> Tech > DC dédiés

DC dédiés

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

  Techniquement, les DC NT peuvent aussi servir de serveurs de fichiers et d'impression ou peuvent héberger des services applicatifs comme Oracle, Exchange, Microsoft IIS ou Microsoft SQL Server. Cependant, pour tous les domaines à  l'exception des très petits (c'est-à -dire ceux qui comportent deux ou trois serveurs), je recommande de consacrer

les DC au seul rôle de DC. Outre le fait que cela simplifie la réinstallation en cas de rétrogradation d’un PDC, le fait de dédier les DC peut prévenir plusieurs problèmes de sécurité potentiels.

  Tous les BDC dans un domaine copient le même SAM à  partir du PDC ; par conséquent, tous les BDC partagent la même politique d’audit que l’on a définie pour le PDC au moyen de User Manager for Domains. Si l’on utilise un BDC pour d’autres services, on ne peut pas valider des politiques d’audit différentes pour tenir compte de ces utilisations. Cette restriction peut s’avérer dangereuse.

  Un deuxième problème, encore plus grave, concerne les droits administratifs. Tous les DC dans un domaine partagent le même groupe Administrators local. De ce fait, on ne peut pas octroyer à  quelqu’un des droits d’administrateur sur un seul DC. Considerons l’exemple suivant : le domaine a un PDC et quatre BDC, mais chaque BDC traite également un second rôle. Tom, le gourou Exchange du service informatique, administre BDC1, qui exécute Exchange. Alice, qui travaille au service financier, administre BDC2, qui sert également comme serveur pour Oracle Financials. BDC3 est également un serveur IIS qui maintient des informations de ressources humaines (HR) sur l’intranet de la société ; Sally, dans le service HR, administre BDC3. BDC4 exécute aussi IIS et sert comme serveur Web public de la société ; Harry, un sous-traitant externe, administre ce BDC.

  Pour effectuer leurs tâches, ces administrateurs ont chacun besoin de trois administrateurs sur leurs BDC locaux. Pourtant, il est évident qu’aucun des administrateurs ne devrait disposer de droits d’administrateur sur les autres BDC. Mais comme il n’existe qu’un groupe Administrators dans le SAM du PDC, on se retrouve avec plusieurs administrateurs dotés de droits inappropriés sur des BDC. Harry, le sous-traitant externe, a tous les droits sur le SAM du domaine, le e-mail de la société, les informations HR et même les finances – tout comme les autres administrateurs des serveurs applicatifs.

  Bien que le fait d’être membre du groupe Administrators local ne vous donne pas de droits administratifs directs sur les serveurs et stations de travail membres, vous pouvez utiliser vos droits pour rallier n’importe quel groupe Domain Administrator, et gagner ainsi des droits d’administrateur sur tout ordinateur présent dans le domaine. Le fait que BDC4 soit un serveur Web public présente le plus grand risque. Si un intrus compromet ce serveur et obtient un accès administratif, il ou elle peut ensuite accéder à  tout le domaine.

Téléchargez cette ressource

Percer le brouillard des rançongiciels

Percer le brouillard des rançongiciels

Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010