Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Qu’est-ce qu’une forêt Active Directory ?

Une forêt Active Directory (forêt AD) représente le plus haut niveau de conteneur logique dans une configuration Active Directory contenant des domaines, utilisateurs, ordinateurs et règles de groupe. « Mais attendez ! », dites-vous....
Michael Buckbee
4 minute de lecture
Dernière mise à jour 29 octobre 2021

Contenu

    Une forêt Active Directory (forêt AD) représente le plus haut niveau de conteneur logique dans une configuration Active Directory contenant des domaines, utilisateurs, ordinateurs et règles de groupe.

    « Mais attendez ! », dites-vous. « Je pensais qu’Active Directory était limité à un seul domaine ? »

    Une même configuration Active Directory peut contenir plus d’un domaine, et nous appelons forêt AD la couche située au-dessus des domaines. Sous chaque domaine, vous pouvez avoir plusieurs arbres et il peut être difficile pour ces arbres de voir la forêt.

    Cette couche supplémentaire de haut niveau pose des problèmes de sécurité et un risque supplémentaire d’exploitation, mais elle peut également signifier un meilleur isolement et une plus grande autonomie si nécessaire : le truc consiste à bien comprendre les forêts AD et les différentes stratégies permettant de les protéger.

    active directory forest diagram - forêt active directory

    Comment concevoir une forêt ?

    Supposons que vous vouliez créer une forêt ou (plus probablement) que vous ayez hérité d’une forêt dans laquelle vous devez faire de l’ordre. Du fait de précédentes tentatives de consolidation ou d’acquisition, il est courant d’avoir plusieurs domaines et GPO différents qui essaient de coexister dans une ou plusieurs forêts.

    Il faut tout d’abord déterminer si les exigences organisationnelles imposent un ensemble de règles de sécurité complètement séparées. Encadrez la conversation en mettant l’accent sur la sécurité des données :

    • Y a-t-il des règles fondamentales que vous pouvez définir au niveau de la forêt AD ?
    • Avez-vous besoin de domaines supplémentaires avec différentes règles de sécurité ou d’une connectivité réseau séparée ?
    • Existe-t-il des exigences applicatives ou légales imposant des domaines séparés dans la forêt ?

    Après avoir documenté les exigences « d’autonomie et d’isolement », l’équipe de conception peut bâtir la forêt, les domaines et les GPO, en fonction des besoins de chaque équipe ou organisation.

    Combien faut-il de forêts ?

    Dans certains cas, en fonction des exigences d’autonomie ou d’isolement, il peut être nécessaire de créer des forêts AD séparées. Le fait d’ajouter des forêts accroît la complexité de la gestion du schéma AD. Si vous décidez d’ajouter une nouvelle forêt à votre schéma AD, vous devez prendre en compte les points suivants :

    • Pouvez-vous atteindre un isolement suffisant sans créer une seconde forêt ?
    • Toutes les parties prenantes comprennent-elles les ramifications des forêts séparées ?
      • La gestion de 2 forêts séparées implique deux fois plus de serveurs d’applications et de frais informatiques.
    • Avez-vous les ressources nécessaires pour gérer une autre forêt ?
      • Les deux forêts AD ne devraient pas être gérées par la même équipe informatique. Les professionnels en sécurité recommandent une (1) équipe par forêt pour assurer le cloisonnement des tâches.
      • La meilleure pratique consiste à faire migrer des domaines nouveaux ou acquis dans une forêt AD unique.

    Téléchargez un Livre-Blanc sur la sécurité d'AD

    "Répondez enfin simplement aux questions 'Où sont mes données' ou 'Mes données sont-elles protégées ?' "

    Conception de forêt AD unique vs forêts AD multiples

    Sur le long terme, une forêt AD unique constitue une solution plus simple et on considère en général qu’il s’agit d’une meilleure pratique. Il est possible de créer un environnement sécurisé avec plusieurs domaines, sans la charge supplémentaire que représente une deuxième forêt AD, en exploitant les GPO, les propriétaires de données établis, ainsi qu’un modèle de moindre privilège.

    L’utilisation de plusieurs forêts établit une couche de sécurité supplémentaire entre les deux domaines, mais au prix d’une augmentation importante des coûts informatiques. L’utilisation de plusieurs forêts n’améliore pas automatiquement votre sécurité. Pour chaque forêt AD, vous devez toujours configurer les GPO et les permissions de façon appropriée.

