Omri Rubinstien

Même après plus de 20 ans de service, Active Directory (AD) reste l'un des composants les plus critiques de l'infrastructure informatique d'une entreprise typique. Les utilisateurs considèrent facilement la sécurité d'AD comme allant de soi lorsqu'elle fonctionne. Toutefois, en cas d'attaque, son importance pour les activités de l'entreprise peut devenir douloureusement évidente.

Lorsque des attaques de sécurité se produisent, chaque seconde qui s'écoule avant que la menace soit contenue et corrigée et que les systèmes soient rétablis représente un coup dur pour l'entreprise. Plus le temps d'arrêt est long, plus les opérations sont perturbées. La rapidité est importante, mais s'assurer que l'AD est récupéré avec succès l'est tout autant, tout comme s'assurer que les acteurs de la menace ont été expulsés et qu'il n'y a pas de points d'entrée pour de futures attaques.

La première étape pour accomplir cette tâche à la suite d'une attaque est d'établir un environnement de reprise isolé (IRE). Toutefois, comme pour le reste du processus de reprise, il convient de trouver un équilibre entre rapidité et sécurité. C'est ici que les capacités de provisionnement automatisé du système d'exploitation commencent à briller.

Lecture associée

Réduire la pénibilité du processus

Il est loin le temps où les inquiétudes concernant les pannes d'AD se concentraient sur des événements tels que les catastrophes naturelles et les problèmes électriques dans le centre de données. Aujourd'hui, les organisations sont confrontées à plusieurs scénarios dans lesquels il peut être nécessaire de restaurer une forêt entière. Il se peut qu'un acteur menaçant ait apporté des modifications malveillantes au schéma Active Directory. Peut-être que tous les contrôleurs de domaine (DC) ont été corrompus ou endommagés, rendant les services indisponibles. Quelle qu'en soit la raison, la conséquence de ces événements est un temps d'arrêt qui peut s'étendre de quelques heures à plusieurs jours. Plus le temps d'arrêt est long, plus les opérations de l'entreprise sont endommagées.

Ceux qui sont passés par le processus de récupération savent trop bien qu'il peut être largement manuel et fastidieux. Les grands environnements peuvent prendre plusieurs jours pour retrouver toutes leurs fonctionnalités sans l'aide d'outils tiers. L'automatisation est votre amie ; récupérer AD sans elle revient à effectuer une chirurgie reconstructive sans aucun outil chirurgical.

Que ce soit à la suite d'une cyberattaque ou d'une attaque en cours, une organisation effectuant une restauration complète d'une forêt AD devra mettre en place un IRE et gérer le provisionnement du système d'exploitation sur des machines virtuelles. L'IRE permet aux organisations de commencer le processus de récupération dans un environnement inaccessible aux attaquants. C'est un point essentiel : souvent, les attaquants se cachent dans un environnement de production pendant des semaines avant de frapper. S'ils découvrent qu'ils ont été détectés, ils risquent de prendre des mesures qui pourraient compliquer la reprise. En effet, les IRE permettent à l'équipe de réponse aux incidents de tester les modifications apportées aux AD sans craindre que les sauvegardes ne soient infectées et que des logiciels malveillants ne soient donc à nouveau diffusés dans l'environnement de production.

La reproduction d'un environnement de production peut être une tâche fastidieuse, et un provisionnement efficace est indispensable. Chez Semperis, nous avons développé un outil autonome basé sur l'interface utilisateur et PowerShell pour préparer les machines virtuelles à la restauration complète de la forêt. Nous avons ajouté cet outil, qui ne prend actuellement en charge que Hyper-V, à notre solution Active Directory Forest Recovery (ADFR). Il offre plusieurs fonctionnalités, notamment

  • Indépendance totale de l'équipe AD
  • La possibilité de créer une nouvelle VM qui peut être utilisée pour un nouveau DC (re-promu), un MS secondaire ADFR et un nouveau DP.
  • Une vue des métadonnées de sauvegarde, telles que la liste des DC inclus dans le jeu de sauvegarde et l'état de chaque DC au moment de la sauvegarde.
  • Configuration de l'approvisionnement en vous permettant de sélectionner un modèle par système d'exploitation Windows et de définir les paramètres matériels et réseau par défaut à appliquer aux centres de données dans la sauvegarde.
  • Permet de modifier les paramètres (en remplaçant les paramètres par défaut) pour des DC individuels avant de provisionner le système d'exploitation d'un ordinateur.
  • Installation automatique de l'agent ADFR

Semperis ADFR permet aux utilisateurs de restaurer AD sur n'importe quel matériel sur site ou dans le nuage. Il simplifie également le processus de création d'une copie des DC de production dans un laboratoire virtuel, ce qui réduit considérablement le temps nécessaire à la maintenance des environnements de développement/test, de mise en scène, de formation et de support. Pour renforcer la sécurité, les capacités de forensic post-recovery de ADFRpermettent aux organisations de déterminer si une attaque était en cours lors de la sauvegarde de l'environnement et d'identifier toutes les modifications apportées par les acteurs de la menace au cours d'une fenêtre d'attaque définie.

Empêcher les attaquants de maintenir la persistance est l'un des aspects les plus importants de la récupération d'AD, et les IRE fournissent des endroits sûrs et confinés pour tester les changements AD sans courir le risque de compromettre davantage les organisations. Avec le temps qui passe, il y aura une pression pour remettre AD en ligne rapidement et en toute sécurité, et l'élimination d'une partie du temps nécessaire à l'établissement d'un IRE avec le provisionnement automatisé du système d'exploitation contribuera à ces efforts.

Voici une démo rapide pour vous présenter les prochaines améliorations de ADFR OS Provisioning :

Vous avez des questions ou des commentaires ? Nous serions ravis de vous entendre. Contactez-nous à l'adresse customersuccess@semperis.com.