Stations de travail à accès privilégiéPrivileged Access Workstations

S'applique à : Windows ServerApplies To: Windows Server

Les stations de travail à accès privilégié (PAW) fournissent un système d’exploitation dédié pour que les tâches sensibles soient protégées contre les attaques sur Internet et les vecteurs de menace.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. La séparation de ces tâches et comptes sensibles des stations de travail et des appareils utilisés quotidiennement offre une très forte protection contre les attaques par hameçonnage, les vulnérabilités d’applications et du système d’exploitation, diverses attaques d’emprunt d’identité, et les vols d’informations d’identification, par exemple par enregistrement de frappe, Pass-the-Hash ou Pass-the-Ticket.Separating these sensitive tasks and accounts from the daily use workstations and devices provides very strong protection from phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket.

Qu’est une station de travail à accès privilégié ?What is a Privileged Access Workstation?

En termes plus simples, un PAW est une station de travail renforcée et verrouillée conçue pour offrir des garanties de haute sécurité pour les tâches et comptes sensibles.In simplest terms, a PAW is a hardened and locked down workstation designed to provide high security assurances for sensitive accounts and tasks. Les PAW sont recommandés pour l’administration des systèmes d’identité, les services cloud et la structure de cloud privé ainsi que les fonctions sensibles de l’entreprise.PAWs are recommended for administration of identity systems, cloud services, and private cloud fabric as well as sensitive business functions.

Notes

L’architecture PAW ne nécessite pas un mappage 1:1 des comptes sur les postes de travail, même s’il s’agit d’une configuration courante.The PAW architecture doesn't require a 1:1 mapping of accounts to workstations, though this is a common configuration. Un PAW crée un environnement de station de travail de confiance qui peut être utilisé par un ou plusieurs comptes.PAW creates a trusted workstation environment that can be used by one or more accounts.

Afin d’offrir une sécurité optimale, les stations de travail à accès privilégié doivent toujours exécuter le système d’exploitation le plus à jour et le plus sécurisé du marché : Microsoft recommande fortement d’utiliser Windows 10 Entreprise, qui dispose de plusieurs fonctionnalités de sécurité supplémentaires que les autres éditions n’offrent pas (en particulier, Credential Guard et Device Guard).In order to provide the greatest security, PAWs should always run the most up-to-date and secure operating system available: Microsoft strongly recommends Windows 10 Enterprise, which includes several additional security features not available in other editions (in particular, Credential Guard and Device Guard).

Notes

Les organisations sans accès à Windows 10 Entreprise peuvent utiliser Windows 10 Pro, qui comprend de nombreuses technologies fondamentales critiques pour les PAW, y compris Trusted Boot, BitLocker et Bureau à distance.Organizations without access to Windows 10 Enterprise can use Windows 10 Pro, which includes many of the critical foundational technologies for PAWs, including Trusted Boot, BitLocker, and Remote Desktop. Les utilisateurs du secteur de l’éducation peuvent utiliser Windows 10 Éducation.Education customers can use Windows 10 Education. Windows 10 Édition familiale ne doit pas être utilisé pour un PAW.Windows 10 Home should not be used for a PAW.

Pour un tableau de comparaison des différentes éditions de Windows 10, lisez cet article.For a comparison matrix of the different editions of Windows 10, read this article.

Les contrôles de sécurité des stations de travail à accès privilégié ont pour but d’atténuer l’impact le plus élevé et les risques les plus probables de compromission.The PAW security controls are focused on mitigating high impact and high probability risks of compromise. Ils comprennent notamment l’atténuation des attaques sur l’environnement et des risques susceptibles de réduire l’efficacité des contrôles des stations de travail à accès privilégié au fil du temps :These include mitigating attacks on the environment and risks that can decrease the effectiveness of PAW controls over time:

  • Attaques Internet - La plupart des attaques proviennent de sources Internet, directement ou indirectement, et utilisent Internet pour l’exfiltration, les commandes et le contrôle (C2).Internet attacks - Most attacks originate directly or indirectly from internet sources and use the internet for exfiltration and command and control (C2). Isoler le PAW de l’Internet public est un élément clé pour garantir que le PAW n’est pas compromis.Isolating the PAW from the open internet is a key element to ensuring the PAW is not compromised.
  • Risques liés à la facilité d’utilisation - Si un PAW est trop difficile à utiliser pour les tâches quotidiennes, les administrateurs seront encouragés créer des solutions de contournement pour faciliter leurs tâches.Usability risk - If a PAW is too difficult to use for daily tasks, administrators will be motivated to create workarounds to make their jobs easier. Fréquemment, ces solutions de contournement exposent la station de travail d’administration et les comptes à des risques de sécurité substantiels, il est donc essentiel d’impliquer et permettre aux utilisateurs du PAW et d’atténuer ces problèmes de facilité d’utilisation de façon sûre.Frequently, these workarounds open the administrative workstation and accounts to significant security risks, so it's critical to involve and empower the PAW users to mitigate these usability issues securely. Cela se fait en écoutant leurs commentaires, en installant les outils et les scripts requis pour leur travail et en veillant à ce que le personnel administratif comprenne pourquoi il doit utiliser une station de travail à accès privilégié, ce que c’est, et comment l’utiliser correctement et efficacement.This can be accomplished by listening to their feedback, installing tools and scripts required to perform their jobs, and ensuring all administrative personnel are aware of why they need to use a PAW, what a PAW is, and how to use it correctly and successfully.
  • Risques de l’environnement - Étant donné que de nombreux autres ordinateurs et comptes de l’environnement sont exposés aux risques d’Internet directement ou indirectement, un PAW doit être protégé contre les attaques de ressources compromises dans l’environnement de production.Environment risks - Because many other computers and accounts in the environment are exposed to internet risk directory or indirectly, a PAW must be protected against attacks from compromised assets in the production environment. Pour ce faire, il est nécessite de limiter l’utilisation des outils de gestion et des comptes ayant accès aux stations de travail à accès privilégié afin de sécuriser et de surveiller ces stations de travail spécialisées.This requires minimizing the use of management tools and accounts that have access to the PAWs to secure and monitor these specialized workstations.
  • Falsification de la chaîne logistique - S’il est impossible d’éliminer tous les risques possibles de falsification de la chaîne logistique pour le matériel et les logiciels, vous pouvez atténuer les vecteurs d’attaque critiques qui sont accessibles aux pirates en prenant quelques mesures essentielles.Supply chain tampering - While it's impossible to remove all possible risks of tampering in the supply chain for hardware and software, taking a few key actions can mitigate critical attack vectors that are readily available to attackers. Cela comprend la validation de l’intégrité de tous les supports d’installation (principe de source propre) et l’utilisation d’un fournisseur approuvé et digne de confiance pour le matériel et les logiciels.This includes validating the integrity of all installation media (Clean Source Principle) and using a trusted and reputable supplier for hardware and software.
  • Attaques physiques - Les PAW pouvant être physiquement mobiles et utilisés en dehors des emplacements physiquement sécurisés, ils doivent être protégés contre les attaques qui exploitent l’accès physique à l’ordinateur.Physical attacks - Because PAWs can be physically mobile and used outside of physically secure facilities, they must be protected against attacks that leverage unauthorized physical access to the computer.

Notes

Un PAW ne protègera pas un environnement d’un pirate qui a déjà acquis un accès administratif sur une forêt Active Directory.A PAW will not protect an environment from an adversary that has already gained administrative access over an Active Directory Forest. De nombreuses implémentations existantes des services de domaine Active Directory ayant été utilisées pendant des années, au risque du vol d’informations d’identification, les organisations doivent considérer que des violations ont eu lieu et envisager la possibilité d’une compromission de domaine ou d’une perte d’informations d’identification d’administrateur non détectée.Because many existing implementations of Active Directory Domain Services have been operating for years at risk of credential theft, organizations should assume breach and consider the possibility that they may have an undetected compromise of domain or enterprise administrator credentials. Une organisation qui soupçonne la compromission d’un domaine doit envisager l'utilisation des services de réponse aux incidents professionnels.An organization that suspects domain compromise should consider the use of professional incident response services.

Pour plus d’informations sur les instructions de réponse et de récupération, consultez « Répondre à une activité suspecte » et « Récupérer d’une violation » de Limitation de Pass-the-Hash et autres vols d’informations d’identification, version 2.For more information on response and recovery guidance, see the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

Visitez la page Services de réponse aux incidents et de récupération de Microsoft pour plus d’informations.Visit Microsoft's Incident Response and Recovery services page for more information.

Profils matériels PAWPAW hardware profiles

Le personnel d’administration est également composé d’utilisateurs standard : ils doivent avoir une PAW, mais aussi une station de travail utilisateur standard pour consulter leur messagerie électronique, naviguer sur le web et accéder aux applications métier de l’entreprise.Administrative personnel are standard users too - they need a PAW as well as a standard user workstation to check email, browse the web, and access corporate line of business applications. Il est essentiel de s’assurer que les administrateurs peuvent rester productifs et sécurisés pour le succès du déploiement d’un PAW.Ensuring that administrators can remain both productive and secure is essential to the success of any PAW deployment. Une solution de sécurité qui limite considérablement la productivité est abandonnée par les utilisateurs en faveur de ce qui améliore la productivité (même si la solution n’est pas sécurisée).A secure solution that dramatically limits productivity will be abandoned by the users in favor of one that enhances productivity (even if it is done in an insecure manner).

Afin d’équilibrer les besoins de sécurité et ceux de productivité, Microsoft recommande d’utiliser un de ces profils de matériel de PAW :In order to balance the need for security with the need for productivity, Microsoft recommends using one of these PAW hardware profiles:

  • Matériel dédié - Séparer les appareils dédiés aux tâches de l’utilisateur et aux tâches d’administration.Dedicated hardware - Separate dedicated devices for user tasks vs. administrative tasks.
  • Utilisation simultanée - Un appareil unique qui peut exécuter les tâches d’administration et les tâches utilisateur simultanément en tirant parti de la virtualisation du système d’exploitation ou de la présentation.Simultaneous Use - Single device that can run user tasks and administrative tasks concurrently by taking advantage of OS or presentation virtualization.

Les organisations peuvent utiliser un seul profil ou les deux.Organizations may use only one profile or both. Il n’y aucun problème d’interopérabilité entre les profils matériels, et les organisations ont la flexibilité nécessaire pour faire correspondre le profil matériel aux à la situation et aux besoins spécifiques d’un administrateur donné.There are no interoperability concerns between the hardware profiles, and organizations have the flexibility to match the hardware profile to the specific need and situation of a given administrator.

Notes

Il est essentiel que, dans tous ces scénarios, le personnel administratif reçoive un compte utilisateur standard qui est distinct du ou des comptes administratifs désignés.It is critical that, in all these scenarios, administrative personnel are issued a standard user account that is separate from designated administrative account(s). Les comptes administratifs doivent uniquement être utilisés sur le système d’exploitation du PAW.The administrative account(s) should only be used on the PAW administrative operating system.

Ce tableau récapitule les avantages et inconvénients relatifs de chaque profil matériel du point de vue de la facilité d’utilisation opérationnelle, de la productivité et de la sécurité.This table summarizes the relative advantages and disadvantages of each hardware profile from the perspective of operational ease-of-use and productivity and security. Les deux approches matérielles fournissent une sécurité renforcée pour les comptes administrateur contre le vol et la réutilisation d’informations d’identification.Both hardware approaches provide strong security for administrative accounts against credential theft and reuse.

ScénarioScenario AvantagesAdvantages InconvénientsDisadvantages
Matériel dédiéDedicated hardware - Signal fort pour la sensibilité des tâches- Strong signal for sensitivity of tasks
- Meilleure séparation de sécurité- Strongest security separation
- Espace supplémentaire sur le bureau- Additional desk space
- Poids supplémentaires (pour le travail à distance)- Additional weight (for remote work)
- Coût du matériel- Hardware Cost
Utilisation simultanéeSimultaneous use - Coût matériel réduit- Lower hardware cost
- Expérience sur appareil unique- Single device experience
- Le partage de clavier/souris entraîne des risques d’erreurs- Sharing single keyboard/mouse creates risk of inadvertent errors/risks

Ce guide contient des instructions détaillées pour la configuration de PAW pour l’approche de matériel dédié.This guidance contains the detailed instructions for the PAW configuration for the dedicated hardware approach. Si vous avez des exigences pour les profils matériels à utilisation simultanée, vous pouvez adapter les instructions vous-même sur la base de ce guide, ou passer par une entreprise de services professionnels comme Microsoft pour vous aider.If you have requirements for the simultaneous use hardware profiles, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Matériel dédiéDedicated hardware

Dans ce scénario, nous utilisons pour l’administration un PAW complètement distinct de l’ordinateur qui est utilisé pour les activités quotidiennes telles que la consultation du courrier électronique, la modification de documents et le travail de développement.In this scenario, a PAW is used for administration that is completely separate from the PC that is used for daily activities like email, document editing, and development work. Toutes les applications et tous les outils d’administration sont installés sur le PAW, et toutes les applications de productivité sont installées sur la station de travail utilisateur standard.All administrative tools and applications are installed on the PAW and all productivity applications are installed on the standard user workstation. Les instructions étape par étape de ce guide sont basées sur ce profil matériel.The step by step instructions in this guidance are based on this hardware profile.

Utilisation simultanée – Ajout d’un ordinateur virtuel pour l’utilisateur localSimultaneous use - Adding a local user VM

Dans ce scénario d’utilisation simultanée, un PC unique est utilisé pour les tâches d’administration et les activités quotidiennes telles que la consultation du courrier électronique, la modification de documents et le travail de développement.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing, and development work. Dans cette configuration, le système d’exploitation utilisateur est disponible hors connexion (pour modifier des documents et travailler sur la messagerie électronique mise en cache localement), mais elle requiert du matériel et des processus de support prenant en charge cet état déconnecté.In this configuration, the user operating system is available while disconnected (for editing documents and working on locally cached email), but requires hardware and support processes that can accommodate this disconnected state.

Diagramme montrant, dans un scénario d’utilisation simultanée, un PC unique utilisé pour les tâches d’administration et les activités quotidiennes telles que la consultation du courrier électronique, la modification de documents et le travail de développement

Le matériel physique exécute deux systèmes d’exploitation localement :The physical hardware runs two operating systems locally:

  • Système d’exploitation admin - L’hôte physique exécute Windows 10 sur l’hôte PAW pour les tâches administrativesAdmin OS - The physical host runs Windows 10 on the PAW host for Administrative tasks
  • Système d’exploitation de l’utilisateur - Une machine virtuelle invitée Hyper-V sur client Windows 10 exécute une image d’entrepriseUser OS - A Windows 10 client Hyper-V virtual machine guest runs a corporate image

Grâce à Hyper-V, sur Windows 10, un ordinateur virtuel invité (s’exécutant aussi sous Windows 10) peut avoir une expérience utilisateur riche, avec du son, de la vidéo et des applications de communication Internet comme Skype Entreprise.With Windows 10 Hyper-V, a guest virtual machine (also running Windows 10) can have a rich user experience including sound, video, and Internet communications applications such as Skype for Business.

Dans cette configuration, les tâches quotidiennes qui ne nécessitent pas de privilèges d’administrateur s’effectuent dans la machine virtuelle du système d’exploitation utilisateur qui possède une image Windows 10 d’entreprise ordinaire, et ne sont pas soumises aux restrictions appliquées à l’hôte PAW.In this configuration, daily work that does not require administrative privileges is done in the user OS virtual machine which has a regular corporate Windows 10 image and is not subject to restrictions applied to the PAW host. Toutes les tâches d’administration sont effectuées sur le système d’exploitation de l’administrateur.All administrative work is done on the Admin OS.

Pour configurer cela, suivez les instructions de ce guide pour l’hôte PAW, ajoutez les fonctionnalités de client Hyper-V, créez une machine virtuelle utilisateur, puis installez une image d’entreprise Windows 10 sur la machine virtuelle utilisateur.To configure this, follow the instructions in this guidance for the PAW host, add Client Hyper-V features, create a User VM, and then install a Windows 10 corporate image on the User VM.

Lisez l’article sur le Client Hyper-V article pour plus d’informations sur cette fonctionnalité.Read Client Hyper-V article for more information about this capability. Veuillez noter que le système d’exploitation dans les machines virtuelles invitées doivent disposer d’une licence par Licence produit Microsoft , ce qui est également décrit ici.Please note that the operating system in guest virtual machines will need to be licensed per Microsoft product licensing, also described here.

Utilisation simultanée – Ajout de RemoteApp, de RDP ou d’une infrastructure VDISimultaneous use - Adding RemoteApp, RDP, or a VDI

Dans ce scénario d’utilisation simultanée, un PC unique est utilisé pour les tâches d’administration et les activités quotidiennes telles que la consultation du courrier électronique, la modification de documents et le travail de développement.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing and development work. Dans cette configuration, les systèmes d’exploitation utilisateur sont déployés et gérés de façon centralisée (sur le cloud ou dans votre centre de données), mais ne sont pas disponibles hors connexion.In this configuration, the user operating systems are deployed and managed centrally (on the cloud or in your datacenter), but aren't available while disconnected.

Figure montrant, dans un scénario d’utilisation simultanée, un PC unique utilisé pour les tâches d’administration et les activités quotidiennes telles que la consultation du courrier électronique, la modification de documents et le travail de développement

Le matériel physique exécute un seul système d’exploitation PAW localement pour les tâches administratives et contacte un service de bureau à distance Microsoft ou tiers pour les applications utilisateur telles que la messagerie, la modification de documents et les applications d’entreprise.The physical hardware runs a single PAW operating system locally for administrative tasks and contacts a Microsoft or 3rd party remote desktop service for user applications such as email, document editing, and line of business applications.

Dans cette configuration, les tâches quotidiennes qui ne nécessitent pas de privilèges d’administrateur s’effectuent dans le ou les systèmes d’exploitation à distance et les applications qui ne sont pas soumises aux restrictions appliquées à l’hôte PAW.In this configuration, daily work that does not require administrative privileges is done in the Remote OS(es) and applications which are not subject to restrictions applied to the PAW host. Toutes les tâches d’administration sont effectuées sur le système d’exploitation de l’administrateur.All administrative work is done on the Admin OS.

Pour ce faire, suivez les instructions de ce guide pour l’hôte PAW, autorisez la connectivité réseau pour les services de bureau à distance, puis ajoutez des raccourcis au bureau de l’utilisateur PAW pour accéder aux applications.To configure this, follow the instructions in this guidance for the PAW host, allow network connectivity to the Remote Desktop services, and then add shortcuts to the PAW user's desktop to access the applications. Les services de bureau à distance peuvent être hébergés de nombreuses façons, dont les suivantes :The remote desktop services could be hosted in many ways including:

  • Un service de bureau à distance ou VDI existant (local ou dans le cloud)An existing Remote Desktop or VDI service (on-premises or in the cloud)
  • Un nouveau service que vous installez en local ou dans le cloudA new service you install on-premises or in the cloud
  • Azure RemoteApp avec des modèles Office 365 préconfigurés ou vos propres images d’installationAzure RemoteApp using pre-configured Office 365 templates or your own installation images

Pour plus d'informations sur Azure RemoteApp, visitez cette page.For more information on Azure RemoteApp, visit this page.

Utilisation des stations de travail administratives par MicrosoftHow Microsoft is using administrative workstations

Chez Microsoft, nous utilisons l’approche d’architecturale PAW en interne sur nos systèmes ainsi qu’avec nos clients.Microsoft uses the PAW architectural approach both internally on our systems as well as with our customers. Microsoft utilise des stations de travail administratives en interne pour un certain nombre de fonctions, notamment l’administration de l’infrastructure informatique de Microsoft, le développement et l’exploitation de l’infrastructure cloud Microsoft, et d’autres ressources à valeur élevée.Microsoft uses administrative workstations internally in several capacities including administration of Microsoft IT infrastructure, Microsoft cloud fabric infrastructure development and operations, and other high value assets.

Ce guide est directement basé sur l’architecture de référence de station de travail d’accès privilégié (PAW) déployé par nos équipes de services professionnels en cybersécurité pour protéger les clients contre les attaques de sécurité.This guidance is directly based on the Privileged Access Workstation (PAW) reference architecture deployed by our cybersecurity professional services teams to protect customers against cybersecurity attacks. Les stations de travail administratives sont également un élément clé de la protection la plus robuste pour les tâches d’administration, l’architecture de référence de forêt d’administration améliorée sécurité Enhanced Security Administrative Environment (ESAE).The administrative workstations are also a key element of the strongest protection for domain administration tasks, the Enhanced Security Administrative Environment (ESAE) administrative forest reference architecture.

Pour plus d’informations sur la forêt d’administration ESAE, consultez la section Approche de conception de la forêt d’administration ESAE dansDocuments de référence sur la sécurisation de l’accès privilégié.For more details on the ESAE administrative forest, see the ESAE Administrative Forest Design Approach section in Securing Privileged Access Reference Material.

Présentation de l'architectureArchitecture overview

Le schéma ci-dessous représente un « canal » distinct pour l’administration (une tâche très sensible) qui est créé en conservant des comptes et stations de travail d’administration dédiés.The diagram below depicts a separate "channel" for administration (a highly sensitive task) that is created by maintaining separate dedicated administrative accounts and workstations.

