Quand on crée un nouveau domaine AD, deux GPO sont créés dans ce domaine : la Default Domain Policy, liée au domaine, et la Default Domain Controllers Policy, liée à l'OU Domain Controllers. Windows fournit ces GPO pour vous aider à définir les policies domain account et autres stratégies de
Meilleures pratiques pour les stratégies de sécurité des domaines
sécurité, mais j’ai vu des avertissements
vous demandant de ne pas toucher
à ces GPO prêts à l’emploi. La
conséquence est que de nombreux administrateurs
ne savent plus s’ils doivent
utiliser ces GPO pour leurs stratégies
de groupe ou créer les leurs
propres. En fait, on peut choisir l’une
ou l’autre des solutions.
Lorsque vous déployez des stratégies
de sécurité sur l’ensemble des domaines,
quelques bonnes pratiques
s’imposent. On l’a vu, vous ne pouvez
définir de stratégies de compte sur
l’ensemble des domaines, que sur un
GPO qui est lié au domaine. Si vous
devez définir d’autres stratégies de sécurité
sur l’ensemble des domaines
(par exemple, la taille par défaut du
journal Security sur tous les DC d’un
domaine), définissez ces stratégies
dans un GPO lié à l’OU Domain
Controllers (en supposant que vous
n’avez pas déplacé vos DC hors de
cette OU). Comme Windows traite les
GPO dans l’ordre : local, site, domaine
puis OU, le fait de définir les stratégies
de sécurité dans un GPO lié à l’OU
Domain Controllers garantit que ces
stratégies sont traitées en dernier et
remplacent ainsi les éventuelles stratégies
liées au domaine.
Cependant, cette meilleure pratique
peut être en contradiction avec
une autre : définir l’option No Override
sur votre GPO lié au domaine. Définir
l’option No Override sur un GPO empêche
d’éventuels GPO « en aval » avec
des paramètres contradictoires, de
supplanter cette stratégie de plus haut
niveau. Il peut être judicieux de définir
No Override sur un GPO lié au domaine
qui édicte les stratégies de
compte si vous voulez que ces stratégies
de compte soient dominantes
dans tous les cas. Cependant, si vous
utilisez ce même GPO lié au domaine
pour définir d’autres stratégies de sécurité
(stratégie d’audit, par exemple),
il supplantera les éventuels paramètres
d’audit créés dans les GPO liés à l’OU
Domain Controllers. C’est pourquoi je
recommande que le GPO qui définit
vos stratégise de compte ne fasse rien
d’autre. Ainsi, vous pourrez déléguer
l’administration de ce GPO et de vos
stratégies de compte de domaine aux
experts en sécurité de votre entreprise,
en vous réservant le droit de définir
d’autres stratégies de sécurité pertinentes
sur les ordinateurs en aval.
Téléchargez gratuitement cette ressource
Endpoint Security : Etude IDC Enjeux & Perspectives
Quel est l'état de l'art des solutions de Endpoint Security et les perspectives associées à leur utilisation ? Comment garantir la sécurité des environnements sensibles en bloquant au plus tôt les cyber attaques sophistiquées, avant qu’elles n'impactent durablement vos environnements de travail ?
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Evènement : les Serverless Days 2022 seront à Paris le 22 juin
- FIC 2022 : une Europe forte face à la cybercriminalité
- Le collaborateur du futur plus performant grâce à l’automatisation intelligente
- Edition #FIC2022 : une mobilisation totale de l’écosystème cyber !
- Vidéo : Tout savoir sur le Programme MVP
