RSAT & Sécurisation des accès aux serveurs
Modérateurs : Modérateurs, Modérateurs_Applicatifs
RSAT & Sécurisation des accès aux serveurs
Bonjour à tous,
Tout d'abord, je m'excuse si je ne poste pas dans la bonne catégorie.
Dans le cadre de mon alternance, je dois modifier les méthodes de gestion des rôles et des services Windows.
Actuellement, nous utilisons un compte admin pour nous connecter sur les serveurs et faire nos tâches quotidiennes, et ce même pour des tâches basiques (créer un utilisateur, observer les baux DHCP ...).
Le but serait donc de créer des comptes nominatifs, permettant d'identifier qui agit sur les serveurs, et d'appliquer des droits précis sur ces comptes (que le support de niveau 1 n'est pas les mêmes droits que les administrateurs S&R ...), tout en diminuant le nombre de connexions RDP sur les serveurs (quel besoins d'ouvrir une session pour vérifier un enregistrement DNS ou une IP distribuée par DHCP ?).
Nous pensons donc utiliser l'outil RSAT (pour Windows 10), qui permet de gérer pas mal de services et rôles Windows, ainsi que certaines opérations sur les serveurs (accès aux services, redémarrages, accès aux logs ...).
Ça, c'est la théorie
Mais avant de mettre ça en place, j'aurais plusieurs questions.
Questions techniques :
- N'étant pas fan des groupes pré-définies par Microsoft (admin DNS/DHCP, ou opérateur de compte par exemple), je cherche à gérer le plus finement possible les droits. Autant je vois comment faire pour le service Ad, via la délégation, autant je ne vois pas où on peut attribuer les droits sur les autres services (notamment : GPO/DNS/DHCP, les plus utilisés).
- Comment faire remonter les serveurs dans la console RSAT sans donner les droits admin ?
- Existe-il des outils gratuits permettant de gérer un serveur Exchange depuis un poste distant ?
- Est-il possible de donner le droits de gestion NTFS à des utilisateurs non-admin ?
Questions organisationnelle
- Que pensez-vous de l'outil RSAT ? Lui connaissez-vous des défauts, notamment en terme de sécurité ?
- Si je met en place l'outil RSAT, est-il préférable de l’installer sur les postes clients ou sur un serveur dédié sur lequel les membres du SI se connectent pour administrer/superviser les serveurs ?
- Possédez-vous une documentation relative aux bonnes pratiques concernant la délégation des droits de gestion des serveurs ? L'anglais ne me gêne pas.
- Voyez-vous des risques majeurs liés au changement de mdp admin (qui ne sera plus connu que du DSI) ? J'ai relevé quelques problèmes mineurs (revoir méthode de jonction aux domaines, droits admin sur les postes clients), mais je pense en oublier.
Pour info:
- Nos serveurs ont pour OS W2008R2 ou W2012R2,
- Nous avons un domaine parent, et plusieurs domaines enfants,
- Notre parc client est composé de pc Windows.
Je me permet de poser ces questions suite à de nombreuses recherches qui ne m'ont as permis de trouver les réponses à ces questions.
Si vous avez besoins de plus de détails, je me tiens évidemment à disposition.
Merci de m'avoir lu.
Tout d'abord, je m'excuse si je ne poste pas dans la bonne catégorie.
Dans le cadre de mon alternance, je dois modifier les méthodes de gestion des rôles et des services Windows.
Actuellement, nous utilisons un compte admin pour nous connecter sur les serveurs et faire nos tâches quotidiennes, et ce même pour des tâches basiques (créer un utilisateur, observer les baux DHCP ...).
Le but serait donc de créer des comptes nominatifs, permettant d'identifier qui agit sur les serveurs, et d'appliquer des droits précis sur ces comptes (que le support de niveau 1 n'est pas les mêmes droits que les administrateurs S&R ...), tout en diminuant le nombre de connexions RDP sur les serveurs (quel besoins d'ouvrir une session pour vérifier un enregistrement DNS ou une IP distribuée par DHCP ?).
Nous pensons donc utiliser l'outil RSAT (pour Windows 10), qui permet de gérer pas mal de services et rôles Windows, ainsi que certaines opérations sur les serveurs (accès aux services, redémarrages, accès aux logs ...).
Ça, c'est la théorie
Mais avant de mettre ça en place, j'aurais plusieurs questions.Questions techniques :
- N'étant pas fan des groupes pré-définies par Microsoft (admin DNS/DHCP, ou opérateur de compte par exemple), je cherche à gérer le plus finement possible les droits. Autant je vois comment faire pour le service Ad, via la délégation, autant je ne vois pas où on peut attribuer les droits sur les autres services (notamment : GPO/DNS/DHCP, les plus utilisés).
