Etape 2. Suivre les meilleures pratiques DC

devez suivre les meilleures pratiques ci-après :

Garantir la sécurité physique des DC. Dans un déploiement d’AD, la sécurité physique des DC est l’un des points les plus importants. En effet, si un assaillant peut accéder physiquement à un DC, il peut déjouer pratiquement toutes les mesures de sécurité. Il est vrai que la sécurité physique n’est pas un problème quand les DC se trouvent dans les centres informatiques. La situation est plus délicate dans des déploiements d’agences. Là, les DC sont souvent rangés dans des salles fermées à clé accessibles au personnel non informaticien. Dans certains cas, cela peut être évité. Mais, en tout état de cause, il faut avoir une très grande confiance en toute personne qui peut accéder physiquement aux DC.

Automatiser le processus de construction. D’une manière générale, l’automatisation d’une tâche est beaucoup plus sûre que son exécution manuelle. C’est particulièrement vrai pour la construction et la promotion des DC. Plus on peut automatiser le processus de construction et de configuration de l’OS, moins les DC seront variables. Quand les gens construisent manuellement des serveurs, ils ont tendance à procéder un peu différemment d’un serveur à un autre. Et même si le processus est parfaitement documenté, les serveurs seront configurés de manière légèrement différente. En automatisant le processus de construction et de configuration, on garantit que tous les DC seront configurés et sécurisés de la même manière. Pour les DC déjà construits, vous pouvez utiliser des outils comme la Stratégie de groupe pour homogénéiser leur configuration.

Installer rapidement les mises à jour importantes. A l’époque de Windows NT, la plupart des administrateurs n’installaient les correctifs ou les mises à jour de sécurité que si c’était absolument nécessaire. En effet, il n’était pas rare que les mises à jour elles-mêmes causent d’autres problèmes. Cette latitude, un vrai luxe, n’existe plus. Heureusement, les mises à jour de Microsoft sont de bien meilleure qualité. Comme les DC sont des cibles très visibles, vous devez être attentifs aux mises à jour de sécurité annoncées. Vous pouvez installer immédiatement les mises à jour de sécurité avec Automatic Updates ou les tester et les installer de manière sélective avec Microsoft Software Update Services (SUS).

Créer un fichier de réserve. Dans les OS antérieurs à Windows 2003, si les utilisateurs ont des droits leur permettant de créer des objets dans un conteneur, il est impossible de limiter le nombre d’objets qu’ils peuvent créer. Cette absence de limite peut inciter un assaillant à créer continuellement des objets afin de remplir le disque dur d’un DC. Vous pouvez atténuer ce risque dans une certaine mesure en créant un fichier de réserve de 10 Mo à 20 Mo sur chaque DC. Si vous épuisez l’espace sur un DC, vous pourrez supprimer le fichier de réserve et vous donner un peu de répit en attendant de trouver le moyen de régler le problème. Il n’est pas difficile de créer un fichier de réserve : ce peut être tout simplement un document Microsoft Word ou un fichier texte contenant un texte quelconque.

Exécuter le logiciel de scanning de virus. Exécuter le logiciel de scanning de virus sur vos DC est plus important que de le faire sur la plupart des serveurs, parce que les DC répliquent non seulement l’information de répertoire mais aussi le contenu des fichiers au travers du FRS (File Replication Service). Malheureusement, FRS procure un moyen simple pour distribuer des virus sur un grand nombre de serveurs. Et comme FRS réplique généralement les scripts de logon, le risque potentiel se propage jusqu’aux clients. L’exécution d’un logiciel de scanning de virus peut réduire considérablement le risque de réplication des virus jusqu’aux serveurs et clients.