Serveur minecraft

Sauvegarde et restauration Active Directory rapides et sans risque avec le logiciel Quest • Le registre – Un bon serveur Minecraft

Le 6 juin 2020 - 10 minutes de lecture

Sponsorisé Microsoft a publié Active Directory (AD) à une époque où il détenait la plupart des ordinateurs de bureau professionnels et une grande partie du monde de l'informatique serveur. Deux décennies plus tard, le système d'annuaire et d'authentification de Microsoft est devenu un point unique pour la gestion des ressources et des identités dans de nombreux environnements informatiques d'entreprise.

Cela a également marqué AD pour l'attention des pirates, ce qui signifie que AD peut devenir votre talon d'Achille. Les attaquants claquent les portes de 95 millions de comptes AD chaque jour, selon le spécialiste des logiciels d'entreprise Quest Software. Ce n'est pas le seul service d'annuaire de Redmond menacé: selon Microsoft, 0,5% des comptes Azure Active Directory sont compromis chaque mois.

Cela peut sembler petit, mais c'est un chiffre terrifiant car AAD est intrinsèquement lié à Office 365, et les clients adoptent la suite de collaboration basée sur le cloud de Microsoft à un clip rapide. Selon le rapport d'adoption du cloud 2019 de Bitglass, Office 365 est le leader de la productivité du cloud par la suite avec un taux d'adoption de 79% contre 33% pour la suite G de Google.

Marée montante d'attaques

Comment les pirates essaient-ils de pénétrer dans les répertoires de Microsoft? Cela dépend beaucoup du fait qu'ils frappent AD ou AAD. Microsoft affirme que 40% des comptes AAD compromis sont victimes de la pulvérisation de mots de passe, où les pirates tentent de forcer l'accès par force avec des informations d'identification évidentes.

D'autres attaques courantes incluent l'exploitation de protocoles hérités, dont certains peuvent être désactivés facilement avec des stratégies de groupe et d'autres sont plus difficiles à bloquer. Les attaquants peuvent également utiliser des outils comme Mimikatz pour renifler certaines informations d'identification en mémoire, en leur donnant accès au compte. Les attaques Kerberoasting reposent sur des comptes de service mal configurés. Kerberos utilise le hachage NTLM d'un compte de service pour signer les tickets d'accès. Ceux-ci peuvent être mis hors ligne et piratés, donnant aux attaquants un accès administratif au service du compte de service.

Il existe également certains comptes qui auront des privilèges élevés, pour les opérateurs d'imprimantes et la sauvegarde, et qui auront la possibilité de se connecter aux contrôleurs de domaine (DC) par défaut. Ceux-ci sont mûrs pour une attaque. Et AD? Les attaques DDoS seront utilisées pour distraire les administrateurs pendant que les pirates recherchent des données spécifiques ou des comptes individuels. Ceux qui montent l'attaque ne comprennent pas toujours AD et, tant qu'ils obtiennent les données ou provoquent la perturbation, ils ne se soucient pas s'ils cassent le système. Malheureusement pour vous, un SYSVOL cassé ou une base de données corrompue peut niveler une forêt AD entière.

Quand Active Directory se retourne contre vous

L'une des plus grandes forces du répertoire pourrait également devenir son plus gros problème – pour vous. La réplication d'AD vous permet de copier automatiquement les données critiques entre les emplacements. Cela signifie que les données dans AD sont toujours à jour, quel que soit l'emplacement. Lorsque le système est utilisé correctement, c'est une excellente mesure de sauvegarde et garantit des opérations rationalisées, mais si un attaquant frappe, cette fonctionnalité peut se retourner contre vous. "Toute corruption introduite par l'attaquant peut se propager", nous dit le stratège principal de Quest, Colin Truran: "Vous ne le remarquerez peut-être pas pendant un certain temps – jusqu'à ce que vous ne puissiez plus vous en remettre."

À ce stade, le jeu est terminé – vous devrez tout restaurer.

La récupération reposera sur des sauvegardes complètes du serveur, ce qui n'est pas toujours possible. Si, par exemple, votre serveur de sauvegarde a également été infecté et verrouillé par un ransomware, alors vous avez vraiment des ennuis. Lorsque NotPetya a frappé le géant de la logistique Maersk et anéanti son système AD, il n'a été sauvé que par l'un des bureaux de l'entreprise au Ghana qui exploitait AD. Grâce à une faible bande passante locale, le contrôleur de domaine de ce bureau n'avait pas reproduit la corruption. La société a expédié cette machine pour une reconstruction minutieuse.

Art de la restauration

La marée montante de ces attaques et leurs conséquences signifie qu'il est crucial pour les organisations utilisant AD et AAD d'avoir un plan de récupération dans le palais.

La récupération est une affaire complexe qui implique des dizaines d'étapes pour chaque domaine, dont beaucoup doivent être effectuées dans un ordre donné. À un niveau élevé, la récupération initiale signifie la restauration du premier contrôleur accessible en écriture pour chaque domaine, la reconstruction des services AD, le nettoyage des métadonnées, le rétablissement des relations d'approbation, la réinitialisation des comptes et le redémarrage de la réplication.

Il s'agit d'un processus suffisamment complexe, mais d'autres facteurs tels que la pratique standard d'utilisation d'une forêt peuvent rendre la récupération encore plus difficile. Dans AD, une forêt est une collection Une collection d'un ou plusieurs domaines. Le premier est la racine – qui représente une sécurité plutôt que la frontière administrative entre les domaines.

