Migrer Active Directory avec les employés en télétravail

Sécurité
Active Directory ANSSI

Un utilitaire de mise en cache des informations d’identification résout ce problème en demandant votre mot de passe à l’environnement cible (ce dernier étant synchronisé) et en mettant ces informations d’identification en cache sur votre machine dans votre nouveau profil.

Fin janvier, l’ANSSI soulignait, lors du forum international de la cybersécurité (FIC) l’importance de l’Active Directory (AD, ci-après) au sein des systèmes d’information et recommandait d’accorder une attention toute particulière à sa sécurisation.

“L’AD est au centre d’un nombre incroyable d’affaires”, confiait Guillaume Poupard, son directeur général. “Les attaquants qui entrent dans les réseaux et en prennent contrôle sont les rois du pétrole. Sa bonne configuration est centrale”. Cependant, alors que les organisations du monde entier s’efforcent de minimiser les risques opérationnels liés au recours soudain et massif au télétravail les migrations AD comme la plupart des projets informatiques sont entravés par la crise actuelle.

Cet article a pour vocation de décrire l’impact de l’épidémie sur les migrations AD, celles qui sont susceptibles de se poursuivre pendant cette période, et comment procéder alors qu’un nombre inédit d’utilisateurs sont maintenant hors du réseau de l’organisation. 

Pourquoi les migrations de l’Active Directory sont impactées

Si vous avez une migration AD en cours de planification ou d’exécution ; deux étapes critiques dans ce qui est généralement reconnu comme un projet important et complexe par les équipes IT, l’épidémie en cours a surement bouleversé vos plans pour deux raisons :

– Vos ressources sont réaffectées pour permettre aux utilisateurs de travailler à distance : au lieu de travailler sur la migration AD, les membres de votre équipe s’efforcent de mettre la main sur les ordinateurs portables à fournir au personnel puis de les rendre opérationnels et sécurisés le plus rapidement possible.
– Rien ni personne n’est sur place : le personnel informatique, les utilisateurs et leurs machines ne sont plus sur place. Les machines qui sont normalement le plus souvent au bureau, dans l’entreprise, sont maintenant chez les utilisateurs. Elles ne peuvent pas être connectées directement au réseau de l’organisation.

Quatre bonnes raisons de poursuivre votre migration malgré la crise

L’arrêt complet d’une migration AD n’est pas toujours une bonne idée – ni même toujours possible.  Voici quelques éléments qui permettent d’évaluer votre marge de manœuvre sur ce point :

– Vous êtes légalement tenu de respecter un délai : si vous traversez une période de séparation, votre organisation est tenue de respecter la date limite de « drop dead », sous peine de devoir payer de lourdes amendes, comme le prévoit surement le contrat de service de transition.

– Vous avez construit un contexte favorable qui vous donne de l’inertie : la pire chose que vous puissiez faire pendant une migration AD est de freiner cet élan. L’alignement parfait des approbations, signatures et délais pourrait ne pas se représenter avant longtemps.

– Vous ne voulez pas consacrer du temps et des ressources à de la coexistence : si vous êtes déjà à court de ressources, ça ne s’arrangera pas quand il faudra assurer la maintenance et le support de deux domaines distincts. Vous devez évaluer si la contrainte supplémentaire d’une coexistence prolongée vaut la peine face à la difficulté à court terme que représente la finalisation de la migration.

– Cela représente un risque pour la sécurité
: une migration AD sur pause entraine des risques de sécurité liés à la gestion de la coexistence, à la mise en place de correctifs sur les serveurs et à l’ouverture aux attaques par injection d’historique SID. 

Poursuivre votre migration avec des utilisateurs distants

Les ordinateurs portables et les machines des utilisateurs à domicile se connectant par VPN, le processus de migration traditionnel doit être ajusté. Le plus grand défi dans une migration AD avec des utilisateurs distants est de modifier ou de complètement changer l’appartenance à un domaine tout en conservant l’accès à la machine concernée.

Malheureusement il n’y a pas de méthode native. Il faut impérativement en passer par une solution tierce. Cependant, les outils de gestion des migrations modernes permettent de migrer des utilisateurs alors qu’ils sont chez eux, connectés à un VPN grâce à une mise en cache des informations d’identification.

Le moment crucial d’une migration AD est lorsque vous dissociez le domaine source et rejoignez le domaine cible ; la première fois que vous vous connectez, ce contrôleur de domaine (DC) doit être disponible ne serait-ce que vous connecter a votre environnement Windows.
C’est un défi quand l’ordinateur est hors du réseau de l’organisation, car lorsque vous redémarrez la machine, il n’y a pas de DC accessible ; vous ne pouvez pas vous connecter à votre session Windows.

Un utilitaire de mise en cache des informations d’identification résout ce problème en demandant votre mot de passe à l’environnement cible (ce dernier étant synchronisé) et en mettant ces informations d’identification en cache sur votre machine dans votre nouveau profil. Ensuite, vous pouvez changer la machine de domaine comme d’habitude et la redémarrer.

Lorsque la machine redémarre pour la première fois à la suite de cette opération, elle utilise les identifiants mis en cache, tout en étant connectée au domaine cible, ce qui permet à l’utilisateur de se connecter à sa session même si la machine n’est pas connectée au réseau de l’organisation. L’étape finale nécessite une ultime connexion VPN au réseau de l’organisation pour la réconciliation avec le DC et achever la migration.

Auteur
En savoir plus 
Directeur France
Quest Plateforme Management
Jocelyn de Larocque est Directeur France de l’entité Quest Plateforme Management.
En savoir plus 

Livres blancs A la Une