    Modèles de conception de forêt

    types of active directory forest design models - forêt active directory

    Il existe trois principales façons de concevoir une forêt AD, que vous pouvez combiner pour répondre aux besoins de sécurité de votre organisation. Chaque Active Directory dispose d’au moins une forêt AD et dans certains cas, plusieurs forêts AD sont nécessaires pour répondre aux objectifs opérationnels et de sécurité. Nous allons évoquer quelques modèles de forêt. Chacun de ces modèles présente ses propres avantages et inconvénients, et correspond à des utilisations particulières.

    Modèle de forêt organisationnelle

    Dans une forêt organisationnelle, les comptes utilisateur et les ressources sont stockés et gérés ensemble. Il s’agit de la configuration standard.

    Caractéristiques d’un modèle de forêt organisationnelle :

    • Assure l’autonomie des utilisateurs et des ressources de la forêt
    • Isole les services et les données de toute personne située en dehors de la forêt
    • Des relations d’accréditation entre forêts autorisent un accès à certaines ressources situées à l’extérieur de la forêt

    Modèle de forêt de ressources

    Une forêt de ressources place les comptes utilisateur et les ressources dans des forêts séparées. Vous devez utiliser cette configuration pour séparer un système de fabrication ou un système critique de la forêt principale. Si un problème survient sur une forêt, l’autre peut ainsi continuer à fonctionner.

    Caractéristiques d’un modèle de forêt de ressources :

    • Les utilisateurs se trouvent dans la forêt organisationnelle
    • Les ressources se trouvent dans une ou plusieurs forêts supplémentaires
    • Les forêts de ressources ne contiennent que des comptes d’administration alternatifs
    • Des accréditations permettent aux utilisateurs de partager les ressources
    • Ce modèle assure un isolement du service : lorsqu’une forêt n’est plus opérationnelle, les autres continueront à fonctionner normalement.

    Modèle de forêt à accès limité

    Une forêt à accès limité isole totalement des autres forêts les utilisateurs et les ressources qu’elle contient. Vous devez utiliser cette configuration pour sécuriser complètement les données et limiter l’accès des utilisateurs à des ensembles de données spécifiques.

    Caractéristiques d’un modèle de forêt à accès limité :

    • Il n’y a pas d’accréditation pour d’autres forêts
    • Les utilisateurs des autres forêts ne peuvent pas accéder aux ressources se trouvant dans la forêt à accès limité
    • Les utilisateurs ont besoin d’un deuxième ordinateur pour accéder à la forêt à accès limité
    • Si nécessaire, elle peut être hébergée sur un réseau complètement séparé

    Meilleures pratiques pour les forêts Active Directory

    Les forêts AD existent depuis 2000, et il existe de nombreuses théories sur le meilleur moyen de configurer Active Directory et les forêts. Parmi les meilleures pratiques actuelles, on peut mentionner :

    • Lorsque cela est possible, effectuez une consolidation en une forêt unique
    • Sécurisez les ressources et données par le biais des GPO et appliquez un modèle de moindre privilège
    • Utilisez des GPO pour limiter encore plus la capacité des utilisateurs à créer de nouveaux dossiers sans suivre une procédure établie. Le modèle de droits de moindre privilège.
    • Fournissez à vos administrateurs de domaine un deuxième compte admin qu’ils n’utiliseront que lorsque cela sera nécessaire, en fonction de la procédure de gestion des modifications.
    • Si vous avez plusieurs forêts AD avec des relations d’accréditation, envisagez une consolidation.
    • Si vous avez besoin d’une forêt à accès limité, assurez-vous que son accès est réellement restreint. Quel que soit le niveau de sécurisation recherché pour notre forêt principale, une forêt à accès limité doit ressembler au Château Noir de Game of Thrones. Entourez-la d’un rempart de deux kilomètres et contenez-la à l’intérieur.

    active directory forest best practices - forêt active directory

    Si Active Directory contient les clefs du royaume, la forêt AD est un porte-clefs qui réunit certaines d’entre elles : il n’est pas seulement important de sécuriser Active Directory, il faut aussi comprendre comment configurer et gérer la forêt AD afin d’empêcher les fuites de données et de réduire les vulnérabilités.

    Vous voulez en savoir plus sur la façon de protéger Active Directory, quel que soit le nombre de forêts AD dont vous disposez ?  Découvrez les 5 rôles FSMO dans Active Directory, ainsi que la différence entre AD for Windows et Azure Active Directory.  Vous préférez une expérience audio/visuelle ?  Nous nous occupons de tout : assistez à un webinaire à la demande qui vous donnera 4 conseils pour protéger Active Directory.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).