Sean Deuby | Technologue principal

Devriez-vous mettre à niveau votre forêt AD existante vers Windows Server 2016 Active Directory (aka AD 2016), ou devriez-vous la laisser là où elle est ? Malgré l'intérêt et l'activité autour d'ADoption des services cloud aujourd'hui, le fait est qu'Active Directory continue à être à la base de tout. En plus de sa domination de longue date en tant que source d'identité sur site, la grande majorité des organisations de taille moyenne et des entreprises du monde entier utilisent un modèle d'identité hybride, alimenté par AD, pour leurs services cloud. Il s'agit donc d'une question importante.

L'une des principales raisons pour lesquelles les services informatiques n'ont pas mis à niveau leur environnement AD vers Windows Server 2016 à partir de systèmes d'exploitation de support intermédiaire tels que Windows Server 2012 ou R2 est qu'ils ne pensent pas qu'il existe une "fonction héroïque" claire et convaincante, telle que la corbeille AD, pour justifier la mise à niveau. Si vous êtes l'un d'entre eux, vous devriez examiner de près Windows Server 2016.

Utilisons des scénarios - des exemples commerciaux et techniques d'environnements et de besoins que vous pourriez également avoir - pour examiner les principales améliorations apportées à Active Directory et à la sécurité du système d'exploitation par Windows Server depuis 2008 R2. L'un de ces scénarios correspond-il à votre organisation ?

Si vous virtualisez vos DC

La virtualisation est très répandue depuis de nombreuses années, mais la virtualisation des DC a souvent été à la traîne par rapport à d'autres charges de travail pour deux bonnes raisons : l'intégrité et la sécurité. Si vous avez virtualisé une partie ou la totalité de vos DC, il existe des améliorations majeures en matière d'intégrité et de sécurité à la fois dans le système d'exploitation de base Windows Server 2016 et dans AD dont vous devriez tirer parti immédiatement.

La virtualisation d'une application telle qu'AD, qui conserve la trace de son état, pose un problème : si elle est restaurée à partir d'un instantané de VM pris antérieurement, le DC restauré ne se rend pas compte qu'il est désynchronisé par rapport aux autres DC. Cette situation peut entraîner de graves erreurs de divergence dans votre domaine ou votre forêt. Windows Server 2012 a introduit une fonctionnalité dans AD et Hyper-V, le VM-GenID, qui indique essentiellement à AD qu'il a été restauré à partir d'un instantané et qu'il doit prendre les mesures appropriées pour se protéger.

Ayant été averti de la restauration de l'instantané, le DC se débarrasse de son pool de RID et réinitialise l'ID d'invocation (le numéro de version de la base de données AD) pour éviter les problèmes de divergence. (Il n'est toutefois pas conseillé de restaurer régulièrement les DC à partir d'instantanés). VMware, Xen et d'autres fournisseurs de virtualisation ont également adopté cette méthode, de sorte que vos DC ne doivent pas nécessairement être sur Hyper-V.

Si vos DCs sont jusqu'à Windows Server 2012 ou 2012 R2 et que vous n'avez toujours pas virtualisé vos DCs en raison de problèmes de sécurité liés à ses serveurs hôtes, Windows Server 2016 a une fonctionnalité importante pour vous. Le tout dernier système d'exploitation s'attaque à un problème de sécurité fondamental lié à toute VM : toute personne disposant de droits d'administrateur sur la machine hôte peut simplement copier les fichiers de la VM hors de l'hôte et les pirater à sa guise. Un DC est une cible de choix pour cette attaque, car il contient évidemment les identifiants et les mots de passe de tous les employés de l'entreprise. La fonction Shielded VMs protège les machines virtuelles contre les administrateurs compromis ou malveillants, tels que les administrateurs de stockage, les administrateurs de sauvegarde, etc. en chiffrant le disque et l'état des machines virtuelles afin que seuls les administrateurs de VM ou de locataires puissent y accéder.

