Le maintien de la continuité des activités pendant et après une cyberattaque est devenu un objectif stratégique majeur, non seulement pour la cybersécurité de l'entreprise, mais aussi pour les responsables informatiques et les dirigeants d'entreprise. Une détection et une réponse efficaces aux menaces liées à l'identité (ITDR), y compris un plan documenté de sauvegarde et de récupération de l'Active Directory, sont essentielles pour une forte résilience opérationnelle.
L'infrastructure d'identité - Active Directory pour la plupart des organisations, souvent en combinaison avec Entra ID, Okta ou un autre service d'annuaire basé sur le cloud - joue un rôle fondamental dans l'accès et l'authentification. En bref : si Active Directory est en panne, votre entreprise l'est aussi. Découvrez pourquoi un plan de sauvegarde et de récupération d'Active Directory est vital pour la résilience cybernétique et commerciale et comment tirer le meilleur parti de votre sauvegarde Active Directory.
Voir l'impact d'une solution efficace de sauvegarde et de restauration d'Active Directory
Pourquoi avez-vous besoin d'une sauvegarde d'Active Directory ?
Plus de vingt ans après sa création, Active Directory reste un élément fondamental de l'infrastructure informatique des entreprises. Une implémentation d'Active Directory consiste en.. :
- Domaines : Une collection d'objets qui représentent des ressources telles que des utilisateurs et des appareils sur le réseau.
- Arbres : Un ensemble de domaines reliés par des relations de confiance
- Forêts : Un groupe d'arbres
- Contrôleurs de domaine : Serveur qui exécute les services de domaine Active Directory (AD DS), qui stocke des informations sur des objets tels que les noms et les mots de passe et permet aux utilisateurs autorisés d'accéder à ces informations.
En cas de compromission d'Active Directory, les entreprises doivent se rétablir rapidement. Compte tenu du nombre d'applications intégrées à Active Directory dans une entreprise type, l'incapacité à récupérer Active Directory peut être catastrophique. Les temps d'arrêt coûtent de l'argent et nuisent à la réputation.
Par le passé, les principales menaces pesant sur Active Directory étaient les catastrophes naturelles et les erreurs opérationnelles. Aujourd'hui, cependant, les entreprises doivent faire face à un paysage de menaces qui comprend des gangs de ransomware et d'autres attaquants ciblant les systèmes Active Directory :
- Escalade des privilèges
- Maintenir la persistance
- Voler ou compromettre des données
Une récupération rapide après une cyberattaque repose sur une sauvegarde d'Active Directory exempte de logiciels malveillants. Mais de nombreuses organisations n'ont pas de plan spécifique pour sauvegarder et restaurer AD en dehors de leurs autres systèmes.
Défis liés à la sauvegarde d'Active Directory
Les API de Microsoft prennent en charge deux types de sauvegarde :
- Une sauvegarde de l'état du système copie les fichiers du système d'exploitation et tous les rôles installés sur le serveur.
- Une récupération sur métal nu (BMR) comprend une récupération de l'état du système et tous les autres volumes attachés au serveur.
Une sauvegarde de l'état du système ou une sauvegarde BMR d'Active Directory doit être installée sur la même configuration matérielle que celle sur laquelle le service fonctionnait avant l'événement cybernétique incriminé. Les deux types de sauvegarde contiennent un composant essentiel du système d'exploitation appelé couche d'abstraction matérielle (HAL). La couche d'abstraction matérielle est l'interface entre le système d'exploitation et les pilotes matériels uniques requis pour fonctionner avec la plate-forme matérielle spécifique du serveur.
Par exemple, une tentative de restauration d'une sauvegarde de l'état du système d'une machine virtuelle VMware vers une machine virtuelle Hyper-V échouera. Les pilotes VMware restaurés ne fonctionneront pas sur une infrastructure d'hyperviseur Hyper-V.
Les entreprises peuvent également choisir entre des sauvegardes incrémentielles et des sauvegardes complètes. Les sauvegardes incrémentielles ne sauvegardent que les modifications apportées depuis la dernière sauvegarde complète.
Cette approche présente l'avantage d'utiliser moins d'espace de stockage, car elle se concentre uniquement sur les modifications apportées aux objets. Cependant, les sauvegardes incrémentielles peuvent entraîner un surcroît de travail lors de la restauration. C'est pourquoi nous recommandons aux entreprises de toujours effectuer des sauvegardes complètes d'Active Directory.
Le fichier le plus volumineux d'une sauvegarde Active Directory est le fichier de base de données NTDS.DIT, qui est marqué comme modifié pour chaque sauvegarde. L'utilisation de sauvegardes incrémentielles ralentit la restauration car vous devez monter chaque sauvegarde incrémentielle au lieu de monter uniquement la sauvegarde la plus récente. En outre, si l'une des sauvegardes incrémentielles est perdue, les modifications sont également perdues.
