Stations de travail de l’accès privilégiéPrivileged Access Workstations

S’applique à: Windows Server2016, Windows Server2012R2, Windows Server2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Stations travail à accès privilégié (Paw) fournissent un système d’exploitation dédié pour les tâches sensibles soient protégées contre les attaques Internet et les vecteurs de menace.Privileged Access Workstations (PAWs) provide a dedicated operating system for sensitive tasks that is protected from Internet attacks and threat vectors. Séparer ces tâches et comptes sensibles de quotidiennement utiliser des stations de travail et périphériques fournit très forte protection contre les attaques par hameçonnage, applications et des vulnérabilités du système d’exploitation, diverses attaques d’emprunt d’identité et les attaques de vol d’informations d’identification telles que l’enregistrement de frappe, Pass-the-Hash, et Pass-The-Ticket.Separating these sensitive tasks and accounts from the daily use workstations and devices provides very strong protection from phishing attacks, application and OS vulnerabilities, various impersonation attacks, and credential theft attacks such as keystroke logging, Pass-the-Hash, and Pass-The-Ticket.

Vue d’ensemble de l’architectureArchitecture Overview

Le diagramme ci-dessous illustre un «canal» distinct pour l’administration (une tâche très sensible) qui est créé en conservant des comptes d’administration dédiés distincts et les stations de travail.The diagram below depicts a separate "channel" for administration (a highly sensitive task) that is created by maintaining separate dedicated administrative accounts and workstations.

Diagramme montrant un «canal» distinct d’administration (une tâche très sensible) qui est créée en conservant des comptes d’administration dédiés distincts et les stations de travail

Cette approche architecturale s’appuie sur les protections trouvées dans Windows10 Credential Guard et Device Guard et va au-delà de ces protections pour les tâches et comptes sensibles.This architectural approach builds on the protections found in the Windows 10 Credential Guard and Device Guard features and goes beyond those protections for sensitive accounts and tasks.

Cette méthodologie est appropriée pour les comptes ayant accès aux ressources à valeur élevée:This methodology is appropriate for accounts with access to high value assets:

  • Des privilèges d’administration les Paw fournissent une sécurité accrue pour un fort impact rôles d’administration et de tâches.Administrative Privileges the PAWs provide increased security for high impact IT administrative roles and tasks. Cette architecture peut être appliquée à l’administration de nombreux types de systèmes, y compris les domaines ActiveDirectory et des forêts, les clients de MicrosoftAzure ActiveDirectory, aux clients Office 365, réseaux de contrôle de processus (PCN), données (SCADA) et contrôle des systèmes, des distributeurs (DAB) et appareils de Point de vente (PDV).This architecture can be applied to administration of many types of systems including Active Directory Domains and Forests, Microsoft Azure Active Directory tenants, Office 365 tenants, Process Control Networks (PCN), Supervisory Control and Data Acquisition (SCADA) systems, Automated Teller Machines (ATMs), and Point of Sale (PoS) devices.

  • Haute sensibilité travailleurs l’approche utilisée dans un PAW peut également fournir une protection pour les tâches de traitement des informations hautement confidentielles et personnel, telles que celles impliquant une activité fusion et d’Acquisition d’annonce avant, versions préliminaire des rapports financiers, présence de médias sociaux d’organisation, communications executive, les secrets commerciaux non brevetées, recherche sensible ou autres données propriétaires ou sensibles.High Sensitivity Information workers the approach used in a PAW can also provide protection for highly sensitive information worker tasks and personnel such as those involving pre-announcement Merger and Acquisition activity, pre-release financial reports, organizational social media presence, executive communications, unpatented trade secrets, sensitive research, or other proprietary or sensitive data. Ce guide ne pas discuter de la configuration de ces scénarios de traitement des informations en profondeur ou inclure ce scénario dans les instructions techniques.This guidance does not discuss the configuration of these information worker scenarios in depth or include this scenario in the technical instructions.

