Les GPO (Group Policy Objects) constituent une couche de sécurité dans votre infrastructure. Ils appliquent des règles, régulent les autorisations et affectent les stratégies sur l'ensemble du réseau. Souhaitez-vous attribuer des privilèges supplémentaires à certains groupes ? Supprimer un groupe de sécurité ? Modifier les règles relatives aux mots de passe sur l'ensemble du réseau ? Empêcher l'installation de logiciels sur des systèmes critiques ? Toutes ces tâches, et bien d'autres encore, peuvent être accomplies à l'aide de GPO.
Que sont exactement les GPO ?
Plutôt que d'ajouter aux nombreuses définitions que vous pouvez trouver en ligne sur les GPO, nous allons comprendre les GPO à l'aide d'un exemple simple : Dans une pièce de théâtre, les personnages sont scénarisés et, dès le départ, un ensemble de traits de caractère est associé à chacun d'eux. Les acteurs se conforment aux traits de caractère définis dans le scénario.
De même, dans un environnement AD, chaque GPO contient un ensemble de stratégies, de règles et d'autorisations d'accès. Chaque objet AD est lié à chacune de ces GPO afin d'intégrer les stratégies d'accès définies par les GPO. Le comportement d'un objet AD au sein d'une infrastructure reflète directement les GPO auxquels il est lié.
Les défis des GPO au fil des générations
Les GPO existent depuis longtemps. Les entreprises s'efforcent de veiller à ce que les stratégies de GPO soient rigoureuses et inchangées afin de renforcer la sécurité dans l'ensemble de l'infrastructure. Voici quelques questions sur la manière dont les GPO sont configurés dans votre infrastructure :
- Combien de GPO mon entreprise possède-t-elle ?
- Mes objets AD sont-ils liés aux bonnes GPO ?
- Quel objet AD est lié à quelle GPO ?
- Y a-t-il des GPO vides ? Que dois-je en faire ?
- Y a-t-il des autorisations manquantes dans mes GPO ?
- Manque-t-il des fichiers essentiels à la GPO ?
Voyons comment aborder ces questions :
La liste des GPO et des objets AD qui leur sont liés
Pour identifier le nombre de GPO dans votre infrastructure et les objets AD qui leur sont liés, entrez la requête PowerShell suivante :
Import-Module GroupPolicy Get-GPO -All | Where-Object { $_ | Get-GPOReport -ReportType HTML | Select-String “” }.
La liste obtenue permet d'identifier les objets AD et les GPO qui leur sont liés. Cela vous aidera à déterminer si les objets sont affectés aux bonnes GPO et s'ils ont été affectés uniquement aux privilèges nécessaires au sein du réseau.
La liste des GPO inutilisées
Pour identifier les GPO vides et inutilisées dans votre infrastructure, entrez la requête PowerShell suivante :
Get-GPO -All |Where-Object { $_ | Get-GPOReport -ReportType XML| Select-String -NotMatch “<LinksTo>” } | export-csv -path C:\Users\Administrator\Documents\Scripts\hello1.cs
La liste des GPO inutilisées et vides vous aidera à nettoyer les GPO. Il convient de faire preuve de la plus grande prudence lors de la suppression ou de la modification des GPO, car les changements apportés se répercuteront sur l'ensemble de votre infrastructure en l'espace de quelques secondes. Vous devez suivre les anciennes et les nouvelles valeurs des attributs de GPO que vous modifiez afin de vous assurer que vous pouvez révoquer toute modification indésirable apportée aux GPO.
GPO avec des autorisations manquantes
Si certaines autorisations essentielles ne sont pas configurées pour quelques GPO dans votre environnement, cela peut entraîner des failles de sécurité. Pour identifier les GPO dont les autorisations sont manquantes, vous pouvez utiliser la commande suivante :
$MissingPermissions = Get-WinADGPOMissingPermissions -Mode Either
Cette commande analyse toutes les forêts et tous les domaines et renvoie les GPO dont les autorisations ne sont pas respectées.
Fichiers de GPO manquants dans des répertoires cruciaux
Quelques fichiers de GPO qui doivent se trouver dans le répertoire SYSVOL pour permettre un fonctionnement transparent du réseau peuvent être manquants. Ces fichiers doivent être présents dans le répertoire SYSVOL. Par exemple, si les fichiers Default Domain Policy ou Default Domain Controller Policy sont manquants et que vous avez également perdu leurs sauvegardes, la commande dcgpofix peut être utilisée pour restaurer les paramètres par défaut de ces deux stratégies.
Il est essentiel de vérifier régulièrement les paramètres des GPO pour éliminer les vulnérabilités afin de déjouer les attaques basées sur les GPO. Si vous souhaitez en savoir plus sur les erreurs de configuration des GPO qui pourraient rendre votre entreprise vulnérable aux attaques, regardez ce webinaire exclusif sur les 7 erreurs de configuration des GPO à rectifier en moins de 30 minutes pour tenir les attaques par GPO à distance.