Serveur d'impression

Meilleures pratiques pour la sécurisation des contrôleurs de domaine de la succursale – Bien choisir son serveur d impression

Par Titanfall , le 9 août 2019 - 8 minutes de lecture

Livraison fournisseur de solution: Pour les clients Windows ayant des succursales, les fournisseurs de solutions peuvent sécuriser les contrôleurs de domaine en suivant nos meilleures pratiques.

Les organisations actuelles sont probablement composées de nombreuses succursales. Une succursale typique est un petit bureau distant hébergeant moins de 50 personnes, connecté au site du siège via un lien de réseau étendu (WAN) de manière distribuée. En raison des coûts élevés associés à l’achat de bande passante, ces liaisons de réseau étendu sont généralement lentes, peu fiables et inefficaces; Les boutiques Windows résolvent ce problème en installant des contrôleurs de domaine Active Directory (AD) au niveau de la succursale. Les contrôleurs de domaine sont utilisés pour authentifier les utilisateurs de l'entreprise et leur fournir un accès aux ressources du domaine.

Les entreprises rencontrent un certain nombre de difficultés lors de la mise en œuvre de contrôleurs de domaine au niveau de la succursale, notamment le manque de sécurité physique, des contrôleurs de domaine volés, le manque de séparation des rôles administratifs, le manque de personnel de support informatique et le manque d'isolation des services, les contrôleurs de domaine résidant généralement sur des serveurs en fonctionnement. d'autres services, tels que Exchange.

Windows Server 2008 répond à ces préoccupations. Les fournisseurs de solutions doivent adhérer aux stratégies et meilleures pratiques suivantes lors du déploiement et de la sécurisation des contrôleurs de domaine pour les clients de la succursale:

  • Utilisez les contrôleurs de domaine en lecture seule de Windows Server 2008.
  • Implémentez BitLocker pour chiffrer les données au niveau du volume.
  • Tirez parti de la virtualisation des serveurs pour l’isolation des services et la consolidation des serveurs.

Utilisation de contrôleurs de domaine en lecture seule à la succursale

Windows Server 2008 introduit un nouveau type de contrôleur de domaine en lecture seule adapté aux emplacements où la sécurité ne peut pas être garantie, comme dans les succursales. Le contrôleur de domaine en lecture seule héberge une copie de la base de données Active Directory comme tout autre contrôleur de domaine accessible en écriture, mais comme son nom l'indique, les métadonnées stockées dans la base de données du domaine AD résidant sur le contrôleur de domaine sont en lecture seule et les opérations d'écriture ne sont pas prises en charge. Cette caractéristique des contrôleurs de domaine en lecture seule fournit une couche de sécurité supplémentaire, dans la mesure où toute modification de données non autorisée, en particulier les modifications apportées dans l'intention de nuire à l'organisation, ne se répliquera pas sur d'autres contrôleurs de domaine.

Une autre fonctionnalité intéressante des contrôleurs de domaine en lecture seule est qu'ils prennent en charge la mise en cache des informations d'identification. Un contrôleur de domaine en lecture seule ne stockera pas les informations de compte d'utilisateur, telles que l'ID de connexion et le mot de passe associés au domaine AD sur le contrôleur de domaine. L'exception est lorsque vous autorisez explicitement un ensemble d'utilisateurs, tels que les employés de succursales, à mettre en cache leurs informations d'identification au niveau de la succursale afin de prendre en charge l'authentification locale. Cela limite davantage l'exposition du point de vue de la sécurité, car seul un petit nombre de comptes d'utilisateurs est susceptible d'être compromis, par rapport à chaque compte d'utilisateur du domaine.

Enfin, il est possible d'octroyer à un utilisateur de domaine non administrateur le droit de se connecter à un contrôleur de domaine en lecture seule, tout en réduisant les risques de sécurité liés à l'accès à la forêt Active Directory. Par conséquent, ils peuvent se connecter pour modifier un élément sur le serveur. Cependant, contrairement au passé, ils ne disposent pas d'un accès complet au domaine Active Directory.