    Notes

    MicrosoftIT utilise les Paw (en interne dénommé «stations de travail admin sécurisées», ou SAW) pour gérer l’accès sécurisé aux systèmes à haute valeur internes au sein de Microsoft.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Ce guide propose ci-dessous des détails supplémentaires sur l’utilisation de PAW chez Microsoft dans la section «Comment Microsoft utilise les stations de travail admin».This guidance has additional details below on PAW usage at Microsoft in the section "How Microsoft uses admin workstations". Pour plus d’informations sur cette approche d’environnement de ressources haute valeur, reportez-vous à l’article protection des ressources à haute valeur avec les stations de travail admin sécurisées.For more detailed information on this high value asset environment approach, please refer to the article, Protecting high-value assets with secure admin workstations.

Ce document décrit pourquoi cette pratique est recommandée pour la protection des comptes privilégiés à impact élevé, ce que ces solutions PAW ressemblent pour la protection des privilèges d’administrateur et comment déployer rapidement une solution PAW pour l’administration des services de domaine et le cloud.This document will describe why this practice is recommended for protecting high impact privileged accounts, what these PAW solutions look like for protecting administrative privileges, and how to quickly deploy a PAW solution for domain and cloud services administration.

Ce document fournit des instructions détaillées pour l’implémentation de plusieurs configurations PAW et inclut des instructions d’implémentation détaillées pour vous aider à démarrer sur la protection des comptes à impact élevé courantes:This document provides detailed guidance for implementing several PAW configurations and includes detailed implementation instructions to get you started on protecting common high impact accounts:

  • Phase 1 - déploiement immédiat pour les administrateurs ActiveDirectory cela fournit rapidement un PAW qui peut protéger locaux les rôles d’administration de domaine et de forêtPhase 1 - Immediate Deployment for Active Directory Administrators this provides a PAW quickly that can protect on premises domain and forest administration roles

  • Phase 2 - étendre les PAW à tous les administrateurs Active la protection pour les administrateurs de services cloud comme Office 365 et Azure, serveurs d’entreprise, les applications d’entreprise et stations de travailPhase 2 - Extend PAW to all administrators this enables protection for administrators of cloud services like Office 365 and Azure, enterprise servers, enterprise applications, and workstations

  • Phase 3 - sécurité avancée avec PAW traite les protections supplémentaires et les considérations relatives à la sécurité des PAWPhase 3 - Advanced PAW security this discusses additional protections and considerations for PAW security

Pourquoi une station de travail dédiée?Why a dedicated workstation?

L’environnement de menace actuel pour les organisations est répandue d’hameçonnages sophistiqués et d’autres attaques internet qui continue du risque de compromettre la sécurité pour les comptes exposés à internet et les stations de travail.The current threat environment for organizations is rife with sophisticated phishing and other internet attacks that create continuous risk of security compromise for internet exposed accounts and workstations.

Cet environnement de menace nécessite une organisations à adopter une posture de sécurité «supposent violation» lors de la conception des protections pour les ressources à valeur élevée, comme les comptes d’administration et des ressources d’entreprise sensibles.This threat environment requires an organizations to adopt an "assume breach" security posture when designing protections for high value assets like administrative accounts and sensitive business assets. Ces ressources à valeur élevée doivent être protégées contre les direct menaces internet ainsi que les attaques montées à partir d’autres stations de travail, les serveurs et les périphériques de l’environnement.These high value assets need to be protected against both direct internet threats as well as attacks mounted from other workstations, servers, and devices in the environment.

Figure montrant le risque pour les ressources gérées Si une personne malveillante prend le contrôle d’une station de travail utilisateur où les informations d’identification sensibles sont utilisées

Cette figure illustre les risques pour les ressources gérées Si une personne malveillante prend le contrôle d’une station de travail utilisateur où les informations d’identification sensibles sont utilisées.This figure depicts risk to managed assets if an attacker gains control of a user workstation where sensitive credentials are used.