Diagramme montrant un « canal » distinct d’administration (une tâche très sensible) créé en conservant des comptes et stations de travail d’administration dédiés

Cette approche architecturale s’appuie sur les protections trouvées dans la Protection des informations d’identification et la Protection des appareils de Windows 10, et va au-delà de ces protections pour les comptes et tâches sensibles.This architectural approach builds on the protections found in the Windows 10 Credential Guard and Device Guard features and goes beyond those protections for sensitive accounts and tasks.

Cette méthodologie est appropriée pour les comptes ayant accès aux ressources à valeur élevée :This methodology is appropriate for accounts with access to high value assets:

  • Les privilèges d’administrateur – les PAW offrent une sécurité accrue pour les rôles et les tâches d’administration informatique à fort impact.Administrative Privileges - PAWs provide increased security for high impact IT administrative roles and tasks. Cette architecture peut être appliquée à l’administration de nombreux types de systèmes, y compris les domaines et forêts Active Directory, les clients Microsoft Azure Active Directory, les clients Office 365, les réseaux de contrôle de processus (PCN), les systèmes de contrôle et de collecte de données (SCADA) et de contrôle des systèmes, les guichets automatiques de banque et les appareils de point de vente (PoS).This architecture can be applied to administration of many types of systems including Active Directory Domains and Forests, Microsoft Azure Active Directory tenants, Office 365 tenants, Process Control Networks (PCN), Supervisory Control and Data Acquisition (SCADA) systems, Automated Teller Machines (ATMs), and Point of Sale (PoS) devices.

  • Travailleurs de l’information à haute sensibilité – L’approche utilisée dans un PAW peut également fournir une protection pour les tâches de traitement d’informations hautement confidentielles et pour le personnel, notamment pour les activités précédant l’annonce de fusions et d’acquisitions, les versions préliminaires de rapports financiers, la présence d’une organisation sur les réseaux sociaux, les communications exécutives, les secrets commerciaux non brevetés, la recherche sensible ou autres données propriétaires ou sensibles.High Sensitivity Information workers - The approach used in a PAW can also provide protection for highly sensitive information worker tasks and personnel such as those involving pre-announcement Merger and Acquisition activity, pre-release financial reports, organizational social media presence, executive communications, unpatented trade secrets, sensitive research, or other proprietary or sensitive data. Ce guide n’aborde pas la configuration de ces scénarios de traitement des informations en profondeur, et n’inclut pas ce scénario dans les instructions techniques.This guidance does not discuss the configuration of these information worker scenarios in depth or include this scenario in the technical instructions.

    Notes

    Microsoft IT utilise les PAW (appelés en interne « stations de travail admin sécurisées », ou SAW) pour gérer l’accès sécurisé à des systèmes à haute valeur au sein de Microsoft.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Ce guide propose ci-dessous des détails supplémentaires sur l’utilisation de PAW chez Microsoft dans la section « Comment Microsoft utilise les stations de travail admin ».This guidance has additional details below on PAW usage at Microsoft in the section "How Microsoft uses admin workstations". Pour plus d’informations sur cette approche d’environnement de ressources à haute valeur, reportez-vous à l’article Protection des de ressources à haute valeur avec les stations de travail admin sécurisées.For more detailed information on this high value asset environment approach, please refer to the article, Protecting high-value assets with secure admin workstations.

Ce document décrit pourquoi cette pratique est recommandée pour la protection des comptes privilégiés à impact élevé, à quoi ces solutions PAW ressemblent pour la protection des privilèges administratifs et comment déployer rapidement une solution PAW pour l’administration de services cloud et de domaine.This document will describe why this practice is recommended for protecting high impact privileged accounts, what these PAW solutions look like for protecting administrative privileges, and how to quickly deploy a PAW solution for domain and cloud services administration.

Ce document fournit des instructions détaillées sur l’implémentation de plusieurs configurations PAW et inclut des instructions d’implémentation détaillées pour vous aider à commencer à protéger des comptes à impact élevé :This document provides detailed guidance for implementing several PAW configurations and includes detailed implementation instructions to get you started on protecting common high impact accounts:

Pourquoi utiliser une station de travail dédiée ?Why dedicated workstations?

L’environnement de menace actuel pour les organisations est truffé d’hameçonnages sophistiqués et d’autres attaques Internet qui constituent une menace de sécurité continue pour les comptes et stations de travail exposés à Internet.The current threat environment for organizations is rife with sophisticated phishing and other internet attacks that create continuous risk of security compromise for internet exposed accounts and workstations.

Cet environnement de menace pousse les organisations à adopter une posture de sécurité qui suppose qu’une brèche a déjà été ouverte lors de la conception des protections pour les ressources à valeur élevée, comme les comptes d’administration et les ressources sensibles de l’entreprise.This threat environment requires organizations to adopt an "assume breach" security posture when designing protections for high value assets like administrative accounts and sensitive business assets. Ces ressources à valeur élevée doivent être protégées contre les menaces directes sur Internet ainsi que contre les attaques montées à partir d’autres stations de travail, serveurs et appareils de l’environnement.These high value assets need to be protected against both direct internet threats as well as attacks mounted from other workstations, servers, and devices in the environment.

Figure montrant le risque pour les ressources gérées si un pirate prend le contrôle d’une station de travail utilisateur contenant des informations d’identification sensibles

Cette illustration décrit les risques pour les ressources gérées si un pirate gagne le contrôle d’une station de travail utilisateur où des informations d’identification sensibles sont utilisées.This figure depicts risk to managed assets if an attacker gains control of a user workstation where sensitive credentials are used.

Un pirate aux commandes d’un système d’exploitation a plusieurs façons d’accéder à toutes les activités sur la station de travail et d’emprunter l’identité du compte légitime.An attacker in control of an operating system has numerous ways in which to illicitly gain access to all activity on the workstation and impersonate the legitimate account. Diverses techniques d’attaque connues et inconnues permettent d’obtenir ce niveau d’accès.A variety of known and unknown attack techniques can be used to gain this level of access. Les volumes croissants et la sophistication des cyberattaques ont rendu nécessaire d’étendre ce concept de séparation pour séparer complètement les systèmes d’exploitation client pour les comptes sensibles.The increasing volume and sophistication of cyberattacks have made it necessary to extend that separation concept to completely separate client operating systems for sensitive accounts. Pour plus d’informations sur ces types d’attaques, visitez le site web Pass The Hash pour des livres blancs, des vidéos et plus encore.For more information on these types of attacks, please visit the Pass The Hash web site for informative white papers, videos and more.

L’approche PAW est une extension de la pratique recommandée établie d’utiliser des comptes d’utilisateur et d’administration séparés pour le personnel administratif.The PAW approach is an extension of the well-established recommended practice to use separate admin and user accounts for administrative personnel. Cette pratique utilise un compte d’administration affecté de manière individuelle, qui est complètement distinct du compte standard de l’utilisateur.This practice uses an individually assigned administrative account that is completely separate from the user's standard user account. PAW s’appuie sur cette pratique de séparation des comptes en fournissant une station de travail de confiance pour les comptes sensibles.PAW builds on that account separation practice by providing a trustworthy workstation for those sensitive accounts.

Ce guide PAW est conçu pour vous aider à implémenter cette fonctionnalité pour la protection des comptes importants, comme les comptes d’administrateurs informatiques à privilèges élevés et les comptes d’entreprise à haute sensibilité.This PAW guidance is intended to help you implement this capability for protecting high value accounts such as high-privileged IT administrators and high sensitivity business accounts. Le guide vous aide à :The guidance helps you:

  • Limiter l’exposition des informations d’identification aux seuls hôtes approuvésRestrict exposure of credentials to only trusted hosts
  • Fournir une station de travail haute sécurité aux administrateurs afin de pouvoir facilement effectuer les tâches d’administration.Provide a high-security workstation to administrators so they can easily perform administrative tasks.

La restriction des comptes sensibles à l’utilisation exclusive de PAW renforcés est une protection simple pour ces comptes, facilement utilisable pour les administrateurs et très difficile à défaire pour les pirates.Restricting the sensitive accounts to using only hardened PAWs is a straightforward protection for these accounts that is both highly usable for administrators and very difficult for an adversary to defeat.

Autres approchesAlternate approaches

Cette section contient des informations de comparaison de la sécurité des approches alternatives par rapport à PAW, et sur la façon d’intégrer correctement ces approches dans une architecture PAW.This section contains information on how the security of alternate approaches compares to PAW and how to correctly integrate these approaches within a PAW architecture. Toutes ces approches comportent des risques importants lors de l’implémentation de manière isolée, mais peuvent ajouter de la valeur à une implémentation PAW dans certains scénarios.all these approaches carry significant risks when implemented in isolation, but can add value to a PAW implementation in some scenarios.

Credential Guard et Windows Hello EntrepriseCredential Guard and Windows Hello for Business

Nouvelle fonctionnalité de Windows 10, la Protection des informations d’identification utilise une sécurité basée sur le matériel et la virtualisation pour atténuer les vols d’informations d’identification courantes, par exemple de type Pass-the-Hash, en protégeant les informations d’identification dérivées.Introduced in Windows 10, Credential Guard uses hardware and virtualization-based security to mitigate common credential theft attacks, such as Pass-the-Hash, by protecting the derived credentials. La clé privée pour les informations d’identification utilisées par Windows Hello Entreprise peut être également être protégée par le matériel du Module de plateforme sécurisée (TPM).The private key for credentials used by Windows Hello for Business can be also be protected by Trusted Platform Module (TPM) hardware.

Il s’agit d’atténuations puissantes, mais les stations de travail peuvent encore être vulnérables à certaines attaques même si les informations d’identification sont protégées par Credential Guard et Windows Hello Entreprise.These are powerful mitigations, but workstations can still be vulnerable to certain attacks even if the credentials are protected by Credential Guard or Windows Hello for Business. Les attaques peuvent inclure l’utilisation abusive des privilèges et des informations d’identification directement à partir d’un appareil, la réutilisation d’informations d’identification précédemment volées avant activation de Credential Guard , et l’utilisation abusive d’outils de gestion et de configurations d’applications faibles sur la station de travail.Attacks can include abusing privileges and use of credentials directly from a compromised device, reusing previously stolen credentials prior to enabling Credential Guard and abuse of management tools and weak application configurations on the workstation.

Le guide PAW de cette section comprend l’utilisation d’un grand nombre de ces technologies pour les comptes et tâches à sensibilité élevée.The PAW guidance in this section includes the use of many of these technologies for high sensitivity accounts and tasks.

Machines virtuelles administrativesAdministrative VM

Une machine virtuelle administrative est un système d’exploitation dédié aux tâches administratives hébergé sur un ordinateur de bureau d’utilisateur standard.An administrative virtual machine (Admin VM) is a dedicated operating system for administrative tasks hosted on a standard user desktop. Cette approche est similaire à PAW, en cela qu’elle fournit un système d’exploitation dédié pour les tâches administratives. Son erreur potentiellement fatale est que machine virtuelle administrative repose sur l’ordinateur de bureau d’utilisateur standard pour sa sécurité.While this approach is similar to PAW in providing a dedicated OS for administrative tasks, it has a fatal flaw in that the administrative VM is dependent on the standard user desktop for its security.

Le diagramme ci-dessous illustre la capacité des pirates à suivre la chaîne de contrôle vers l’objet d’intérêt cible avec une machine virtuelle administrative sur une station de travail utilisateur, et le fait qu’il est difficile de créer un chemin sur la configuration inverse.The diagram below depicts the ability of attackers to follow the control chain to the target object of interest with an Admin VM on a User Workstation and that it is difficult to create a path on the reverse configuration.

L’architecture PAW ne permet pas d’héberger une machine virtuelle administrative sur une station de travail d’utilisateur, mais une machine virtuelle d’utilisateur avec une image d’entreprise standard peut être hébergée sur un hôte PAW pour fournir au personnel un PC unique pour toutes les responsabilités.The PAW architecture does not allow for hosting an Admin VM on a User Workstation, but a User VM with a standard corporate image can be hosted on an Admin PAW to provide personnel with a single PC for all responsibilities.

Diagramme de l’architecture PAW

PAW basés sur machine virtuelle protégéeShielded VM-based PAWs

Une autre solution sécurisée du modèle de machine virtuelle administrative consiste à utiliser des machines virtuelles protégées afin d’héberger une ou plusieurs machines virtuelles administratives ainsi qu’une machine virtuelle d’utilisateur.A secure variant of the administrative VM model is to use shielded virtual machines to host one or more admin VMs alongside a user VM. Les machines virtuelles protégées sont conçues pour exécuter des charges de travail sécurisées dans un environnement où des utilisateurs ou du code potentiellement non fiables peuvent s’exécuter sur le bureau de l’utilisateur standard de l’ordinateur physique.Shielded VMs are designed to run secure workloads in an environment where potentially untrusted users or code may be running on the physical machine's standard user desktop. Une machine virtuelle protégée possède un module de plateforme sécurisée virtuel qui lui permet de chiffrer ses propres données au repos, et plusieurs contrôles d’administration tels que l’accès à la console de base, PowerShell direct et la possibilité de déboguer la machine virtuelle est désactivée pour isoler davantage la machine virtuelle du bureau de l’utilisateur standard et d’autres machines virtuelles.A shielded VM has a virtual TPM which allows it to encrypt its own data at rest, and several administrative controls such as basic console access, PowerShell Direct, and the ability to debug the VM are disabled to further isolate the VM from the standard user desktop and other VMs. Les clés d’une machine virtuelle protégée sont stockées sur un serveur de gestion de clés approuvé, ce qui oblige l’appareil physique à attester de son identité et de son intégrité avant de libérer une clé permettant de démarrer la machine virtuelle.The keys for a shielded VM are stored on a trusted key management server, which requires the physical device to attest to its identity and health before releasing a key to start the VM. Cela permet de s’assurer que les machines virtuelles protégées peuvent démarrer uniquement sur les appareils prévus et que ces derniers exécutent des configurations logicielles connues et approuvées.This ensures that shielded VMs can only start on the intended devices and that those devices are running known and trusted software configurations.

Étant donné que les machines virtuelles protégées sont isolées les unes des autres et du bureau des utilisateurs standard, il est possible d’exécuter plusieurs machines virtuelles PAW protégées sur un seul hôte, même si ces machines virtuelles d’administration gèrent des niveaux différents.Because the shielded VMs are isolated from each other and the standard user desktop, it is acceptable to run multiple shielded PAW VMs on a single host, even when those admin VMs manage different tiers.

Pour plus d’informations, consultez la section Déployer des PAW à l’aide d’une infrastructure protégée ci-dessous.See the deploy PAWs using a guarded fabric section below for more information.

Serveur de renvoiJump server

Les architectures de serveur de renvoi administratif configurent un petit nombre de serveurs de console d’administration et restreignent l’utilisation par le personnel pour les tâches administratives.Administrative "Jump Server" architectures set up a small number administrative console servers and restrict personnel to using them for administrative tasks. Cela se base généralement sur les services de bureau à distance, une solution de virtualisation de présentation tierce ou une technologie Virtual Desktop Infrastructure (VDI).This is typically based on remote desktop services, a 3rd-party presentation virtualization solution, or a Virtual Desktop Infrastructure (VDI) technology.

Cette approche est souvent proposée pour atténuer les risques pour l’administration et offre des garanties de sécurité, mais l’approche de serveur de renvoi elle-même est vulnérable à certaines attaques, car elle ne respecte pas le principe de source propre.This approach is frequently proposed to mitigate risk to administration and does provide some security assurances, but the jump server approach by itself is vulnerable to certain attacks because it violates the "clean source" principle. Le principe de source propre nécessite que toutes les dépendances de sécurité aient au moins le niveau de confiance de l’objet sécurisé.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Figure montrant une relation de contrôle simple

Cette illustration présente une relation de contrôle simple.This figure depicts a simple control relationship. N’importe quel sujet ayant le contrôle d’un objet est une dépendance de sécurité de cet objet.Any subject in control of an object is a security dependency of that object. Si un pirate peut contrôler une dépendance de sécurité d’un objet cible (sujet), il peut contrôler cet objet.If an adversary can control a security dependency of a target object (subject), they can control that object.

La session administrative sur le serveur de renvoi s’appuie sur l’intégrité de l’ordinateur local qui y accède.The administrative session on the jump server relies on the integrity of the local computer accessing it. Si cet ordinateur est une station de travail utilisateur soumise à des attaques par hameçonnage et d’autres vecteurs d’attaque sur Internet, la session d’administration est également exposée à ces risques.If this computer is a user workstation subject to phishing attacks and other internet-based attack vectors, then the administrative session is also subject to those risks.

Figure montrant comment les pirates peuvent suivre une chaîne de contrôle établie pour atteindre l’objet ciblé

L’illustration ci-dessus montre comment les pirates peuvent suivre une chaîne de contrôle établie vers l’objet d’intérêt cible.The figure above depicts how attackers can follow an established control chain to the target object of interest.

Bien que certains contrôles de sécurité avancés, comme l’authentification multifacteur peuvent augmenter la difficulté pour un utilisateur malveillant de prendre le contrôle de cette session d’administration à partir de la station de travail utilisateur, aucune fonctionnalité de sécurité ne peut entièrement protéger des attaques techniques lorsqu’une personne malveillante a l’accès administratif à l’ordinateur source (par exemple, injection de commandes illicites dans une session légitime, piratage de processus légitimes, et ainsi de suite.)While some advanced security controls like multi-factor authentication can increase the difficulty of an attacker taking over this administrative session from the user workstation, no security feature can fully protect against technical attacks when an attacker has administrative access of the source computer (e.g. injecting illicit commands into a legitimate session, hijacking legitimate processes, and so on.)

La configuration par défaut dans ce guide de PAW installe les outils d’administration sur le PAW, mais une architecture de serveur de renvoi peut également être ajoutée si nécessaire.The default configuration in this PAW guidance installs administrative tools on the PAW, but a jump server architecture can also be added if required.

Figure montrant comment l’inversion de la relation de contrôle et l’accès aux applications utilisateur à partir d’une station de travail d’administration ne laissent au pirate aucun chemin d’accès à l’objet ciblé

Cette illustration montre comment inverser la relation de contrôle et l’accès aux applications de l’utilisateur à partir d’une station de travail administrateur ne laisse à l’attaquant aucun chemin d’accès à l’objet ciblé.This figure shows how reversing the control relationship and accessing user apps from an admin workstation gives the attacker no path to the targeted object. Le serveur de renvoi de l’utilisateur est toujours exposé à des risques, aussi des contrôles de protection, des contrôles de détection et des processus de réponse appropriés doivent toujours être appliqués pour cet ordinateur sur Internet.The user jump server is still exposed to risk so appropriate protective controls, detective controls, and response processes should still be applied for that internet-facing computer.

Cette configuration nécessite que les administrateurs suivent scrupuleusement les pratiques opérationnelles afin d’éviter la saisie accidentelle des informations d’identification de l’administrateur dans la session utilisateur sur l’ordinateur de bureau.This configuration requires administrators to follow operational practices closely to ensure that they don't accidentally enter administrator credentials into the user session on their desktop.

Figure montrant comment l’accès à un serveur de renvoi administratif à partir d’un PAW ne permet pas à un pirate d’accéder aux ressources d’administration

Cette illustration montre comment accéder à un serveur de renvoi administratif à partir d’un PAW n’ajoute aucun chemin d’accès pour le pirate dans les ressources d’administration.This figure shows how accessing an administrative jump server from a PAW adds no path for the attacker into the administrative assets. Un serveur de renvoi avec un PAW permet dans ce cas de consolider le nombre d’emplacements pour l’activité de surveillance administrative et de distribuer des outils et applications d’administration.A jump server with a PAW allows in this case you to consolidate the number of locations for monitoring administrative activity and distributing administrative applications and tools. Cela ajoute une certaine complexité à la conception, mais peut simplifier les mises à jour de logiciels et la surveillance de la sécurité si un grand nombre de comptes et de stations de travail sont utilisés dans votre implémentation PAW.This adds some design complexity, but can simplify security monitoring and software updates if a large number of accounts and workstations are used in your PAW implementation. Le serveur de renvoi doit être développé et configuré à des normes de sécurité équivalentes à celles du PAW.The jump server would need to be built and configured to similar security standards as the PAW.

Solutions de gestion des privilègesPrivilege management solutions

Les solutions de gestion des privilèges sont des applications qui fournissent un accès temporaire à privilèges discrets ou des comptes privilégiés à la demande.Privileged Management solutions are applications that provide temporary access to discrete privileges or privileged accounts on demand. Les solutions de gestion des privilèges sont un composant primordial d’une stratégie complète pour sécuriser l’accès privilégié et fournir une visibilité extrêmement importante et plus de transparence pour les activités administratives.Privilege management solutions are an extremely valuable component of a complete strategy to secure privileged access and provide critically important visibility and accountability of administrative activity.

Ces solutions utilisent généralement un flux de travail flexible pour accorder l’accès et beaucoup ont des fonctionnalités de sécurité supplémentaires comme la gestion des mots de passe de compte de service et l’intégration avec les serveurs de renvoi administratifs.These solutions typically use a flexible workflow to grant access and many have additional security features and capabilities like service account password management and integration with administrative jump servers. Il existe de nombreuses solutions sur le marché qui fournissent des fonctionnalités de gestion des privilèges, une d’elles étant la gestion de l’accès privilégié (PAM) de Microsoft Identity Manager.There are many solutions on the market that provide privilege management capabilities, one of which is Microsoft Identity Manager (MIM) privileged access management (PAM).