- Comment faire remonter les serveurs dans la console RSAT sans donner les droits admin ?
- Existe-il des outils gratuits permettant de gérer un serveur Exchange depuis un poste distant ?
- Est-il possible de donner le droits de gestion NTFS à des utilisateurs non-admin ?
Questions organisationnelle
- Que pensez-vous de l'outil RSAT ? Lui connaissez-vous des défauts, notamment en terme de sécurité ?
- Si je met en place l'outil RSAT, est-il préférable de l’installer sur les postes clients ou sur un serveur dédié sur lequel les membres du SI se connectent pour administrer/superviser les serveurs ?
- Possédez-vous une documentation relative aux bonnes pratiques concernant la délégation des droits de gestion des serveurs ? L'anglais ne me gêne pas.
- Voyez-vous des risques majeurs liés au changement de mdp admin (qui ne sera plus connu que du DSI) ? J'ai relevé quelques problèmes mineurs (revoir méthode de jonction aux domaines, droits admin sur les postes clients), mais je pense en oublier.
Pour info:
- Nos serveurs ont pour OS W2008R2 ou W2012R2,
- Nous avons un domaine parent, et plusieurs domaines enfants,
- Notre parc client est composé de pc Windows.
Je me permet de poser ces questions suite à de nombreuses recherches qui ne m'ont as permis de trouver les réponses à ces questions.
Si vous avez besoins de plus de détails, je me tiens évidemment à disposition.
Merci de m'avoir lu.
-
Timil
- Forum Master
- Messages : 17446
- Inscription : mar. 18 mars 2003, 11:44
- Localisation : Luxembourg
Re: RSAT & Sécurisation des accès aux serveurs
Salut
Regardez déjà ici:
https://learn.cisecurity.org/benchmarks
Vous remarquerez que refaire l'existant n'est pas proposé par le CIS.
Vous pouvez aussi partir sur l'usage du Security Compliance Manager pour commencer:
https://technet.microsoft.com/fr-fr/sol ... 35245.aspx
Si vous voulez le faire.. ok bon courage
En local c'est difficile de tourner RSAT sans être admin, par contre un serveur distant peut être ajouté au RSAT selon les droits.
Un DHCP Admin peut ajouter tous les DHCP du domaine normalement, mais ne pourras pas utiliser RSAT pour accèder à l'AD en édition ou au DNS.
Ensuite attention a l'appartenance aux groupes Exchange pour les différents droits nécessaires
Soit vous avez été de mauvais élèves et avez utiliser ce MdP dans des services/install... non rien.
Par contre, le jour ou vous avez une merde et que le DSI est en vacance, vous n'aurez que vos yeux pour pleurer -> Prévoyez un plan d'accès d'urgence a ce mdp avec enveloppe scellées ou autre.
-> Une machine dont le compte a déjà été créé dans l'AD ne nécessite pas de droits admin a sa jonction et ne compte pas dans les 10 machines qu'un user peu joindre au domaine... le seul pouvoir de l'admin et de ne pas être limité a 10 jonctions de machines non pré-créées
Have fun
Exactement, réservées le RDP aux administrateurs d'urgence, et ne l'utilisez pas pour vos admins/délégués classiques.Le but serait donc de créer des comptes nominatifs, permettant d'identifier qui agit sur les serveurs, et d'appliquer des droits précis sur ces comptes (que le support de niveau 1 n'est pas les mêmes droits que les administrateurs S&R ...), tout en diminuant le nombre de connexions RDP sur les serveurs (quel besoins d'ouvrir une session pour vérifier un enregistrement DNS ou une IP distribuée par DHCP ?).
Regardez déjà ici:
https://learn.cisecurity.org/benchmarks
Vous remarquerez que refaire l'existant n'est pas proposé par le CIS.
Vous pouvez aussi partir sur l'usage du Security Compliance Manager pour commencer:
https://technet.microsoft.com/fr-fr/sol ... 35245.aspx
Pourquoi recréer ce qui existe et qui est bien configuré par défaut en droits minimums.- N'étant pas fan des groupes pré-définies par Microsoft (admin DNS/DHCP, ou opérateur de compte par exemple), je cherche à gérer le plus finement possible les droits. Autant je vois comment faire pour le service Ad, via la délégation, autant je ne vois pas où on peut attribuer les droits sur les autres services (notamment : GPO/DNS/DHCP, les plus utilisés).
Si vous voulez le faire.. ok bon courage
Sur le serveur ou en local?- Comment faire remonter les serveurs dans la console RSAT sans donner les droits admin ?
