Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

RSAT & Sécurisation des accès aux serveurs

Partie concernant tous les serveurs Microsoft (pas les OS) qui ne sont pas déjà abordés dans les autres rubriques

Modérateurs : Modérateurs, Modérateurs_Applicatifs

RSAT & Sécurisation des accès aux serveurs

Message par SHao » Mer 03 Mai 2017, 12:13

Bonjour à tous,

Tout d'abord, je m'excuse si je ne poste pas dans la bonne catégorie.

Dans le cadre de mon alternance, je dois modifier les méthodes de gestion des rôles et des services Windows.
Actuellement, nous utilisons un compte admin pour nous connecter sur les serveurs et faire nos tâches quotidiennes, et ce même pour des tâches basiques (créer un utilisateur, observer les baux DHCP ...).
Le but serait donc de créer des comptes nominatifs, permettant d'identifier qui agit sur les serveurs, et d'appliquer des droits précis sur ces comptes (que le support de niveau 1 n'est pas les mêmes droits que les administrateurs S&R ...), tout en diminuant le nombre de connexions RDP sur les serveurs (quel besoins d'ouvrir une session pour vérifier un enregistrement DNS ou une IP distribuée par DHCP ?).

Nous pensons donc utiliser l'outil RSAT (pour Windows 10), qui permet de gérer pas mal de services et rôles Windows, ainsi que certaines opérations sur les serveurs (accès aux services, redémarrages, accès aux logs ...).

Ça, c'est la théorie :D Mais avant de mettre ça en place, j'aurais plusieurs questions.

Questions techniques :
- N'étant pas fan des groupes pré-définies par Microsoft (admin DNS/DHCP, ou opérateur de compte par exemple), je cherche à gérer le plus finement possible les droits. Autant je vois comment faire pour le service Ad, via la délégation, autant je ne vois pas où on peut attribuer les droits sur les autres services (notamment : GPO/DNS/DHCP, les plus utilisés).
- Comment faire remonter les serveurs dans la console RSAT sans donner les droits admin ?
- Existe-il des outils gratuits permettant de gérer un serveur Exchange depuis un poste distant ?
- Est-il possible de donner le droits de gestion NTFS à des utilisateurs non-admin ?

Questions organisationnelle
- Que pensez-vous de l'outil RSAT ? Lui connaissez-vous des défauts, notamment en terme de sécurité ?
- Si je met en place l'outil RSAT, est-il préférable de l’installer sur les postes clients ou sur un serveur dédié sur lequel les membres du SI se connectent pour administrer/superviser les serveurs ?
- Possédez-vous une documentation relative aux bonnes pratiques concernant la délégation des droits de gestion des serveurs ? L'anglais ne me gêne pas.
- Voyez-vous des risques majeurs liés au changement de mdp admin (qui ne sera plus connu que du DSI) ? J'ai relevé quelques problèmes mineurs (revoir méthode de jonction aux domaines, droits admin sur les postes clients), mais je pense en oublier.

Pour info:
- Nos serveurs ont pour OS W2008R2 ou W2012R2,
- Nous avons un domaine parent, et plusieurs domaines enfants,
- Notre parc client est composé de pc Windows.

Je me permet de poser ces questions suite à de nombreuses recherches qui ne m'ont as permis de trouver les réponses à ces questions.
Si vous avez besoins de plus de détails, je me tiens évidemment à disposition.

Merci de m'avoir lu.
SHao
N00b
N00b
 
Message(s) : 5
Inscription : Mar 25 Avr 2017, 11:17

Re: RSAT & Sécurisation des accès aux serveurs

Message par Timil » Mer 03 Mai 2017, 15:21

Salut

Le but serait donc de créer des comptes nominatifs, permettant d'identifier qui agit sur les serveurs, et d'appliquer des droits précis sur ces comptes (que le support de niveau 1 n'est pas les mêmes droits que les administrateurs S&R ...), tout en diminuant le nombre de connexions RDP sur les serveurs (quel besoins d'ouvrir une session pour vérifier un enregistrement DNS ou une IP distribuée par DHCP ?).