Microsoft recommande d’utiliser un PAW pour accéder aux solutions de gestion des privilèges d’accès.Microsoft recommends using a PAW to access privilege management solutions. L’accès à ces solutions doit être accordé uniquement aux PAW.Access to these solutions should be granted only to PAWs. Microsoft ne recommande pas l’utilisation de ces solutions en remplacement d’un PAW, car l’accès à des privilèges à l’aide de ces solutions à partir d’un ordinateur de bureau utilisateur potentiellement compromis ne respecte pas le principe de source propre, comme illustré dans le diagramme ci-dessous :Microsoft does not recommend using these solutions as a substitute for a PAW because accessing privileges using these solutions from a potentially compromised user desktop violates the clean source principle as depicted in the diagram below:

Diagramme montrant pourquoi Microsoft ne recommande pas l’utilisation de ces solutions à la place d’un PAW, car l’accès à des privilèges à l’aide de ces solutions à partir d’un ordinateur de bureau potentiellement compromis ne respecte pas le principe de source propre

Fournir un PAW pour accéder à ces solutions vous permet d’offrir les avantages de sécurité de PAW et la solution de gestion de privilèges, comme illustré dans ce diagramme :Providing a PAW to access these solutions enables you to gain the security benefits of both PAW and the privilege management solution, as depicted in this diagram:

Diagramme montrant comment la mise à disposition d’un PAW pour accéder à ces solutions vous offre les avantages de sécurité de PAW et de la solution de gestion de privilèges

Notes

Ces systèmes doivent être classés au niveau le plus élevé du privilège qu’ils gèrent être protégés au même niveau ou au-dessus de ce niveau de sécurité.These systems should be classified at the highest tier of the privilege they manage and be protected at or above that level of security. Ils sont généralement configurés pour gérer des solutions de niveau 0 et des ressources de niveau 0, et doivent être classés au niveau 0.These are commonly configured to manage Tier 0 solutions and Tier 0 assets and should be classified at Tier 0. Pour plus d’informations sur le modèle de niveau, consultez https://aka.ms/tiermodel Pour plus d’informations sur les groupes de niveau 0, consultez l’équivalence de niveau 0 dans les Documents de référence sur la sécurisation de l’accès privilégié.For more information on the tier model, see https://aka.ms/tiermodel For more information on Tier 0 groups, see Tier 0 equivalency in Securing Privileged Access Reference Material.

Pour plus d’informations sur le déploiement de la gestion des accès privilégiés (PAM) avec Microsoft Identity Manager (MIM), consultez https://aka.ms/mimpamdeployFor more information on deploying Microsoft Identity Manager (MIM) privileged access management (PAM), see https://aka.ms/mimpamdeploy

Scénarios PAWPAW Scenarios

Cette section contient des conseils sur les scénarios auxquels ce guide de PAW doit être appliqué.This section contains guidance on which scenarios this PAW guidance should be applied to. Dans tous ces scénarios, les administrateurs doivent être formés à utiliser uniquement les PAW pour effectuer le support des systèmes distants.In all scenarios, administrators should be trained to only use PAWs for performing support of remote systems. Pour encourager une utilisation réussie et sécurisée, tous les utilisateurs de PAW doivent également être encouragés à partager leurs commentaires pour améliorer l’expérience PAW, et ces commentaires doivent être examinés attentivement pour l’intégration avec votre programme PAW.To encourage successful and secure usage, all PAW users should be also be encouraged to provide feedback to improve the PAW experience and this feedback should be reviewed carefully for integration with your PAW program.

Dans tous les scénarios, les renforcement supplémentaires lors des phases ultérieures et les différents profils matériels de ce guide peuvent être utilisés pour satisfaire les besoins de facilité d’utilisation et de sécurité des rôles.In all scenarios, additional hardening in later phases and different hardware profiles in this guidance may be used to meet the usability or security requirements of the roles.

Notes

Ce guide différencie explicitement l’accès à des services spécifiques sur Internet (comme les portails d’administration Azure et Office 365) et l’Internet public de tous les hôtes et services.This guidance explicitly differentiates between requiring access to specific services on the internet (such as Azure and Office 365 administrative portals) and the "Open Internet" of all hosts and services.

Pour plus d’informations sur les désignations, consultez la page relative au modèle de niveau.See the Tier model page for more information on the Tier designations.

ScénariosScenarios Utiliser PAW ?Use PAW? Considérations liées aux portées et à la sécuritéScope and Security Considerations
Administrateurs Active Directory - Niveau 0Active Directory Admins - Tier 0 OuiYes Un PAW créé avec le guide de Phase 1 est suffisant pour ce rôle.A PAW built with Phase 1 guidance is sufficient for this role.

- Une forêt d’administration peut être ajoutée pour fournir le meilleur niveau de protection pour ce scénario.- An administrative forest can be added to provide the strongest protection for this scenario. Pour plus d’informations sur la forêt d’administration ESAE, consultez Approche de conception de la forêt d’administration ESAEFor more information on the ESAE administrative forest, see ESAE Administrative Forest Design Approach
- Un PAW permet de gérer plusieurs domaines ou forêts.- A PAW can be used to managed multiple domains or multiple forests.
- Si des contrôleurs de domaine sont hébergés sur une infrastructure en tant que service (IaaS) ou solution de virtualisation locale, vous devez définir des priorités pour l’implémentation des PAW pour les administrateurs de ces solutions.- If Domain Controllers are hosted on an Infrastructure as a Service (IaaS) or on-premises virtualization solution, you should prioritize implementing PAWs for the administrators of those solutions.
Administration des services Azure IaaS et PaaS - Niveau 0 ou 1 (voir Considérations de conception et d’étendue)Admin of Azure IaaS and PaaS services - Tier 0 or Tier 1 (see Scope and Design Considerations) OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

- Les PAW doivent être utilisés au moins pour l’administrateur global et l’administrateur de facturation des abonnements.- PAWs should be used for at least the Global administrator and Subscription Billing administrator. Vous pouvez également utiliser les PAW pour les administrateurs délégués des serveurs critiques ou sensibles.You should also use PAWs for delegated administrators of critical or sensitive servers.
- Les PAW doivent être utilisés pour gérer le système d’exploitation et les applications qui fournissent la synchronisation de répertoire et la fédération d’identité pour des services cloud commeAzure AD Connect et les services de fédération Active Directory (AD FS).- PAWs should be used for managing the operating system and applications that provide Directory Synchronization and Identity Federation for cloud services such as Azure AD Connect and Active Directory Federation Services (ADFS).
- Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services de cloud autorisés à l’aide du guide de la Phase 2.- The outbound network restrictions must allow connectivity only to authorized cloud services using the guidance in Phase 2. Aucun accès Internet ouvert ne doit être autorisé à partir des PAW.No open internet access should be allowed from PAWs.
- Windows Defender Exploit Guard doit être configuré sur la station de travail Remarque : Un abonnement est de niveau 0 pour une forêt si des contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.- Windows Defender Exploit Guard should be configured on the workstation Note: A subscription is considered to be Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans Azure.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
Locataire administrateur d’Office 365Admin Office 365 Tenant
- Niveau 1- Tier 1
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

- Des PAW doivent être utilisés au moins pour l’administrateur de facturation des abonnements, l’administrateur global, l’administrateur d’Exchange, l’administrateur de SharePoint et les rôles d’administration de gestion des utilisateurs.- PAWs should be used for at least the Subscription Billing administrator, Global administrator, Exchange administrator, SharePoint administrator, and User management administrator roles. Vous devez également fortement envisager l’utilisation de PAW pour les administrateurs délégués de données très sensibles ou critiques.You should also strongly consider the use of PAWs for delegated administrators of highly critical or sensitive data.
- Windows Defender Exploit Guard doit être configuré sur la station de travail.- Windows Defender Exploit Guard should be configured on the workstation.
- Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services de Microsoft à l’aide du guide de la Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Aucun accès Internet ouvert ne doit être autorisé à partir des PAW.No open internet access should be allowed from PAWs.
Admin d’un autre service IaaS ou PaaSOther IaaS or PaaS cloud service admin
- Niveau 0 ou 1 (voir Considérations de conception et d’étendue)- Tier 0 or Tier 1 (see Scope and Design Considerations)
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

- Des PAW doivent être utilisés pour n’importe quel rôle qui possède des droits administratifs sur les machines virtuelles hébergées sur cloud, y compris la capacité à installer des agents, l’exportation des fichiers de disque dur ou l’accès au stockage sur lequel sont stockés des disques durs dotés de systèmes d’exploitation, des données sensibles ou des données d’entreprise critiques.- PAWs should be used for any role that has administrative rights over cloud hosted VMs including the ability to install agents, export hard disk files, or access storage where hard drives with operating systems, sensitive data, or business critical data is stored.
- Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services de Microsoft à l’aide du guide de la Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Aucun accès Internet ouvert ne doit être autorisé à partir des PAW.No open internet access should be allowed from PAWs.
- Windows Defender Exploit Guard doit être configuré sur la station de travail.- Windows Defender Exploit Guard should be configured on the workstation. Remarque : Un abonnement est de niveau 0 pour une forêt si des contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.Note: A subscription is Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans Azure.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
Administrateurs de virtualisationVirtualization Administrators
- Niveau 0 ou 1 (voir Considérations de conception et d’étendue)- Tier 0 or Tier 1 (see Scope and Design Considerations)
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

- Des PAW doivent être utilisés pour n’importe quel rôle qui possède des droits administratifs sur les machines virtuelles, y compris la capacité à installer des agents, l’exportation des fichiers de disque dur virtuel ou l’accès au stockage sur lequel sont stockés des disques durs dotés d’informations de systèmes d’exploitation invités, des données sensibles ou des données d’entreprise critiques.- PAWs should be used for any role that has administrative rights over VMs including the ability to install agents, export virtual hard disk files, or access storage where hard drives with guest operating system information, sensitive data, or business critical data is stored. Remarque : Un système de virtualisation et ses administrateurs sont considérés de niveau 0 pour une forêt si des contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.Note: A virtualization system (and its admins) are considered Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans le système de virtualisation.A subscription is Tier 1 if no Tier 0 servers are hosted in the virtualization system.
Administrateurs de maintenance des serveursServer Maintenance Admins
- Niveau 1- Tier 1
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

- Un PAW doit être utilisé pour les administrateurs qui mettent à jour, appliquent des correctifs ou dépannent des serveurs d’entreprise et applications qui exécutent Windows Server, Linux et autres systèmes d’exploitation.- A PAW should be used for administrators that update, patch, and troubleshoot enterprise servers and apps running Windows server, Linux, and other operating systems.
- Des outils de gestion dédiés peuvent avoir à être ajoutés pour que les PAW puissent gérer le déploiement à plus grande échelle de ces administrateurs.- Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
Administrateurs de station de travail utilisateurUser Workstation Admins
- Niveau 2- Tier 2
OuiYes Un PAW créé à l’aide des instructions fournies dans la Phase 2 est suffisant pour les rôles qui ont des droits administratifs sur les appareils de l’utilisateur final (comme les rôles de support technique).A PAW built using guidance provided in Phase 2 is sufficient for roles that have administrative rights on end user devices (such as helpdesk and deskside support roles).

- D’autres applications peuvent avoir à être installées sur les PAW pour permettre la gestion des tickets et autres fonctions de support.- Additional applications may need to be installed on PAWs to enable ticket management and other support functions.
- Windows Defender Exploit Guard doit être configuré sur la station de travail.- Windows Defender Exploit Guard should be configured on the workstation.
Des outils de gestion dédiés peuvent avoir à être ajoutés pour que les PAW puissent gérer le déploiement à plus grande échelle de ces administrateurs.Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
Administrateur de SQL, SharePoint, or métier (LOB)SQL, SharePoint, or line of business (LOB) Admin
- Niveau 1- Tier 1
OuiYes Un PAW créé avec le guide de Phase 2 est suffisant pour ce rôle.A PAW built with Phase 2 guidance is sufficient for this role.

- Des outils de gestion supplémentaires peuvent avoir à être installés sur les PAW pour permettre aux administrateurs de gérer les applications sans avoir à se connecter aux serveurs avec le bureau à distance.- Additional management tools may need to be installed on PAWs to allow administrators to manage applications without needing to connect to servers using Remote Desktop.
Utilisateurs gérant la présence sur les réseaux sociauxUsers Managing Social Media Presence PartiellementPartially Un PAW créé en suivant l’aide fournie dans la Phase 2 peut servir comme point de départ pour assurer la sécurité de ces rôles.A PAW built using the guidance provided in Phase 2 can be used as a starting point to provide security for these role.

- Protégez et gérez les comptes de réseaux sociaux à l’aide d’Azure Active Directory (AAD) pour le partage, la protection et le suivi de l’accès aux comptes des réseaux sociaux.- Protect and manage social media accounts using Azure Active Directory (AAD) for sharing, protecting, and tracking access to social media accounts.
Pour plus d’informations sur cette fonctionnalité, consultez ce billet de blog.For more information on this capability read this blog post.
- Les restrictions du réseau sortant doivent autoriser la connexion à ces services.- The outbound network restrictions must allow connectivity to these services. Cela est possible en autorisant les connexions sur l’Internet public (risque beaucoup plus élevé qui annule de nombreuses assurances des PAW) ou en autorisant uniquement les adresses DNS requises pour le service (ce qui peut être difficile à obtenir).This can be done by allowing open internet connections (much higher security risk that negates many PAW assurances) or by allowing only required DNS addresses for the service (may be challenging to obtain).
Utilisateurs standardStandard Users NonNo Si la procédure de renforcement peut être utilisée pour les utilisateurs standard, les PAW sont conçus pour isoler les comptes d’un accès à l’Internet public, dont la plupart des utilisateurs ont besoin pour accomplir leur travail.While many hardening steps can be used for standard users, PAW is designed to isolate accounts from the open internet access that most users require for job duties.
Borne/VDI invitéeGuest VDI/Kiosk NonNo Si la procédure de renforcement peut être utilisée pour un système de borne pour les invités, l’architecture PAW est conçue pour fournir une sécurité accrue pour les comptes à sensibilité élevée, et non davantage de sécurité pour les comptes à sensibilité moindre.While many hardening steps can be used for a kiosk system for guests, the PAW architecture is designed to provide higher security for high sensitivity accounts, not higher security for lower sensitivity accounts.
Utilisateur VIP (exécutif, chercheur, etc.)VIP User (Executive, Researcher, etc.) PartiellementPartially Un PAW créé en suivant l’aide fournie dans la Phase 2 peut servir comme point de départ pour assurer la sécurité de ces rôles.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles.

- Ce scénario est similaire à celui d’un ordinateur de bureau utilisateur standard, mais a généralement un profil d’application plus petit, plus simple et mieux connu.- This scenario is similar to a standard user desktop, but typically has a smaller, simpler, and well-known application profile. Ce scénario nécessite généralement la découverte et la protection des données, services et applications sensibles (qui peuvent être présents ou non sur les ordinateurs de bureau).This scenario typically requires discovering and protecting sensitive data, services, and applications (which may or may not be installed on the desktops).
- Ces rôles requièrent généralement un haut degré de sécurité et un très haut degré de facilité d’utilisation, ce qui nécessite des modifications de conception pour répondre aux préférences de l’utilisateur.- These roles typically require a high degree of security and very high degree of usability, which require design changes to meet user preferences.
Systèmes de contrôle industriel (systèmes de contrôle et de collecte de données - SCADA, réseaux de contrôle de processus - PCN, et DCS)Industrial control systems (e.g. SCADA, PCN, and DCS) PartiellementPartially Un PAW créé à l’aide des instructions fournies dans la Phase 2 peut être utilisé comme point de départ pour assurer la sécurité pour ces rôles, car la plupart des consoles ICS (y compris des normes communes comme SCADA et PCN) ne nécessitent pas de naviguer sur l’Internet public et de consulter des e-mails.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles as most ICS consoles (including such common standards as SCADA and PCN) don't require browsing the open Internet and checking email.

- Les applications utilisées pour contrôler les machines physiques doivent être intégrées et testées pour assurer leur compatibilité, et protégées de manière appropriée.- Applications used for controlling physical machinery would have to be integrated and tested for compatibility and protected appropriately.
Système d’exploitation embarquéEmbedded Operating System NonNo Si de nombreuses mesures de renforcement de PAW peuvent être utilisées pour les systèmes d’exploitation intégrés, une solution personnalisée doit être développé pour le renforcement de la sécurité dans ce scénario.While many hardening steps from PAW can be used for embedded operating systems, a custom solution would need to be developed for hardening in this scenario.

Notes

Scénarios combinés - Certains membres du personnel peuvent avoir des responsabilités administratives qui couvrent plusieurs scénarios.Combination scenarios some personnel may have administrative responsibilities that span multiple scenarios. Dans de tels cas, le point essentiel à retenir est que les règles de modèle de niveau doivent être respectées à tout moment.In these cases, the key rules to keep in mind are that the Tier model rules must always be followed. Pour plus d’informations, consultez la page relative au modèle de niveau.See the Tier model page for more information.

Notes

Évolution du programme PAW - Lorsque votre programme évolue pour englober plusieurs administrateurs et rôles, vous devez continuer à garantir la conformité aux normes de sécurité et à la facilité d’utilisation.Scaling the PAW Program as your PAW program scales to encompass more admins and roles, you need to continue to ensure that you maintain adherence to the security standards and usability. Cela peut nécessiter la mise à jour de votre structure de support informatique ou la création de nouvelles structures pour répondre à des défis spécifiques à PAW, comme les processus d’intégration de PAW, la gestion des incidents, la gestion de la configuration et la collecte de commentaires pour répondre aux problèmes de facilité d’utilisation.This may require you to update your IT support structures or create new ones to resolve PAW specific challenges such as PAW onboarding process, incident management, configuration management, and gathering feedback to address usability challenges. Un exemple peut être que votre organisation décide d’autoriser des scénarios de travail à domicile pour les administrateurs, ce qui nécessite une transition de PAW de bureau à des PAW sur ordinateur portable, un changement qui peut impliquer des considérations de sécurité supplémentaires.One example may be that your organization decides to enable work-from-home scenarios for administrators, which would necessitate a shift from desktop PAWs to laptop PAWs - a shift which may necessitate additional security considerations. Un autre exemple courant est la création ou mise à jour des formations pour les nouveaux administrateurs, formations qui doivent désormais inclure le contenu sur l’utilisation appropriée des PAW (y compris leur importance est ce qu’ils sont et ne sont pas).Another common example is to create or update training for new administrators - training which must now include content on the appropriate use of a PAW (including why its important and what a PAW is and isn't). Pour plus de considérations à garder à l’esprit lors de l’évolution de votre programme PAW, consultez la Phase 2 des instructions.For more considerations which must be addressed as you scale your PAW program, see Phase 2 of the instructions.

Ce guide contient des instructions détaillées pour la configuration de PAW pour les scénarios ci-dessus.This guidance contains the detailed instructions for the PAW configuration for the scenarios as noted above. Si vous avez des exigences pour d’autres scénarios, vous pouvez adapter les instructions vous-même sur la base de ce guide, ou passer par une entreprise de services professionnels comme Microsoft pour vous aider.If you have requirements for the other scenarios, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Pour plus d’informations sur l’utilisation des services Microsoft pour concevoir un PAW adapté à votre environnement, contactez votre représentant Microsoft ou visitez cette page.For more information on engaging Microsoft services to design a PAW tailored for your environment, contact your Microsoft representative or visit this page.

Mise en œuvre par étape pour les PAWPAW Phased implementation

Étant donné que le PAW doit fournir une source sécurisée et fiable pour l’administration, il est essentiel que le processus de création soit sécurisé et fiable.Because the PAW must provide a secure and trusted source for administration, it's essential that the build process is secure and trusted. Cette section fournit des instructions détaillées qui vous permettent de créer votre propre PAW à l’aide de principes et concepts très similaires à ceux utilisés par Microsoft IT et les organisations de gestion des services et d’ingénierie de Microsoft.This section will provide detailed instructions which will allow you to build your own PAW using general principles and concepts very similar to those used by Microsoft IT and Microsoft cloud engineering and service management organizations.

Les instructions sont divisées en trois phases axées sur la mise en place rapide des atténuations les plus critiques, puis l’augmentation progressive et l’extension de l’utilisation des PAW dans l’entreprise.The instructions are divided into three phases which focus on putting the most critical mitigations in place quickly and then progressively increasing and expanding the usage of PAW for the enterprise.

Il est important de noter que ces phases doivent toujours être effectuées dans l’ordre, même si elles sont planifiées et implémentées dans le cadre du même projet global.It is important to note that the phases should always be performed in order even if they are planned and implemented as part of the same overall project.

Phase 1 : Déploiement immédiat pour les administrateurs d’Active DirectoryPhase 1: Immediate deployment for Active Directory administrators

Fonction : Fournit un PAW rapidement pour protéger les rôles d’administration de forêts et de domaines locaux.Purpose: Provides a PAW quickly that can protect on-premises domain and forest administration roles.

Objectif : Les administrateurs de niveau 0, y compris les administrateurs d’entreprise, les administrateurs de domaine (pour tous les domaines) et les administrateurs d’autres systèmes d’identité faisant autorité.Scope: Tier 0 Administrators including Enterprise Admins, Domain Admins (for all domains), and administrators of other authoritative identity systems.

