Techniquement, les DC NT peuvent aussi servir de serveurs de fichiers et d'impression ou peuvent héberger des services applicatifs comme Oracle, Exchange, Microsoft IIS ou Microsoft SQL Server. Cependant, pour tous les domaines à l'exception des très petits (c'est-à -dire ceux qui comportent deux ou trois serveurs), je recommande de consacrer
DC dédiés
les DC au seul rôle de DC. Outre le fait que cela simplifie la réinstallation en cas de rétrogradation d’un PDC, le fait de dédier les DC peut prévenir plusieurs problèmes de sécurité potentiels.
Tous les BDC dans un domaine copient le même SAM à partir du PDC ; par conséquent, tous les BDC partagent la même politique d’audit que l’on a définie pour le PDC au moyen de User Manager for Domains. Si l’on utilise un BDC pour d’autres services, on ne peut pas valider des politiques d’audit différentes pour tenir compte de ces utilisations. Cette restriction peut s’avérer dangereuse.
Un deuxième problème, encore plus grave, concerne les droits administratifs. Tous les DC dans un domaine partagent le même groupe Administrators local. De ce fait, on ne peut pas octroyer à quelqu’un des droits d’administrateur sur un seul DC. Considerons l’exemple suivant : le domaine a un PDC et quatre BDC, mais chaque BDC traite également un second rôle. Tom, le gourou Exchange du service informatique, administre BDC1, qui exécute Exchange. Alice, qui travaille au service financier, administre BDC2, qui sert également comme serveur pour Oracle Financials. BDC3 est également un serveur IIS qui maintient des informations de ressources humaines (HR) sur l’intranet de la société ; Sally, dans le service HR, administre BDC3. BDC4 exécute aussi IIS et sert comme serveur Web public de la société ; Harry, un sous-traitant externe, administre ce BDC.
Pour effectuer leurs tâches, ces administrateurs ont chacun besoin de trois administrateurs sur leurs BDC locaux. Pourtant, il est évident qu’aucun des administrateurs ne devrait disposer de droits d’administrateur sur les autres BDC. Mais comme il n’existe qu’un groupe Administrators dans le SAM du PDC, on se retrouve avec plusieurs administrateurs dotés de droits inappropriés sur des BDC. Harry, le sous-traitant externe, a tous les droits sur le SAM du domaine, le e-mail de la société, les informations HR et même les finances – tout comme les autres administrateurs des serveurs applicatifs.
Bien que le fait d’être membre du groupe Administrators local ne vous donne pas de droits administratifs directs sur les serveurs et stations de travail membres, vous pouvez utiliser vos droits pour rallier n’importe quel groupe Domain Administrator, et gagner ainsi des droits d’administrateur sur tout ordinateur présent dans le domaine. Le fait que BDC4 soit un serveur Web public présente le plus grand risque. Si un intrus compromet ce serveur et obtient un accès administratif, il ou elle peut ensuite accéder à tout le domaine.
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les banques passent à l’action avec l’IA générative et le cloud
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
