Renforcer l’accès aux répertoires Sysvol et Netlogon grâce à la stratégie de groupe

L’accès aux ressources partagées via les chemins UNC (exemple: \dc01\partage) est une fonctionnalité souvent utilisée dans les environnements de production sous Windows.

Dans cet article nous allons examiner comment rajouter une couche de sécurité pour les ressources avec un accès UNC à l’aide de la stratégie de groupe.

Qu’est-ce que l’accès UNC ?

Avant d’entrer dans les détails de la configuration, nous allons faire un petit rappel rapide sur les UNC.
Les chemins UNC sont une méthode de spécification d’emplacement de ressources partagées sur un réseau. Ils utilisent une syntaxe standard (\serveur\nom_partage), par exemple (\dc01.paris.geekologue.com\cours).

Pourquoi sécurisé l’accès UNC ?

Il y a déjà une couche de sécurité pour les accès UNC par défaut, mais ce n’est pas suffisant pour un environnement de production en ces temps qui courts. Le répertoire SYSVOL par exemple est une donnée qui transite, il faut donc protégé le transite en plus de l’accès.
La vérification de l’intégrité des données n’est pas exigé par défaut, et une attaque de type Man in the Middle peut s’avérer très dangereuse dans ce contexte.

D’autant plus que les répertoires SYSVOL et NETLOGON sont des composants essentiel et sensible au sein d’un AD, ils contiennent des informations cruciales telles que les scripts de connexion, les stratégies de groupe et d’autres éléments clés.

Configuration via la stratégie de groupe :

La stratégie de groupe offre un moyen efficace pour configurer une sur couche de sécurité pour protégé les UNC, la fonctionnalité UNC Hardened Access offre une solution robuste pour sécuriser ces chemins d’accès. Dans cet article, nous allons explorer comment implémenter cette fonctionnalité à travers les politiques de groupe (Group Policy) pour renforcer la sécurité des serveurs et des partages spécifiques.

L’accès sécurisé aux chemins UNC permet de « taguer » des serveurs ou des partages avec des informations supplémentaires, informant le Multiple UNC Provider (MUP) et les fournisseurs UNC des exigences de sécurité au-delà des paramètres par défaut du fournisseur UNC. Trois propriétés de sécurité sont supportées :

  • RequireMutualAuthentication=<0 ou 1> : Exige que le fournisseur UNC puisse authentifier l’identité du serveur distant pour bloquer les attaques de spoofing.
  • RequireIntegrity=<0 ou 1> : Nécessite l’utilisation de vérifications d’intégrité pour détecter les manipulations de requêtes ou de réponses en transit, afin de prévenir les attaques de tampering.
  • RequirePrivacy=<0 ou 1> : Impose l’utilisation d’un chiffrement pour que les tiers ne puissent pas voir les informations sensibles contenues dans la communication.

La mise en place de la stratégie

  • Naviguer dans l’arbre de la console jusqu’au domain sur lequel vous voulez appliqué la stratégie.
  • Au niveau du conteneur (Objets de stratégie de groupe), faites un clic droit puis cliquez sur Nouveau pour créer une stratégie.
  • Saisir le nom souhaité pour la nouvelle stratégie.
  • Clic droit sur la nouvelle stratégie, puis cliquez sur Modifier.
  • Dans la console de l’éditeur d’objet de stratégie de groupe, naviguer jusqu’au chemin de la politique suivant : Configuration ordinateur > Stratégies > Modèles d'administration > Réseau > Fournisseur Réseau
  • Clic droit sur le paramètre Chemins d’accès UNC renforcés, puis cliquez sur Modifier.
  • Sélectionner l’option Activé.
  • Dans le volet Options, défilez vers le bas, puis cliquez sur le bouton Afficher…
  • Ajouter une ou plusieurs entrées de configuration selon votre besoin en spécifiant le chemin UNC à configurer et les propriétés de sécurité désirées, séparées par des virgules.
    • Par exemple :
Nom de la valeurValeur
\\dc01.paris.geekologue.com\* RequireMutualAuthentication=1, RequireIntegrity=1
\\dc01.paris.geekologue.com\factures RequireIntegrity=0
\\dc01.paris.geekologue.com\devisRequirePrivacy=1

Dans ce cas précis, toutes les propriétés que vous venez de spécifier dans : \dc01.paris.geekologue.com\* est applicable aussi à \\dc01.paris.geekologue.com\devis, car il n y pas de contradiction dans les mesures et que * est comme une wildcard, ca veut dire que les mesures s’appliquent à tout les répertoires partagé dans dc01.

Cependant pour \\dc01.paris.geekologue.com\factures, vous pouvez constatez que la mesure RequireIntegrity est en contradiction, dans ce cas, la mesure de \\dc01.paris.geekologue.com\factures est prioritaire, ce sera elle qui s’applique en ignorant la première, et le résultat sera ainsi :

Nom de la valeurValeur
\\dc01.paris.geekologue.com\*RequireMutualAuthentication=1, RequireIntegrity=1
\\dc01.paris.geekologue.com\factures RequireIntegrity=1
\\dc01.paris.geekologue.com\devisRequireMutualAuthentication=1, RequireIntegrity=1, RequirePrivacy=1

N’oubliez pas de séparer les valeurs avec une virgule (,).
Vous ne pouvez rentrer plusieurs noms de valeurs identiques.

Retour en haut