La phase 1 se concentre sur les administrateurs qui gèrent votre domaine Active Directory local, des rôles critiques fréquemment ciblés par des pirates.Phase 1 focuses on the administrators who manage your on-premises Active Directory domain, which are critically important roles frequently targeted by attackers. Ces systèmes d’identité fonctionneront efficacement pour protéger ces administrateurs, que vos contrôleurs de domaine Active Directory (DC) soient hébergés dans des centres de données locaux, sur l’Infrastructure en tant que Service (IaaS) d’Azure ou sur un autre fournisseur IaaS.These identity systems will work effectively for protecting these admins whether your Active Directory Domain Controllers (DCs) are hosted in on-premises datacenters, on Azure Infrastructure as a Service (IaaS), or another IaaS provider.

Lors de cette phase, vous allez créer la structure d’unité d’organisation administrative sécurisée (UO) Active Directory pour héberger votre station de travail d’accès privilégié (PAW), ainsi que déployer les PAW eux-mêmes.During this phase, you will create the secure administrative Active Directory organizational unit (OU) structure to host your privileged access workstation (PAW), as well as deploy the PAWs themselves. Cette structure comprend également les stratégies de groupe et les groupes requis pour prendre en charge le PAW.This structure also includes the group policies and groups required to support the PAW. Vous allez créer la majeure partie de la structure à l’aide de scripts PowerShell qui sont disponibles dans la Galerie TechNet.You will create most of the structure using PowerShell scripts which are available at TechNet Gallery.

Les scripts créeront les unités d’organisation et les groupes de sécurité suivants :The scripts will create the following OUs and Security Groups:

  • Unités d’organisation (UO)Organizational Units (OU)
    • Six nouvelles UO de niveau supérieur : Administrateur, Groupes, Serveurs de niveau 1, Stations de travail, Comptes d’utilisateur et Mise en quarantaine d’ordinateurs.Six new top-level OUs: Admin; Groups; Tier 1 Servers; Workstations; User Accounts; and Computer Quarantine. Chaque UO de niveau supérieur contient un certain nombre d’UO enfant.Each top-level OU will contain several child OUs.
  • GroupsGroups
    • Six nouveaux groupes globaux de sécurité : Maintenance de réplication de niveau 0, Maintenance de serveur de niveau 1, Opérateurs de Service Desk, Maintenance de station de travail, Utilisateurs de PAW, Maintenance de PAW.Six new security-enabled global groups: Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW Users; PAW Maintenance.

Vous allez également créer plusieurs objets de stratégie de groupe : Configuration PAW – Ordinateur ; Configuration PAW – Utilisateur ; RestrictedAdmin requis –- Ordinateur ; Restrictions sortantes PAW ; Restreindre la connexion à la station de travail ; Restreindre la connexion au serveur.You will also create several group policy objects: PAW Configuration - Computer; PAW Configuration - User; RestrictedAdmin Required - Computer; PAW Outbound Restrictions; Restrict Workstation Logon; Restrict Server Logon.

La phase 1 inclut les étapes suivantes :Phase 1 includes the following steps:

Remplir les conditions requisesComplete the Prerequisites

  1. Assurez-vous que tous les administrateurs utilisent des comptes distincts et individuels pour les activités d’administration et celles d’utilisateur final (y compris la consultation du courrier électronique, la navigation sur Internet, les applications d’entreprise et autres activités non administratives).Ensure that all administrators use separate, individual accounts for administration and end user activities (including email, Internet browsing, line-of-business applications, and other non-administrative activities). L’affectation d’un compte administratif distinct du compte d’utilisateur standard à chaque membre du personnel est essentielle pour le modèle PAW, car seuls certains comptes seront autorisés à se connecter au PAW lui-même.Assigning an administrative account to each authorized personnel separate from their standard user account is fundamental to the PAW model, as only certain accounts will be permitted to log onto the PAW itself.

    Notes

    Chaque administrateur doit utiliser son propre compte pour l’administration.Each administrator should use his or her own account for administration. Ne partagez pas un compte d’administrateur.Do not share an administrative account.

  2. Réduisez le nombre d’administrateurs privilégiés de niveau 0.Minimize the number of Tier 0 privileged administrators. Étant donné que chaque administrateur doit utiliser un PAW, réduire le nombre d’administrateurs réduit également le nombre de PAW requis ainsi que les coûts associés.Because each administrator must use a PAW, reducing the number of administrators reduces the number of PAWs required to support them and the associated costs. Le nombre moindre d’administrateurs entraîne également une exposition réduite à ces privilèges et aux risques associés.The lower count of administrators also results in lower exposure of these privileges and associated risks. S’il est possible pour les administrateurs d’un emplacement de partager un PAW, les administrateurs à des emplacements physiques séparés auront besoin de PAW distincts.While it is possible for administrators in one location to share a PAW, administrators in separate physical locations will require separate PAWs.

  3. Acquérez du matériel auprès d’un fournisseur de confiance qui répond à toutes les exigences techniques.Acquire hardware from a trusted supplier that meets all technical requirements. Microsoft vous recommande l’acquisition du matériel répondant aux exigences techniques de l’article Protéger les informations d’identification de domaine avec la protection des informations d’identification.Microsoft recommends acquiring hardware that meets the technical requirements in the article Protect domain credentials with Credential Guard.

    Notes

    Les PAW installés sur le matériel sans ces fonctionnalités peuvent fournir une protection significative, mais les fonctionnalités de sécurité avancées telles que la protection des informations d’identification et la protection d’appareil ne seront pas disponibles.PAW installed on hardware without these capabilities can provide significant protections, but advanced security features such as Credential Guard and Device Guard will not be available. La protection des informations d’identification et la protection d’appareil ne sont pas requises pour le déploiement de la Phase 1, mais sont vivement recommandées dans le cadre de la Phase 3 (renforcement de sécurité avancé).Credential Guard and Device Guard are not required for Phase 1 deployment, but are strongly recommended as part of Phase 3 (advanced hardening).

    Assurez-vous que le matériel utilisé pour le PAW provient d’un fabricant et d’un fournisseur dont les politiques de sécurité sont approuvées par l’organisation.Ensure that the hardware used for the PAW is sourced from a manufacturer and supplier whose security practices are trusted by the organization. Il s’agit d’une application du principe de source propre pour la sécurité de la chaîne logistique.This is an application of the clean source principle to supply chain security.

    Pour plus d’informations sur l’importance de la sécurité de la chaîne logistique, visitez ce site.For more background on the importance of supply chain security, visit this site.

  4. Acquérez et validez Windows 10 Édition Entreprise et le logiciel d’application requis.Acquire and validate the required Windows 10 Enterprise Edition and application software. Obtenez les logiciels requis pour le PAW et validez-les à l’aide du guide dans Source propre pour le support d’installation.Obtain the software required for PAW and validate it using the guidance in Clean Source for installation media.

    • Windows 10 Édition EntrepriseWindows 10 Enterprise Edition

    • Outils d’administration de serveur distant pour Windows 10Remote Server Administration Tools for Windows 10

    • Bases de référence de sécurité pour Windows 10Windows 10 Security Baselines

      Notes

      Microsoft publie les hachages MD5 pour tous les systèmes d’exploitation et applications sur MSDN, mais tous les éditeurs de logiciels ne proposent pas une documentation similaire.Microsoft publishes MD5 hashes for all operating systems and applications on MSDN, but not all software vendors provide similar documentation. Dans ce cas, d’autres stratégies seront nécessaires.In those cases, other strategies will be required. Pour plus d’informations sur la validation des logiciels, reportez-vous à Source propre pour le support d’installation.For additional information on validating software, please refer to Clean Source for installation media.

  5. Assurez-vous que le serveur WSUS est disponible sur l’intranet.Ensure you have WSUS server available on the intranet. Vous aurez besoin d’un serveur WSUS sur l’intranet pour télécharger et installer les mises à jour pour PAW.You will need a WSUS server on the intranet to download and install updates for PAW. Ce serveur WSUS doit être configuré pour approuver automatiquement toutes les mises à jour de sécurité pour Windows 10, ou un membre du personnel administratif doit avoir des la responsabilité d’approuver rapidement les mises à jour logicielles.This WSUS server should be configured to automatically approve all security updates for Windows 10 or an administrative personnel should have responsibility and accountability to rapidly approve software updates.

    Notes

    Pour plus d’informations, consultez la section « Approuver automatiquement les mises à jour pour l’installation » dans le guide Approbation des mises à jour.For more information, see the "Automatically Approve Updates for Installation" section in the Approving Updates guidance.

Déployer l’infrastructure d’unité d’organisation Admin pour héberger les PAWDeploy the Admin OU Framework to host the PAWs

  1. Télécharger la bibliothèque de scripts PAW depuis la Galerie TechNetDownload the PAW script library from TechNet Gallery

    Notes

    Téléchargez tous les fichiers et enregistrez-les dans le même répertoire, puis exécutez-les dans l’ordre indiqué ci-dessous.Download all the files and save them to the same directory, and run them in the order specified below. Create-PAWGroups repose sur la structure d’unité d’organisation créée par Create-PAWOUs, et Set-PAWOUDelegation repose sur les groupes créés par Create-PAWGroups.Create-PAWGroups depends on the OU structure created by Create-PAWOUs, and Set-PAWOUDelegation depends on the groups created by Create-PAWGroups. Ne modifiez pas les scripts ou le fichier à valeurs séparées par des virgules (CSV).Do not modify any of the scripts or the comma-separated value (CSV) file.

  2. Exécutez le script de Create-PAWOUs.ps1.Run the Create-PAWOUs.ps1 script. Ce script crée la nouvelle structure d’unité d’organisation (UO) dans Active Directory et bloque l’héritage de stratégie de groupe sur les nouvelles unités d’organisation comme il convient.This script will create the new organizational unit (OU) structure in Active Directory, and block GPO inheritance on the new OUs as appropriate.

  3. Exécutez le script Create-PAWGroups.ps1.Run the Create-PAWGroups.ps1 script. Ce script créera de nouveaux groupes de sécurité globaux dans les unités d’organisation appropriées.This script will create the new global security groups in the appropriate OUs.

    Notes

    Bien que ce script crée les groupes de sécurité, il ne les remplit pas.While this script will create the new security groups, it will not populate them automatically.

  4. Exécutez le script Set-PAWOUDelegation.ps1.Run the Set-PAWOUDelegation.ps1 script. Ce script affecte les autorisations aux nouvelles unités d’organisation pour les groupes appropriés.This script will assign permissions to the new OUs to the appropriate groups.

Déplacez les comptes de niveau 0 vers l’UO Admin\Tier 0\AccountsMove Tier 0 accounts to the Admin\Tier 0\Accounts OU

Déplacez chaque compte qui est membre de l’administrateur de domaine, de l’administrateur d’entreprise, ou des groupes équivalents de niveau 0 (y compris l’appartenance imbriquée) à cette unité d’organisation.Move each account that is a member of the Domain Admin, Enterprise Admin, or Tier 0 equivalent groups (including nested membership) to this OU. Si votre organisation possède vos propres groupes ajoutés à ces groupes, vous devez les déplacer vers l’UO Admin\Tier 0\Groups.If your organization has your own groups that are added to these groups, you should move these to the Admin\Tier 0\Groups OU.

Notes

Pour plus informations sur les groupes qui sont de niveau 0, consultez « Équivalence de niveau 0 » dans le Matériel de référence sur la sécurisation de l’accès privilégié.For more information on which groups are Tier 0, see "Tier 0 Equivalency" in Securing Privileged Access Reference Material.

Ajoutez les membres appropriés aux groupes pertinentsAdd the appropriate members to the relevant groups

  1. Utilisateurs PAW - Ajoutez les administrateurs de niveau 0 avec les groupes d’administration de domaine ou d’entreprise que vous avez identifiés à l’étape 1 de la Phase 1.PAW Users - Add the Tier 0 administrators with Domain or Enterprise Admin groups that you identified in Step 1 of Phase 1.

  2. Maintenance de PAW - Ajoutez au moins un compte qui sera utilisé pour la maintenance de PAW et le dépannage des tâches.PAW Maintenance - Add at least one account that will be used for PAW maintenance and troubleshooting tasks. Les comptes de maintenance de PAW seront rarement utilisés.The PAW Maintenance Account(s) will be used only rarely.

    Notes

    N’ajoutez pas le même compte d’utilisateur ou groupe à la fois à Utilisateurs de PAW et Maintenance de PAW.Do not add the same user account or group to both PAW Users and PAW Maintenance. Le modèle de sécurité PAW repose en partie sur l’hypothèse que le compte d’utilisateur PAW a des droits privilégiés sur les systèmes gérés ou sur le PAW lui-même, mais pas les deux.The PAW security model is based partly on the assumption that the PAW user account has privileged rights on managed systems or over the PAW itself, but not both.

    • Cela est important pour la mise en place de bonnes pratiques administratives et habitudes en Phase 1.This is important for building good administrative practices and habits in Phase 1.
    • Cela est extrêmement important pour la Phase 2 et au-delà, afin d’éviter le parcours ascendant des privilèges via le PAW, car les PAW servent à couvrir les niveaux.This is critically important for Phase 2 and beyond to prevent escalation of privilege through PAW as PAWs being to span Tiers.

    Dans l’idéal, aucun membre du personnel n’est affecté à plusieurs niveaux pour appliquer le principe de répartition des responsabilités, mais Microsoft est conscient que de nombreuses organisations peuvent avoir un personnel limité (ou avoir d’autres besoins dans l’organisation), ce qui ne permet pas d’atteindre cette séparation complète.Ideally, no personnel are assigned to duties at multiple tiers to enforce the principle of segregation of duties, but Microsoft recognizes that many organizations may have limited staff (or other organizational requirements) that don't allow for this full segregation. Dans ce cas, le même personnel peut être affecté à ces deux rôles, mais il ne doit pas utiliser le même compte pour ces fonctions.In these cases, the same personnel may be assigned to both roles, but should not use the same account for these functions.

Créer un objet de stratégie de groupe (GPO) « Configuration PAW – Ordinateur »Create "PAW Configuration - Computer" group policy object (GPO)

Dans cette section, vous allez créer un nouvel objet de stratégie de groupe « Configuration PAW – Ordinateur » qui fournit des protections spécifiques pour ces PAW et les relie à l’UO Appareils de niveau 0 (« Appareils sous Tier 0\Admin).In this section, you will create a new "PAW Configuration - Computer" GPO which provide specific protections for these PAWs and link it to the Tier 0 Devices OU ("Devices" under Tier 0\Admin).

Notes

N’ajoutez pas ces paramètres à la stratégie de domaine par défaut.Do not add these settings to the Default Domain Policy. Cela affecterait potentiellement les opérations sur l’ensemble de votre environnement Active Directory.Doing so will potentially impact operations on your entire Active Directory environment. Configurez uniquement ces paramètres dans l’objet de stratégie de groupe nouvellement créé décrit ici, et appliquez-les uniquement à l’unité d’organisation du PAW.Only configure these settings in the newly-created GPOs described here, and only apply them to the PAW OU.

  1. Accès de maintenance du PAW - Ce paramètre va définir l’appartenance de groupes privilégiés spécifiques des PAW sur un ensemble spécifique d’utilisateurs.PAW Maintenance Access - this setting will set the membership of specific privileged groups on the PAWs to a specific set of users. Accédez à Configuration de l’ordinateur\Préférences\Paramètres du panneau de configuration\Utilisateurs et Groupes, et suivez les étapes ci-dessous :Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

    1. Cliquez sur Nouveau et cliquez sur Groupe localClick New and click Local Group

    2. Sélectionnez l’action Mise à jour, puis « Administrateurs (intégré) » (n’utilisez pas le bouton Parcourir pour sélectionner le groupe de domaine Administrateurs).Select the Update action, and select "Administrators (built-in)" (do not use the Browse button to select the domain group Administrators).

    3. Cochez les cases Supprimer tous les utilisateurs membres et Supprimer tous les groupes de membresSelect the Delete all member users and Delete all member groups check boxes

    4. Ajoutez Maintenance de PAW (pawmaint) et Administrateur (là encore, n’utilisez pas le bouton Parcourir pour sélectionner Administrateur).Add PAW Maintenance (pawmaint) and Administrator (again, do not use the Browse button to select Administrator).

      Notes

      N’ajoutez pas le groupe d’utilisateurs PAW à la liste des membres du groupe Administrateurs local.Do not add the PAW Users group to the membership list for the local Administrators group. Pour vous assurer que les utilisateurs PAW ne peuvent pas accidentellement ou intentionnellement modifier les paramètres de sécurité du PAW eux-mêmes, ils ne doivent pas être membres du groupe Administrateurs local.To ensure that PAW Users cannot accidentally or deliberately modify the security settings of the PAW itself, they should not be members of the local Administrators groups.

      Pour plus d’informations sur l’utilisation des préférences de stratégie de groupe pour modifier l’appartenance à un groupe, reportez-vous à l’article TechNet Configurer un élément groupe Local.For more information on using Group Policy Preferences to modify group membership, please refer to the TechNet article Configure a Local Group Item.

  2. Limiter l’appartenance au groupe local - ce paramètre garantit que l’appartenance aux groupes d’administrateurs locaux sur la station de travail est toujours videRestrict Local Group Membership - this setting will ensure that the membership of local admin groups on the workstation is always empty

    1. Accédez à Configuration de l’ordinateur\Préférences\Paramètres du panneau de configuration\Utilisateurs et Groupes, et suivez les étapes ci-dessous :Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

      1. Cliquez sur Nouveau et cliquez sur Groupe localClick New and click Local Group
      2. Sélectionnez l’action Mise à jour, puis « Opérateurs de sauvegarde (intégré) » (n’utilisez pas le bouton Parcourir pour sélectionner le groupe de domaine Opérateurs de sauvegarde).Select the Update action, and select "Backup Operators (built-in)" (do not use the Browse button to select the domain group Backup Operators).
      3. Cochez les cases Supprimer tous les utilisateurs membres et Supprimer tous les groupes de membres.Select the Delete all member users and Delete all member groups check boxes.
      4. N'ajoutez pas de membres au groupe.Do not add any members to the group. Cliquez simplement sur OK.Simply click OK. En affectant une liste vide, la stratégie de groupe supprimera automatiquement tous les membres et garantira une liste de membres vide chaque fois qu’une stratégie de groupe est actualisée.By assigning an empty list, group policy will automatically remove all members and ensure a blank membership list each time group policy is refreshed.
    2. Suivez les étapes ci-dessus pour les groupes supplémentaires suivants :Complete the above steps for the following additional groups:

      • Opérateurs de chiffrementCryptographic Operators
      • Administrateurs Hyper-VHyper-V Administrators
      • Opérateurs de configuration réseauNetwork Configuration Operators
      • Utilisateurs avec pouvoirPower Users
      • Utilisateurs du Bureau à distanceRemote Desktop Users
      • DuplicateursReplicators
    3. Restrictions de connexion PAW : ce paramètre limite les comptes qui peuvent se connecter au PAW.PAW Logon Restrictions - this setting will limit the accounts which can log onto the PAW. Suivez les étapes ci-dessous pour configurer ce paramètre :Follow the steps below to configure this setting:

      1. Allez dans Configuration\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Autoriser la connexion locale.Go to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally.
      2. Sélectionnez Définir ces paramètres de stratégie et ajoutez « Utilisateurs PAW » et Administrateurs (n’oubliez pas de ne pas utiliser le bouton Parcourir pour sélectionner Administrateurs).Select Define these policy settings and add "PAW Users" and Administrators (again, do not use the Browse button to select Administrators).
    4. Bloquer le trafic réseau entrant - Ce paramètre garantit qu’aucun trafic réseau entrant non sollicité n’est autorisé sur le PAW.Block Inbound Network Traffic - This setting will ensure that no unsolicited inbound network traffic is allowed to the PAW. Suivez les étapes ci-dessous pour configurer ce paramètre :Follow the steps below to configure this setting:

      1. Allez dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\pare-feu Windows avec Advanced sécurité\Pare-feu Windows avec fonctions avancées de sécurité et suivez les étapes ci-dessous :Go to Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security and follow the steps below:
        1. Cliquez avec le bouton droit sur Pare-feu Windows avec paramètres de sécurité avancés, puis sélectionnez Importer la stratégie.Right click on Windows Firewall with Advanced Security and select Import policy.

        2. Cliquez sur Oui pour accepter que cette opération remplace les stratégies de pare-feu existantes.Click Yes to accept that this will overwrite any existing firewall policies.

        3. Accédez à PAWFirewall.wfw et sélectionnez Ouvrir.Browse to PAWFirewall.wfw and select Open.

        4. Cliquez sur OK.Click OK.

          Notes

          Vous pouvez ajouter des adresses ou sous-réseaux qui doivent atteindre le PAW avec le trafic non sollicité à ce stade (par ex. logiciels de gestion ou d’analyse de sécurité.You may add addresses or subnets which must reach the PAW with unsolicited traffic at this point (e.g. security scanning or management software. Les paramètres dans le fichier WFW activent le pare-feu en mode « Bloc – Par défaut » pour tous les profils de pare-feu, désactivent la fusion de règles et activent la journalisation des paquets ignorés et transmis correctement.The settings in the WFW file will enable the firewall in "Block - Default" mode for all firewall profiles, turn off rule merging and enable logging of both dropped and successful packets. Ces paramètres bloquent le trafic non sollicité tout en autorisant la communication bidirectionnelle sur les connexions établies à partir du PAW, empêchent les utilisateurs disposant d’un accès local de créer des règles de pare-feu locales qui remplaceraient les paramètres de stratégie de groupe, et assurent que le trafic vers et depuis le PAW est enregistré.These settings will block unsolicited traffic while still allowing bidirectional communication on connections initiated from the PAW, prevent users with local administrative access from creating local firewall rules that would override the GPO settings and ensure that traffic in and out of the PAW is logged. Ouvrir ce pare-feu pour agrandira la surface d’attaque pour le PAW et augmentera les risques de sécurité. Avant d’ajouter des adresses, consultez la section Gestion et exploitation de PAW dans ce guide.Opening up this firewall will expand the attack surface for the PAW and increase security risk. Before adding any addresses, consult the Managing and Operating PAW section in this guidance.