Exactement, réservées le RDP aux administrateurs d'urgence, et ne l'utilisez pas pour vos admins/délégués classiques.

Regardez déjà ici:
https://learn.cisecurity.org/benchmarks
Vous remarquerez que refaire l'existant n'est pas proposé par le CIS.

Vous pouvez aussi partir sur l'usage du Security Compliance Manager pour commencer:
https://technet.microsoft.com/fr-fr/sol ... 35245.aspx

- N'étant pas fan des groupes pré-définies par Microsoft (admin DNS/DHCP, ou opérateur de compte par exemple), je cherche à gérer le plus finement possible les droits. Autant je vois comment faire pour le service Ad, via la délégation, autant je ne vois pas où on peut attribuer les droits sur les autres services (notamment : GPO/DNS/DHCP, les plus utilisés).
Pourquoi recréer ce qui existe et qui est bien configuré par défaut en droits minimums.
Si vous voulez le faire.. ok bon courage :)

- Comment faire remonter les serveurs dans la console RSAT sans donner les droits admin ?

Sur le serveur ou en local?
En local c'est difficile de tourner RSAT sans être admin, par contre un serveur distant peut être ajouté au RSAT selon les droits.
Un DHCP Admin peut ajouter tous les DHCP du domaine normalement, mais ne pourras pas utiliser RSAT pour accèder à l'AD en édition ou au DNS.

- Existe-il des outils gratuits permettant de gérer un serveur Exchange depuis un poste distant ?

Powershell et ECP, no soucy quoi.
Ensuite attention a l'appartenance aux groupes Exchange pour les différents droits nécessaires

- Est-il possible de donner le droits de gestion NTFS à des utilisateurs non-admin ?

Oui, FULL Control, contrairement a Modify, permet a un user de modifier les ACL de tous les users sur les dossiers ou le user/son groupe sont en FULL CONTROL.

- Que pensez-vous de l'outil RSAT ? Lui connaissez-vous des défauts, notamment en terme de sécurité ?

En dessous de PowerShell (ne couvre que 90% des besoins) mais interactif. Pas de souci de sécurité si vous la gérez correctement.

- Si je met en place l'outil RSAT, est-il préférable de l’installer sur les postes clients ou sur un serveur dédié sur lequel les membres du SI se connectent pour administrer/superviser les serveurs ?

Si vous ne loguez pas les activités sur le serveur dédié, dans ce cas aucune différence entre les deux solutions.

- Possédez-vous une documentation relative aux bonnes pratiques concernant la délégation des droits de gestion des serveurs ? L'anglais ne me gêne pas.

CF le CIS :)

- Voyez-vous des risques majeurs liés au changement de mdp admin (qui ne sera plus connu que du DSI) ? J'ai relevé quelques problèmes mineurs (revoir méthode de jonction aux domaines, droits admin sur les postes clients), mais je pense en oublier.
Ca dépend :)
Soit vous avez été de mauvais élèves et avez utiliser ce MdP dans des services/install... non rien.
Par contre, le jour ou vous avez une merde et que le DSI est en vacance, vous n'aurez que vos yeux pour pleurer -> Prévoyez un plan d'accès d'urgence a ce mdp avec enveloppe scellées ou autre.
-> Une machine dont le compte a déjà été créé dans l'AD ne nécessite pas de droits admin a sa jonction et ne compte pas dans les 10 machines qu'un user peu joindre au domaine... le seul pouvoir de l'admin et de ne pas être limité a 10 jonctions de machines non pré-créées

Have fun :D
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17104
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RSAT & Sécurisation des accès aux serveurs

Message par SHao » Mer 03 Mai 2017, 16:15

Tout d'abord, un grand merci pour cette réponse :)

J'ai pas mal de lecture et de tests à faire avant de pouvoir faire un retour, mais j'aimerais réagir sur certains points.
Pourquoi recréer ce qui existe et qui est bien configuré par défaut en droits minimums.
Si vous voulez le faire.. ok bon courage :)

