Vous passez à WS2016 / 2019? Envisager un filet de sécurité pour AD – Serveur d’impression
Un collègue ici chez Semperis m'a récemment mis en boucle avec le gestionnaire d'un grand environnement Active Directory fonctionnant sur Windows Server 2008 R2. Avec la fin de la prise en charge de Windows Server 2008 et 2008 R2 bientôt disponible (officiellement le 14 janvier 2020), la planification est en cours pour la mise à niveau de la forêt de la société et de 110 contrôleurs de domaine vers Windows Server 2016 (l'état final sélectionné par cette société particulière) . Mais un élément du plan de mise à niveau s'avère difficile, et je vais vous expliquer pourquoi.
Espérer pour le meilleur, planifier pour le pire
Dans cette organisation, tout changement significatif de l'infrastructure informatique nécessite un plan de projet approuvé qui inclut des mesures de correction en cas de problème. Dans le cas d'une mise à niveau, cela signifie un moyen de «revenir en arrière» si la mise à niveau échoue pour une raison quelconque ou s'avère problématique (par exemple, interrompt une application critique). Bien que «revenir en arrière» soit assez simple avec de nombreuses mises à niveau, ce n'est pas le cas avec AD.
En effet, une mise à niveau AD est plus que la mise à niveau (ou la reconstruction) de contrôleurs de domaine individuels: vous apportez également des modifications à chaque domaine et à la forêt entière, et au moins une de ces modifications est irréversible. Imaginez que l'application critique qui ne fonctionne pas avec la nouvelle fonctionnalité AD (et plus sécurisée) soit une application de dinosaure manuscrite dont les développeurs se sont tous retirés il y a longtemps. Dans cette situation, vous envisagez peut-être de restaurer AD à partir d'une sauvegarde et de l'exécuter sur l'ancienne version jusqu'à ce que l'application puisse être mise à jour ou remplacée.
Mieux … mais il y a toujours un problème
Historiquement, la mise à niveau d'AD a nécessité trois changements irréversibles:
1. Schéma: Une mise à niveau du schéma est requise avant de mettre à niveau le premier contrôleur de domaine dans la forêt (ou d'introduire le premier contrôleur de domaine de niveau supérieur). Les changements de schéma ont toujours été – et sont toujours – irréversibles.
2. Niveau fonctionnel de domaine (LDF): Une fois que tous les contrôleurs de domaine d'un domaine ont été mis à niveau (ou rétrogradés hors de l'environnement), la prochaine étape du processus de mise à niveau AD augmente le LDF. (Une exception est la mise à niveau de 2016 à 2019: il n'y a pas de niveau fonctionnel pour 2019, donc il n'y a pas besoin – ni même la possibilité – d'augmenter le LDF.)
Historiquement, l'augmentation du LDF était un changement irréversible. Cependant, à partir de Windows Server 2012, il est possible de restaurer le LDF. Il existe certaines mises en garde, comme indiqué dans les guides de mise à niveau de Windows Server 2012 et Windows Server 2016 de Microsoft. Mais pour la plupart des organisations mettant à niveau AD à partir de 2008 ou 2008 R2, la restauration est possible.
3. Niveau fonctionnel de la forêt (FFL): Une fois que tous les domaines de la forêt ont été mis à niveau, la prochaine étape du processus de mise à niveau AD consiste à augmenter le FFL. (Encore une fois, il y a une exception si vous passez de 2016 à 2019.)
Comme pour le DFL, l'augmentation du FFL était historiquement un changement irréversible, mais un retour en arrière est désormais possible. (Remarque: le retour à FFL 2008 n'est possible que si la corbeille AD n'a pas été activée.)
Alors que deux des trois étapes du «point de non-retour» peuvent désormais être réversibles, la mise à niveau d'AD nécessite toujours une mise à niveau irréversible du schéma. C'est ce moment où vous vous arrêtez avant d'appuyer sur la touche pour continuer. Et si vous mettez à niveau une AD dont vous avez hérité ou qui existe depuis un certain temps, vous pouvez vous arrêter un peu plus longtemps.
Atténuation des risques
Si votre AD est saine, la mise à niveau du schéma n'est généralement pas un problème. Cependant, la direction n'aime pas entendre qu'il n'y a pas de retour. Et soyons honnêtes: tout administrateur AD qui mérite le titre hésite avant d'appuyer sur la touche pour démarrer une étape irréversible.
Si vous effectuez une matrice d'évaluation des risques, le risque relève de la catégorie de faible probabilité mais d'impact élevé, et devrait donc avoir un plan d'atténuation en place. Pour une mise à niveau AD, l'atténuation des risques signifie la récupération des forêts.
Une proposition difficile
Voici le problème: la récupération des forêts n'est pas une tâche simple. Vous sauvegardez probablement des contrôleurs de domaine régulièrement, mais les sauvegardes de contrôleurs de domaine ne suffisent pas – vous avez également besoin d'informations détaillées sur votre topologie AD, ainsi que d'une méthode fiable de récupération. Il n’existe pas d’outil natif pour la récupération des forêts, et le processus manuel décrit par Microsoft est très exigeant. D'après mon expérience, peu d'équipes AD ont déjà tenté une récupération forestière, même dans un environnement de laboratoire.
La bonne nouvelle est que des outils tiers sont disponibles pour automatiser la récupération et vous assurer que vous disposez des sauvegardes nécessaires pour récupérer votre environnement AD. Semperis AD Forest Recovery est l'un de ces outils:
Semperis automatise la récupération des forêts, fournissant ainsi la mesure de correction requise pour votre plan de mise à niveau AD. Les capacités de récupération et de cartographie IP de Semperis Anywhere facilitent également les tests de mise à niveau en laboratoire avant la mise à niveau de la production.
Un filet de sécurité permanent
Bien sûr, une mise à niveau n'est pas la seule chose qui met votre AD en danger. Les cyberattaques sont une menace constante. Par exemple, un récent article sur Wired.com décrit comment un attaquant a retiré tous les DC pour les Jeux olympiques d'hiver de 2018 à Séoul, en Corée du Sud.
Tous les outils de récupération AD ne protègent pas contre ce type de menace. Par exemple, ils peuvent réintroduire des logiciels malveillants dans l'état du système et des sauvegardes bare-metal, ou avoir du mal à restaurer sur différents matériels virtuels ou physiques. Il est donc important de choisir un outil qui couvre les cyber-scénarios (ransomware, attaques par essuie-glace, etc.) et pas seulement les scénarios opérationnels (tels que les mises à niveau de schéma ou les erreurs administratives, la corruption DIT, les défaillances du logiciel AD, etc. qui étaient des préoccupations au début). jours après JC).
Alors qu'une mise à niveau AD peut être l'impulsion (ou l'opportunité) pour se procurer un outil de récupération AD, le bon outil peut fournir une valeur longtemps après la mise à niveau. Ce message d'Ed Amoroso, expert en cybersécurité et ancien chef de la sécurité chez AT&T, est un excellent endroit pour en savoir plus.
Le post Mise à niveau vers WS2016 / 2019? Considérons un filet de sécurité pour AD apparu en premier sur Semperis.
*** Ceci est un blog syndiqué de Security Bloggers Network de Semperis rédigé par Sean Deuby. Lisez l'article d'origine sur: https://www.semperis.com/blog/upgrading-to-ws2016-2019-consider-a-safety-net-for-ad/
Commentaires
Laisser un commentaire