    5. Configurer Windows Update pour WSUS - Suivez les étapes ci-dessous pour modifier les paramètres de configuration de Windows Update pour les PAW :Configure Windows Update for WSUS - follow the steps below to change the settings to configure Windows Update for the PAWs:

      1. Accédez à Configuration ordinateur\Stratégies\Modèles administratifs\Composants Windows\Mises à jour de Windows, et suivez les étapes ci-dessous :Go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Updates and follow the steps below:
        1. Activez la stratégie Configuration du service Mises à jour automatiques.Enable the Configure Automatic Updates policy.
        2. Sélectionnez l’option 4 - Téléchargement automatique et planification des installations.Select option 4 - Auto download and schedule the install.
        3. Modifiez l’option Jour de l’installation planifiée sur 0 - Tous les jours et l’option Heure de l’installation planifiée selon les préférences de votre organisation.Change the option Scheduled install day to 0 - Every Day and the option Scheduled install time to your organizational preference.
        4. Activez la stratégie Définir l’emplacement du service de mise à jour de Microsoft sur l’intranet, et indiquez dans les deux options l’URL du serveur WSUS d’ESAE.Enable option Specify intranet Microsoft update service location policy, and specify in both options the URL of the ESAE WSUS server.
    6. Liez l’objet de stratégie de groupe « Configuration PAW - Ordinateur » comme suit :Link the "PAW Configuration - Computer" GPO as follows:

      StratégiePolicy Emplacement du lieuLink Location
      Configuration PAW - OrdinateurPAW Configuration - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices

Créer un objet de stratégie de groupe (GPO) « Configuration PAW – Utilisateur »Create "PAW Configuration - User" group policy object (GPO)

Dans cette section, vous allez créer un nouvel objet de stratégie de groupe « Configuration PAW – Utilisateur » qui fournit des protections spécifiques pour ces PAW et les relie à l’UO Appareils de niveau 0 (« Appareils » sous Tier 0\Admin).In this section, you will create a new "PAW Configuration - User" GPO which provide specific protections for these PAWs and link to the Tier 0 Accounts OU ("Accounts" under Tier 0\Admin).

Notes

N’ajoutez pas ces paramètres à la stratégie de domaine par défautDo not add these settings to the Default Domain Policy

  1. Bloquer la navigation Internet - Pour empêcher la navigation sur Internet par inadvertance, cette option définit une adresse de proxy d’une adresse de bouclage (127.0.0.1).Block internet browsing - To deter inadvertent internet browsing, this will set a proxy address of a loopback address (127.0.0.1).
    1. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre.Go to User Configuration\Preferences\Windows Settings\Registry. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel > élément de Registre et configurez les paramètres suivants :Right-click Registry, select New > Registry Item and configure the following settings:

      1. Action : RemplacerAction: Replace

      2. Ruche : HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

      3. Chemin d’accès de la clé : Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

      4. Nom de la valeur : ProxyEnableValue name: ProxyEnable

        Notes

        Ne cochez pas la case Par défaut à gauche du nom de la valeur.Do not select the Default box to the left of Value name.

      5. Type de valeur : REG_DWORDValue type: REG_DWORD

      6. Données de la valeur : 1Value data: 1

        1. Cliquez sur l’onglet Commun et sélectionnez Supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.
        2. Dans l’onglet Commun, sélectionnez Ciblage du niveau d’élément et cliquez sur Ciblage.On the Common tab select Item level targeting and click Targeting.
        3. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select Security group.
        4. Sélectionnez le bouton «... » et recherchez le groupe Utilisateurs de PAW.Select the "..." button and browse for the PAW Users group.
        5. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select Security group.
        6. Sélectionnez le bouton «... » et recherchez le groupe Administrateurs des services cloud.Select the "..." button and browse for the Cloud Services Admins group.
        7. Cliquez sur l’élément Administrateurs de services cloud, puis cliquez sur Options de l’élément.Click on the Cloud Services Admins item and click Item Options.
        8. Sélectionnez N’est pas.Select Is not.
        9. Cliquez sur OK dans la fenêtre de ciblage.Click OK on the targeting window.
      7. Cliquez sur OK pour terminer la configuration de la stratégie du groupe ProxyServerClick OK to complete the ProxyServer group policy setting

    2. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre.Go to User Configuration\Preferences\Windows Settings\Registry. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel > élément de Registre et configurez les paramètres suivants :Right-click Registry, select New > Registry Item and configure the following settings:

      • Action : RemplacerAction: Replace
      • Ruche : HKEY_CURRENT_USERHive: HKEY_CURRENT_USER
      • Chemin d’accès de la clé : Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings
        • Nom de la valeur : ProxyServerValue name: ProxyServer

          Notes

          Ne cochez pas la case Par défaut à gauche du nom de la valeur.Do not select the Default box to the left of Value name.

        • Type de valeur : REG_SZValue type: REG_SZ

        • Données de la valeur : 127.0.0.1:80Value data: 127.0.0.1:80

          1. Cliquez sur l’onglet Commun et sélectionnez Supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.
          2. Dans l’onglet Commun, sélectionnez Ciblage du niveau d’élément et cliquez sur Ciblage.On the Common tab select Item level targeting and click Targeting.
          3. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select security group.
          4. Sélectionnez le bouton «... » et ajoutez le groupe Utilisateurs de PAW.Select the "..." button and add the PAW Users group.
          5. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select security group.
          6. Sélectionnez le bouton «... » et recherchez le groupe Administrateurs des services cloud.Select the "..." button and browse for the Cloud Services Admins group.
          7. Cliquez sur l’élément Administrateurs de services cloud, puis cliquez sur Options de l’élément.Click on the Cloud Services Admins item and click Item Options.
          8. Sélectionnez N’est pas.Select Is not.
          9. Cliquez sur OK dans la fenêtre de ciblage.Click OK on the targeting window.
    3. Cliquez sur OK pour terminer la configuration de la stratégie du groupe ProxyServer.Click OK to complete the ProxyServer group policy setting,

  2. Accédez à Configuration Utilisateur\Stratégies\Modèles d’administration\Composants Windows\Internet Explorer, et activez les options ci-dessous.Go to User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer, and enable the options below. Ces paramètres empêchent les administrateurs de remplacer manuellement les paramètres de proxy.These settings will prevent the administrators from manually overriding the proxy settings.
    1. Activez les paramètres Désactiver la modification des paramètres de la configuration automatique.Enable the Disable changing Automatic Configuration settings.
    2. Activez Empêcher la modification des paramètres de proxy.Enable the Prevent changing proxy settings.

Empêcher les administrateurs de se connecter à des hôtes de niveau inférieurRestrict Administrators from logging onto lower tier hosts

Dans cette section, nous allons configurer des stratégies de groupe pour empêcher les comptes administratifs privilégiés d’accéder à des hôtes de niveau inférieur.In this section, we will configure group policies to prevent privileged administrative accounts from logging onto lower tier hosts.

  1. Créez le nouvel objet de stratégie de groupe Restriction de connexion à la station de travail - Ce paramètre empêchera les comptes administratifs de niveau 0 et 1 de se connecter à des stations de travail standard.Create the new Restrict Workstation Logon GPO - this setting will restrict Tier 0 and Tier 1 administrator accounts from logging onto standard workstations. Cet objet de stratégie de groupe doit être relié à l’UO « Stations de travail » de niveau supérieur et avoir les paramètres suivants :This GPO should be linked to the "Workstations" top-level OU and have the following settings:

    • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser connexion en tant que traitement par lots, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 et 1 :In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 and Tier 1 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      BUILTIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Notes

      Groupes de niveau 0 intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Notes

      N’importe quel groupe personnalisé créé avec un accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      Tier 1 Admins
      

      Notes

      Ce groupe a déjà été créé lors de la Phase 1.This Group was created earlier in Phase 1.

    • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser connexion en tant que service, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 et 1 :In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 and Tier 1 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      BUILTIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Notes

      Remarque: Groupes de niveau 0 intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Notes

      Remarque: N’importe quel groupe personnalisé créé avec un accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      Tier 1 Admins
      

      Notes

      Remarque: Ce groupe a déjà été créé lors de la phase 1.Note: This Group was created earlier in Phase 1

  2. Créez le nouvel objet de stratégie de groupe Restriction de connexion au serveur – Ce paramètre empêchera les comptes administratifs de niveau 0 de se connecter à des serveurs de niveau 1.Create the new Restrict Server Logon GPO - this setting will restrict Tier 0 administrator accounts from logging onto Tier 1 servers. Cet objet de stratégie de groupe doit être relié à l’UO « Serveurs de niveau 1 » de niveau supérieur et avoir les paramètres suivants :This GPO should be linked to the "Tier 1 Servers" top-level OU and have the following settings:

    • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser connexion en tant que traitement par lots, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      BUILTIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Notes

      Groupes de niveau 0 intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Notes

      N’importe quel groupe personnalisé créé avec un accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

    • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser connexion en tant que service, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      BUILTIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Notes

      Groupes de niveau 0 intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Notes

      N’importe quel groupe personnalisé créé avec un accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

    • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser la connexion locale, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally, select Define these policy settings and add the Tier 0 groups:

      Enterprise Admins
      Domain Admins
      Schema Admins
      BUILTIN\Administrators
      Account Operators
      Backup Operators
      Print Operators
      Server Operators
      Domain Controllers
      Read-Only Domain Controllers
      Group Policy Creators Owners
      Cryptographic Operators
      

      Notes

      Remarque: Groupes de niveau 0 intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

      Other Delegated Groups
      

      Notes

      Remarque: N’importe quel groupe personnalisé créé avec un accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

Déploiement de vos PAWDeploy your PAW(s)

Notes

Assurez-vous que le PAW est déconnecté du réseau pendant le processus de création du système d’exploitation.Ensure that the PAW is disconnected from the network during the operating system build process.

  1. Installez Windows 10 avec le support d’installation à source propre que vous avez obtenu précédemment.Install Windows 10 using the clean source installation media that you obtained earlier.

    Notes

    Vous pouvez utiliser Microsoft Deployment Toolkit (MDT) ou un autre système de déploiement automatisé d’images pour automatiser le déploiement du PAW, mais vous devez vérifier que le processus de génération est au moins aussi fiable que le PAW.You may use Microsoft Deployment Toolkit (MDT) or another automated image deployment system to automate PAW deployment, but you must ensure the build process is as trustworthy as the PAW. Les pirates cherchent spécifiquement des images d’entreprise et systèmes de déploiement (y compris les fichiers ISO, les packages de déploiement, etc.) comme mécanisme de persistance, les images ou systèmes de déploiement existants ne doivent donc pas être utilisés.Adversaries specifically seek out corporate images and deployment systems (including ISOs, deployment packages, etc.) as a persistence mechanism so preexisting deployment systems or images should not be used.

    Si vous automatisez le déploiement du PAW, vous devez :If you automate deployment of the PAW, you must:

    • Créer le système à l’aide du support d’installation validé en utilisant les instructions de Source propre pour support d’installation.Build the system using installation media validated using the guidance in Clean Source for installation media.
    • Assurez-vous que le système de déploiement automatisé est déconnecté du réseau pendant le processus de création du système d’exploitation.Ensure that the automated deployment system is disconnected from the network during the operating system build process.
  2. Définissez un mot de passe complexe pour le compte administrateur local.Set a unique complex password for the local Administrator account. N’utilisez pas un mot de passe qui a été utilisé pour un autre compte dans l’environnement.Do not use a password that has been used for any other account in the environment.

    Notes

    Microsoft recommande d’utiliser Local Administrator Password Solution (LAPS) pour gérer le mot de passe administrateur local pour toutes les stations de travail, y compris les PAW.Microsoft recommends using Local Administrator Password Solution (LAPS) to manage the local Administrator password for all workstations, including PAWs. Si vous utilisez LAPS, veillez à n’accorder qu’au groupe Maintenance de PAW le droit de lire les mots de passe gérés par LAPS pour les PAW.If you use LAPS, ensure that you only grant the PAW Maintenance group the right to read LAPS-managed passwords for the PAWs.

  3. Installez les outils d'administration de serveur distant pour Windows 10 à l’aide du support d’installation à source propre.Install Remote Server Administration Tools for Windows 10 using the clean source installation media.

  4. Configurer Windows Defender Exploit GuardConfigure Windows Defender Exploit Guard

    Notes

    Instructions de configuration à suivreConfiguration guidance to follow

  5. Connectez le PAW au réseau.Connect the PAW to the network. Assurez-vous que le PAW peut se connecter à au moins un contrôleur de domaine (DC).Ensure that the PAW can connect to at least one Domain Controller (DC).

  6. En utilisant un compte membre du groupe Maintenance de PAW, exécutez la commande PowerShell suivante à partir du PAW nouvellement créé pour le joindre au domaine dans l’unité d’organisation appropriée :Using an account that is a member of the PAW Maintenance group, run the following PowerShell command from the newly-created PAW to join it to the domain in the appropriate OU:

    Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

    Remplacez les références à Fabrikam avec votre nom de domaine, comme nécessaire.Replace the references to Fabrikam with your domain name, as appropriate. Si votre nom de domaine s’étend à plusieurs niveaux (par exemple, child.fabrikam.com), ajoutez les noms supplémentaires avec l’identificateur « DC = » dans l’ordre dans lequel ils apparaissent dans le nom de domaine complet.If your domain name extends to multiple levels (e.g. child.fabrikam.com), add the additional names with the "DC=" identifier in the order in which they appear in the domain's fully-qualified domain name.

    Notes

    Si vous avez déployé une Forêt d’administration ESAE (pour les administrateurs de niveau 0 de la Phase 1) ou un PAM Microsoft Identity Manager (MIM) (pour les administrateurs de niveau 1 et 2 dans la Phase 2), vous joignez le PAW au domaine dans cet environnement au lieu du domaine de production.If you have deployed an ESAE Administrative Forest (for Tier 0 admins in Phase 1) or a Microsoft Identity Manager (MIM) privileged access management (PAM) (for Tier 1 and 2 admins in Phase 2), you would join the PAW to the domain in that environment here instead of the production domain.

  7. Appliquez toutes les mises à jour Windows critiques et importantes avant d’installer tout autre logiciel (y compris les outils d’administration, les agents, etc.).Apply all critical and important Windows Updates before installing any other software (including administrative tools, agents, etc.).

  8. Forcez l’application de la stratégie de groupe.Force the Group Policy application.

    1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante : Gpupdate /force /syncOpen an elevated command prompt and enter the following command: Gpupdate /force /sync
    2. Redémarrer l'ordinateurRestart the computer
  9. (Facultatif) Installez les autres outils requis pour les administrateurs d’Active Directory.(Optional) Install additional required tools for Active Directory Admins. Installez les autres outils ou scripts requis pour effectuer des tâches.Install any other tools or scripts required to perform job duties. Veillez à évaluer le risque d’exposition des informations d’identification sur les ordinateurs cibles avec tout outil avant de l’ajouter à un PAW.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Accédez à cette page pour obtenir plus d’informations sur l’évaluation des outils d’administration et des méthodes de connexion pour le risque d’exposition des informations d’identification.Access this page to obtain more information on evaluating administrative tools and connection methods for credential exposure risk. Veillez à obtenir tous les supports d’installation en utilisant les instructions de Source propre pour support d’installation.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

    Notes

    L’utilisation d’un serveur de renvoi pour un emplacement central avec ces outils permet de réduire la complexité, même si cela ne constitue pas une barrière de sécurité.Using a jump server for a central location for these tools can reduce complexity, even if it doesn't serve as a security boundary.

  10. (Facultatif) Téléchargez et installez le logiciel d’accès distant requis.(Optional) Download and install required remote access software. Si les administrateurs utiliseront le PAW à distance pour l’administration, installez le logiciel d’accès à distance à l’aide du guide de sécurité de votre fournisseur de solutions d’accès à distance.If administrators will be using the PAW remotely for administration, install the remote access software using security guidance from your remote access solution vendor. Veillez à obtenir tous les supports d’installation en utilisant les instructions de Source propre pour support d’installation.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

    Notes

    Étudiez attentivement tous les risques liés à l’autorisation d’accès à distance via un PAW.Carefully consider all the risks involved in allowing remote access via a PAW. Si un PAW mobile permet de suivre plusieurs scénarios importants, dont le travail à domicile, le logiciel d’accès à distance peut être vulnérable aux attaques et compromettre un PAW.While a mobile PAW enables many important scenarios, including work from home, remote access software can potentially be vulnerable to attack and used to compromise a PAW.

  11. Validez l’intégrité du système PAW en examinant et en confirmant que tous les paramètres appropriés sont en place à l’aide de la procédure ci-dessous :Validate the integrity of the PAW system by reviewing and confirming that all appropriate settings are in place using the steps below:

    1. Confirmez que seules les stratégies de groupe propres au PAW sont appliquées au PAWConfirm that only the PAW-specific group policies are applied to the PAW
      1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante : Gpresult /scope computer /rOpen an elevated command prompt and enter the following command: Gpresult /scope computer /r
      2. Examinez la liste résultante et vérifiez que les seules stratégies de groupe qui s’affichent sont celles que vous avez créées précédemment.Review the resulting list and ensure that the only group policies that appear are the ones you created above.
    2. Vérifiez qu’aucun compte d’utilisateur supplémentaire n’est membres des groupes privilégiés sur le PAW à l’aide de la procédure ci-dessous :Confirm that no additional user accounts are members of privileged groups on the PAW using the steps below:
      1. Ouvrez Modifier les utilisateurs et groupes locaux (lusrmgr.msc), sélectionnez Groupes, et vérifiez que seuls les membres du groupe Administrateurs local sont le compte Administrateur local et le groupe de sécurité global Maintenance des PAW.Open Edit Local Users and Groups (lusrmgr.msc), select Groups, and confirm that the only members of the local Administrators group are the local Administrator account and the PAW Maintenance global security group.

        Notes

        Le groupe d’utilisateurs PAW ne doit pas être membre du groupe Administrateurs local.The PAW Users group should not be a member of the local Administrators group. Les seuls membres doivent être le compte Administrateur local et le groupe de sécurité global Maintenance de PAW (et les utilisateurs PAW ne doivent pas membres de ce groupe global non plus).The only members should be the local Administrator account and the PAW Maintenance global security group (and PAW Users should not be a member of that global group either).

      2. De plus, utiliser Modifier les utilisateurs et groupes locaux garantit que les groupes suivants n’ont aucun membre : Opérateurs de sauvegarde, Opérateurs de chiffrement, Administrateurs Hyper-V, Opérateurs de configuration réseau, Utilisateurs avancés, Utilisateurs du Bureau à distance Microsoft, RéplicateursAlso using Edit Local Users and Groups, ensure that the following groups have no members: Backup Operators Cryptographic Operators Hyper-V Administrators Network Configuration Operators Power Users Remote Desktop Users Replicators

  12. (Facultatif) Si votre organisation utilise une solution de gestion des informations et événements de sécurité (SIEM), vérifiez que le PAW est configuré pour transférer les événements sur le système à l’aide de Windows Event Forwarding (WEF) ou enregistré d’une autre façon avec la solution afin que la solution SIEM reçoive activement les événements et les informations du PAW.(Optional) If your organization uses a security information and event management (SIEM) solution, ensure that the PAW is configured to forward events to the system using Windows Event Forwarding (WEF) or is otherwise registered with the solution so that the SIEM is actively receiving events and information from the PAW. Les détails de cette opération varient en fonction de votre solution SIEM.The details of this operation will vary based on your SIEM solution.

    Notes

    Si votre solution SIEM nécessite un agent qui s’exécute en tant que système ou compte d’administration local sur les PAW, assurez-vous que les solutions SIEM sont gérées avec le même niveau de confiance que vos contrôleurs de domaine et systèmes d’identité.If your SIEM requires an agent which runs as system or a local administrative account on the PAWs, ensure that the SIEMs are managed with the same level of trust as your domain controllers and identity systems.

  13. (Facultatif) Si vous avez choisi de déployer LAPS pour gérer le mot de passe du compte Administrateur local sur votre PAW, vérifiez que le mot de passe est enregistré correctement.(Optional) If you chose to deploy LAPS to manage the password for the local Administrator account on your PAW, verify that the password is registered successfully.

    • Ouvrez Utilisateurs et ordinateurs Active Directory (dsa.msc) avec un compte disposant des autorisations pour lire les mots de passe gérés par LAPS.Using an account with permissions to read LAPS-managed passwords, open Active Directory Users and Computers (dsa.msc). Assurez-vous que l’option Fonctionnalités avancées est activée, puis cliquez sur l’objet ordinateur approprié.Ensure that Advanced Features is enabled, and then right-click the appropriate computer object. Sélectionnez l’onglet Éditeur d’attribut et confirmez que la valeur de msSVSadmPwd est remplie avec un mot de passe.Select the Attribute Editor tab and confirm that the value for msSVSadmPwd is populated with a valid password.