Si je demande comment faire ça, ce n'est pas par plaisir :D mais certaines demandes du cahier des charges ne sont pas couvertes par les groupes prédéfinies.
Du coup, si tu sais comment faire pour modifier ça, je suis preneur :)

Sur le serveur ou en local?Sur le serveur ou en local?
En local c'est difficile de tourner RSAT sans être admin, par contre un serveur distant peut être ajouté au RSAT selon les droits.
Un DHCP Admin peut ajouter tous les DHCP du domaine normalement, mais ne pourras pas utiliser RSAT pour accèder à l'AD en édition ou au DNS.

Oui, je me suis mal exprimé. Les membres du Service Informatique sont admin de leur propre machine, mais pas sur les serveurs.
Dans la console RSAT, il est possible d'afficher et de gérer différents serveurs (c'est la console qu'on retrouve sur W2012R2), mais il faut pour ça utiliser un compte avec de forts privilèges (admin de domaine par exemple). J'aimerais savoir si il est possible de faire des opérations de base sur ces serveurs (redémarrer par exemple), sans avoir un compte administrateur local de ces serveurs là.
Je pensais que le groupe "opérateur de serveur" pourrait le faire, mais ce n'est pas le cas.
Je suis pas sûr d'avoir été plus clair mais bon.

Ca dépend :)
Soit vous avez été de mauvais élèves et avez utiliser ce MdP dans des services/install... non rien.

Non, bien sûr, on ne fait pas ça ... :lol:

Je vais potasser tout ça, je ferai un retour !
Merci encore.
SHao
N00b
N00b
 
Message(s) : 5
Inscription : Mar 25 Avr 2017, 11:17

Re: RSAT & Sécurisation des accès aux serveurs

Message par Timil » Mer 03 Mai 2017, 17:07

Si je demande comment faire ça, ce n'est pas par plaisir :D mais certaines demandes du cahier des charges ne sont pas couvertes par les groupes prédéfinies.
Du coup, si tu sais comment faire pour modifier ça, je suis preneur :)
Sans le cahier des charges... non impossible :)

Dans la console RSAT, il est possible d'afficher et de gérer différents serveurs (c'est la console qu'on retrouve sur W2012R2), mais il faut pour ça utiliser un compte avec de forts privilèges (admin de domaine par exemple). J'aimerais savoir si il est possible de faire des opérations de base sur ces serveurs (redémarrer par exemple), sans avoir un compte administrateur local de ces serveurs là.
Redémarrage... rien que ca.
C'est une opération classifiée comme haut risque car:
1. Elle expose le BIOS
2. Elle coupe la production
C'est un peu normal que par défaut il faille être admin non?

Sinon tu trouveras beaucoup de choses dans:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights
(y compris shutdown..)

Je pensais que le groupe "opérateur de serveur" pourrait le faire, mais ce n'est pas le cas.

Ajoutes le dans l'entrée ci-dessus :D

Je suis pas sûr d'avoir été plus clair mais bon.

Chaque droit, selon son étendue, est a un endroit défini... dur d'être général.

Attention aux demandes de non informaticiens dans ces restrictions, elles sont souvent irréalistes, inutiles et mettent le système en péril.
Avatar de l’utilisateur
Timil
Forum Master
Forum Master
 
Message(s) : 17104
Inscription : Mar 18 Mars 2003, 12:44
Localisation : Luxembourg

Re: RSAT & Sécurisation des accès aux serveurs

Message par SHao » Mar 09 Mai 2017, 10:40

Un grand merci pour les réponses apportées, elles m'ont bien aidées, j'ai maintenant presque toutes les munitions pour faire ce que j'ai à faire.

Les questions que je pourrais me poser porteront sûrement sur des points précis sur un rôle ou service précis, ce sujet traitant d'un objet plus global, je pense qu'on peut le clôturer.

Encore merci.
SHao
N00b
N00b
 
Message(s) : 5
Inscription : Mar 25 Avr 2017, 11:17


Retour vers Serveurs Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 5 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive