Les contrôleurs de domaine Windows Server 2008 fonctionnant en mode RODC disposent d’un mécanisme de gestion des mots de passe des utilisateurs et des ordinateurs spécifique. L’idée est de faire en sorte qu’en cas de vol d’un contrôleur de domaine RODC éloigné, il n’existe sur la machine aucun mot de
Sécurisation des mots de passe sur les contrôleurs RODC et RODC Password Replication Policy
passe utilisateur susceptible d’être cassé. Cette méthode radicale garantie qu’il sera impossible, même en volant la machine, de lancer une attaque brute contre la base de données Active Directory.
Dans la pratique, le contrôleur de domaine RODC du site transmet la demande d’authentification du client vers un contrôleur de domaine disponible en lecture et en écriture fonctionnant sous Windows Server 2008. Une fois l’utilisateur authentifié, le contrôleur RODC demande à ce qu’une copie des informations de sécurité de l’utilisateur lui soit transmise. Le contrôleur de domaine disponible en écriture reconnaît que la demande est initiée par un RODC et, dans ce cas, consulte la RODC Password Replication Policy. C’est celle-ci qui déterminera si oui ou non les informations de sécurité peuvent être répliquées vers le contrôleur RODC. En conclusion, il est du ressort de l’administrateur de définir une stratégie de réplication des mots de passe des utilisateurs sachant que, par défaut, aucun mot de passe n’est stocké sur le RODC.
Microsoft recommande de conserver la stratégie par défaut (RODC Password Replication policy) pour préserver la sécurité des comptes d’utilisateurs et d’ordinateurs sur ces contrôleurs. Il conviendra de s’assurer que les trafics réseaux des demandes d’authentification transmises vers un contrôleur Windows Server 2008 disponible en écriture sont acceptables.
Contrôleurs RODC et stockage des mots de passe…
A l’exception de tous les mots de passe, la base de données Active Directory d’un contrôleur de type RODC contient l’intégralité des objets des différentes partitions d’annuaire. Les seuls mots de passe stockés par défaut sont ceux associés au compte de l’ordinateur lui-même, ainsi que celui du compte krbtgt spécifique au contrôleur de type RODC.
Conditions requises pour déployer un contrôleur en mode lecture seule (DCRO) et limitations… Pour déployer un serveur Windows Server 2008 jouant le rôle de DCRO, le rôle FSMO de type PDC Emulator doit impérativement être tenu par un contrôleur fonctionnant aussi sous Windows Server 2008. Il faudra aussi s’assurer que le niveau fonctionnel du domaine est de type Windows Server 2003. Le fonctionnement du contrôleur RODC est tout à fait habituel puisque la réplication unidirectionnelle du serveur RODC s’applique au niveau AD DS et aussi au niveau de la réplication du SYSVOL via NTFRS ou DFS-R, point essentiel pour que le contrôleur accueille les habituels objets stratégies de groupe. Enfin, il convient que pour des raisons de sécurité en rapport avec l’infrastructure Active Directory, un contrôleur de domaine de type RODC ne peut jouer aucun rôle FSMO (Flexible Simple Master Operations), ni serveur tête de pont (bridgehead server)
De nombreuses autres nouveautés en rapport avec la sécurité sont intégrées à Windows Server 2008. Les Services de Certificats (AD CS) apportent de nouvelles fonctionnalités et les Services de Gestion des Droits Numériques (AD RMS) sont intégrés en standard. Nous présenterons ces nouveautés prochainement dans une 2ème partie !
> Découvrez dès maintenant la suite de cet article : Evolution des services de sécurité de Windows Server 2008
Téléchargez cette ressource

Guide de convergence du SOC et de la sécurité du cloud
Les menaces actuelles ne se cantonnent plus à une seule couche de votre environnement. Ressources cloud, systèmes d’entreprise, applications… elles se déplacent facilement par latéralisation. Pour protéger l’ensemble de votre infrastructure cloud, votre entreprise a besoin d’une approche unifiée qui place les données, la Threat Intelligence pilotée par IA et l’automatisation au service d’une protection complète. Découvrez tous les enjeux de la fusion entre CloudSec et SOC pour assurer une protection plus robuste, plus efficace de votre cloud.