Stage 1 : Baie Serveur

CASSI - Pôle Sup de La Salle

🛡️ Introduction et Objectifs

L'objectif de cette mission est d'installer un rôle AD DS (Active Directory Domain Services) sur Windows Server en suivant rigoureusement les recommandations de sécurité de l'ANSSI.

Pour garantir un niveau de sécurité optimal dès l'installation, j'ai utilisé le script PowerShell "Hello My DIR!" (v1.1.0). Cet outil permet d'automatiser la configuration et de corriger les vulnérabilités natives du système.

Environnement de scripts pour le déploiement

Répertoire des scripts Hello My DIR

🔍 L'installation en images

Retrouvez ci-dessous des images de l'installation de l'Active Directory :


Étape 1 : Configuration de la Forêt et du Domaine

Le premier lancement du script permet de définir les paramètres logiques de l'infrastructure:

Création de forêt : Installation d'un nouveau domaine dans une nouvelle forêt.
Niveau fonctionnel : Sélection de Windows Server 2016 pour la forêt et le domaine.
Options activées : Activation de la Corbeille Active Directory.
Emplacements système : Configuration personnalisée des dossiers SYSVOL et NTDS.
Comptes de délégation : Création du compte de service DLGUSER01 et du groupe associé.

Configuration initiale via PowerShell

Étape 2 : Installation des Rôles (Binaires)

Le second lancement installe les composants Windows nécessaires:

Rôles installés : AD-Domain-Services, DNS, RSAT et GPMC (Gestion des GPO).
Sécurité DSRM : Génération aléatoire du mot de passe de restauration.
Finalisation : Redémarrage automatique du serveur pour appliquer les modifications.

Installation des binaires AD DS

Validation des rôles dans le Gestionnaire de serveur

Rôles AD DS et DNS opérationnels

Étape 3 : Post-Installation et Hardening

Après redémarrage, le script est exécuté une troisième fois pour sécuriser l'annuaire en corrigeant les alertes basées sur les outils d'audit PingCastle et PurpleKnight:

Corrections réseau : Configuration des sous-réseaux manquants (SubnetMissing).
Gestion des comptes : Protection des utilisateurs sensibles (Protected Users) et exigence du protocole LDAPS.
Hygiène de l'AD : Protection des Unités d'Organisation (OU) contre la suppression accidentelle.
GPO durcies : Déploiement automatique de stratégies de sécurité pour le domaine et les contrôleurs.

Application des correctifs de sécurité

Résultat : Niveau de risque du domaine (Score : 20 / 100)

Score de risque final optimisé

Le domaine est désormais opérationnel et sécurisé avec un score de risque optimisé. La surface d'attaque a été considérablement réduite dès la phase de déploiement. L'étape suivante consiste à intégrer les périphériques et serveurs membres au domaine.

Documentation Installation Active Directory avec Hello my dir

Télécharger le PDF