Chiffrement des contrôleurs de domaine de succursale avec BitLocker

Microsoft a ajouté Windows BitLocker Drive Encryption à Windows Server 2008 principalement en raison de la nécessité pour les entreprises de protéger non seulement leurs systèmes d’exploitation de la succursale, mais également les données vitales stockées sur le volume système et les volumes de stockage de données situés à ces emplacements. Le chiffrement de lecteur BitLocker, généralement appelé simplement BitLocker, est une fonctionnalité de sécurité de protection des données optimisée pour le matériel, incluse dans toutes les versions de la famille de systèmes d'exploitation Windows 2008. C'est un composant optionnel qui doit être installé si vous choisissez de l'utiliser.

BitLocker augmente la protection des données pour un système d'exploitation en fusionnant deux concepts: le cryptage des volumes de données et la garantie de l'intégrité des composants de démarrage du système d'exploitation. En exploitant BitLocker sur les contrôleurs de domaine des succursales, les fournisseurs de solutions peuvent garantir aux clients que les données Active Directory résidant sur le contrôleur de domaine sont cryptées et bien protégées en cas de compromission ou de vol du serveur.

Exploitation de la virtualisation pour l'isolation de services et la consolidation de serveurs

Un autre défi du déploiement de contrôleurs de domaine à la succursale est que plusieurs applications peuvent résider sur le même serveur que le contrôleur de domaine. Par exemple, le serveur exécutant le rôle de contrôleur de domaine au niveau de la succursale peut également héberger Exchange, des applications professionnelles tierces et des services de fichier et d'impression. Du point de vue des contrôleurs de domaine, il s’agit d’un problème de sécurité majeur. Par exemple, si un administrateur se connecte au serveur pour gérer une application tierce, il disposera de tous les privilèges sur le contrôleur de domaine et le domaine Active Directory, les comptes d'utilisateurs et tout autre service exécuté sur cette machine.

Le scénario alternatif pour résoudre l'isolation de service dans la succursale consisterait à placer chaque service sur un serveur dédié. La maintenance d'un plus grand nombre de serveurs afin de remédier à l'isolation des services augmente les coûts de matériel et de gestion. Heureusement, les deux défis peuvent être résolus en utilisant une technologie de virtualisation de serveur telle que VMware ESX Server ou Microsoft Hyper-V. Avec une plate-forme de virtualisation de serveur, vos clients peuvent virtualiser plusieurs systèmes d’exploitation et applications de la succursale sur une seule machine physique. Cela procure des avantages économiques et une gestion réduite tout en renforçant la sécurité des contrôleurs de domaine de la succursale.

En conclusion, Windows Server 2008 introduit de nouvelles fonctionnalités avancées permettant aux fournisseurs de solutions de protéger et de sécuriser les contrôleurs de domaine des succursales dépourvues de sécurité physique. Les fournisseurs de solutions doivent implémenter les RODC, mettre en cache les informations d'identification locales des comptes d'utilisateur des succursales et chiffrer les volumes de contrôleurs de domaine des succursales, en plus de tirer parti de la virtualisation pour consolider les serveurs et isoler les services. Ces meilleures pratiques aideront à sécuriser les bureaux distants de vos clients.

A propos de l'auteur
Ross Mistry est partenaire et consultant principal chez Convergent Computing dans la région de la baie de San Francisco. Il se concentre sur la mise en œuvre de la solution Active Directory, Exchange et SQL Server pour les entreprises Fortune ayant une présence mondiale. Il est l'auteur de
Gestion et administration de SQL Server 2008et co-auteur de Windows Server 2008 Unleashed et Gestion et administration de SQL Server 2005, ainsi qu’un contributeur sur Exchange Server 2007 Unleashed, Hyper-V Unleashed et SharePoint Server 2007 déchaîné. Ross est également un MVP Microsoft SQL Server et intervient fréquemment lors de conférences internationales telles que SQL Server PASS et Dev Connections.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.