Phase 2 : Étendre les PAW à tous les administrateursPhase 2: Extend PAW to all administrators

Objectif : Tous les utilisateurs disposant de droits administratifs sur les applications et les dépendances stratégiques.Scope: All users with administrative rights over mission-critical applications and dependencies. Cela doit inclure au moins les administrateurs de serveurs d’applications, les solutions de surveillance des solutions, de sécurité et d’intégrité opérationnelle, les systèmes de stockage et les appareils réseau.This should include at least administrators of application servers, operational health and security monitoring solutions, virtualization solutions, storage systems, and network devices.

Notes

Les instructions de cette phase supposent que la Phase 1 a été effectuée dans son intégralité.The instructions in this phase assume that Phase 1 has been completed in its entirety. Ne commencez pas la Phase 2 avant d’avoir terminé toutes les étapes de la Phase 1.Do not begin Phase 2 until you have completed all the steps in Phase 1.

Après avoir confirmé que toutes les étapes ont été réalisées, suivez la procédure ci-dessous pour effectuer la Phase 2 :Once you confirm that all steps were done, perform the steps below to complete Phase 2:

Activez cette fonctionnalité sur vos stations de travail et serveurs existants, puis appliquez l’utilisation de cette fonctionnalité.Enable this feature on your existing servers and workstations, then enforce the use of this feature. Cette fonctionnalité nécessite que les serveurs cibles exécutent Windows Server 2008 R2 ou une version ultérieure et que les stations de travail cibles exécutent Windows 7 ou une version ultérieure.This feature will require the target servers to be running Windows Server 2008 R2 or later and target workstations to be running Windows 7 or later.

  1. Activez le mode RestrictedAdmin sur vos serveurs et stations de travail en suivant les instructions disponibles sur cette page.Enable RestrictedAdmin mode on your servers and workstations by following the instructions available in this page.

    Notes

    Avant d’activer cette fonctionnalité pour les serveurs exposés à Internet, vous devez envisager le risque que des pirates parviennent à authentifier ces serveurs avec un hachage de mot de passe volé précédemment.Before enabling this feature for internet facing servers, you should consider the risk of adversaries being able to authenticate to these servers with a previously-stolen password hash.

  2. Créez un objet de stratégie de groupe (GPO) « RestrictedAdmin requis – Ordinateur ».Create "RestrictedAdmin Required - Computer" group policy object (GPO). Cette section crée un objet de stratégie de groupe qui applique l’utilisation du commutateur /RestrictedAdmin pour les connexions Bureau à distance sortantes, afin de protéger les comptes contre le vol d’informations d’identification sur les systèmes cibleThis section creates a GPO which enforces the use of the /RestrictedAdmin switch for outgoing Remote Desktop connections, protecting accounts from credential theft on the target systems

    • Accédez à Configuration\Système\Délégation d’informations d’identification\Restreindre la délégation d’informations d’identification aux serveurs distants, et réglez la valeur sur Activé.Go to Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Restrict delegation of credentials to remote servers and set to Enabled.
  3. Liez RestrictedAdmin requis - Ordinateur aux appareils de niveau 1 et/ou niveau 2 appropriés en utilisant les options de stratégie ci-dessous :Link the RestrictedAdmin Required - Computer to the appropriate Tier 1 and/or Tier 2 Devices by using the Policy options below:

    • Configuration PAW - OrdinateurPAW Configuration - Computer
      • -> Emplacement du lien : Admin\Tier 0\Devices (existant)-> Link Location: Admin\Tier 0\Devices (Existing)
    • Configuration PAW - UtilisateurPAW Configuration - User
      • -> Emplacement du lien : Admin\Tier 0\Accounts-> Link Location: Admin\Tier 0\Accounts
    • RestrictedAdmin requis - OrdinateurRestrictedAdmin Required - Computer
      • ->Admin\Tier1\Devices ou -> Admin\Tier2\Devices (les deux sont facultatifs)->Admin\Tier1\Devices or -> Admin\Tier2\Devices (Both are optional)

    Notes

    Cela n’est pas nécessaire pour les systèmes de niveau 0, ces systèmes ayant déjà le contrôle total de toutes les ressources dans l’environnement.This is not necessary for Tier 0 systems as these systems are already in full control of all assets in the environment.

Déplacez les objets de niveau 1 vers les unités d’organisation appropriées.Move Tier 1 Objects to the appropriate OUs

  1. Déplacez les groupes de niveau 1 vers l’unité d’organisation Admin\Tier 1\Groups.Move Tier 1 groups To the Admin\Tier 1\Groups OU. Recherchez tous les groupes qui octroient les droits d’administration suivants et déplacez-les dans cette unité d’organisation.Locate all groups that grant the following administrative rights and move them to this OU.

    • Administrateur local sur plusieurs serveursLocal administrator on more than one server
      • Accès administratif aux services cloudAdministrative Access to cloud services
      • Accès administratif aux applications d’entrepriseAdministrative Access to enterprise applications
  2. Déplacez les comptes de niveau 1 vers l’UO Admin\Tier 1\Accounts.Move Tier 1 accounts to the Admin\Tier 1\Accounts OU. Déplacez chaque compte membre des groupes de niveau 1 (y compris l’appartenance imbriquée) vers cette unité d’organisation.Move each account that is a member of those Tier 1 groups (including nested membership) to this OU.

  3. Ajoutez les membres appropriés aux groupes pertinentsAdd the appropriate members to the relevant groups

    • Administrateurs de niveau 1 - Ce groupe contient les administrateurs de niveau 1 qui ne pourront pas se connecter à des hôtes de niveau 2.Tier 1 Admins - This group will contain the Tier 1 Admins that will be restricted from logging onto Tier 2 hosts. Ajoutez tous vos groupes d’administration de niveau 1 qui disposent des privilèges d’administration sur les serveurs ou les services Internet.Add all your Tier 1 administrative groups that have administrative privileges over servers or internet services.

      Notes

      Si le personnel d’administration a la responsabilité de gérer des ressources sur plusieurs niveaux, vous devrez créer un compte administratif distinct par niveau.If administrative personnel have duties to manage assets at multiple tiers, you will need to create a separate admin account per tier.

  4. Activez la protection des informations d’identification pour réduire le risque de vol et de réutilisation d’informations d’identification.Enable Credential Guard to reduce risk of credential theft and reuse. La protection des informations d’identification est une nouvelle fonctionnalité de Windows 10 qui restreint l’accès des applications aux informations d’identification, pour empêcher les attaques par vol d’informations d’identification (notamment de type Pass-the-Hash).Credential Guard is a new feature of Windows 10 that restricts application access to credentials, preventing credential theft attacks (including Pass-the-Hash). La protection des informations d’identification est totalement transparente pour l’utilisateur final et nécessite seulement une configuration et des efforts minimaux.Credential Guard is completely transparent to the end user and requires minimal setup time and effort. Pour plus d’informations sur la protection des informations d’identification, y compris les étapes de déploiement et la configuration matérielle requise, reportez-vous à l’article Protéger les informations d’identification de domaine avec la protection des informations d’identification.For further information on Credential Guard, including deployment steps and hardware requirements, please refer to the article, Protect domain credentials with Credential Guard.

    Notes

    La protection des appareils doit être activée pour configurer et utiliser la protection des informations d’identification.Device Guard must be enabled in order to configure and use Credential Guard. Toutefois, il n’est pas nécessaire de configurer les autres protections protection d’appareils pour pouvoir utiliser la protection des informations d’identification.However, you are not required to configure any other Device Guard protections in order to use Credential Guard.

  5. (Facultatif) Activez la connectivité aux services cloud.(Optional) Enable Connectivity to Cloud Services. Cette étape permet la gestion des services cloud, comme Azure et Office 365, avec des garanties de sécurité appropriées.This step allows management of cloud services like Azure and Office 365 with appropriate security assurances. Cette étape est également requise pour que Microsoft Intune puisse gérer les PAW.This step is also required for Microsoft Intune to manage the PAWs.

    Notes

    Ignorez cette étape si aucune connectivité cloud n’est requise pour l’administration de services cloud ou la gestion par Intune.Skip this step if no cloud connectivity is required for administration of cloud services or management by Intune.

    • Ces étapes restreignent la communication sur Internet aux seuls services cloud autorisés (en excluant l’Internet public) et ajoutent des protections pour les navigateurs et autres applications qui traitent le contenu d’Internet.These steps will restrict communication over the internet to only authorized cloud services (but not the open internet) and add protections to the browsers and other applications that will process content from the internet. Ces PAW pour l’administration ne doivent jamais être utilisés pour des tâches utilisateur standard telles que les communications sur Internet et la productivité.These PAWs for administration should never be used for standard user tasks like internet communications and productivity.
    • Pour activer la connectivité aux services PAW, procédez comme suit :To enable connectivity to PAW services follow the steps below:
    1. Configurez PAW pour autoriser uniquement les destinations Internet autorisées.Configure PAW to allow only authorized Internet destinations. Lorsque vous étendez votre déploiement PAW pour activer l’administration du cloud, vous devez permettre l’accès aux services autorisés en filtrant les accès à partir de l’Internet public, où des attaques peuvent être plus facilement lancées contre vos administrateurs.As you extend your PAW deployment to enable cloud administration, you need to allow access to authorized services while filtering out access from the open internet where attacks can more easily be mounted against your admins.

      1. Créez un groupe Administrateurs des services cloud et ajoutez tous les comptes qui nécessitent un accès aux services cloud sur Internet.Create Cloud Services Admins group and add all the accounts to it that require access to cloud services on the internet.

      2. Téléchargez le fichier PAW proxy.pac dans la Galerie TechNet et publiez-le sur un site web interne.Download the PAW proxy.pac file from TechNet Gallery and publish it on an internal website.

        Notes

        Vous devez mettre à jour le fichier proxy.pac après téléchargement pour vous assurer qu’il est à jour et complet.You will need to update the proxy.pac file after downloading to ensure that it is up-to-date and complete.
        Microsoft publie toutes les URL actuelles pour Office 365 et Azure dans le Centre de support d’Office.Microsoft publishes all current Office 365 and Azure URLs in the Office Support Center. Ces instructions supposent que vous utiliserez Internet Explorer (ou Microsoft Edge) pour l’administration d’Office 365, Azure et d’autres services cloud.These instructions assume that you will be using Internet Explorer (or Microsoft Edge) for administration of Office 365, Azure, and other cloud services. Microsoft recommande de configurer des restrictions similaires pour les navigateurs tiers dont vous avez besoin pour l’administration.Microsoft recommends configuring similar restrictions for any 3rd party browsers that you require for administration. Les navigateurs web des PAW doivent uniquement servir pour l’administration des services cloud computing et jamais pour la navigation web générale.Web browsers on PAWs should only be used for administration of cloud services, and never for general web browsing.

        Vous devrez peut-être ajouter d’autres destinations Internet valides à cette liste pour les autres fournisseurs IaaS, mais n’ajoutez pas les sites de productivité, divertissements, actualités ou recherche à cette liste.You may need to add other valid Internet destinations to add to this list for other IaaS provider, but do not add productivity, entertainment, news, or search sites to this list.

        Vous devrez peut-être aussi régler le fichier PAC pour configurer une adresse proxy valide à utiliser pour ces adresses.You may also need to adjust the PAC file to accommodate a valid proxy address to use for these addresses.

        Vous pouvez également restreindre l’accès à partir du PAW avec un proxy web pour une défense plus profonde.You can also restrict access from the PAW using a web proxy as well for defense in depth. Nous ne recommandons pas d’utiliser un tel proxy sans fichier PAC, car il ne restreindrait alors l’accès pour les PAW que lors de la connexion au réseau d’entreprise.We don't recommend using this by itself without the PAC file as it will only restrict access for PAWs while connected to the corporate network.

      3. Une fois que vous avez configuré le fichier proxy.pac, mettez à jour Configuration PAW - Objet de stratégie de groupe utilisateur.Once you have configured the proxy.pac file, update the PAW Configuration - User GPO.

        1. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre.Go to User Configuration\Preferences\Windows Settings\Registry. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel > élément de Registre et configurez les paramètres suivants :Right-click Registry, select New > Registry Item and configure the following settings:
          1. Action : RemplacerAction: Replace

          2. Ruche : HKEY_ CURRENT_USERHive: HKEY_ CURRENT_USER

          3. Chemin d’accès de la clé : Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

          4. Nom de la valeur : AutoConfigUrlValue name: AutoConfigUrl

            Notes

            Ne cochez pas la case Par défaut à gauche du nom de la valeur.Do not select the Default box to the left of Value name.

          5. Type de valeur : REG_SZValue type: REG_SZ

          6. Données de la valeur : entrez l’URL complète du fichier proxy.pac, http:// et nom du fichier compris, par exemple . http://proxy.fabrikam.com/proxy.pac.Value data: enter the complete URL to the proxy.pac file, including http:// and the file name - for example http://proxy.fabrikam.com/proxy.pac. L’URL peut également être une URL à intitulé unique, par exemple http://proxy/proxy.pacThe URL can also be a single-label URL - for example, http://proxy/proxy.pac

            Notes

            Le fichier PAC peut également être hébergé sur un partage de fichiers, avec la syntaxe file://server.fabrikan.com/share/proxy.pac, mais cela nécessite l’autorisation du protocole file://.The PAC file can also be hosted on a file share, with the syntax of file://server.fabrikan.com/share/proxy.pac but this requires allowing the file:// protocol. Voir la « REMARQUE : Scripts de proxy basés sur File:// déconseillés » du billet de blog Présentation de la configuration du proxy web pour plus de détails sur la configuration de la valeur de registre requise.See the "NOTE: File://-based Proxy Scripts Deprecated" section of this Understanding Web Proxy Configuration blog for additional detail on configuring the required registry value.

          7. Cliquez sur l’onglet Commun et sélectionnez Supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.

          8. Dans l’onglet Commun, sélectionnez Ciblage du niveau d’élément et cliquez sur Ciblage.On the Common tab select Item level targeting and click Targeting.

          9. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select security group.

          10. Sélectionnez le bouton «... » et recherchez le groupe Administrateurs des services cloud.Select the "..." button and browse for the Cloud Services Admins group.

          11. Cliquez sur Nouvel élément et sélectionnez Groupe de sécurité.Click New Item and select security group.

          12. Sélectionnez le bouton «... » et recherchez le groupe Utilisateurs de PAW.Select the "..." button and browse for the PAW Users group.

          13. Cliquez sur l’élément Utilisateurs de PAW, puis cliquez sur Options d’élément.Click on the PAW Users item and click Item Options.

          14. Sélectionnez N’est pas.Select Is not.

          15. Cliquez sur OK dans la fenêtre de ciblage.Click OK on the targeting window.

          16. Cliquez sur OK pour terminer la configuration de la stratégie du groupe AutoConfigUrl.Click OK to complete the AutoConfigUrl group policy setting.

    2. Appliquez les lignes de base de sécurité de Windows 10 et l’accès au service cloud. Liez les lignes de base de sécurité pour Windows et pour l’accès aux services cloud (si nécessaire) aux bonnes unités d’organisation à l’aide de la procédure ci-dessous :Apply Windows 10 Security baselines and Cloud Service Access Link the security baselines for Windows and for cloud service access (if required) to the correct OUs using the steps below:

      1. Extrayez le contenu du fichier ZIP Windows 10 Security Baselines.Extract the contents of the Windows 10 Security Baselines ZIP file.

      2. Créez ces objets de stratégie de groupe, les paramètres Importer la stratégie paramètres, et le lien conformément à cette table.Create these GPOs, import the policy settings, and link per this table. Liez chaque stratégie à chaque emplacement et vérifiez que l’ordre suit la table (les entrées inférieures dans la table doivent être appliquées ultérieurement et avec une priorité plus élevée) :Link each policy to each location and ensure the order follows the table (lower entries in table should be applied later and higher priority):

        Stratégies : .Policies:

        CM Windows 10 - Sécurité de domaineCM Windows 10 - Domain Security N/A - Ne pas lier maintenantN/A - Do Not Link Now
        SCM Windows 10 TH2 - OrdinateurSCM Windows 10 TH2 - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 TH2- BitLockerSCM Windows 10 TH2- BitLocker Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 - Protection des informations d’identificationSCM Windows 10 - Credential Guard Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer - OrdinateurSCM Internet Explorer - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Configuration PAW - OrdinateurPAW Configuration - Computer Admin\Tier 0\Devices (existant)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (nouveau lien)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (nouveau lien)Admin\Tier 2\Devices (New Link)
        RestrictedAdmin requis - OrdinateurRestrictedAdmin Required - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows 10 - UtilisateurSCM Windows 10 - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Internet Explorer SCM - UtilisateurSCM Internet Explorer - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Configuration PAW - UtilisateurPAW Configuration - User Admin\Tier 0\Devices (existant)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (nouveau lien)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (nouveau lien)Admin\Tier 2\Devices (New Link)

        Notes

        L’objet de stratégie de groupe « SCM Windows 10 - Sécurité de domaine » peut être lié au domaine indépendamment du PAW, mais affecte l’ensemble du domaine.The "SCM Windows 10 - Domain Security" GPO may be linked to the domain independently of PAW, but will affect the entire domain.

  6. (Facultatif) Installez les autres outils requis pour les administrateurs de niveau 1.(Optional) Install additional required tools for Tier 1 Admins. Installez les autres outils ou scripts requis pour effectuer des tâches.Install any other tools or scripts required to perform job duties. Veillez à évaluer le risque d’exposition des informations d’identification sur les ordinateurs cibles avec tout outil avant de l’ajouter à un PAW.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Visitez cette page pour obtenir plus d’informations sur l’évaluation des outils d’administration et des méthodes de connexion pour le risque d’exposition des informations d’identification.For more information on evaluating administrative tools and connection methods for credential exposure risk visit this page. Veillez à obtenir tous les supports d’installation en utilisant les instructions de Source propre pour support d’installationEnsure to obtain all installation media using the guidance in Clean Source for installation media

  7. Identifiez et obtenez en toute sécurité les logiciels et applications requis pour l’administration.Identify and safely obtain software and applications required for administration. Cela est similaire au travail effectué en Phase 1, mais avec une portée plus large en raison de l’augmentation du nombre d’applications, de services et de systèmes sécurisés.This is similar to the work performed in Phase 1, but with a broader scope due to the increased number of applications, services, and systems being secured.

    Notes

    Veillez à protéger ces nouvelles applications (y compris les navigateurs web) en activant les protections fournies par Windows Defender Exploit Guard.Ensure that you protect these new applications (including web browsers) by opting them into the protections provided by Windows Defender Exploit Guard.

    Exemples d’applications et logiciels supplémentaires :Examples of additional software and applications include:

    • Microsoft Azure PowerShellMicrosoft Azure PowerShell

    • PowerShell pour Office 365 (également appelé Module Microsoft Online Services)Office 365 PowerShell (also known as Microsoft Online Services Module)

    • Logiciels de gestion des services ou applications basés sur la console MMC (Microsoft Management Console)Application or service management software based on the Microsoft Management Console

    • Logiciels de gestion des services ou applications propriétaires (non basées sur MMC)Proprietary (non-MMC-based) application or service management software

      Notes

      De nombreuses applications sont désormais exclusivement gérées via les navigateurs web, y compris de nombreux services cloud.Many applications are now exclusively managed via web browsers, including many cloud services. Même si cela réduit le nombre d’applications qui doivent être installées sur un PAW, cela présente également des risques de problèmes d’interopérabilité avec les navigateurs.While this reduces the number of applications which need to be installed on a PAW, it also introduces the risk of browser interoperability issues. Vous devrez peut-être déployer un navigateur web non Microsoft sur des instances spécifiques de PAW pour permettre l’administration de services spécifiques.You may need to deploy a non-Microsoft web browser onto specific PAW instances to enable administration of specific services. Si vous déployez un navigateur web supplémentaire, veillez à suivre tous les principes de source propre et à sécuriser le navigateur en suivant les instructions de sécurité du fournisseur.If you do deploy an additional web browser, ensure that you follow all clean source principles and secure the browser according to the vendor's security guidance.

  8. (Facultatif) Téléchargez et installez les agents de gestion requis.(Optional) Download and install any required management agents.

    Notes

    Si vous choisissez d’installer des agents de gestion supplémentaires (surveillance, sécurité, gestion de la configuration, etc.), il est essentiel de vérifier que les systèmes de gestion sont approuvés au même niveau que les contrôleurs de domaine et les systèmes d’identité.If you choose to install additional management agents (monitoring, security, configuration management, etc.), it is vital that you ensure the management systems are trusted at the same level as domain controllers and identity systems. Pour plus d’informations, consultez Gestion et mise à jour des PAW.See the Managing and Updating PAWs for additional guidance.

  9. Évaluez votre infrastructure pour identifier les systèmes qui nécessitent les protections de sécurité supplémentaires fournies par un PAW.Assess your infrastructure to identify systems which require the additional security protections provided by a PAW. Assurez-vous de savoir exactement quels systèmes doivent être protégés.Ensure that you know exactly which systems must be protected. Posez des questions essentielles relatives aux ressources, telles que :Ask critical questions about the resources themselves, such as:

    • Où sont les systèmes cibles qui doivent être gérés ?Where are the target systems which must be managed? Sont-ils collectés dans un seul emplacement physique, ou connectés à un seul sous-réseau bien défini ?Are they collected in a single physical location, or connected to a single well-defined subnet?

    • Combien de systèmes sont-ils présents ?How many systems are there?

