Infrastructure Active Directory complète avec serveurs Windows Server 2022 dans environnement sécurisé
Projet 03 Active Directory Environnement segmenté Terminé

Active Directory complet dans un environnement segmenté

Infrastructure AD intégrée dans l'architecture pfSense avec sécurité avancée — GPO, WEF, WSUS, AppLocker et DNS maîtrisé.

00 — CONTEXTE

Après avoir mis en place l'architecture réseau segmentée avec pfSense, j'ai déployé une infrastructure Active Directory complète dans cet environnement. L'objectif était de simuler un SI d'entreprise réaliste : gestion centralisée des accès, sécurisation des postes et centralisation des services d'audit et de mise à jour.

01 — OBJECTIFS

Intégrer Active Directory dans une architecture segmentée
Déployer des GPO de sécurité avancées
Centraliser logs (WEF) et mises à jour (WSUS)
Maîtriser la résolution DNS interne et externe

02 — ARCHITECTURE

Serveurs

4 serveurs Windows Server 2022

DC · Fichiers · WSUS · WEF

Postes clients

4 postes clients

2× Windows 11 Enterprise · 2× Windows Pro

Tous les systèmes sont intégrés au domaine Active Directory et déployés dans l'architecture segmentée pfSense.

03 — INTÉGRATION RÉSEAU

Déploiement dans les zones pfSense

  • Active Directory déployé dans la zone serveurs internes
  • Machines clientes (LAN) jointes au domaine
  • Communications inter-zones contrôlées via pfSense

Ouverture des ports AD

  • Ports ouverts : LDAP, Kerberos, SMB, DNS
  • Restriction vers l'adresse IP du contrôleur de domaine uniquement
  • Alias pfSense pour la gestion simplifiée des règles

04 — DNS & ACCÈS INTERNET

Flux DNS maîtrisé

  • Postes clients → DC pour la résolution DNS interne
  • DC forward les requêtes externes → pfSense → Internet
  • Résolution interne AD maîtrisée, externe via pfSense

05 — STRATÉGIES DE GROUPE (GPO)

Sécurité des postes

  • Politique de mot de passe renforcée
  • Verrouillage de compte après 5 tentatives (15 minutes)
  • Restrictions : registre, panneau de configuration, PowerShell
  • Fond d'écran centralisé pour tous les postes

Contrôle applicatif — AppLocker

  • AppLocker déployé sur Windows 11 Enterprise
  • Contrôle de l'exécution des applications non autorisées

Audit & centralisation des logs (WEF)

  • Politiques d'audit activées sur DC et postes clients
  • Windows Event Forwarding (WEF) — mode source-initiated
  • Collecte centralisée des journaux DC et clients pour corrélation

Mises à jour centralisées (WSUS)

  • Serveur WSUS dédié déployé dans la zone serveurs
  • Configuration des clients via GPO
  • Contrôle et approbation des mises à jour système

06 — SERVICES COMPLÉMENTAIRES

Serveur de fichiers

  • Gestion des accès via groupes de sécurité AD
  • Attribution des permissions NTFS par rôle utilisateur
  • Intégration complète au domaine Active Directory

07 — RÉSULTATS

Infrastructure AD fonctionnelle et sécurisée
Intégration cohérente dans l'architecture segmentée pfSense
Contrôle granulaire des accès utilisateurs et machines
Résolution DNS maîtrisée (interne et externe)
Centralisation des journaux d'événements et des mises à jour

08 — LIMITES & ÉVOLUTION

  • Droits d'administration encore trop larges sur certains comptes
  • IDS/IPS pas encore intégré à l'architecture
  • Monitoring centralisé Zabbix en cours de déploiement
Intégration du monitoring Zabbix
Analyse avancée des logs (corrélation d'événements)
Mise en place de Suricata IDS/IPS
Scénarios attaque / défense documentés avec playbooks