de session : attention aux cookies et jetons de session