Une personne malveillante de contrôle d’un système d’exploitation a de nombreuses façons d’accéder à toutes les activités sur la station de travail de manière illégale et emprunter l’identité du compte légitime.An attacker in control of an operating system has numerous ways in which to illicitly gain access to all activity on the workstation and impersonate the legitimate account. Diverses techniques d’attaque connues et inconnues permet d’obtenir ce niveau d’accès.A variety of known and unknown attack techniques can be used to gain this level of access. Les volumes croissants et la sophistication des cyberattaques ont rendu nécessaire d’étendre ce concept de séparation pour séparer complètement les systèmes d’exploitation de client pour les comptes sensibles.The increasing volume and sophistication of cyberattacks have made it necessary to extend that separation concept to completely separate client operating systems for sensitive accounts. Pour plus d’informations sur ces types d’attaques, visitez le site Web Pass The Hash pour consulter des livres blancs, des vidéos et plus encore.For more information on these types of attacks, please visit the Pass The Hash web site for informative white papers, videos and more.

L’approche PAW est une extension de la pratique recommandée établie d’utiliser des comptes d’utilisateur et d’administration séparés pour le personnel administratif.The PAW approach is an extension of the well-established recommended practice to use separate admin and user accounts for administrative personnel. Cette pratique utilise un compte d’administration affecté de manière individuelle qui est complètement distinct de compte d’utilisateur standard de l’utilisateur.This practice uses an individually assigned administrative account that is completely separate from the user's standard user account. PAW s’appuie sur cette pratique de séparation du compte en fournissant une station de travail digne de confiance pour les comptes sensibles.PAW builds on that account separation practice by providing a trustworthy workstation for those sensitive accounts.

Notes

MicrosoftIT utilise les Paw (en interne dénommé «stations de travail admin sécurisées», ou SAW) pour gérer l’accès sécurisé aux systèmes à haute valeur internes au sein de Microsoft.Microsoft IT uses PAWs (internally referred to as "secure admin workstations", or SAWs) to manage secure access to internal high-value systems within Microsoft. Ce guide propose des détails supplémentaires sur l’utilisation de PAW chez Microsoft dans la section «Comment Microsoft utilise les stations de travail admin»This guidance has additional details on PAW usage at Microsoft in the section "How Microsoft uses admin workstations"

Pour plus d’informations sur cette approche d’environnement de ressources haute valeur, reportez-vous à l’article protection des ressources à haute valeur avec les stations de travail admin sécurisées.For more detailed information on this high value asset environment approach, please refer to the article Protecting high-value assets with secure admin workstations.

Ce guide PAW est conçu pour vous aider à implémenter cette fonctionnalité pour protéger les comptes à valeur élevée telles que les administrateurs informatiques à privilèges élevés et les comptes d’entreprise haute sensibilité.This PAW guidance is intended to help you implement this capability for protecting high value accounts such as high-privileged IT administrators and high sensitivity business accounts. Le guide vous aide à vous:The guidance helps you:

  • Limiter l’exposition des informations d’identification aux seuls hôtes approuvésRestrict exposure of credentials to only trusted hosts

  • Fournir une station de travail haute sécurité aux administrateurs afin de pouvoir facilement effectuer des tâches d’administration.Provide a high-security workstation to administrators so they can easily perform administrative tasks.

Restreindre les comptes sensibles à l’utilisation exclusive de Paw renforcés est une protection simple pour ces comptes qui est utilisable pour les administrateurs et très difficile à défaire pour.Restricting the sensitive accounts to using only hardened PAWs is a straightforward protection for these accounts that is both highly usable for administrators and very difficult for an adversary to defeat.

Autres approches - restrictions, considérations et intégrationAlternate approaches - Limitations, considerations, and integration

Cette section contient des informations sur la façon dont la sécurité des approches compare à PAW et comment intégrer correctement ces approches dans une architecture PAW.This section contains information on how the security of alternate approaches compares to PAW and how to correctly integrate these approaches within a PAW architecture. Toutes ces approches comportent des risques importants lors de l’implémentation de manière isolée, mais peuvent ajouter de valeur à une implémentation PAW dans certains scénarios.All of these approaches carry significant risks when implemented in isolation, but can add value to a PAW implementation in some scenarios.