Soutenir vos clients dans un monde hybride

L'existence d'une organisation ne se limite pas à ses serveurs, bien entendu. Les clients avec lesquels les utilisateurs interagissent sont également importants. Traditionnellement, le service informatique n'avait à se préoccuper que des clients Windows reliés à un domaine, mais aujourd'hui, les utilisateurs professionnels ont le choix entre une grande variété de clients. Au fil des versions, AD s'est adapté pour gérer cette plus grande variété.

Si votre organisation adopte la "transformation numérique" des services cloud - en particulier Azure Active Directory avec des clients Windows 10 - il existe un scénario dans lequel vous devez examiner de plus près AD 2016. Tout d'abord, un petit rappel sur la prise en charge des appareils dans AD aidera à comprendre le scénario.

Active Directory a toujours pris en charge les appareils Windows reliés à un domaine. À partir de Windows Server 2012 R2, AD a également permis à un utilisateur d'enregistrer un appareil mobile tel qu'un téléphone intelligent (on peut considérer qu'il s'agit d'une jonction légère). Cette capacité de jonction en milieu de travail confère à l'appareil une présence dans AD et l'associe à un utilisateur. Cette association confère à l'appareil un degré de confiance supérieur à celui d'un appareil inconnu, ce qui lui permet de bénéficier d'une authentification unique et d'un accès à des ressources réseau plus sûres.

Le grand frère cadet d'AD dans le nuage - Azure AD - prend également en charge ces deux types d'appareils. Vous pouvez les connecter directement au service en nuage en utilisant Azure AD join pour les appareils Windows 10 et Intune registration pour les appareils iOS, Android et Mac OS. Cette architecture déroutante devient encore plus déroutante dans un environnement hybride avec des clients Windows 7 et 8 sur site ; Azure AD peut être informé de leur existence via une jointure Azure AD hybride, qui est nécessaire pour appliquer des politiques d'accès conditionnel tenant compte des appareils.

Vous envisagez d'utiliser Windows Hello for Business pour fournir une authentification sécurisée au-delà des mots de passe ? D'emblée, Hello vous permet de déverrouiller votre appareil Windows 10 à l'aide d'un code biométrique ou d'un code PIN. Hello for Business est un cadre MFA plus large qui utilise des clés asymétriques (stockées dans le module de sécurité d'un appareil) pour authentifier l'utilisateur. Il existe un scénario MFA dans un environnement hybride Active Directory sur site / Azure AD où vous avez besoin à la fois d'AD 2016 et d'AD FS 2016. Je parlerai des raisons d'envisager une mise à niveau vers AD FS 2016 dans un prochain article de blog.

Une meilleure sécurité

Indépendamment des améliorations apportées à AD, la mise à jour de son système d'exploitation Windows Server 2016 sous-jacent vous apportera des avantages en matière de sécurité. Si vous êtes encore sous 2008 R2, la mise à niveau vous apportera une interface utilisateur pour la corbeille AD, ce qui la rendra beaucoup plus facile à utiliser. Vous pouvez également commencer à combler une faille de sécurité de longue date : les mots de passe anciens et immuables de vos comptes de service : les comptes de service gérés par groupe (gMSA) mettent automatiquement à jour le mot de passe de ces comptes pour vous, même s'ils sont utilisés dans un cluster.

Si vous utilisez déjà 2012 R2, Windows Server 2016 propose quelques améliorations en matière de sécurité. Windows Defender Credential Guard et Remote Guard protègent les informations d'identification NTLM et Kerberos dans AD contre leur collecte par des attaquants et leur utilisation pour des attaques de type "pass-the-hash". Windows Defender Application Control protège l'intégrité du système d'exploitation de base en n'autorisant que certaines applications à s'exécuter (également connu sous le nom de liste blanche) - une excellente mesure de sécurité pour un serveur exécutant une charge de travail dédiée telle qu'AD.

Gestion des accès privilégiés pour AD

Si vous avez pour directive de vraiment verrouiller vos comptes administratifs AD, AD 2016 introduit également la gestion des accès privilégiés (PAM). En conjonction avec un déploiement MIM dédié, PAM est une forêt "rouge" spéciale, hautement sécurisée, que vous construisez et qui contrôle les groupes administratifs d'une forêt AD cible.