En local c'est difficile de tourner RSAT sans être admin, par contre un serveur distant peut être ajouté au RSAT selon les droits.
Un DHCP Admin peut ajouter tous les DHCP du domaine normalement, mais ne pourras pas utiliser RSAT pour accèder à l'AD en édition ou au DNS.
Powershell et ECP, no soucy quoi.- Existe-il des outils gratuits permettant de gérer un serveur Exchange depuis un poste distant ?
Ensuite attention a l'appartenance aux groupes Exchange pour les différents droits nécessaires
Oui, FULL Control, contrairement a Modify, permet a un user de modifier les ACL de tous les users sur les dossiers ou le user/son groupe sont en FULL CONTROL.- Est-il possible de donner le droits de gestion NTFS à des utilisateurs non-admin ?
En dessous de PowerShell (ne couvre que 90% des besoins) mais interactif. Pas de souci de sécurité si vous la gérez correctement.- Que pensez-vous de l'outil RSAT ? Lui connaissez-vous des défauts, notamment en terme de sécurité ?
Si vous ne loguez pas les activités sur le serveur dédié, dans ce cas aucune différence entre les deux solutions.- Si je met en place l'outil RSAT, est-il préférable de l’installer sur les postes clients ou sur un serveur dédié sur lequel les membres du SI se connectent pour administrer/superviser les serveurs ?
CF le CIS- Possédez-vous une documentation relative aux bonnes pratiques concernant la délégation des droits de gestion des serveurs ? L'anglais ne me gêne pas.
Ca dépend- Voyez-vous des risques majeurs liés au changement de mdp admin (qui ne sera plus connu que du DSI) ? J'ai relevé quelques problèmes mineurs (revoir méthode de jonction aux domaines, droits admin sur les postes clients), mais je pense en oublier.
Soit vous avez été de mauvais élèves et avez utiliser ce MdP dans des services/install... non rien.
Par contre, le jour ou vous avez une merde et que le DSI est en vacance, vous n'aurez que vos yeux pour pleurer -> Prévoyez un plan d'accès d'urgence a ce mdp avec enveloppe scellées ou autre.
-> Une machine dont le compte a déjà été créé dans l'AD ne nécessite pas de droits admin a sa jonction et ne compte pas dans les 10 machines qu'un user peu joindre au domaine... le seul pouvoir de l'admin et de ne pas être limité a 10 jonctions de machines non pré-créées
Have fun
Re: RSAT & Sécurisation des accès aux serveurs
Tout d'abord, un grand merci pour cette réponse
J'ai pas mal de lecture et de tests à faire avant de pouvoir faire un retour, mais j'aimerais réagir sur certains points. mais certaines demandes du cahier des charges ne sont pas couvertes par les groupes prédéfinies.
Du coup, si tu sais comment faire pour modifier ça, je suis preneur
Dans la console RSAT, il est possible d'afficher et de gérer différents serveurs (c'est la console qu'on retrouve sur W2012R2), mais il faut pour ça utiliser un compte avec de forts privilèges (admin de domaine par exemple). J'aimerais savoir si il est possible de faire des opérations de base sur ces serveurs (redémarrer par exemple), sans avoir un compte administrateur local de ces serveurs là.
Je pensais que le groupe "opérateur de serveur" pourrait le faire, mais ce n'est pas le cas.
Je suis pas sûr d'avoir été plus clair mais bon.
Je vais potasser tout ça, je ferai un retour !
Merci encore.
J'ai pas mal de lecture et de tests à faire avant de pouvoir faire un retour, mais j'aimerais réagir sur certains points.
Si je demande comment faire ça, ce n'est pas par plaisirPourquoi recréer ce qui existe et qui est bien configuré par défaut en droits minimums.
Si vous voulez le faire.. ok bon courage
mais certaines demandes du cahier des charges ne sont pas couvertes par les groupes prédéfinies.Du coup, si tu sais comment faire pour modifier ça, je suis preneur
Oui, je me suis mal exprimé. Les membres du Service Informatique sont admin de leur propre machine, mais pas sur les serveurs.Sur le serveur ou en local?Sur le serveur ou en local?
En local c'est difficile de tourner RSAT sans être admin, par contre un serveur distant peut être ajouté au RSAT selon les droits.
Un DHCP Admin peut ajouter tous les DHCP du domaine normalement, mais ne pourras pas utiliser RSAT pour accèder à l'AD en édition ou au DNS.