Par exemple, supposons que vous deviez récupérer Active Directory le jeudi. Si vous effectuez des sauvegardes complètes le dimanche et des sauvegardes incrémentielles tous les deux jours, vous devrez effectuer une restauration complète de l'environnement du dimanche, puis monter chaque sauvegarde incrémentielle.
De nombreuses organisations choisissent la manière la plus simple de procéder : utiliser Windows Server Backup. Une fois installé, il peut être configuré pour effectuer des sauvegardes automatiquement, selon un calendrier que vous définissez. Certains produits tiers disposent également d'une fonction de planification. Mais cette approche sauvegarde Active Directory dans le cadre de la sauvegarde du serveur.
Meilleures pratiques en matière de sauvegarde d'Active Directory
Pour pouvoir restaurer Active Directory, il faut d'abord respecter les meilleures pratiques en matière de sauvegarde d'Active Directory. Voici quelques conseils pour gérer le processus.
Meilleure pratique n° 1 : dissocier la sauvegarde de l'Active Directory des sauvegardes du système d'exploitation et des données
Si les sauvegardes de votre contrôleur de domaine incluent l'état du système, il y a de fortes chances que ces sauvegardes contiennent des logiciels malveillants, car la durée de vie utile des sauvegardes AD est courte et le temps de séjour des logiciels malveillants est long. Il s'agit également d'un problème potentiel avec les sauvegardes BMR qui contiennent des fichiers d'amorçage ou de système d'exploitation.
Les solutions de protection des données peuvent sauvegarder les fichiers et les données de vos contrôleurs de domaine. Cependant, la restauration d'une forêt Active Directory nécessite bien plus que cela.
Meilleure pratique n°2 : sauvegarder au moins deux contrôleurs de domaine par domaine
La sauvegarde de deux contrôleurs de domaine par domaine dans votre forêt Active Directory assure la redondance. Stockez les sauvegardes d'Active Directory en toute sécurité et hors ligne, ou copiez les images de sauvegarde vers le stockage blob d'Azure ou d'AWS.
Meilleure pratique n°3 : ne pas utiliser de points de contrôle pour sauvegarder Active Directory sur une machine virtuelle
Il n'y a rien de mal à placer Active Directory sur des machines virtuelles dans un environnement VMware ou Hyper-V. Cependant, il faut éviter la tentation de s'appuyer sur des instantanés du contrôleur de domaine pour la récupération d'Active Directory, et ce pour de multiples raisons :
- Une forêt récupérée à partir d'instantanés posera probablement des problèmes de cohérence des données.
- Si un logiciel malveillant est présent sur un contrôleur de domaine lorsque l'instantané est pris, le logiciel malveillant sera restauré en même temps que le contrôleur de domaine. (Ceci est vrai pour toute sauvegarde).
Meilleure pratique n° 4 : sauvegarder régulièrement Active Directory
À quelle fréquence devez-vous sauvegarder Active Directory ? La réponse dépend de l'objectif de point de récupération (RPO) de votre organisation. Votre RPO représente le temps qui peut s'écouler avant que l'organisation ne perde une quantité inacceptable d'informations.
Supposons par exemple que votre RPO soit de 30 jours. Dans ce cas, vos données de sauvegarde ne doivent jamais dater de plus de 30 jours. La plupart des entreprises créent une sauvegarde d'Active Directory toutes les 24 heures.
Meilleure pratique n° 5 : tester la sauvegarde de l'Active Directory
Ne laissez pas la récupération d'Active Directory au hasard. Assurez-vous que votre plan de reprise après sinistre prévoit des tests réguliers de votre processus de sauvegarde et de récupération d'AD. (Ceci est particulièrement important si vous prévoyez de restaurer AD manuellement, ce qui est un processus compliqué et long).
Comment Semperis peut aider à sécuriser les sauvegardes AD
Les experts ITDR de Semperis ont développé Active Directory Forest Recovery ( ADFR) pour permettre une sauvegarde et une restauration rapides et sans logiciels malveillants de l'Active Directory. ADFR utilise un processus breveté pour sauvegarder votre forêt Active Directory tout en éliminant la menace d'une réinfection par des logiciels malveillants. Les analystes de Forrester rapportent que ADFR réduit également les délais de sauvegarde et de récupération de 90 %.
Ensemble, la réduction du temps nécessaire à la sauvegarde et à la restauration d'Active Directory et l'élimination de la persistance des logiciels malveillants peuvent permettre à une organisation d'économiser près de 4 millions de dollars en main-d'œuvre et en pertes de revenus liées aux attaques. Et pour les environnements d'identité hybrides qui gèrent à la fois Active Directory et Entra ID, Semperis propose Disaster Recovery for Entra ID. DRET sauvegarde les politiques d'accès conditionnel d'Entra ID et les objets des utilisateurs, des groupes et des rôles dans un stockage géré sécurisé certifié SOC 2 (Type II), ce qui permet une récupération plus rapide d'un environnement Active Directory hybride.