/ Active Directory / Contrôleur de domaine : comment le protéger physiquement et logiquement des intrusions ?
Infrastructure sécurisée d'un contrôleur de domaine avec protection physique et logique
Publié le 10 mai 2024

Penser qu’un contrôleur de domaine est sécurisé par des patchs et des mots de passe forts est la première faille de sécurité. Le véritable risque ne vient pas de l’extérieur, mais des erreurs de configuration insidieuses et des dépendances que vous ignorez.

  • Les services apparemment inoffensifs comme le Spouleur d’impression sont des portes dérobées vers un accès SYSTEM.
  • La commodité de la virtualisation et des snapshots peut se retourner contre vous, permettant l’extraction hors ligne de tous vos secrets d’annuaire.
  • Une restauration mal préparée est plus dangereuse que le crash initial, pouvant corrompre la totalité de votre forêt Active Directory.

Recommandation : Adoptez une culture de la paranoïa opérationnelle. Considérez chaque contrôleur de domaine comme une cible de premier choix et chaque action administrative, même la plus banale, comme une menace potentielle à son intégrité.

Un contrôleur de domaine (DC) n’est pas un serveur comme les autres. C’est le cœur névralgique de votre infrastructure, le gardien des identités, le chef d’orchestre des authentifications Kerberos. Le sécuriser est une évidence. La plupart des administrateurs se concentrent sur les bases : mots de passe robustes, GPO de sécurité, patching régulier. Ces mesures sont nécessaires, mais dangereusement insuffisantes. Elles créent une illusion de sécurité, un périmètre solide en apparence, mais qui cache un centre fragile, vulnérable à l’implosion.

La menace la plus pernicieuse pour un contrôleur de domaine ne vient pas toujours d’une attaque frontale sophistiquée. Elle naît souvent de l’intérieur, d’une décision d’architecture malheureuse, d’une procédure de maintenance mal maîtrisée ou d’une confiance aveugle dans une technologie. La véritable expertise en matière de durcissement (hardening) ne réside pas dans l’application d’une checklist, mais dans la compréhension obsessionnelle des points de défaillance uniques de l’écosystème Active Directory. C’est une discipline qui exige une paranoïa opérationnelle, où chaque service activé est une surface d’attaque potentielle et chaque sauvegarde un possible vecteur de corruption.

Cet article n’est pas une énième liste de bonnes pratiques. C’est une plongée dans la salle des machines, une dissection de huit scénarios catastrophes concrets qui peuvent transformer votre DC en bombe à retardement. Nous allons analyser les mécanismes techniques qui rendent ces situations si critiques et, surtout, définir les procédures précises pour les prévenir ou y survivre.

Pour naviguer au cœur des points de défaillance de votre Active Directory, cet article est structuré pour disséquer méthodiquement chaque menace. Le sommaire ci-dessous vous guidera à travers les erreurs de configuration les plus critiques et les stratégies pour les neutraliser.

Sommaire : Guide de survie pour la protection de votre Active Directory

Pourquoi installer un serveur d’impression sur un contrôleur de domaine est une faille critique ?

Installer des rôles additionnels sur un contrôleur de domaine est une hérésie. Installer le service Spouleur d’impression est un acte de négligence grave. Ce service, hérité d’une autre époque et notoirement fragile, est une porte d’entrée royale pour un attaquant. Depuis la tristement célèbre vulnérabilité PrintNightmare, le service a été le théâtre de failles en cascade. Les données compilées par Tenable Research sont sans appel : on dénombre plus de 53 vulnérabilités Print Spooler divulguées depuis 2021, dont plusieurs critiques permettant une exécution de code à distance (RCE).

Le mécanisme est simple et dévastateur. Un attaquant exploitant une faille du spouleur sur un DC peut exécuter du code avec les privilèges SYSTEM, le niveau d’accès le plus élevé sur une machine Windows. À ce stade, le jeu est terminé. Il peut créer des comptes administrateurs, exfiltrer la base de données NTDS.dit ou déployer un ransomware sur l’ensemble du domaine. Transformer un simple compte utilisateur en administrateur du domaine devient trivial.

L’argument de la « commodité » ne tient pas. Il n’existe AUCUNE raison technique ou opérationnelle valable pour exposer le cœur de votre sécurité à un service aussi poreux. Chaque contrôleur de domaine doit être une forteresse dédiée à une seule chose : l’authentification et l’autorisation. Toute autre fonctionnalité doit être déportée sur un serveur membre dédié. Laisser le spouleur activé, c’est comme laisser la clé de la chambre forte sur la porte d’entrée.

La seule posture saine est la tolérance zéro : le service « Spouleur d’impression » doit être désactivé et arrêté sur l’intégralité de vos contrôleurs de domaine, sans exception, et cette configuration doit être imposée par GPO.

Comment restaurer un contrôleur de domaine crashé sans corrompre tout l’annuaire (USN Rollback) ?

La restauration d’un contrôleur de domaine est l’une des opérations les plus périlleuses pour un administrateur système. Une erreur, et vous ne restaurez pas un service, vous propagez une corruption silencieuse à l’ensemble de votre forêt Active Directory. Le principal coupable est le phénomène d’USN Rollback. Pour faire simple, chaque modification dans l’AD est marquée d’un numéro de séquence de mise à jour (USN). Si vous restaurez un DC à partir d’un snapshot ou d’une sauvegarde « non-consciente » de l’AD, vous le ramenez à un état où son compteur USN est inférieur à celui de ses partenaires de réplication. Ces derniers, le voyant « en retard », ignoreront simplement toutes ses futures mises à jour, créant une bulle d’incohérence qui grandit jusqu’à l’effondrement de la réplication.

Le résultat ? Des comptes utilisateurs qui ne peuvent plus se connecter, des objets qui réapparaissent après suppression, des mots de passe qui ne se synchronisent plus… un chaos total. Microsoft a mis en place des gardes-fous, mais ils ne sont pas infaillibles. La détection d’un rollback génère bien un Event ID 2095 critique dans le journal d’événements, mais à ce moment-là, le mal est souvent déjà fait. Le DC incriminé est mis en quarantaine, cessant sa réplication, mais la confusion règne.

La seule approche viable est la prévention obsessionnelle. Cela passe par l’utilisation exclusive de solutions de sauvegarde « AD-aware » qui gèrent correctement l’état de la base de données et l’ID de génération de la VM (pour les environnements virtualisés depuis Windows Server 2012). Restaurer un DC devrait toujours être la dernière option, après avoir tenté de transférer les rôles FSMO et de reconstruire un serveur propre.

Votre plan d’action pour une restauration de DC sécurisée

  1. Inventaire des points de contact : Utilisez exclusivement une solution de sauvegarde officiellement compatible avec Active Directory.
  2. Collecte des prérequis : Assurez-vous que l’ID de génération de VM est activé sur tous vos DC virtualisés (Hyper-V 2012+ / VMware).
  3. Audit de cohérence : Avant toute restauration, utilisez `repadmin /showutdvec` pour vérifier les USN et l’état de la réplication depuis un DC sain.
  4. Procédure de décommissionnement : En cas de crash, transférez systématiquement les rôles FSMO avant de tenter une restauration. Nettoyez les métadonnées du DC défaillant avec `ntdsutil`.
  5. Plan de validation : Après toute opération (restauration, nettoyage), validez l’intégrité de l’annuaire avec `dcdiag /c /e /v`.

En résumé, ne touchez jamais à un DC crashé sans avoir un plan de restauration validé, testé et qui respecte les mécanismes de protection contre l’USN Rollback. L’improvisation est ici synonyme de désastre.

Qui doit détenir le rôle d’émulateur PDC dans une architecture multi-sites ?

Le rôle d’émulateur PDC (PDCe) est le plus critique des cinq rôles FSMO. Il est le maître du temps du domaine (via NTP), l’arbitre final pour les changements de mot de passe et le verrouillage de comptes. Dans une architecture multi-sites, son placement n’est pas une question de préférence, mais une décision stratégique qui impacte directement la sécurité et la performance de l’authentification. Le placer au mauvais endroit, c’est introduire des latences inacceptables ou, pire, l’exposer à des risques physiques et logiques.

La règle d’or est simple : le PDCe doit résider sur le site le mieux connecté et le plus sécurisé de votre infrastructure, généralement votre datacenter principal. Il doit être hébergé sur un hardware robuste, dans un environnement physique contrôlé (accès par badge, vidéosurveillance), et géré par votre équipe d’experts AD la plus compétente. La tentation de le placer sur un site distant pour « rapprocher le service des utilisateurs » est une erreur fondamentale. Un utilisateur sur un site distant peut supporter une latence de quelques millisecondes supplémentaires pour une validation de mot de passe ; votre infrastructure, elle, ne peut pas supporter que son arbitre central soit hébergé sur un serveur non sécurisé dans un placard.

