Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Déployez et configurez les meilleures pratiques pour le contrôleur de domaine

Déployez et configurez les meilleures pratiques pour le contrôleur de domaine

Jan 30, 2017

Les administrateurs informatiques travaillent avec et autour de Active Directory depuis l'introduction de la technologie dans Windows 2000 Server. Windows 2000 Server a été lancé le 17 février 2000, mais de nombreux administrateurs ont commencé à travailler avec Active Directory fin 1999, lorsqu'il a été publié pour la fabrication (RTM) le 15 décembre 1999.

Il existe de bonnes pratiques à respecter lors du déploiement des DCs. Beaucoup de ces pratiques sont documentées. Mais peu d'organisations mettent ces pratiques en œuvre.

Comment déployer et configurer un contrôleur de domaine

Nous allons passer outre les bonnes pratiques bien connues telles que la maintenance de la base de données Active Directory sur un ensemble de broches de disque, les fichiers journaux sur des broches de disque séparées et le système d'exploitation sur son propre ensemble de broches de disque.

Certaines des bonnes pratiques moins mises en œuvre pour les contrôleurs de domaine sont :

Exécutez l'installation de Server Core du système d'exploitation.

De nombreux administrateurs évitent le changement, surtout pour des systèmes tels que AD DS qui sont incroyablement stables. Ainsi, lorsqu'un nouvel administrateur propose de passer à l'installation de Server Core, il est souvent accueilli par des regards glacials. Mais la réalité est que la plupart des administrateurs gèrent AD DS à distance en lançant ADUC ou PowerShell sur leur ordinateur client ou administratif. Tous les outils de gestion principaux, y compris le Centre d'administration Active Directory (ADAC) et Windows PowerShell, fonctionnent presque identiquement lorsqu'ils sont utilisés localement sur un DC ou à distance depuis un ordinateur client ou un ordinateur administratif. Ainsi, en passant à l'installation de Server Core, l'expérience administrative n'est pas dégradée. Et, vous bénéficiez d'améliorations de sécurité et de quelques petites améliorations de performance.

Contenu connexe sélectionné :

N'exécutez pas d'autres logiciels ou services sur un DC.

Il y a de cela une dizaine d'années, la plupart des organisations utilisaient des serveurs physiques car la virtualisation en était à ses débuts. Ainsi, lorsqu'il était nécessaire de mettre en place un nouveau serveur de fichiers, serveur DHCP ou serveur d'impression, les administrateurs se tournaient souvent vers un serveur existant. Un DC était souvent utilisé également. Avançons rapidement à 2015 où la virtualisation est devenue la norme par défaut et où la provision automatisée permet de livrer une nouvelle VM en quelques minutes et l'ancienne méthode n'est plus aussi convaincante. Maintenant, lorsque vous avez besoin d'un emplacement pour un serveur de fichiers, serveur DHCP, serveur d'impression ou tout autre serveur d'application, vous pouvez provisionner une nouvelle VM. Ou mieux encore, vous pouvez provisionner une nouvelle VM en tant que serveur utilitaire. Un serveur utilitaire est un serveur qui héberge toutes les applications et services trop petits pour justifier un serveur dédié. Cela permet à vos DCs de se concentrer sur un service dédié, ce qui apporte plus de stabilité.

Ajustez l'ordre de démarrage et définissez un mot de passe BIOS.

Bien que tous vos DC en lecture-écriture doivent se trouver dans un centre de données sécurisé, de nombreuses personnes IT et non-IT ont accès à ce centre de données. Par exemple, les électriciens sous contrat qui travaillent sur le système de refroidissement ont accès au centre de données. De plus, il y a probablement des techniciens réseau, des techniciens de câblage et des responsables IT avec un accès au centre de données. Quiconque a un accès physique à un DC peut accéder physiquement à un DC en seulement quelques minutes via une console dans le centre de données. Il existe des images de démarrage freeware spécialisées que vous pouvez utiliser pour démarrer et réinitialiser des mots de passe, installer des logiciels malveillants ou accéder aux données du disque, en supposant que le disque n'est pas chiffré. Pour éviter cela, effectuez les configurations suivantes :

  • Assurez-vous que tous les supports amovibles ne font pas partie de l'ordre de démarrage du BIOS. Au lieu de cela, seul le disque dur où le système d'exploitation est installé devrait faire partie de l'ordre de démarrage. Cela est également vrai pour vos serveurs hôtes de virtualisation, si vous avez des DC virtuels.
  • Définissez un mot de passe BIOS fort. Si vous ne définissez pas de mot de passe BIOS, quelqu'un peut modifier l'ordre de démarrage, démarrer sur le support d'installation de Windows Server ou de nombreux kits d'outils gratuits, effectuer une réparation pour accéder à l'invite de commande. Une fois à l'invite de commande, ils peuvent semer le chaos et réinitialiser rapidement les mots de passe des comptes de domaine.
  • Gardez les contrôleurs de domaine dans une armoire verrouillée. Bien qu'un mot de passe BIOS constitue une couche de sécurité, si l'attaquant est un tant soit peu compétent, il saura probablement comment réinitialiser le BIOS de manière à ce que la configuration soit remise à zéro et le mot de passe supprimé. Souvent, cela nécessite d'accéder à la carte mère. Vous pouvez réduire le risque d'une telle attaque en gardant les contrôleurs de domaine dans une armoire verrouillée. Certains serveurs permettent également l'utilisation de verrous de châssis. Dans des environnements hautement sécurisés, vous devriez opter pour les deux.

Standardisez la configuration de tous les contrôleurs de domaine.

Vous devriez essayer d'harmoniser les paramètres de configuration pour chaque DC. Vous pouvez réaliser une partie de cela en utilisant l'automatisation de construction via des outils de déploiement tels que System Center Configuration Manager. Les éléments d'intérêt pour les DCs sont les paramètres de taille du journal des événements pour s'assurer que vous disposez de tailles suffisamment grandes pour capturer les informations d'audit et de sécurité, les paramètres de démarrage tels que le délai d'attente pour la sélection du système d'exploitation sur les serveurs physiques, les versions et paramètres du firmware et du BIOS, et la configuration matérielle. Bien sûr, il y a beaucoup d'autres éléments de configuration à standardiser en utilisant Group Policy. L'objectif principal est de configurer les DCs de manière identique.

Vous trouverez plus d'informations sur les bases de Active Directory dans notre AD tutorial for beginners.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Brian Svidergol

TI

Expert en infrastructure Microsoft et solutions basées sur le cloud autour de Windows, Active Directory, Azure, Microsoft Exchange, System Center, virtualisation et MDOP. En plus de rédiger des livres, Brian écrit du contenu de formation, des livres blancs et est relecteur technique sur un grand nombre de livres et publications.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Confiances dans Active Directory

Attaques de rançongiciels sur Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité