Administration

L’administration est la pratique de la surveillance, de la maintenance et de l’exploitation des systèmes informatiques pour répondre aux niveaux de service requis par l’entreprise. L’administration introduit certains des risques de sécurité les plus importants, car l’exécution de ces tâches nécessite un accès privilégié à un ensemble très large de ces systèmes et applications. Les attaquants savent que l’accès à un compte disposant de privilèges d’administration peut leur permettre d’accéder à la plupart ou à la totalité des données qu’ils cibleraient, ce qui fait de la sécurité de l’administration l’un des domaines de sécurité les plus critiques.

Par exemple, Microsoft investit de manière significative dans la protection et la formation des administrateurs pour nos systèmes cloud et informatiques :

A screenshot of a cell phone Description automatically generated

La stratégie principale recommandée par Microsoft pour les privilèges d’administration consiste à utiliser les contrôles disponibles pour réduire les risques

Réduire l’exposition au risque (étendue et temps) : Le principe du privilège minimum est mieux accompli avec des contrôles modernes qui fournissent des privilèges à la demande. Cela permet de limiter les risques en limitant l’exposition aux privilèges d’administration en :

  • Étendue : Juste assez d’accès (JEA) fournit uniquement les privilèges requis pour l’opération administrative requise (plutôt que d’avoir des privilèges directs et immédiats à un grand nombre ou à tous les systèmes à la fois, ce qui n’est presque jamais nécessaire).

  • Temps : les approches juste-à-temps (JIT) fournissent les privilèges requis en fonction de leurs besoins.

  • Atténuer les risques restants : utilisez une combinaison de contrôles préventifs et de contrôles de détection pour réduire les risques tels que l’isolation des comptes d’administrateur des risques les plus courants d’hameçonnage et de navigation web générale, la simplification et l’optimisation de leur flux de travail, l’amélioration de l’assurance des décisions d’authentification et l’identification des anomalies du comportement de base de référence normal qui peuvent être bloqués ou examinés.

Microsoft a capturé et documenté les meilleures pratiques de protection des comptes d’administration et publié des feuilles de route hiérarchisées pour la protection de l’accès privilégié qui peuvent être utilisées comme références pour hiérarchiser les atténuations pour les comptes disposant d’un accès privilégié.

Réduire le nombre d’administrateurs d’impact critique

Accorder le plus petit nombre de comptes à des privilèges qui peuvent avoir un impact critique sur l’entreprise

Chaque compte d’administrateur représente la surface d’attaque potentielle qu’un attaquant peut cibler. Ainsi, la réduction du nombre de comptes disposant de ce privilège permet de limiter le risque organisationnel global. L’expérience nous a appris que l’appartenance à ces groupes privilégiés augmente naturellement au fil du temps à mesure que les gens changent de rôle si l’appartenance n’est pas activement limitée et gérée.

Nous vous recommandons une approche qui réduit ce risque de surface d’attaque tout en garantissant la continuité de l’activité en cas d’événement pour un administrateur :

  • Affecter au moins deux comptes au groupe privilégié pour la continuité d’activité

  • Lorsque deux comptes ou plus sont requis, fournissez une justification pour chaque membre, y compris les deux comptes d’origine

  • Examiner régulièrement la justification de l’appartenance & pour chaque membre du groupe

Comptes gérés pour les administrateurs

Assurez-vous que tous les administrateurs d’impact critique sont gérés par l’annuaire d’entreprise pour suivre l’application de la stratégie organisationnelle.

Les comptes de consommateur tels que les comptes Microsoft tels que @Hotmail.com, @live.com, @outlook.com, n’offrent pas une visibilité et un contrôle de sécurité suffisants pour garantir que les stratégies et les exigences réglementaires de l’organisation sont respectées. Étant donné que les déploiements Azure démarrent souvent de manière modeste et informelle avant de devenir des locataires gérés par l’entreprise, certains comptes de consommateurs restent des comptes d’administration longtemps après, par exemple, les responsables de projets Azure d’origine, la création de points morts et les risques potentiels.

Comptes distincts pour les administrateurs

Assurez-vous que tous les administrateurs ayant un impact critique disposent d’un compte distinct pour les tâches administratives (par rapport au compte qu’ils utilisent pour la messagerie électronique, la navigation web et d’autres tâches de productivité).

Les attaques par hameçonnage et par navigateur web représentent les vecteurs d’attaque les plus courants pour compromettre les comptes, y compris les comptes d’administration.

Créez un compte d’administration distinct pour tous les utilisateurs qui ont un rôle nécessitant des privilèges critiques. Pour ces comptes d’administration, bloquez les outils de productivité tels que Office 365 e-mail (supprimer la licence). Si possible, bloquez la navigation web arbitraire (avec proxy et/ou contrôles d’application) tout en autorisant des exceptions pour la navigation vers le Portail Azure et d’autres sites requis pour les tâches administratives.