La latence réseau est un facteur clé. Le PDCe doit être joignable avec une faible latence par tous les autres DC du domaine. Une communication lente peut entraîner des échecs de synchronisation de mot de passe et des problèmes de réplication. Le tableau suivant synthétise les critères de décision pour son placement, en soulignant l’impact sur la sécurité.

Critères de placement du rôle PDCe selon la sécurité
Critère Site Principal Site Secondaire Impact Sécurité
Sécurité physique Datacenter Tier III+ Bureau standard Critique – Protection contre vol physique
Latence réseau <5ms vers tous sites >20ms vers sites distants Élevé – Synchronisation Kerberos
Maturité équipe IT Experts AD dédiés Support généraliste Critique – Réponse aux incidents
Infrastructure hyperviseur Cluster HA redondant Hôte unique Moyen – Disponibilité service

Le placement du PDCe n’est pas négociable : il appartient au cœur de votre forteresse numérique, pas à l’un de ses avant-postes. Toute autre configuration est une prise de risque injustifiée.

Le danger de la virtualisation : qui a accès aux snapshots de vos contrôleurs de domaine ?

La virtualisation a apporté une flexibilité immense, mais elle a aussi introduit de nouveaux vecteurs d’attaque, particulièrement insidieux pour les contrôleurs de domaine. La fonctionnalité de snapshot, si pratique pour les tests, devient une arme de destruction massive si elle est mal contrôlée. Un snapshot d’un DC n’est pas une simple photo ; c’est une copie complète de l’état du serveur à un instant T, incluant sa mémoire et, surtout, son disque contenant le fichier NTDS.dit. Ce fichier est le Saint Graal pour un attaquant : il contient tous les hachages de mots de passe de tous les comptes de votre domaine.

Le scénario catastrophe est le suivant : un administrateur de la plateforme de virtualisation (VMware, Hyper-V), même sans droits sur l’Active Directory, peut accéder aux fichiers du snapshot. Il peut alors monter le disque virtuel hors ligne, copier le fichier NTDS.dit et extraire tranquillement tous les hachages de mots de passe à l’aide d’outils comme Mimikatz. En quelques minutes, il détient les clés de tout le royaume, y compris celles des comptes « Domain Admins ». Pire encore, un attaquant ayant compromis l’hyperviseur peut faire de même.

Étude de cas : Extraction hors ligne de NTDS.dit depuis un snapshot VMware

Un attaquant obtenant un accès, même temporaire, à la banque de données de l’hyperviseur peut copier les fichiers d’un snapshot de DC. En restaurant ce snapshot dans un environnement isolé, il peut déclencher un USN Rollback intentionnel. Les autres DC, voyant le DC restauré avec un USN inférieur, l’ignorent, créant des incohérences. Mais plus grave encore, l’attaquant a tout le loisir d’analyser le fichier NTDS.dit de ce DC « gelé dans le temps » pour en extraire les informations d’identification et planifier une attaque à plus grande échelle sur le domaine de production.

La paranoïa doit donc s’étendre à la couche de virtualisation. Qui a accès à la gestion des hyperviseurs ? Qui peut créer, supprimer et exporter des snapshots ? Ces droits doivent être aussi restreints et surveillés que ceux des administrateurs de domaine. Pour les sites distants à faible sécurité physique, la solution n’est pas de virtualiser un DC complet.

Si les contrôleurs de domaine sont situés dans des bureaux distants ou des succursales avec une sécurité physique médiocre, envisagez d’utiliser un contrôleur de domaine en lecture seule qui fournit une copie en lecture seule d’Active Directory

– Specops Software, Bonnes pratiques de sécurité AD et du contrôleur de domaine

Traitez les droits sur votre plateforme de virtualisation avec le même niveau de rigueur que les droits sur votre Active Directory. La frontière entre les deux n’existe pas pour un attaquant déterminé.

Dans quel ordre patcher vos contrôleurs de domaine pour éviter le black-out d’authentification ?

