Sécurisation des mots de passe sur les contrôleurs RODC et RODC Password Replication Policy

passe utilisateur susceptible d’être cassé. Cette méthode radicale garantie qu’il sera impossible, même en volant la machine, de lancer une attaque brute contre la base de données Active Directory.

Dans la pratique, le contrôleur de domaine RODC du site transmet la demande d’authentification du client vers un contrôleur de domaine disponible en lecture et en écriture fonctionnant sous Windows Server 2008. Une fois l’utilisateur authentifié, le contrôleur RODC demande à ce qu’une copie des informations de sécurité de l’utilisateur lui soit transmise. Le contrôleur de domaine disponible en écriture reconnaît que la demande est initiée par un RODC et, dans ce cas, consulte la RODC Password Replication Policy. C’est celle-ci qui déterminera si oui ou non les informations de sécurité peuvent être répliquées vers le contrôleur RODC. En conclusion, il est du ressort de l’administrateur de définir une stratégie de réplication des mots de passe des utilisateurs sachant que, par défaut, aucun mot de passe n’est stocké sur le RODC.

Microsoft recommande de conserver la stratégie par défaut (RODC Password Replication policy) pour préserver la sécurité des comptes d’utilisateurs et d’ordinateurs sur ces contrôleurs. Il conviendra de s’assurer que les trafics réseaux des demandes d’authentification transmises vers un contrôleur Windows Server 2008 disponible en écriture sont acceptables.

Contrôleurs RODC et stockage des mots de passe…
A l’exception de tous les mots de passe, la base de données Active Directory d’un contrôleur de type RODC contient l’intégralité des objets des différentes partitions d’annuaire. Les seuls mots de passe stockés par défaut sont ceux associés au compte de l’ordinateur lui-même, ainsi que celui du compte krbtgt spécifique au contrôleur de type RODC.

Conditions requises pour déployer un contrôleur en mode lecture seule (DCRO) et limitations… Pour déployer un serveur Windows Server 2008 jouant le rôle de DCRO, le rôle FSMO de type PDC Emulator doit impérativement être tenu par un contrôleur fonctionnant aussi sous Windows Server 2008. Il faudra aussi s’assurer que le niveau fonctionnel du domaine est de type Windows Server 2003. Le fonctionnement du contrôleur RODC est tout à fait habituel puisque la réplication unidirectionnelle du serveur RODC s’applique au niveau AD DS et aussi au niveau de la réplication du SYSVOL via NTFRS ou DFS-R, point essentiel pour que le contrôleur accueille les habituels objets stratégies de groupe. Enfin, il convient que pour des raisons de sécurité en rapport avec l’infrastructure Active Directory, un contrôleur de domaine de type RODC ne peut jouer aucun rôle FSMO (Flexible Simple Master Operations), ni serveur tête de pont (bridgehead server)

De nombreuses autres nouveautés en rapport avec la sécurité sont intégrées à Windows Server 2008. Les Services de Certificats (AD CS) apportent de nouvelles fonctionnalités et les Services de Gestion des Droits Numériques (AD RMS) sont intégrés en standard. Nous présenterons ces nouveautés prochainement dans une 2ème partie !

> Découvrez dès maintenant la suite de cet article : Evolution des services de sécurité de Windows Server 2008