Modèle de niveaux pour le partitionnement des privilèges d’administration

Cet article décrit un modèle de sécurité destiné à protéger contre l’élévation de privilèges en isolant les activités à privilèges élevés des zones à haut risque.

Important

le modèle de cet article est destiné uniquement aux environnements Active Directory isolés à l’aide de MIM PAM. Pour les environnements hybrides, consultez à la place les conseils dans le modèle d’accès aux entreprises.

Élévation de privilèges dans des forêts Active Directory

Les comptes d’utilisateurs, de services ou d’applications qui ont des privilèges d’administration permanents pour les forêts Windows Server Active Directory (AD) représentent des risques importants pour la mission et l’activité de l’organisation. Ces comptes sont souvent la cible d’attaquants, car, s’ils sont compromis, l’attaquant a les droits nécessaires pour se connecter à d’autres serveurs ou applications du domaine.

Le modèle de niveaux crée des divisions entre les administrateurs en fonction des ressources qu’ils gèrent. Les administrateurs qui contrôlent les stations de travail des utilisateurs sont séparés de ceux qui contrôlent les applications ou qui gèrent les identités d’entreprise.

Limitation de l’exposition des informations d’identification avec des restrictions d’ouverture de session

La réduction des risques de vol d’informations d’identification pour les comptes d’administration nécessite généralement de repenser les pratiques d’administration pour limiter l’exposition aux attaquants. Dans un premier temps, il est conseillé aux organisations de :

  • Limiter le nombre d’hôtes sur lesquels les informations d’identification d’administration sont exposées.
  • Limiter les privilèges des rôles au minimum nécessaire.
  • Assurez-vous que les tâches d’administration ne sont pas effectuées sur des hôtes utilisés pour les activités des utilisateurs standard (par exemple l’e-mail et la navigation sur le web).

L’étape suivante consiste à implémenter des restrictions d’ouverture de session, et à mettre en œuvre des processus et des pratiques pour respecter les spécifications requises du modèle des niveaux. Dans l’idéal, l’exposition des informations d’identification doit également être réduite au privilège minimal requis pour le rôle dans chaque niveau.

Des restrictions d’ouverture de session doivent être appliquées pour garantir que les comptes à privilèges élevés n’ont pas accès aux ressources moins sécurisées. Par exemple :

  • les administrateurs de domaines (niveau 0) ne peuvent pas ouvrir des sessions sur des serveurs d’entreprise (niveau 1) et sur des stations de travail d’utilisateurs standard (niveau 2) ;
  • les administrateurs de serveurs (niveau 1) ne peuvent pas ouvrir des sessions sur des stations de travail d’utilisateurs standard (niveau 2).

Notes

Les administrateurs de serveurs ne doivent pas être dans le groupe d’administrateurs du domaine. Le personnel ayant des responsabilités à la fois pour la gestion des contrôleurs de domaine et pour les serveurs d’entreprise doivent disposer de comptes distincts.

Les restrictions d’ouverture de session peuvent être appliquées avec :

  • Des restrictions des droits d’ouverture de session de stratégie de groupe, notamment :
    • Refuser l'accès à cet ordinateur à partir du réseau
    • Interdire l’ouverture de session en tant que tâche
    • Interdire l’ouverture de session en tant que service
    • Refuser les ouvertures de session locales
    • Interdire l’ouverture de session par les services Bureau à distance
  • Stratégies et silos d’authentification, si vous utilisez Windows Server 2012 ou ultérieur
  • Authentification sélective, si le compte est dans une forêt d’administration dédiée

Étapes suivantes

  • L’article suivant, Planification d’un environnement bastion, explique comment ajouter une forêt d’administration dédiée pour Microsoft Identity Manager pour établir les comptes d’administration.
  • La sécurisation des appareils fournit un système d’exploitation dédié aux tâches sensibles qui sont protégées contre les attaques Internet et les vecteurs de menaces.