Restreindre un compte Active Directory pour des services

Parce qu'on est jamais à l'abri qu'un compte utilisé par un programme ou un service soit détourné, il est utile de peaufiner ces comptes spéciaux pour restreindre leurs possibilités.

Lorsqu'on a plusieurs machines sous Windows, avoir un contrôleur de domaine peut être pratique pour les gérer et fournir un compte à ses gentils utilisateurs. On peut alors faire des groupes, gérer des droits,… et les utilisateurs peuvent utiliser n'importe quelle machine et se connecter aux services…

Mais vient un moment où un des services à besoin d'un compte sur le domaine pour fonctionner…

Restreindre les possibilités. PublicDomainPictures @ pixabay
Restreindre les possibilités. PublicDomainPictures @ pixabay

Même si on fait confiance aux développeurs pour faire du travail excellent, on préfère quand même rester prudent et ne fournir à ses services qu'un compte minimal. En cas de compromission, il ne pourra pas servir de tremplin (ou le moins possible on l'espère).

On va créer une Unité Organisationnelle et un groupe spécifique qui sera utilisé comme groupe principal puis restreindre les machines et les horaires de connections. Pour avoir plus facile la prochaine fois, on vous montrera aussi comment copier le compte. !! Remerciements : à Unysoft Consulting pour la relecture et les conseils 😀.

Créer une Unité Organisationnelle

Si vous avez fait les choses bien, vous devriez déjà avoir un domaine avec ses propres unités organisationnelles (par type, par zone géographique ou tout autre système de tri que vous avez choisi).

Pour ceux qui débutent, On pourrait abréger en UO pour Unité Organisationnelle. Mais comme c'est franchement moche, on préfère utiliser la version anglophone OU pour Organisational Unit. C'est comme ça.

Nous allons en rajouter une, directement à la racine de votre domaine. Comme ça, il n'y a pas de risque qu'une GPO ne s'y applique et viennent lui donner des possibilités imprévues.

Pour ça, lancez le gestionnaire des utilisateurs et ordinateurs. Dans la zone de gauche, faite un clic-droit sur votre domaine et choisissez « Nouveau » puis « Unité d'organisation ».

Création d'une OU, clic droit.
Création d'une OU, clic droit.

Une nouvelle fenêtre s'ouvre et vous demande son nom, entrez-en un (on a choisi « Les services » mais faites comme vous préférez).

Choisir le nom de l'OU.
Choisir le nom de l'OU.

Créer un groupe

Comme on vous l'a dit, une OU n'est pas suffisante et nous allons y créer un groupe.

Toujours dans le gestionnaire des utilisateurs, sélectionnez votre OU et faites un clic-droit et choisissez « Nouveau » puis « Groupe ».

Créer un groupe, clic-droit.
Créer un groupe, clic-droit.

LA fenêtre vous demande un nom (on a mis « NoPrivileges » mais c'est vous qui voyez). Le reste peut être laissé tel quel.

Oui, je sais que c'est bizarre d'accorder au pluriel quand il n'y a rien mais j'aime bien 🙃.

Choisir le nom du groupe.
Choisir le nom du groupe.

Vous pourriez être tenté configurer une étendue « Domaine Local », l'idée est bonne dans l'absolu mais ça vous gênera pour la suite, lorsque vous voudrez l'utiliser comme groupe principal car ça n'est pas permit (seuls les groupes globaux peuvent être des groupes principaux).

Créer un compte

On peut maintenant créer un compte dans notre OU. Les restrictions seront faites dans un second temps.

Avant goût : comme on va le voir ensuite, ce compte ne va pas servir directement pour un service mais comme base à partir de laquelle les autres comptes seront créés.

Dans le gestionnaire des utilisateurs, sélectionnez votre OU et faites un cli-droit pour choisir « Nouveau » puis « utilisateur ».

Créer un utilisateur, clic-droit.
Créer un utilisateur, clic-droit.

Une nouvelle fenêtre vous demande les premiers paramètres pour identifier l'utilisateur. Comme ça n'est qu'un compte pour des services, inutile d'être très verbeux, seul le Prénom et le nom d'ouverture de session sont nécessaires.

Choix du nom et du pseudonyme
Choix du nom et du pseudonyme

La fenêtre vous demande ensuite de configurer le mot de passe. Un petit peu plus de travail cette fois :

Configuration de l'authentification.
Configuration de l'authentification.

La fenêtre vous fait enfin un récapitulatif et c'est terminé.

Récapitulatif.
Récapitulatif.

Restreindre le compte

Même si la présence du compte dans votre OU spécifique apporte quelques petites choses, on va aller plus loin.

Restreindre le groupe principal

La première restriction va être de supprimer le compte des utilisateurs du domaine et ainsi éviter qu'ils n'accède aux fonctionnalités habituelle des utilisateurs.

Via le gestionnaire d'utilisateurs, sélectionnez le compte à restreindre, faites un clic-droit et choisissez « Propriétés ». Naviguez dans l'onglet « Membre de ».