Patch Tuesday. Pour beaucoup, c’est une routine. Pour un administrateur AD, c’est une opération à cœur ouvert. Appliquer un patch sur un DC n’est pas anodin ; un patch défectueux ou une mise à jour qui modifie un comportement de Kerberos peut mettre à genoux l’ensemble de votre système d’information en provoquant un black-out d’authentification total. Le risque est bien réel, comme le rappelle le fait que 34% des organisations européennes ont été piratées via une vulnérabilité non corrigée, soulignant la pression de patcher rapidement, mais pas n’importe comment.

L’application chaotique des patchs (« on patche tout en même temps pour aller plus vite ») est une recette pour le désastre. La seule approche sensée est une séquence de patching contrôlée, méthodique et progressive, qui permet d’isoler un éventuel problème avant qu’il ne se propage. Le principe est de sacrifier un pion pour protéger le roi.

On commence toujours par un DC « canari », un serveur de moindre importance, idéalement un RODC (Read-Only Domain Controller) sur un site distant. On applique le patch, puis on entre dans une période de quarantaine et de surveillance active de 48 à 72 heures. Pendant ce temps, on bombarde le DC de tests : `dcdiag`, `repadmin`, tests d’authentification applicatifs… Si le canari survit sans symptôme, on peut prudemment passer à la vague suivante : les DC de production qui ne détiennent pas de rôle FSMO. On répète le processus. Enfin, et seulement à la fin, on patche les maîtres FSMO, en terminant par le plus critique de tous : l’émulateur PDC. Appliquer un patch sur le PDCe en premier, c’est comme tester un nouveau médicament sur le président.

Votre feuille de route pour un patching de DC sans sueurs froides

  1. Phase 1 (Canari) : Patcher d’abord un DC non-critique ou un RODC en site distant pour servir de cobaye.
  2. Phase 2 (Quarantaine) : Observer ce DC pendant 48-72h. Surveiller les journaux d’événements et lancer des diagnostics `dcdiag /e /c` et `repadmin /replsummary`.
  3. Phase 3 (Production non-FSMO) : Si le canari est sain, patcher les DC de production qui ne détiennent aucun rôle FSMO. Répéter la phase de quarantaine.
  4. Phase 4 (Maîtres d’opération) : Patcher ensuite les DC détenant les rôles FSMO moins critiques (Maître RID, Infrastructure, Schéma).
  5. Phase 5 (Le Cœur) : Terminer par le serveur détenant le rôle d’Émulateur PDC, une fois que tous les autres DC ont été validés comme stables et fonctionnels.

La vitesse est l’ennemie de la sécurité en matière de patching de DC. La rigueur, la patience et une séquence de déploiement paranoïaque sont vos meilleurs alliés.

Quand monter le niveau fonctionnel de votre forêt : les prérequis techniques indispensables

Monter le niveau fonctionnel d’un domaine ou d’une forêt Active Directory est une opération à sens unique et à haut risque. C’est l’équivalent d’une mise à jour du firmware du cœur de votre infrastructure. Si l’opération promet l’accès à de nouvelles fonctionnalités de sécurité et d’administration, la lancer sans une préparation méticuleuse est une folie. Une montée de niveau ratée peut entraîner des problèmes de réplication irrécupérables, voire la corruption de l’annuaire. La question n’est pas seulement « pourquoi » monter le niveau, mais « comment » s’assurer de survivre à l’opération.

La première étape est un audit de santé complet et sans concession de votre AD. Avant même de penser à lancer l’assistant, vous devez avoir la certitude absolue que votre annuaire est sain. Cela signifie lancer des batteries de tests `dcdiag` et `repadmin` sur chaque contrôleur de domaine et analyser chaque erreur, même mineure. Il faut traquer et nettoyer les objets fantômes et les métadonnées de DC obsolètes qui polluent votre annuaire, en utilisant des outils comme `ntdsutil`. C’est un travail de nettoyage ingrat, mais indispensable.

Ensuite, il faut valider la compatibilité. Le niveau fonctionnel cible est-il supporté par l’ensemble de vos contrôleurs de domaine ? Avez-vous encore un vieux Windows Server 2008 R2 qui traîne et qui bloquera la migration ? Il faut vérifier la version de l’OS de chaque DC. Enfin, et c’est non négociable : la sauvegarde. Vous devez disposer d’une sauvegarde complète et « AD-aware » d’au moins deux contrôleurs de domaine (dont obligatoirement celui qui héberge le rôle PDCe) juste avant de lancer l’opération. Cette sauvegarde est votre parachute en cas de catastrophe.