Dans la console RSAT, il est possible d'afficher et de gérer différents serveurs (c'est la console qu'on retrouve sur W2012R2), mais il faut pour ça utiliser un compte avec de forts privilèges (admin de domaine par exemple). J'aimerais savoir si il est possible de faire des opérations de base sur ces serveurs (redémarrer par exemple), sans avoir un compte administrateur local de ces serveurs là.
Je pensais que le groupe "opérateur de serveur" pourrait le faire, mais ce n'est pas le cas.
Je suis pas sûr d'avoir été plus clair mais bon.
Non, bien sûr, on ne fait pas ça ...Ca dépend
Soit vous avez été de mauvais élèves et avez utiliser ce MdP dans des services/install... non rien.
Je vais potasser tout ça, je ferai un retour !
Merci encore.
-
Timil
- Forum Master
- Messages : 17446
- Inscription : mar. 18 mars 2003, 11:44
- Localisation : Luxembourg
Re: RSAT & Sécurisation des accès aux serveurs
Sans le cahier des charges... non impossibleSi je demande comment faire ça, ce n'est pas par plaisir
Du coup, si tu sais comment faire pour modifier ça, je suis preneur
Redémarrage... rien que ca.Dans la console RSAT, il est possible d'afficher et de gérer différents serveurs (c'est la console qu'on retrouve sur W2012R2), mais il faut pour ça utiliser un compte avec de forts privilèges (admin de domaine par exemple). J'aimerais savoir si il est possible de faire des opérations de base sur ces serveurs (redémarrer par exemple), sans avoir un compte administrateur local de ces serveurs là.
C'est une opération classifiée comme haut risque car:
1. Elle expose le BIOS
2. Elle coupe la production
C'est un peu normal que par défaut il faille être admin non?
Sinon tu trouveras beaucoup de choses dans:
Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights
(y compris shutdown..)
Ajoutes le dans l'entrée ci-dessusJe pensais que le groupe "opérateur de serveur" pourrait le faire, mais ce n'est pas le cas.
Chaque droit, selon son étendue, est a un endroit défini... dur d'être général.Je suis pas sûr d'avoir été plus clair mais bon.
Attention aux demandes de non informaticiens dans ces restrictions, elles sont souvent irréalistes, inutiles et mettent le système en péril.
Re: RSAT & Sécurisation des accès aux serveurs
Un grand merci pour les réponses apportées, elles m'ont bien aidées, j'ai maintenant presque toutes les munitions pour faire ce que j'ai à faire.
Les questions que je pourrais me poser porteront sûrement sur des points précis sur un rôle ou service précis, ce sujet traitant d'un objet plus global, je pense qu'on peut le clôturer.
Encore merci.
Les questions que je pourrais me poser porteront sûrement sur des points précis sur un rôle ou service précis, ce sujet traitant d'un objet plus global, je pense qu'on peut le clôturer.
Encore merci.
Re: RSAT & Sécurisation des accès aux serveurs
Je m'excuse de reposter sur ce sujet, mais j'ai une simple question lié à la délégation qui ne mérite pas d'ouvrir de nouveau sujet.
Ma question est très simple : j'aimerais déléguer à des techniciens support le droit de déplacer certains objets (ordi/utilisateur) d'une OU spécifique à une autre (par exemple, de l'UO Computer de base à une UO Ordinateur créé par nos propre soins).
Quel sont les droits minimums à attribuer sur ces UO pour permettre cela, et rien que cela ?
Merci d'avance,e t désolé de vous déranger encore
Ma question est très simple : j'aimerais déléguer à des techniciens support le droit de déplacer certains objets (ordi/utilisateur) d'une OU spécifique à une autre (par exemple, de l'UO Computer de base à une UO Ordinateur créé par nos propre soins).
Quel sont les droits minimums à attribuer sur ces UO pour permettre cela, et rien que cela ?
Merci d'avance,e t désolé de vous déranger encore
-
Timil
- Forum Master
- Messages : 17446
- Inscription : mar. 18 mars 2003, 11:44
- Localisation : Luxembourg
Re: RSAT & Sécurisation des accès aux serveurs
Salut
Read sur l'OU source, write sur la cible
Maintenant les droits exacts....
Read sur l'OU source, write sur la cible
Maintenant les droits exacts....
Re: RSAT & Sécurisation des accès aux serveurs
Quel malpoli, je n'ai même pas remercié mes précieux sauveurs.
Merci à tous !
Sujet à clôturer (je ne peux pas le faire).
Merci à tous !
Sujet à clôturer (je ne peux pas le faire).
-
Timil
- Forum Master
- Messages : 17446
- Inscription : mar. 18 mars 2003, 11:44
- Localisation : Luxembourg
Re: RSAT & Sécurisation des accès aux serveurs
Merci pour ton retour.