Les contrôleurs de domaine Windows Server 2008 fonctionnant en mode RODC disposent d’un mécanisme de gestion des mots de passe des utilisateurs et des ordinateurs spécifique. L’idée est de faire en sorte qu’en cas de vol d’un contrôleur de domaine RODC éloigné, il n’existe sur la machine aucun mot de
Sécurisation des mots de passe sur les contrôleurs RODC et RODC Password Replication Policy
passe utilisateur susceptible d’être cassé. Cette méthode radicale garantie qu’il sera impossible, même en volant la machine, de lancer une attaque brute contre la base de données Active Directory.
Dans la pratique, le contrôleur de domaine RODC du site transmet la demande d’authentification du client vers un contrôleur de domaine disponible en lecture et en écriture fonctionnant sous Windows Server 2008. Une fois l’utilisateur authentifié, le contrôleur RODC demande à ce qu’une copie des informations de sécurité de l’utilisateur lui soit transmise. Le contrôleur de domaine disponible en écriture reconnaît que la demande est initiée par un RODC et, dans ce cas, consulte la RODC Password Replication Policy. C’est celle-ci qui déterminera si oui ou non les informations de sécurité peuvent être répliquées vers le contrôleur RODC. En conclusion, il est du ressort de l’administrateur de définir une stratégie de réplication des mots de passe des utilisateurs sachant que, par défaut, aucun mot de passe n’est stocké sur le RODC.
Microsoft recommande de conserver la stratégie par défaut (RODC Password Replication policy) pour préserver la sécurité des comptes d’utilisateurs et d’ordinateurs sur ces contrôleurs. Il conviendra de s’assurer que les trafics réseaux des demandes d’authentification transmises vers un contrôleur Windows Server 2008 disponible en écriture sont acceptables.
Contrôleurs RODC et stockage des mots de passe…
A l’exception de tous les mots de passe, la base de données Active Directory d’un contrôleur de type RODC contient l’intégralité des objets des différentes partitions d’annuaire. Les seuls mots de passe stockés par défaut sont ceux associés au compte de l’ordinateur lui-même, ainsi que celui du compte krbtgt spécifique au contrôleur de type RODC.
Conditions requises pour déployer un contrôleur en mode lecture seule (DCRO) et limitations… Pour déployer un serveur Windows Server 2008 jouant le rôle de DCRO, le rôle FSMO de type PDC Emulator doit impérativement être tenu par un contrôleur fonctionnant aussi sous Windows Server 2008. Il faudra aussi s’assurer que le niveau fonctionnel du domaine est de type Windows Server 2003. Le fonctionnement du contrôleur RODC est tout à fait habituel puisque la réplication unidirectionnelle du serveur RODC s’applique au niveau AD DS et aussi au niveau de la réplication du SYSVOL via NTFRS ou DFS-R, point essentiel pour que le contrôleur accueille les habituels objets stratégies de groupe. Enfin, il convient que pour des raisons de sécurité en rapport avec l’infrastructure Active Directory, un contrôleur de domaine de type RODC ne peut jouer aucun rôle FSMO (Flexible Simple Master Operations), ni serveur tête de pont (bridgehead server)
De nombreuses autres nouveautés en rapport avec la sécurité sont intégrées à Windows Server 2008. Les Services de Certificats (AD CS) apportent de nouvelles fonctionnalités et les Services de Gestion des Droits Numériques (AD RMS) sont intégrés en standard. Nous présenterons ces nouveautés prochainement dans une 2ème partie !
> Découvrez dès maintenant la suite de cet article : Evolution des services de sécurité de Windows Server 2008
Téléchargez cette ressource
Travail à distance – Guide IT et Métiers
Le travail à distance met à l'épreuve la maturité numérique des entreprises en termes de Cybersécurité, d'espace de travail, de bien-être des collaborateurs, de communication et gestion de projet à distance. Découvrez, dans ce nouveau Guide Kyocera, quels leviers activer prioritairement pour mettre en place des solutions de travail à domicile efficaces, pérennes et sécurisées.
Les articles les plus consultés
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Les 6 étapes vers un diagnostic réussi
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Afficher les icônes cachées dans la barre de notification
Les plus consultés sur iTPro.fr
- Azul permet aux entreprises de simplifier leurs environnements Java
- AI Speech double toutes vos vidéos !
- Finance : l’IA générative plébiscitée pour les décisions stratégiques
- Cybersécurité : les comportements à risque des collaborateurs
- Prédictions 2025 : voici comment l’intelligence artificielle va redéfinir la sécurité de 3 façons