Checklist de pré-lancement pour la montée de niveau fonctionnel

  1. Audit de santé : Vérifier l’état de l’annuaire Active Directory avant toute modification. Aucun avertissement ou erreur ne doit être ignoré.
  2. Validation croisée : Exécuter `dcdiag /e /c /v` et `repadmin /replsummary` sur TOUS les contrôleurs de domaine pour garantir une réplication parfaite.
  3. Nettoyage des métadonnées : Purger tous les objets fantômes et les métadonnées de serveurs décommissionnés à l’aide de `ntdsutil`.
  4. Vérification des prérequis : Confirmer le niveau fonctionnel actuel (`Get-ADDomain | fl Name,DomainMode`) et la compatibilité de l’OS de chaque DC avec le niveau cible.
  5. Plan de sauvegarde : Effectuer une sauvegarde complète et validée (via une solution AD-aware) d’au moins deux DC, incluant l’émulateur PDC.

Une montée de niveau fonctionnel se prépare des semaines, voire des mois à l’avance. L’opération elle-même ne dure que quelques secondes, mais ce sont les heures de préparation qui déterminent si c’est un succès ou le début d’un week-end en salle serveurs.

Pourquoi stocker vos sauvegardes uniquement sur disque USB local est une invitation au désastre ?

Vous effectuez des sauvegardes de vos contrôleurs de domaine sur un disque USB branché directement sur le serveur ? Félicitations, vous venez de fournir à un attaquant par ransomware une copie parfaite de vos données, prête à être chiffrée en même temps que l’original. Cette pratique, encore trop répandue, est l’antithèse d’une stratégie de sauvegarde résiliente. En cas d’incendie, d’inondation ou de vol, vous perdez tout : le serveur et sa sauvegarde. Mais le risque le plus probable aujourd’hui est le ransomware. Et les chiffres sont terrifiants : on observe une explosion avec près de 86% des entreprises françaises victimes de ransomware en 2024.

Un ransomware moderne est conçu pour se propager sur le réseau et chiffrer tout ce qu’il peut atteindre, y compris les lecteurs locaux et les partages réseau mappés. Votre disque USB branché en permanence est une cible de choix. Penser que vous pourrez restaurer à partir de ce disque après une attaque est une illusion. L’attaquant s’assurera que votre seule porte de sortie soit de payer la rançon.

La seule stratégie viable est l’application rigoureuse de la règle 3-2-1-1-0, adaptée à la criticité des contrôleurs de domaine. Cette règle impose une discipline stricte pour garantir que vous disposerez toujours d’une copie saine et non compromise de vos sauvegardes.

  • 3 copies minimum : La donnée de production sur le DC, plus deux copies de sauvegarde indépendantes.
  • 2 types de médias différents : Par exemple, une copie sur un système de disque rapide pour une restauration rapide (RTO court), et une autre sur un média plus lent comme la bande ou un stockage objet cloud pour l’archivage à long terme.
  • 1 copie hors-site (off-site) : Au moins une de vos sauvegardes doit être physiquement déconnectée de votre site principal. Cela peut être un datacenter distant, un coffre-fort ignifugé ou une sauvegarde dans le cloud.
  • 1 copie immuable ou air-gapped (hors ligne) : C’est le point crucial contre les ransomwares. Une copie de sauvegarde doit être inaccessible en écriture depuis le réseau de production. Cela peut être une bande physique ou une sauvegarde cloud avec une politique d’immuabilité (WORM – Write Once, Read Many).
  • 0 erreur de restauration : Vos sauvegardes n’ont de valeur que si vous pouvez restaurer. Des tests de restauration complets et réguliers (mensuels ou trimestriels) sont obligatoires pour vérifier l’intégrité des données et la validité de la procédure.

Considérez vos sauvegardes comme votre dernière ligne de défense. Si elles sont compromises en même temps que votre production, vous n’avez plus de défense, juste un portefeuille à ouvrir.

À retenir

  • La sécurité d’un DC ne se limite pas à des patchs ; elle réside dans la maîtrise des détails de configuration et des procédures d’urgence.
  • Chaque service inutile (Spouleur d’impression) est une porte dérobée, chaque commodité (snapshots) un risque à évaluer.
  • Les procédures de restauration, de patching et de montée de niveau fonctionnel exigent une planification paranoïaque pour éviter la corruption de l’annuaire.