Aucun accès permanent / Privilèges juste-à-temps

Éviter de fournir un accès permanent « permanent » aux comptes d’impact critique

Les privilèges permanents augmentent le risque métier en augmentant le temps qu’un attaquant peut utiliser le compte pour faire des dommages. Les privilèges temporaires forcent les attaquants ciblant un compte à travailler dans les périodes limitées où l’administrateur utilise déjà le compte ou à lancer l’élévation de privilèges (ce qui augmente leurs chances d’être détectés et supprimés de l’environnement).

Accordez des privilèges requis uniquement si nécessaire à l’aide de l’une des méthodes suivantes :

  • Juste-à-temps - Activer Azure AD Privileged Identity Management (PIM) ou une solution tierce pour exiger le suivi d’un flux de travail d’approbation afin d’obtenir des privilèges pour les comptes à impact critique

  • Verre cassant – Pour les comptes rarement utilisés, suivez un processus d’accès d’urgence pour accéder aux comptes. Cette option est recommandée pour les privilèges qui ont peu besoin d’une utilisation opérationnelle régulière, comme les membres de comptes d’administrateur général.

Accès d’urgence ou comptes « Break Glass »

Veillez à disposer d’un mécanisme permettant d’obtenir un accès administratif en cas d’urgence

Bien que rares, parfois des circonstances extrêmes surgissent lorsque tous les moyens normaux d’accès administratif ne sont pas disponibles.

Nous vous recommandons de suivre les instructions de gestion des comptes d’administration d’accès d’urgence dans Azure AD et de veiller à ce que les opérations de sécurité surveillent attentivement ces comptes.

Sécurité de la station de travail d’administration

Vérifier que les administrateurs d’impact critique utilisent une station de travail avec des protections et une surveillance de sécurité élevées

Les vecteurs d’attaque qui utilisent la navigation et l’e-mail comme le hameçonnage sont peu coûteux et courants. Isoler les administrateurs d’impact critique de ces risques réduit considérablement le risque d’un incident majeur où l’un de ces comptes est compromis et utilisé pour endommager matériellement votre entreprise ou votre mission.

Choisissez le niveau de sécurité de la station de travail d’administration en fonction des options disponibles sur https://aka.ms/securedworkstation

  • Appareil de productivité hautement sécurisé (station de travail de sécurité renforcée ou station de travail spécialisée)
    Vous pouvez commencer ce parcours de sécurité pour les administrateurs à impact critique en leur fournissant une station de travail de sécurité plus élevée qui permet toujours des tâches générales de navigation et de productivité. L’utilisation de cette étape intermédiaire facilite la transition vers des stations de travail entièrement isolées pour les administrateurs ayant un impact critique, ainsi que pour le personnel informatique qui prend en charge ces utilisateurs et leurs stations de travail.

  • Station de travail à accès privilégié (station de travail spécialisée ou station de travail sécurisée)
    Ces configurations représentent l’état de sécurité idéal pour les administrateurs d’impact critique, car ils limitent considérablement l’accès aux vecteurs d’attaque d’application de hameçonnage, de navigateur et de productivité. Ces stations de travail n’autorisent pas la navigation internet générale, mais autorisent uniquement l’accès au navigateur à Portail Azure et à d’autres sites d’administration.

Dépendances d’administrateur à impact critique – Compte/station de travail

Choisissez soigneusement les dépendances de sécurité locales pour les comptes à impact critique et leurs stations de travail

Pour contenir le risque d’un incident majeur qui se répand localement pour devenir une compromission majeure des ressources cloud, vous devez éliminer ou réduire les moyens de contrôle que les ressources locales ont à des comptes d’impact critique dans le cloud. Par exemple, les attaquants qui compromettent Active Directory local peuvent accéder aux ressources cloud qui s’appuient sur ces comptes, comme les ressources dans Azure, Amazon Web Services (AWS), ServiceNow, et ainsi de suite. Les attaquants peuvent également utiliser des stations de travail jointes à ces domaines locaux pour accéder aux comptes et services gérés à partir d’eux.

Choisir le niveau d’isolation des moyens de contrôle locaux également appelés dépendances de sécurité pour les comptes d’impact critique

  • Comptes d’utilisateur : choisissez l’emplacement où héberger les comptes d’impact critique

  • Stations de travail : choisissez comment gérer et sécuriser les stations de travail utilisées par les comptes d’administration critiques :

    • Native Cloud Management & Security (recommandé) : joignez des stations de travail pour Azure AD & les gérer/les corriger avec Intune ou d’autres services cloud. Protégez et surveillez avec Windows Microsoft Defender ATP ou un autre service cloud non géré par des comptes locaux.

    • Gérer avec des systèmes existants - Joindre un domaine & AD existant tirer parti de la gestion/sécurité existante.

Cela est lié aux conseils relatifs à l’absence de comptes d’administrateur locaux dans les fournisseurs d’identité cloud et aux fournisseurs d’identité cloud dans la section Administration qui atténue le risque inverse de pivotation entre les ressources cloud et les ressources locales.