Membre de, initialement.
Membre de, initialement.

En bas de la liste des groupes (un seul pour l'instant), cliquez sur le bouton « Ajouter… ». Dans la nouvelle fenêtre, entrez le nom du groupe (NoPrivileges) et cliquez sur « OK ».

Choix du groupe NoPrivileges.
Choix du groupe NoPrivileges.

De retour aux propriétés du compte, sélectionnez maintenant le groupe restreint (NoPrivileges) puis cliquez sur le bouton « Définir le groupe principal ».

Définir comme groupe principal.
Définir comme groupe principal.

Vous pouvez maintenant cliquer sur le groupe « Utilisateurs du domaine » puis sur le bouton « Supprimer ».

Supprimer du groupe Utilisateurs du domaine
Supprimer du groupe Utilisateurs du domaine

Pour éviter les problèmes, le système vous demande de confirmer.

Confirmer la suppression.
Confirmer la suppression.

Le compte est maintenant restreint au seul groupe NoPrivileges et n'aura plus accès aux fonctionnalités des comptes habituels. Cliquez sur « OK » pour terminer.

Membre de, finalement.
Membre de, finalement.

Restreindre les machines

Pour continuer dans la paranoïa, on va maintenant restreindre, nommément, les machines accessibles par le compte.

Pour ça, et si ça n'est pas déjà fait, on ouvre les propriétés du compte, on va dans le troisième onglet « compte » et on clique sur le bouton « Se connecter à… ».

Se connecter à…
Se connecter à…

On coche ensuite la case « Les ordinateurs suivants » et on entre le nom des ordinateurs auxquels le compte est autorisé à se connecter :

On peut se poser la question « à quoi peut bien servir un compte qui ne se connecte nulle part ? » et effectivement, de prime abord, je ne vois pas. Par contre, comme je vais vous en parler ensuite, c'est pratique pour servir de « modèle » lorsqu'on crée de nouveaux comptes en copiant celui-ci.

Exemple si le compte ne se connecte nulle part.
Exemple si le compte ne se connecte nulle part.

On peut alors contrôler que le nom est ajouté et cliquer sur « OK » pour terminer ce réglage.

Contrôler avant de valider.
Contrôler avant de valider.

Restreindre les horaires

Facultatif dans de nombreux cas mais très pertinent si vous voulez renforcer le droit à la déconnexion (ou forcer une certaine forme de contrôle parental), vous pouvez restreindre les horaires de connexion du compte.

Bon à savoir… Les services utilisant ces comptes seront donc indisponibles en dehors de ces horaires.

Toujours via l'écran des propriétés du compte et ce même troisième onglet « Compte », cette fois, cliquez sur le bouton « Horaires d'accès… ».

Configurer des horaires d'accès.
Configurer des horaires d'accès.

Dans la nouvelle fenêtre, sélectionnez les horaires disponibles ou non puis cochez la case correspondante. Une fois satisfait, cliquez sur « OK ».

Exemple d'horaires minimaux.
Exemple d'horaires minimaux.

L'un des avantages de ce réglage, c'est qu'en cas de détournement du compte, des tentatives de connexions en dehors des horaires seront journalisées et fourniront un indice que votre réseau est peut être compromis.

Copier un compte

Comme on est pas sûr de se souvenir de toutes ces étapes (et qu'on a pas forcément envie de les refaire), l'idée est plutôt de copier un compte lorsqu'on veut en créer un nouveau.

Note : cette technique marche aussi très bien pour créer de nouveaux gentils utilisateurs.

Via le gestionnaire des utilisateurs, faites un clic-droit sur le compte restreint créé précédemment et choisissez « Copier… ».

Copier un utilisateur
Copier un utilisateur

Entrez maintenant les informations d'identification (prénom et nom d'ouverture de session).

Configurer l'identification.
Configurer l'identification.

Entrez ensuite le mot de passe (deux fois, comme toujours). Vous pouvez remarquer que les cases à cocher sont déjà dans le bon état (puisque c'est une copie).

Configurer l'authentification.
Configurer l'authentification.

La fenêtre vous montre le récapitulatif et c'est terminé.

Récapitulatif.
Récapitulatif.

Votre nouveau compte est autant restreint que celui de base. Si vous voulez, vous pouvez voir ses propriétés, l'onglet « Membre de » sera déjà configuré pour ne contenir que NoPrivileges.

Membre de, conformément.
Membre de, conformément.

Les autres restrictions du compte (machine et horaires) sont également copiées mais je ne vous met pas les captures correspondantes, faites-moi confiance.

Et après ?

Vous pouvez maintenant utiliser ce compte pour tous les services qui auraient besoin de se connecter à votre contrôleur de domaine.

Configurer LDAPs sur un Active Directory

2 Novembre 2020 Centraliser l'authentification, c'est bien, mais en protégeant ses communications, c'est mieux. Parce que, par défaut, Active Directory n'utilise pas TLS, on va devoir lui fournir un certificat.