    • Ces systèmes dépendent-ils d’autres systèmes (virtualisation, stockage, etc.), et si c’est le cas, comment ces systèmes sont-ils gérés ?Do these systems depend on other systems (virtualization, storage, etc.), and if so, how are those systems managed? Comment les systèmes critiques sont-ils exposés à ces dépendances, et quels sont les risques associés à ces dépendances ?How are the critical systems exposed to these dependencies, and what are the additional risks associated with those dependencies?

    • À quel point les services gérés sont-ils, et quelle est la perte attendue si ces services étaient compromis ?How critical are the services being managed, and what is the expected loss if those services are compromised?

      Notes

      Intégrez vos services cloud dans cette évaluation : les pirates ciblent de plus en plus les déploiements cloud non sécurisés, et il est essentiel que vous administriez ces services de façon aussi sécurisée que pour vos applications critiques locales.Include your cloud services in this assessment - attackers increasingly target insecure cloud deployments, and it is vital that you administer those services as securely as you would your on-premises mission-critical applications.

      Utilisez cette évaluation pour identifier les systèmes qui nécessitent une protection supplémentaire, puis étendez votre programme PAW aux administrateurs de ces systèmes.Use this assessment to identify the specific systems which require additional protection, and then extend your PAW program to the administrators of those systems. Des exemples courants de systèmes qui profitent grandement de l’administration basée sur un PAW comprennent SQL Server (en local et avec SQL Azure), les applications de ressources humaines, les logiciels financiers.Common examples of systems which benefit greatly from PAW-based administration include SQL Server (both on-premises and SQL Azure), human resources applications, and financial software.

      Notes

      Si une ressource est gérée à partir d’un système Windows, elle peut être gérée avec un PAW, même si l’application elle-même s’exécute sur un système d’exploitation autre que Windows ou sur une plateforme cloud non Microsoft.If a resource is managed from a Windows system, it can be managed with a PAW, even if the application itself runs on an operating system other than Windows or on a non-Microsoft cloud platform. Par exemple, le propriétaire d’un abonnement Amazon Web Services doit uniquement utiliser un PAW pour administrer ce compte.For example, the owner of an Amazon Web Services subscription should only use a PAW to administer that account.

  10. Développez une méthode de demande et de distribution pour le déploiement de PAW à l’échelle de votre organisation.Develop a request and distribution method for deploying PAWs at scale in your organization. En fonction du nombre de PAW que vous choisissez de déployer en Phase 2, vous pourriez avoir à automatiser le processus.Depending on the number of PAWs you choose to deploy in Phase 2, you may need to automate the process.

    • Envisagez de développer un processus de demande et d’approbation officiel pour les administrateurs qui souhaitent obtenir un PAW.Consider developing a formal request and approval process for administrators to use to obtain a PAW. Ce processus permet de normaliser le processus de déploiement, garantir la responsabilité pour les appareils PAW et vous aider à identifier les lacunes de déploiement de PAW.This process would help standardize the deployment process, ensure accountability for PAW devices, and help identify gaps in PAW deployment.

    • Comme indiqué précédemment, cette solution de déploiement doit être distincte de méthodes d’automatisation existantes (qui ont déjà été compromises) et doit suivre les principes énoncés dans la Phase 1.As stated previously, this deployment solution should be separate from existing automation methods (which may have already been compromised) and should follow the principles outlined in Phase 1.

      Notes

      Tout système qui gère les ressources doit lui-même être géré au même niveau de confiance ou à un niveau supérieur.Any system which manages resources should itself managed at the same or higher trust level.

  11. Examinez et déployez d’autres profils matériels de PAW si nécessaire.Review and if necessary deploy additional PAW hardware profiles. Le profil matériel que vous avez choisi pour le déploiement en Phase 1 peut ne pas convenir pour tous les administrateurs.The hardware profile you chose for Phase 1 deployment may not be suitable for all administrators. Examinez les profils matériels et sélectionnez éventuellement des profils matériels PAW supplémentaires pour répondre aux besoins des administrateurs.Review the hardware profiles and if appropriate select additional PAW hardware profiles to match the needs of the administrators. Par exemple, le profil Matériel dédié (stations de travail PAW et d’utilisation quotidienne distinctes) peut être inapproprié pour un administrateur qui se déplace souvent ; dans ce cas, vous pouvez choisir de déployer le profil Utilisation simultanée (PAW avec machine virtuelle d’utilisateur) pour cet administrateur.For example, the Dedicated Hardware profile (separate PAW and daily use workstations) may be unsuitable for an administrator who travels often - in this case, you might choose to deploy the Simultaneous Use profile (PAW with user VM) for that administrator.

  12. Pensez aux besoins de communication, de formation, culturels et opérationnels qui accompagnent un déploiement PAW étendu.Consider the cultural, operational, communications, and training needs which accompany an extended PAW deployment. Un changement aussi significatif de modèle d’administration nécessite naturellement une gestion du changement, et il est essentiel d’intégrer cette question au projet de déploiement lui-même.Such a significant change to an administrative model will naturally require change management to some degree, and it is essential to build that into the deployment project itself. Envisagez au minimum les points suivants :Consider at a minimum the following:

    • Comment communiquerez-vous les changements apportés à la direction pour assurer son soutien ?How will you communicate the changes to senior leadership to ensure their support? Un projet sans soutien de la direction est probablement destiné à échouer, ou du moins difficile à financer et faire accepter.Any project without senior leadership backing is likely to fail, or at the very least struggle for funding and broad acceptance.

    • Comment documenterez-vous le nouveau processus pour les administrateurs ?How will you document the new process for administrators? Ces modifications doivent être documentées et communiquées non seulement aux administrateurs existants (qui doivent changer leurs habitudes et gérer les ressources d’une façon différente), mais aussi les nouveaux administrateurs (ceux qui sont promus dans l’organisation ou recrutés depuis l’extérieur).These changes must be documented and communicated not only to existing administrators (who must change their habits and manage resources in a different way), but also for new administrators (those promoted from within or hired from outside the organization). Il est essentiel que la documentation soit claire et explique complètement l’importance des menaces, le rôle des PAW pour protéger les administrateurs, et comment utiliser les PAW correctement.It is essential that the documentation is clear and fully articulates the importance of the threats, PAW's role in protecting the admins, and how to use PAW correctly.

      Notes

      Cela est particulièrement important pour les rôles à rotation élevée, notamment le personnel du support technique, mais pas seulement.This is especially important for roles with high turnover, including but not limited to help desk personnel.

    • Comment garantirez-vous la conformité au nouveau processus ?How will you ensure compliance with the new process? Bien que le modèle PAW inclut un certain nombre de contrôles techniques pour éviter l’exposition d’informations d’identification privilégiées, il est impossible d’éviter totalement toute exposition possible uniquement à l’aide de contrôles techniques.While the PAW model includes several technical controls to prevent the exposure of privileged credentials, it is impossible to fully prevent all possible exposure purely using technical controls. Par exemple, même s’il est possible d’empêcher un administrateur de se connecter avec succès sur le bureau d’un utilisateur avec des informations d’identification privilégiées, le simple fait de tenter l’ouverture de session peut exposer les informations d’identification aux logiciels malveillants installés sur l’ordinateur de bureau de cet utilisateur.For example, although it is possible to prevent an administrator from successfully logging onto a user desktop with privileged credentials, the simple act of attempting the logon can expose the credentials to malware installed on that user desktop. Il est donc essentiel de détailler non seulement les avantages du modèle PAW, mais aussi les risques de non-conformité.It is therefore essential that you articulate not only the benefits of the PAW model, but the risks of non-compliance. Cela doit être complété par des audits et des alertes afin que les expositions d’informations d’identification puissent être détectées et résolues rapidement.This should be complemented by auditing and alerting so that credential exposure can be quickly detected and addressed.

Phase 3 : Étendre et améliorer la protectionPhase 3: Extend and enhance protection

Objectif : Ces protections améliorent les systèmes créés en Phase 1, en renforçant la protection de base avec des fonctions avancées, notamment l’authentification multifacteur et les règles d’accès réseau.Scope: These protections enhance the systems built in Phase 1, bolstering the basic protection with advanced features including multi-factor authentication and network access rules.

Notes

Cette phase peut être effectuée à tout moment une fois que la Phase 1 a été effectuée.This phase can be performed at any time after Phase 1 has been completed. Elle ne dépend pas de la fin de la Phase 2 et peut donc être exécutée avant, en même temps que, ou après la Phase 2.It is not dependent on completion of Phase 2, and thus can be performed before, concurrent with, or after Phase 2.

Suivez les étapes ci-dessous pour configurer cette phase :Follow the steps below to configure this phase:

  1. Activez l’authentification multifacteur pour les comptes privilégiés.Enable multi-factor authentication for privileged accounts. L’authentification multifacteur renforce la sécurité des comptes en obligeant l’utilisateur à fournir un jeton physique en plus des informations d’identification.Multi-factor authentication strengthens account security by requiring the user to provide a physical token in addition to credentials. L’authentification multifacteur s’ajoute très bien aux stratégies d’authentification, mais ne dépend pas des stratégies d’authentification pour le déploiement (et, de même, les stratégies d’authentification ne nécessitent pas l’authentification multifacteur).Multi-factor authentication complements authentication policies extremely well, but it does not depend on authentication policies for deployment (and, similarly, authentication policies do not require multi-factor authentication). Microsoft recommande d’utiliser une de ces formes d’authentification multifacteur :Microsoft recommends using one of these forms of multi-factor authentication:

    • Carte à puce : Une carte à puce est un appareil physique résistant aux falsifications et portable qui fournit une seconde vérification pendant le processus de connexion à Windows.Smart card: A smart card is a tamper-resistant and portable physical device which provides a second verification during the Windows logon process. En demandant à un individu de posséder une carte pour la connexion, vous pouvez réduire le risque de réutilisation d’informations d’identification volées à distance.By requiring an individual to possess a card for logon, you can reduce the risk of stolen credentials being reused remotely. Pour plus d’informations sur la connexion avec carte à puce dans Windows, reportez-vous à l’article Vue d’ensemble des cartes à puce.For details on smart card logon in Windows, please refer to the article Smart Card Overview.
    • Carte à puce virtuelle : Une carte à puce virtuelle présente les mêmes avantages de sécurité que les cartes à puce physiques, mais elle a l’avantage supplémentaire d’être liée à un matériel spécifique.Virtual smart card: A virtual smart card provides the same security benefits as physical smart cards, with the added benefit of being linked to specific hardware. Pour plus d’informations sur les exigences de déploiement et de matériel, consultez les articles Vue d’ensemble des cartes à puce virtuelles et Prise en main des cartes à puce virtuelles : guide pas à pas.For details on deployment and hardware requirements, please refer to the articles, Virtual Smart Card Overview and Get Started with Virtual Smart Cards: Walkthrough Guide.
    • Windows Hello Entreprise : Windows Hello Entreprise permet aux utilisateurs de s’authentifier auprès d’un compte Microsoft, un compte Active Directory, un compte Microsoft Azure Active Directory (Azure AD) ou un service non-Microsoft qui prend en charge l’authentification FIDO.Windows Hello for Business: Windows Hello for Business lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (Azure AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. Après une vérification initiale en deux étapes lors de l’inscription, Windows Hello Entreprise est configuré sur l’appareil de l’utilisateur et ce dernier définit un mouvement, qui peut être un Windows Hello ou un code confidentiel.After an initial two-step verification during Windows Hello for Business enrollment, a Windows Hello for Business is set up on the user's device and the user sets a gesture, which can be Windows Hello or a PIN. Les informations d’identification Windows Hello Entreprise sont une paire de clés asymétrique qui peut être générée dans des environnements isolés de modules de plateforme sécurisée (TPM).Windows Hello for Business credentials are an asymmetric key pair, which can be generated within isolated environments of Trusted Platform Modules (TPMs). Pour plus d’informations sur Windows Hello Entreprise, consultez l’article Windows Hello Entreprise.For more information on Windows Hello for Business read Windows Hello for Business article.
    • Authentification multifacteur Azure : L’authentification multifacteur Azure (MFA) offre la sécurité d’un second facteur de vérification, ainsi qu’une protection renforcée grâce à la surveillance et à l’analyses basée sur l’apprentissage automatique.Azure multi-factor authentication: Azure multi-factor authentication (MFA) provides the security of a second verification factor as well as enhanced protection through monitoring and machine-learning-based analysis. L’authentification multifacteur Azure (MFA) peut sécuriser non seulement les administrateurs Azure, mais aussi de nombreuses autres solutions, notamment les applications web, Azure Active Directory et des solutions locales telles que l’accès à distance et le bureau à distance.Azure MFA can secure not only Azure administrators but many other solutions as well, including web applications, Azure Active Directory, and on-premises solutions like remote access and Remote Desktop. Pour plus d’informations sur l’authentification multifacteur Azure, consultez l’article Multi-Factor Authentication.For more information on Azure multi-factor authentication, please refer to the article Multi-Factor Authentication.
  2. Mettez les applications approuvées sur liste en blanche à l’aide du contrôle d’application Windows Defender et/ou AppLocker.Whitelist trusted applications using Windows Defender Application Control and/or AppLocker. En limitant la capacité du code non approuvé ou non signé à s’exécuter sur un PAW, vous réduisez encore la probabilité d’activités malveillantes de compromissions.By limiting the ability of untrusted or unsigned code to run on a PAW, you further reduce the likelihood of malicious activity and compromise. Windows comprend deux options principales pour le contrôle des applications :Windows includes two primary options for application control:

    • AppLocker : AppLocker aide les administrateurs à contrôler les applications qui peuvent s’exécuter sur un système donné.AppLocker: AppLocker helps administrators control which applications can run on a given system. AppLocker peut être contrôlé de façon centrale via une stratégie de groupe et appliqué à des utilisateurs ou des groupes (pour une application ciblée aux utilisateurs de PAW).AppLocker can be centrally controlled through group policy, and applied to specific users or groups (for targeted application to users of PAWs). Pour plus d’informations sur AppLocker, consultez l’article TechNet Vue d’ensemble d’AppLocker.For more information on AppLocker, please refer to the TechNet article AppLocker Overview.
    • Contrôle d’application Windows Defender : cette nouvelle fonctionnalité de contrôle d’application Windows Defender offre un meilleur contrôle des applications sur la base du matériel qui, contrairement à AppLocker, ne peut pas être effacé sur l’appareil concerné.Windows Defender Application Control: the new Windows Defender Application Control feature provides enhanced hardware-based application control which, unlike AppLocker, cannot be overridden on the impacted device. Comme AppLocker, le contrôle d’application Windows Defender peut être contrôlée via une stratégie de groupe, et est destiné à des utilisateurs spécifiques.Like AppLocker, Windows Defender Application Control can be controlled via group policy and targeted to specific users. Pour plus d’informations sur la restriction de l’utilisation des applications avec le contrôle d’application Windows Defender, consultez la sectionGuide de déploiement du contrôle d’application Windows Defender.For more information on restricting application usage with Windows Defender Application Control, please refer to Windows Defender Application Control Deployment Guide.
  3. Utilisez les Utilisateurs protégés, les Stratégies d’authentification et les Silos d’authentification pour protéger davantage les comptes privilégiés.Use Protected Users, Authentication Policies, and Authentication Silos to further protect privileged accounts. Les membres des Utilisateurs protégés sont soumis à des stratégies de sécurité supplémentaire qui protègent les informations d’identification stockées dans l’agent de sécurité local (LSA) et réduisent le risque de vol et de réutilisation des informations d’identification.The members of Protected Users are subject to additional security policies which protect the credentials stored in the local security agent (LSA) and greatly minimize the risk of credential theft and reuse. Les stratégies d’authentification et silos contrôlent la façon dont les utilisateurs privilégiés peuvent accéder aux ressources du domaine.Authentication policies and silos control how privileged users can access resources in the domain. Collectivement, ces protections renforcent de façon spectaculaire la sécurité des comptes de ces utilisateurs privilégiés.Collectively, these protections dramatically strengthen the account security of these privileged users. Pour plus d’informations sur ces fonctionnalités, reportez-vous à l’article web Comment configurer des comptes protégés.For additional details on these features, please refer to the web article How to Configure Protected Accounts.

    Notes

    Ces protections sont destinées à compléter, les mesures de sécurité de la Phase 1, sans les remplacer.These protections are meant to complement, not replace, existing security measures in Phase 1. Les administrateurs doivent toujours utiliser des comptes distincts pour l’administration et l’utilisation générale.Administrators should still use separate accounts for administration and general use.

Gestion et mise à jourManaging and updating

Les PAW doivent avoir des fonctionnalités anti-programme malveillant, et les mises à jour doivent être appliquées rapidement pour conserver l’intégrité de ces stations de travail.PAWs must have anti-malware capabilities and software updates must be rapidly applied to maintain integrity of these workstations.

Vous pouvez également utiliser des fonctions de gestion de la configuration, de surveillance opérationnelle et de gestion de la sécurité supplémentaires avec les PAW, mais leur intégration doit être envisagée avec précaution, car chaque fonctionnalité de gestion présente également des risques de compromission de PAW à travers cet outil.Additional configuration management, operational monitoring, and security management can also be used with PAWs, but the integration of these must be considered carefully because each management capability also introduces risk of PAW compromise through that tool. La pertinence de l’ajout de fonctions de gestion avancées dépend de plusieurs facteurs, notamment :Whether it makes sense to introduce advanced management capabilities depends on several factors including:

  • L’état de sécurité et les pratiques des capacités de gestion (notamment les pratiques relatives aux mises à jour logicielles pour l’outil, les rôles administratifs et les comptes pour ces rôles, les systèmes d’exploitation sur lesquels l’outil est hébergé ou à partir desquels il est géré, et toutes les autres dépendances matérielles ou logicielles de cet outil)The security state and practices of the management capability (including software update practices for the tool, administrative roles and accounts in those roles, operating systems the tool is hosted on or managed from, and any other hardware or software dependencies of that tool)
  • La fréquence et la quantité des déploiements de logiciels et mises à jour sur vos PAWThe frequency and quantity of software deployments and updates on your PAWs
  • La configuration requise pour l’inventaire détaillé et les informations de configurationRequirements for detailed inventory and configuration information
  • Conditions requises pour la surveillance de la sécuritéSecurity monitoring requirements
  • Les normes organisationnelles et autres facteurs spécifiques à l’organisationOrganizational standards and other organizational-specific factors

Selon le principe de source propre, tous les outils utilisés pour gérer ou surveiller les PAW doivent avoir un niveau d’approbation supérieur ou égal à celui des PAW.Per the clean source principle, all tools used to manage or monitor the PAWs must be trusted at or above the level of the PAWs. Pour cela, ces outils doivent généralement être gérés à partir d’un PAW afin d’assurer l’absence de dépendance de sécurité vis-à-vis des stations de travail à privilèges inférieurs.This typically requires those tools to be managed from a PAW to ensure no security dependency from lower privilege workstations.

Ce tableau décrit les différentes approches qui peuvent être utilisées pour gérer et surveiller les PAW :This table outlines different approaches that may be used to manage and monitor the PAWs:

ApprocheApproach Éléments à prendre en considérationConsiderations
Par défaut dans le PAWDefault in PAW

- Windows Server Update Services- Windows Server Update Services
- Windows Defender- Windows Defender
- Aucun coût supplémentaire- No additional cost
- Exécute les fonctions de sécurité de base requise- Performs basic required security functions
- Les instructions fournies dans ce guide- Instructions included in this guidance
Gestion avec IntuneManage with Intune
  • Fournit le contrôle et la visibilité du cloudProvides cloud based visibility and control

    • Déploiement de logicielSoftware Deployment
    • o Gérer les mises à jour logicielleso Manage software updates
    • Gestion de stratégie du Pare-feu WindowsWindows Firewall policy management
    • Protection anti-programme malveillantAnti-malware protection
    • Assistance à distanceRemote assistance
    • Gestion des licences logicielles.Software license management.
  • Aucune infrastructure serveur requiseNo server infrastructure required
  • La procédure de la Phase 2 « Activer la connectivité aux services cloud » doit être suivieRequires following "Enable Connectivity to Cloud Services" steps in Phase 2
  • Si l’ordinateur PAW n’est pas joint à un domaine, vous devez appliquer les lignes de base SCM aux images locales avec les outils fournis dans le téléchargement de ligne de base de sécurité.If the PAW computer is not joined to a domain, this requires applying the SCM baselines to the local images using the tools provided in the security baseline download.
Nouvelles instances de System Center pour gérer les PAWNew System Center instance(s) for managing PAWs - Assure la visibilité et le contrôle de la configuration, du déploiement de logiciels et des mises à jour de sécurité- Provides visibility and control of configuration, software deployment, and security updates
- Nécessite une infrastructure serveur distincte, avec le niveau de sécurité des PAW et du personnel compétent pour les rôles à privilèges élevés- Requires separate server infrastructure, securing it to level of PAWs, and staffing skills for those highly privileged personnel
Gestion des PAW avec des outils de gestion existantsManage PAWs with existing management tool(s) - Crée un risque important de compromission des PAW, à moins que l’infrastructure de gestion existante ne soit déplacée au niveau de sécurité des PAW Remarque : Microsoft déconseille généralement cette approche à moins que votre entreprise souhaite l’utiliser pour une raison spécifique.- Creates significant risk to compromise of PAWs unless the existing management infrastructure is brought up to security level of PAWs Note: Microsoft would generally discourage this approach unless your organization has a specific reason to use it. D’après notre expérience, il est généralement très coûteux de donner à tous ces outils (et à leurs dépendances de sécurité) le niveau de sécurité des PAW.In our experience, there is typically a very high cost of bringing all these tools (and their security dependencies) up to the security level of the PAWs.
- La plupart de ces outils assurent la visibilité et le contrôle de la configuration, du déploiement de logiciels et des mises à jour de sécurité- Most of these tools provide visibility and control of configuration, software deployment, and security updates
Analyse de sécurité ou outils de surveillance nécessitant l’accès administrateurSecurity Scanning or monitoring tools requiring admin access Comprend un outil qui installe un agent ou requiert un compte disposant d’un accès administratif local.Includes any tool that installs an agent or requires an account with local administrative access.