Dans une implémentation AD de domaine unique, vous pouvez restaurer un seul des contrôleurs de domaine, mais dans une implémentation multi-domaine, il existe des rôles au niveau de la forêt qui contrôlent des choses comme l'identité et la réplication au niveau de la forêt. De plus, les domaines en dessous peuvent avoir leurs propres domaines «enfants» disposés dans une hiérarchie imbriquée. L'ordre de restauration est donc important, car ces domaines doivent s'authentifier entre eux et établir des relations de confiance.

L'autre défi survient lorsque vous essayez de restaurer AAD lorsqu'il fait partie d'un arrangement hybride. Beaucoup de gens ont tendance à penser que l'AAD dans le cloud dans le cloud n'est qu'une réplique de leur AD, mais c'est une grosse erreur, prévient Truran. «Ils ne réalisent vraiment pas qu'il y a tellement d'éléments dans Azure qui n'existent tout simplement pas dans Active Directory», dit-il. Ces éléments incluent tout, des attributs utilisateur tels que les associations d'application, les données d'authentification multifacteur et les politiques d'accès conditionnel.

"Si vous restaurez un objet Active Directory sur site comme un utilisateur et que vous le répliquez [to the cloud], l'utilisateur ne pourra rien accéder, car il n'aura aucune association avec sa boîte aux lettres, il n'aura pas accès aux applications. Ils n'auront même pas de licence. "

Il est donc vital que tout plan de récupération soit complet et – si vous exécutez un environnement cloud hybride – qu'il englobe la restauration de l'AD et de l'AAD. Surtout, votre plan devrait automatiser autant d'étapes que possible vers la récupération dans ce processus diaboliquement complexe.

Malheureusement, beaucoup de ceux qui utilisent AD et ADD n'ont pas de plans de récupération suffisants en place. En outre, ils s'appuient sur des interfaces administratives manuelles prises en charge par des politiques rudimentaires. Cela peut faire succomber la récupération à des erreurs qui impliquent de devoir redémarrer l'ensemble du processus de récupération.

Ajoutez à cela le problème que les plans de récupération doivent être mis à jour chaque fois que quelque chose change dans votre AD ou AAD – comme les modifications apportées aux objets de stratégie de groupe. Ces types de changements surviennent lorsque des organisations traversent des événements structurels comme une fusion ou une acquisition. Combien de services administratifs documentent pleinement ces changements? Sans une image claire, complète et précise d'une implémentation AD ou AAD, la récupération devient beaucoup plus difficile.

Donnez-nous les outils…

Les outils de sauvegarde et de récupération automatisés peuvent aider à surmonter bon nombre de ces défis. Les produits de récupération Active Directory de Quest automatisent et normalisent le processus de sauvegarde et de récupération, comblant ainsi les lacunes des outils natifs. Les outils de quête aident à protéger vos environnements AD et AAD et à les restaurer de manière ordonnée et séquencée. Ils offrent également des choix et la flexibilité dont vous avez besoin pour sélectionner les parties de votre hiérarchie de répertoires que vous souhaitez récupérer plutôt que de vous forcer à tout restaurer – utile pour réparer les éléments corrompus, explique Truran. Le système de récupération Quest virtualise également une configuration AD, afin que les organisations puissent réorganiser et apporter des modifications à AD en toute sécurité en travaillant sur une représentation du système avant la mise en ligne.

Pour AD local, Quest Recovery Manager est livré avec une version pour la récupération au niveau objet qui vous permet de récupérer après des problèmes relativement simples, une édition Forest qui fournit une récupération complète de la forêt et une édition Disaster Recovery complète qui offre une restauration automatisée avec la possibilité de spécifier également des environnements virtuels afin que vous puissiez rapidement et facilement créer un laboratoire virtuel à partir de votre environnement en direct. Cela documentera également automatiquement votre processus de récupération pour vous.

Il existe également Quest On Demand Recovery. Cela est utile, que vous exécutiez uniquement des objets cloud avec Azure ou Office 365 ou un hybride de systèmes cloud et sur site. La récupération à la demande vous permet de configurer la sauvegarde et la récupération pour AAD et Office 365; vous pouvez exécuter des rapports qui comparent vos sauvegardes avec AAD en direct pour découvrir les utilisateurs et les actifs et identifier les modifications et suppressions spécifiques pour une récupération automatisée si nécessaire. Et, avec On Demand Recovery, vous pouvez rechercher et récupérer des individus et des utilisateurs de groupe en masse, sans avoir à recourir à des procédures manuelles basées sur des scripts.

La récupération à la demande fonctionne avec le gestionnaire de récupération local de Quest pour vous offrir également une vue unifiée de l'AD et de l'AAD. Enfin, On Demand Recovery vous permet de restaurer AD local sur un serveur virtuel dans Azure afin que vous puissiez continuer à fonctionner même si vous devez reconstruire votre matériel local après une cyberattaque ou une catastrophe du centre de données.

AD et AAD sont devenus intimement liés au tissu de l'informatique d'entreprise – à tel point que leur perte paralysera votre entreprise. Un plan de sauvegarde et de récupération automatisé devrait être tout aussi important pour vos opérations que les répertoires eux-mêmes. Exécutez AD et ADD sans plan de repli, et en cas de catastrophe, vous trouverez votre liste de problèmes – tout comme votre temps de récupération – sera beaucoup plus longue.

Sponsorisé par Quest Software

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.