Active Directory : comment durcir votre configuration pour bloquer 90% des attaques par ransomware ?

Après avoir exploré des points de défaillance spécifiques, prenons de la hauteur. Le durcissement d’Active Directory n’est pas une série d’actions isolées, mais la construction d’une forteresse à plusieurs couches. Le but n’est pas seulement de repousser les attaques, mais de contenir une éventuelle brèche pour qu’elle ne se transforme pas en désastre total. Une compromission d’un poste de travail ne devrait JAMAIS pouvoir conduire à la compromission d’un contrôleur de domaine. C’est ce principe de segmentation qui permet de bloquer la majorité des attaques par ransomware, dont le coût total moyen pour une entreprise française atteint 58 600€.

La stratégie la plus efficace pour y parvenir est l’implémentation du Tier Model, recommandé par des agences comme l’ANSSI. Ce modèle segmente votre infrastructure en niveaux de privilèges stricts :

  • Tier 0 : Le cœur du réacteur. Il ne contient QUE vos contrôleurs de domaine et les quelques serveurs gérant leur identité (PKI, ADFS). Les seuls comptes autorisés à s’y connecter sont des comptes d’administration dédiés au Tier 0, utilisés depuis des postes d’administration sécurisés (PAW – Privileged Access Workstation).
  • Tier 1 : Les serveurs de l’entreprise (applicatifs, bases de données, fichiers…). Ils sont administrés par des comptes dédiés au Tier 1. Un compte du Tier 1 ne peut JAMAIS se connecter à une machine du Tier 0.
  • Tier 2 : Les postes de travail des utilisateurs finaux. C’est la zone la plus exposée, la plus susceptible d’être compromise. Un compte compromis au Tier 2 ne doit en aucun cas pouvoir se déplacer latéralement pour atteindre un serveur du Tier 1 ou, pire, du Tier 0.

Cette segmentation n’est pas seulement logique, elle doit être renforcée par des GPO et des règles de pare-feu. En appliquant ce modèle, vous brisez la chaîne d’attaque d’un ransomware. L’attaquant peut chiffrer un poste de travail, mais il se heurtera à un mur lorsqu’il tentera d’utiliser les mêmes identifiants pour accéder à un serveur critique. C’est une mise en œuvre concrète du principe du moindre privilège, visant à protéger les comptes les plus sensibles.

Il existe trois groupes intégrés disposant des privilèges les plus élevés dans Active Directory par défaut : Administrateurs d’entreprise, Administrateurs de domaine et Administrateurs

– Microsoft, Meilleures pratiques pour la sécurisation d’Active Directory

Protéger ces groupes et les comptes qui en sont membres est l’objectif final du Tier Model. Ils ne doivent être utilisés qu’en cas d’extrême nécessité, depuis des bastions sécurisés, pour administrer le Tier 0.

Votre infrastructure est aussi forte que son maillon le plus faible. En appliquant une segmentation stricte, vous vous assurez que la compromission d’un maillon n’entraîne pas la rupture de toute la chaîne. Auditez, segmentez et durcissez vos contrôleurs de domaine avant qu’un attaquant ne le fasse pour vous.

Rédigé par Malik Assani, Consultant en Cybersécurité et Responsable de la Sécurité des Systèmes d'Information (RSSI). Certifié CISSP et CEH, il dispose de 12 ans d'expérience en audit de sécurité, tests d'intrusion et gestion de crise cyber pour des secteurs sensibles.
À la une
ERP PME : comment réussir votre implémentation sans exploser le budget ni les délais ?
Comment sélectionner une solution métier qui sera adoptée par 100% des utilisateurs ?
Comment surveiller votre bande passante pour empêcher Netflix de bloquer votre ERP ?
SD-WAN vs MPLS : comment réduire votre facture télécom de 40% tout en gagnant en flexibilité ?
Routeur d’entreprise : la configuration avancée pour filtrer 99% du trafic indésirable
Articles similaires
LDAP vs Azure AD : quel annuaire choisir pour une entreprise en transition vers le cloud ?
Active Directory : comment durcir votre configuration pour bloquer 90% des attaques par ransomware ?