- Nécessite de mettre la sécurité des outils au niveau de celle des PAW.- Requires bringing tool security assurance up to level of PAWs.
- Peut nécessiter la réduction du cadre de sécurité des PAW pour prendre en charge les fonctionnalités des outils (en ouvrant les ports, installant Java ou d’autres intergiciels, etc.), ce qui constitue un compromis de sécurité.- May require lowering security posture of PAWs to support tool functionality (open ports, install Java or other middleware, etc.), creating a security trade-off decision,
Informations et événements gestion des événements (SIEM)Security information and event management (SIEM)
  • Si SIEM est sans agentIf SIEM is agentless

    • Il est possible d’accéder aux événements sur les PAW sans accès administratif à l’aide d’un compte dans le groupe Lecteurs des journaux d’événementsCan access events on PAWs without administrative access by using an account in the Event Log Readers group
    • Nécessite l’ouverture des ports de réseau pour autoriser le trafic entrant à partir des serveurs SIEMWill require opening up network ports to allow inbound traffic from the SIEM servers
  • Si SIEM requiert un agent, consultez l’autre ligne Analyse de sécurité ou outils de surveillance nécessitant l’accès administrateur.If SIEM requires an agent, see other row Security Scanning or monitoring tools requiring admin access.
WEF (Windows Event Forwarding)Windows Event Forwarding - Fournit une méthode de transfert des événements de sécurité sans agent des PAW vers un collecteur externe ou SIEM- Provides an agentless method of forwarding security events from the PAWs to an external collector or SIEM
- Il est possible d’accéder aux événements sur les PAW sans accès administratif- Can access events on PAWs without administrative access
- Ne nécessite pas l’ouverture des ports de réseau pour autoriser le trafic entrant à partir des serveurs SIEM- Does not require opening up network ports to allow inbound traffic from the SIEM servers

Exploitation des PAWOperating PAWs

La solution PAW doit être exploitée en respectant les normes des Normes opérationnelles basées sur le principe de source propre.The PAW solution should be operated using the standards in Operational Standards based on Clean Source Principle.

Déployer des PAYS à l’aide d’une infrastructure protégéeDeploy PAWs using a Guarded Fabric

Une infrastructure protégée peut être utilisée pour exécuter des charges de travail de PAW sur une machine virtuelle protégée sur un ordinateur portable ou sur un serveur de renvoi.A guarded fabric can be used to run PAW workloads in a shielded virtual machine on a laptop or jump server. L’utilisation de cette approche nécessite une infrastructure et des étapes opérationnelles supplémentaires, mais peut faciliter le redéploiement des images de PAW à intervalles réguliers. Elle vous permet également de regrouper plusieurs PAW (ou classifications) de différents niveaux sur des machines virtuelles s’exécutant en même temps sur un seul appareil.Adopting this approach requires extra infrastructure and operational steps, but can make it easier to redeploy PAW images at regular intervals and allows you to consolidate multiple different tiered (or classifications) PAWs into virtual machines running side-by-side on a single device. Pour obtenir une explication détaillée de la topologie de l’infrastructure protégée et des promesses de sécurité, consultez la documentation sur l’infrastructure protégée.For a complete explanation of the guarded fabric topology and security promises, consult the guarded fabric documentation.

Modifications apportées aux objets de stratégie de groupe de PAWChanges to the PAW GPOs

Lorsque vous utilisez des PAW basés sur une machine virtuelle protégée, les paramètres de l’objet de stratégie de groupe recommandés définis ci-dessus doivent être modifiés pour prendre en charge l’utilisation des machines virtuelles.When using shielded VM-based PAWs, the recommended GPO settings defined above will need to be modified to support the use of virtual machines.

  1. Créer une nouvelle UO pour les hôtes de PAW physique.Create a new OU for the physical PAW hosts. Les PAW physiques et virtuelles ont des exigences de sécurité différentes et doivent donc être séparés dans Active Directory.Physical and virtual PAWs have different security requirements, and should be separated in Active Directory accordingly.
  2. L’objet de stratégie de groupe de l’ordinateur PAW doit être lié aux unités d’organisation du PAW physique et virtuel.The PAW Computer GPO should be linked to both the physical and virtual PAW OUs.
  3. Créez un nouvel objet de stratégie de groupe pour le PAW physique afin d’ajouter les utilisateurs PAW au groupe d’administrateurs Hyper-V.Create a new GPO for the physical PAW to add the PAW users to the Hyper-V Admins group. Cela est nécessaire pour permettre aux administrateurs de se connecter aux machines virtuelles d’administration et de les activer/désactiver selon les besoins.This is required to allow the admins to connect to the admin VMs and turn them on/off as necessary. Il est important que l’utilisateur qui se connecte au PAW physique n’ait pas de droits d’administrateur, ne dispose pas d’un accès à Internet et ne puisse pas copier des données d’ordinateur virtuel malveillant à partir de partages réseau ou de dispositifs de stockage externes sur le PAW physique.It is important that the user logging into the physical PAW does not have admin rights, access to the internet, or the ability to copy malicious virtual machine data from network shares or external storage devices onto the physical PAW.
  4. Créez un nouvel objet de stratégie de groupe pour les machines virtuelles d’administration afin d’ajouter des utilisateurs PAW au groupe d’utilisateurs du Bureau à distance Microsoft.Create a new GPO for the admin VMs to add PAW users to the Remote Desktop Users group. Cela permet aux utilisateurs d’utiliser des sessions de console Hyper-V améliorées, ce qui offre une meilleure expérience utilisateur et active le relais de carte à puce sur la machine virtuelle.This will allow the users to use Hyper-V Enhanced Console Sessions, which offer a better user experience and enables smart card passthrough to the VM.

Configurer le Service Guardian hôteSet up the Host Guardian Service

Le Service Guardian hôte est chargé vérifier l’identité et l’intégrité d’un appareil PAW physique.The Host Guardian Service is responsible for attesting to the identity and health of a physical PAW device. Seules les machines reconnues par le Service Guardian hôte et exécutant une stratégie d’intégrité du code approuvée sont autorisées à démarrer des machines virtuelles protégées.Only those machines which are known to HGS and running a trusted code integrity policy are allowed to start up shielded VMs. Cela permet de sécuriser les machines virtuelles protégées qui exécutent des charges de travail approuvées pour gérer vos ressources hiérarchisées à partir des menaces de l’environnement de bureau des utilisateurs.This helps protect the shielded VMs, which run trusted workloads to manage your tiered resources, from user desktop environment threats.

Étant donné que le Service Guardian hôte est chargé de déterminer quels dispositifs peuvent exécuter les machines virtuelles PAW, il est considéré comme une ressource de niveau 0.Since HGS is responsible for determining which devices can run PAW VMs, it is considered a Tier 0 resource. Il doit être déployé avec d’autres ressources de niveau 0 et protégé contre tout accès physique et logique non autorisé.It should be deployed alongside other Tier 0 resources and protected from unauthorized physical and logical access. Le Service Guardian hôte est un rôle en cluster, ce qui facilite la montée en charge pour un déploiement de n’importe quelle taille.HGS is a clustered role, making it easy to scale out for any size deployment. En règle général, il faut prévoir 1 serveur Service Guardian hôte pour 1 000 appareils et au minimum 3 nœuds.The general rule is to plan 1 HGS server for every 1,000 devices you have, with a minimum of 3 nodes.

  1. Pour installer votre premier serveur Service Guardian hôte, consultez d’abord l’article Installation du Service Guardian hôte – Forêt bastion et intégrez Service Guardian hôte à votre domaine de niveau 0.To install your first HGS server, start with the Install HGS - Bastion Forest article and join HGS to your Tier 0 domain.

  2. Ensuite, créez des certificats pour Service Guardian hôte à l’aide de votre autorité de certification d’entreprise.Then, create certificates for HGS using your enterprise certificate authority. Toute personne en possession des certificats de chiffrement et de signature de Service Guardian hôte peut déchiffrer une machine virtuelle protégée. Par conséquent, si vous avez accès à un module de sécurité matériel pour protéger les clés privées, nous vous recommandons de générer ces certificats à l’aide d’un module HSM.Anyone in possession of the HGS encryption and signing certificates can decrypt a shielded VM, so if you have access to a Hardware Security Module to protect private keys, it is recommended that you generate these certificates using an HSM. Pour une sécurité optimale, sélectionnez une taille de clé supérieure ou égale à 4 096 bits.For stronger security, select a key size greater than or equal to 4096 bits.

  3. Pour finir, suivez les étapes vous expliquant comment initialiser votre serveur Service Guardian hôte en mode TPM.Finally, follow the steps to initialize your HGS server in TPM Mode. L’initialisation configure les services web d’attestation et de protection des clés utilisés par vos PAW.Initialization sets up the attestation and key protection web services used by your PAWs. Le Service Guardian hôte doit être configuré avec un certificat TLS afin de protéger ces communications, et seul le port 443 doit être ouvert à partir de réseaux non approuvés vers le Service Guardian hôte.HGS should be configured with a TLS certificate to protect these communications, and only port 443 should be opened from untrusted networks to HGS.

  4. Suivez ces étapes pour ajouter des nœuds supplémentaires pour vos deuxième et troisième nœuds Service Guardian hôte et tout autre nœud supplémentaire.Follow the steps to add additional nodes for your second, third, and additional HGS nodes.

  5. Si votre serveur Service Guardian hôte exécute Windows Server 2019 ou une version ultérieure, vous pouvez activer une fonctionnalité facultative pour mettre en cache les clés des machines virtuelles protégées sur des PAW afin qu’elles puissent être utilisées en mode hors connexion.If your HGS server is running Windows Server 2019 or later, you can enable an optional feature to cache the keys for shielded VMs on PAWs so they can be used offline. Les clés sont scellées dans la configuration de sécurité actuelle du système pour empêcher toute personne d’utiliser des clés mises en cache sur un autre ordinateur ou sur le même ordinateur dans un état non sécurisé.The keys are sealed to the current security configuration of the system to prevent someone from using cached keys on another machine or the same machine in an insecure state. Cette solution peut s’avérer utile si vos utilisateurs PAW se déplacent sans accès à Internet, mais doivent tout de même pouvoir se connecter à leurs machines virtuelles PAW.This may be a useful solution if your PAW users travel without access to the Internet but still need to be able to log into their PAW VMs. Pour utiliser cette fonctionnalité, exécutez la commande suivante sur un serveur Service Guardian hôte :To use this feature, run the following command on any HGS server:

    Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true
    

Configurer l’appareil PAW physiqueSet up the physical PAW device

L’appareil PAW physique est considéré comme non approuvé par défaut dans la solution de l’infrastructure protégée.The physical PAW device is considered untrusted by default in the guarded fabric solution. Il peut prouver sa fiabilité pendant le processus d’attestation et peut ensuite obtenir les clés nécessaires pour démarrer une machine virtuelle d’administration protégée.It can prove it is trustworthy during the attestation process, after which it can obtain the keys needed to start a shielded admin VM. L’appareil doit pouvoir exécuter Hyper-V et disposer d’un démarrage sécurisé ainsi que d’un module de plateforme sécurisée 2.0 activé pour répondre aux conditions préalables de l’hôte Service Guardian.The device must be able to run Hyper-V and have Secure Boot and a TPM 2.0 enabled to meet the guarded host prerequisites. La version minimale du système d’exploitation permettant de prendre en charge toutes les fonctionnalités de PAW est Windows 10 version 1803.The minimum operating system version to support all PAW functionality is Windows 10 version 1803.

Le PAW physique doit être configuré comme toute autre élément, mais les utilisateurs PAW doivent être des administrateurs système Hyper-V pour pouvoir activer la machine virtuelle d’administration et s’y connecter.The physical PAW should be set up like any other, with the exception that any PAW users will need to be Hyper-V Administrators to be able to turn the admin VM on and connect to it. Dans votre environnement de salle blanche, vous devrez créer une configuration de référence pour chaque combinaison matérielle et logicielle unique que vous déployez en tant qu’hôtes Service Guardian pour les machines virtuelles d’administration.In your clean room environment, you will need to create a golden configuration for each unique hardware/software combination you are deploying as guarded hosts for admin VMs. Pour chaque configuration de référence, effectuez les tâches suivantes :On each golden configuration, complete the following tasks:

  1. Installez les dernières mises à jour de Windows, des pilotes et des microprogrammes sur l’ordinateur ainsi que sur tout agent de gestion ou de surveillance tiers.Install the latest updates for Windows, drivers, and firmware on the machine as well as any third party management or monitoring agents.
  2. Capturez les informations de base requises, y compris l’identificateur unique de module de plateforme sécurisée (clé de type EK), les mesures de démarrage (journal TCG) et la stratégie d’intégrité du code pour l’ordinateur.Capture the required baseline information, including the unique TPM identifier (endorsement key), boot measurements (TCG log), and code integrity policy for the machine.
  3. Copiez ces artefacts sur un serveur Service Guardian hôte et exécutez les commandes d’attestation Service Guardian hôte dans l’article précédent pour enregistrer l’ordinateur hôte.Copy these artifacts to an HGS server and run the HGS attestation commands in the previous article to register the host. Si tous vos ordinateurs hôtes utilisent la même stratégie d’intégrité du code et/ou configuration matérielle, il vous suffit d’enregistrer la stratégie d’intégrité du code/le journal TCG une seule fois.If all your hosts use the same code integrity policy and/or use the same hardware configuration, you only need to register the code integrity policy/TCG log once.

Créer le disque de modèle signéCreate the signed template disk

Les machines virtuelles protégées sont créées à l’aide de disques de modèle signés.Shielded VMs are created using signed template disks. La signature est vérifiée au moment du déploiement pour s’assurer de l’intégrité et de l’authenticité du disque avant de publier des données sensibles, telles que le mot de passe de l’administrateur, sur la machine virtuelle.The signature is verified at deployment time to verify the disk integrity and authenticity before releasing secrets such as the administrator password into the VM.

Pour créer un disque de modèle signé, suivez les étapes de déploiement de la phase 1 sur une machine virtuelle standard de deuxième génération.To create a signed template disk, follow the phase 1 deployment steps on a regular, generation 2 virtual machine. Cette machine deviendra l’image finale d’une machine virtuelle d’administration.This machine will become the golden image for an admin VM. Vous pouvez créer plusieurs disques de modèles pour disposer d’outils spécialisés disponibles dans différents contextes.You can create more than one template disk to have specialized tools available in different contexts.

Lorsque la machine virtuelle est configurée comme vous le souhaitez, exécutez C:\Windows\System32\sysprep\sysprep.exe et choisissez de généraliser le disque.When the VM is configured as desired, run C:\Windows\System32\sysprep\sysprep.exe and choose to Generalize the disk. Arrêtez le système d’exploitation lorsque la généralisation est terminée.Shut down the OS when generalization completes.

Enfin, exécutez l’assistant du disque de modèle sur le fichier VHDX à partir de la machine virtuelle pour installer les composants BitLocker et générer la signature du disque.Finally, run the Template Disk Wizard on the VHDX file from the VM to install the BitLocker components and generate the disk signature.

Créer un fichier de données de protectionCreate the shielding data file

Le disque de modèle généralisé est associé à un fichier de données de protection qui contient les données sensibles nécessaires à la configuration d’une machine virtuelle protégée.The generalized template disk is paired with a shielding data file, which contains the secrets needed to provision a shielded VM. Le fichier de données de protection comprend les éléments suivants :The shielding data file includes:

  • Une liste de gardiens indiquant sur quelles infrastructures la machine virtuelle peut s’exécuter.A list of guardians, which define the fabrics where the VM is allowed to run. Chaque cluster Service Guardian hôte est le gardien des appareils PAW qu’il protège.Each HGS cluster is a guardian for the PAW devices it protects.
  • Une liste des signatures de disque approuvées pour le déploiement.A list of disk signatures trusted for deployment. Les fichiers de données de protection publieront leurs données sensibles uniquement sur les machines virtuelles créées à l’aide d’un support source autorisé.Shielding data files will only release their secrets to VMs created using authorized source media.
  • Une stratégie de sécurité qui détermine si des protections supplémentaires doivent être mises en place pour protéger la machine virtuelle de l’hôte et si la machine virtuelle est autorisée à migrer vers une autre machine.A security policy that dictates whether extra protections should be put in place to protect the VM from the host and whether the VM is allowed to move to another machine. Les machines virtuelles d’administration de PAW doivent toujours être entièrement protégées.PAW admin VMs should always be fully shielded.
  • Le fichier de spécialisation unattend.xml, qui permet à Windows de terminer l’installation automatiquement et contient des données sensibles, telles que le mot de passe de l’administrateur local.The unattend.xml specialization file, which allows Windows to complete installation automatically and includes secrets like the local administrator's password.
  • Des fichiers supplémentaires, tels que les certificats RDP ou VPN.Additional files, such as RDP or VPN certificates.

Consultez l’article sur les fichiers de données de protection pour découvrir les étapes permettant de créer un fichier de données de protection.See the shielding data file article for steps on how to create a shielding data file.

Les clés de propriétaire des machines virtuelles protégées sont extrêmement sensibles et doivent être conservées dans un Service Guardian hôte ou stockées hors connexion dans un emplacement sûr.The owner keys for shielded VMs are extremely sensitive and should be kept in an HSM or stored offline in a safe location. Elles peuvent être utilisées dans un scénario de secours d’urgence pour démarrer une machine virtuelle protégée sans la présence de Service Guardian hôte.They can be used in an emergency break glass scenario to boot a shielded VM without the presence of HGS.

Il est fortement recommandé que les données de protection des machines virtuelles d’administration de PAW incluent le paramètre permettant de verrouiller une machine virtuelle sur le premier hôte physique où elle est démarrée.It is strongly recommended that shielding data for PAW admin VMs include the setting to lock a VM to the first physical host where it is booted. Cela permet d’éviter qu’une personne puisse de déplacer une machine virtuelle d’administration d’un PAW à l’autre dans le même environnement.This will prevent someone from moving an admin VM from one PAW to another PAW in the same environment. Pour utiliser cette fonctionnalité, créez le fichier de données de protection avec PowerShell et incluez le paramètre BindToHostTpm :To use this feature, create the shielding data file with PowerShell and include the BindToHostTpm parameter:

New-ShieldingDataFile -Policy Shielded -BindToHostTpm [...]

Déployer une machine virtuelle d’administrationDeploy an admin VM

Lorsque le disque de modèle et le fichier de données de protection sont prêts, vous pouvez déployer une machine virtuelle d’administration sur n’importe quel PAW enregistré avec Service Guardian hôte.Once the template disk and shielding data file are ready, you can deploy an admin VM on any PAW that was registered with HGS.

  1. Copiez le disque de modèle (.vhdx) et le fichier de données de protection (.pdk) sur un appareil PAW de confiance.Copy the template disk (.vhdx) and shielding data file (.pdk) to a trusted PAW device.
  2. Suivez les instructions pour déployer une nouvelle machine virtuelle protégée à l’aide de PowerShellFollow the instructions to deploy a new shielded VM using PowerShell
  3. Effectuez les étapes restantes de la phase 1 du processus de déploiement pour sécuriser le système d’exploitation de la machine virtuelle et la configurer pour son rôle prévu, si besoin.Complete the remaining steps in phase 1 of the deployment process to secure the VM operating system and configure it for its intended role, as appropriate.

Utiliser les services de cybersécurité de MicrosoftEngaging Microsoft Cybersecurity Services

Aperçu de Premier : Comment atténuer les vols d’informations d’identification de type Pass-the-Hash ou autresTaste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

Microsoft Advanced Threat AnalyticsMicrosoft Advanced Threat Analytics

Protéger les informations d’identification de domaine dérivées avec la protection des informations d’identificationProtect derived domain credentials with Credential Guard

Vue d’ensemble de Device GuardDevice Guard Overview

Protection des ressources de haute valeur avec les stations de travail à administration sécuriséeProtecting high-value assets with secure admin workstations

Mode utilisateur isolé dans Windows 10 avec Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Processus et fonctionnalités du mode utilisateur isolé dans Windows 10 avec Logan Gabriel (Channel  9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Plus d’informations sur les processus et les fonctionnalités du mode utilisateur isolé de Windows 10 avec Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Prévention des vols d’informations d’identification à l’aide du mode utilisateur isolé de Windows 10 (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

Activation de la validation du contrôleur de domaine Kerberos (KDC) stricte dans Windows KerberosEnabling Strict KDC Validation in Windows Kerberos

Nouveautés de l’authentification Kerberos pour Windows Server 2012What's New in Kerberos Authentication for Windows Server 2012

Guide pas à pas : garantie d’un mécanisme d’authentification pour les services de domaine Active Directory dans Windows Server 2008 R2Authentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Module de plateforme sécuriséeTrusted Platform Module