AD 2016 comporte des mises à jour des groupes de sécurité, appelées "shadow principals", qui permettent aux groupes d'administrateurs de la forêt cible d'être "shadowés" vers la forêt rouge via une nouvelle forme de confiance forestière. Lorsqu'un compte d'administrateur dans la forêt rouge est ajouté à un groupe d'administrateurs shadowed dans cette forêt, il obtient le même SID que le groupe d'administrateurs et donc les mêmes droits. Grâce à cette fonctionnalité, les comptes administratifs sont supprimés de la forêt cible et n'existent plus que dans la forêt rouge sécurisée.

AD 2016 comporte également des mises à jour du protocole Kerberos qui permettent de limiter dans le temps l'appartenance à un groupe (stockée dans le champ PAC du ticket Kerberos). Lorsqu'ils sont combinés avec les mandants fantômes et le workflow de demande d'accès intégré à MIM, les administrateurs peuvent demander et se voir accorder des droits d'administration (via l'appartenance à un groupe) pour une période de temps spécifiée. À l'expiration de cette période, ces droits sont automatiquement révoqués.

Raisons de rester là où vous êtes

Franchement, il n'y a pas beaucoup de raisons de rester dans une AD de niveau inférieur.

Si vous disposez d'une forêt de test dans un réseau isolé, fonctionnant sur des DC physiques, qui ne prend pas en charge les périphériques clients, vous pouvez peut-être retarder un peu les choses.

Le budget est peut-être un problème en ce moment. Votre direction doit avoir une vue d'ensemble : la plupart des entreprises possèdent bien moins de cinquante DC. Le coût des licences, de la mise à niveau et du déploiement de nouvelles fonctionnalités sur ces serveurs est insignifiant par rapport au coût d'une intrusion par l'obtention d'informations d'identification de domaine à partir d'anciennes versions d'AD.

La compatibilité AD avec de très anciennes applications, ou d'anciens logiciels clients embarqués fonctionnant sur du matériel très coûteux, comme les équipements de fabrication informatisés, peut être un problème plus épineux. Mais 2008 R2 ne sera plus viable très longtemps : la fin du support (avec le SP1 appliqué, bien entendu) est prévue pour le14 janvier 2020. C'est dans un an et quatre mois. La fin du support signifie que Microsoft ne fournira plus de mises à jour de sécurité, un service essentiel dans le monde actuel du chat et de la souris des vulnérabilités et des correctifs. Les forêts 2012 et 2012 R2 ont plus de temps : 10 octobre 2023. (Notez que les versions 2012 et R2 ont la même date de fin de prise en charge).

Recommandations

Mes recommandations sont les suivantes :

  • Si vos DC fonctionnent sous 2008 R2, quel que soit le scénario ci-dessus, vous devez planifier vos mises à niveau et effectuer des tests de compatibilité des applications dès maintenant.
  • Pour les utilisateurs de 2012 ou 2012 R2, les améliorations apportées à la virtualisation et à la sécurité de base du système d'exploitation justifient une mise à niveau. Vous voudrez également travailler avec les équipes d'ingénierie et de sécurité des serveurs en tant que partie prenante afin d'encourager le déploiement des améliorations de sécurité 2016 dans l'image de construction standardisée de la plateforme. Les problèmes de compatibilité des applications devraient être mineurs.
  • À moins que vous ne correspondiez au scénario hybride spécial Hello for Business, l'amélioration de la gestion des périphériques ne sera pas un facteur déterminant d'AD 2016.

Si l'on examine de près la question de la mise à niveau vers AD 2016 par rapport au maintien de la situation actuelle, on constate qu'en dehors de la compatibilité des applications, il n'y a pas vraiment de bonnes raisons de ne pas procéder à la mise à niveau. La principale raison de ne pas mettre à niveau est probablement la complaisance : cela fonctionne bien tel quel. Mais les améliorations apportées à la sécurité du système d'exploitation de base et d'AD renforceront considérablement la protection de votre organisation contre les attaquants. Cela signifie que vous devriez commencer à planifier vos mises à niveau dès aujourd'hui.