Authentification sans mot de passe ou multifacteur pour les administrateurs

Exiger que tous les administrateurs d’impact critique utilisent l’authentification sans mot de passe ou l’authentification multifacteur (MFA).

Les méthodes d’attaque ont évolué au point où les mots de passe seuls ne peuvent pas protéger de manière fiable un compte. Cela est bien documenté dans une session Microsoft Ignite.

Les comptes d’administration et tous les comptes critiques doivent utiliser l’une des méthodes d’authentification suivantes. Ces fonctionnalités sont répertoriées dans l’ordre des préférences par coût/difficulté d’attaque le plus élevé (options les plus fortes/préférées) au coût le plus bas/difficile à attaquer :

  • Sans mot de passe (par exemple, Windows Hello)
    https://aka.ms/HelloForBusiness

  • Sans mot de passe (application Authenticator)
    </azure/active-directory/authentication/howto-authentication-phone-sign-in>

  • Authentification multifacteur
    </azure/active-directory/authentication/howto-mfa-userstates>

Notez que l’authentification multifacteur basée sur sms est devenue très peu coûteuse pour les attaquants à contourner. Nous vous recommandons donc d’éviter de vous y fier. Cette option est toujours plus forte que les mots de passe seuls, mais elle est beaucoup plus faible que les autres options MFA

Appliquer l’accès conditionnel pour les administrateurs - Confiance nulle

L’authentification pour tous les administrateurs et les autres comptes à impact critique doit inclure la mesure et l’application des attributs de sécurité clés pour prendre en charge une stratégie de Confiance nulle.

Les attaquants qui compromettent des comptes d’administrateur Azure peuvent causer des dommages importants. L’accès conditionnel peut réduire considérablement ce risque en appliquant l’hygiène de sécurité avant d’autoriser l’accès à la gestion Azure.

Configurez une stratégie d’accès conditionnel pour la gestion Azure qui répond aux besoins opérationnels et à l’appétit pour les risques de votre organisation.

  • Exiger une authentification multifacteur et/ou une connexion à partir d’un réseau professionnel désigné

  • Exiger l’intégrité de l’appareil avec Microsoft Defender ATP (Strong Assurance)

Éviter les autorisations granulaires et personnalisées

Éviter les autorisations qui référencent spécifiquement des ressources ou des utilisateurs individuels

Les autorisations spécifiques créent une complexité et une confusion inutiles, car elles n’ont pas l’intention d’accéder à de nouvelles ressources similaires. Cela s’accumule ensuite dans une configuration héritée complexe qui est difficile à gérer ou à modifier sans craindre de « casser quelque chose », ce qui a un impact négatif sur la sécurité et l’agilité de la solution.

Au lieu d’attribuer des autorisations spécifiques à une ressource spécifique, utilisez l’une ou l’autre

  • Groupes d’administration pour les autorisations à l’échelle de l’entreprise

  • Groupes de ressources pour les autorisations dans les abonnements

Au lieu d’accorder des autorisations à des utilisateurs spécifiques, attribuez l’accès aux groupes dans Azure AD. S’il n’existe pas de groupe approprié, collaborez avec l’équipe d’identité pour en créer un. Cela vous permet d’ajouter et de supprimer des membres de groupe en externe dans Azure et de vérifier que les autorisations sont à jour, tout en permettant au groupe d’être utilisé à d’autres fins, telles que des listes de diffusion.

Utiliser des rôles intégrés

Utilisez des rôles intégrés pour attribuer des autorisations si possible.

La personnalisation entraîne une complexité qui augmente la confusion et rend l’automatisation plus complexe, difficile et fragile. Ces facteurs ont tous un impact négatif sur la sécurité

Nous vous recommandons d’évaluer les rôles intégrés conçus pour couvrir la plupart des scénarios normaux. Les rôles personnalisés sont une fonctionnalité puissante et parfois utile, mais ils doivent être réservés aux cas où les rôles intégrés ne fonctionnent pas.

Établir la gestion du cycle de vie pour les comptes d’impact critique

Vérifiez que vous disposez d’un processus de désactivation ou de suppression de comptes administratifs lorsque le personnel administrateur quitte l’organisation (ou quitte des postes administratifs)

Pour plus d’informations, consultez Gérer l’accès utilisateur et utilisateur invité avec révisions d’accès .

Simulation d’attaque pour les comptes d’impact critique

Simulez régulièrement des attaques contre des utilisateurs administratifs avec des techniques d’attaque actuelles pour les éduquer et les habiliter.

Les gens sont une partie essentielle de votre défense, en particulier votre personnel ayant accès à des comptes d’impact critique. S’assurer que ces utilisateurs (et idéalement tous les utilisateurs) disposent des connaissances et des compétences nécessaires pour éviter et résister aux attaques réduira le risque global de votre organisation.

Vous pouvez utiliser Office 365 fonctionnalités de simulation d’attaque ou n’importe quel nombre d’offres tierces.

Étapes suivantes

Pour obtenir des conseils supplémentaires sur la sécurité de Microsoft, consultez la documentation sur la sécurité Microsoft.