Credential Guard et MicrosoftPassportCredential Guard and Microsoft Passport

Introduite dans Windows10, Credential Guard utilise le matériel et la sécurité basée sur la virtualisation pour atténuer les attaques de vol d’informations d’identification courantes, telles que Pass-the-Hash, en protégeant les informations d’identification dérivées.Introduced in Windows 10, Credential Guard uses hardware and virtualization-based security to mitigate common credential theft attacks, such as Pass-the-Hash, by protecting the derived credentials. La clé privée des informations d’identification utilisées par MicrosoftPassport peut être également être protégé par le matériel du Module de plateforme sécurisée (TPM).The private key for credentials used by Microsoft Passport can be also be protected by Trusted Platform Module (TPM) hardware.

Il s’agit d’atténuations puissantes, mais les stations de travail peuvent encore être vulnérables à certaines attaques même si les informations d’identification sont protégées par Credential Guard ou Passport.These are powerful mitigations, but workstations can still be vulnerable to certain attacks even if the credentials are protected by Credential Guard or Passport. Les attaques peuvent inclure l’utilisation abusive des privilèges et des informations d’identification directement à partir d’un appareil, la réutilisation des informations d’identification précédemment volées avant d’activer Credential Guard et l’abus des configurations d’applications gestion outils et faible sur la station de travail.Attacks can include abusing privileges and use of credentials directly from a compromised device, reusing previously stolen credentials prior to enabling Credential Guard, and abuse of management tools and weak application configurations on the workstation.

Le Guide PAW de cette section inclut l’utilisation d’un grand nombre de ces technologies pour les tâches et les comptes à sensibilité élevée.The PAW guidance in this section includes the use of many of these technologies for high sensitivity accounts and tasks.

Machines virtuelles administrativesAdministrative VM

Un ordinateur virtuel d’administration (VM) est un système d’exploitation dédié pour les tâches administratives hébergé sur un ordinateur de bureau utilisateur standard.An administrative virtual machine (VM) is a dedicated operating system for administrative tasks hosted on a standard user desktop. Cette approche est similaire à PAW, en fournissant un système d’exploitation dédié pour les tâches d’administration, il a une erreur irrécupérable dans la mesure où dépend de la machine virtuelle administrative sur le bureau utilisateur standard pour sa sécurité.While this approach is similar to PAW in providing a dedicated OS for administrative tasks, it has a fatal flaw in that the administrative VM is dependent on the standard user desktop for its security.

Le diagramme ci-dessous illustre la capacité des pirates à suivre la chaîne de contrôle à l’objet cible de vos centres d’intérêt avec une VM Admin sur une station de travail utilisateur et qu’il est difficile de créer un chemin d’accès sur la configuration inverse.The diagram below depicts the ability of attackers to follow the control chain to the target object of interest with an Admin VM on a User Workstation and that it is difficult to create a path on the reverse configuration.

L’architecture PAW ne permet pas pour l’hébergement d’une machine virtuelle administrative sur une station de travail utilisateur, mais une machine virtuelle d’utilisateur avec une image d’entreprise standard peut être hébergé sur un ordinateur hôte PAW pour fournir au personnel un PC unique pour toutes les responsabilités.The PAW architecture does not allow for hosting an admin VM on a user workstation, but a user VM with a standard corporate image can be hosted on a PAW host to provide personnel with a single PC for all responsibilities.

Diagramme de l’architecture PAW

Serveur de renvoiJump Server

Administration architectures «Serveur de renvoi» configurer un petit nombre des serveurs console d’administration et limiter personnel leur utilisation pour les tâches administratives.Administrative "Jump Server" architectures set up a small number administrative console servers and restrict personnel to using them for administrative tasks. Cela est généralement lié à des services Bureau à distance, une solution de virtualisation de présentation 3 rd-party ou une technologie Virtual Desktop Infrastructure (VDI).This is typically based on remote desktop services, a 3rd-party presentation virtualization solution, or a Virtual Desktop Infrastructure (VDI) technology.

Cette approche est souvent proposée pour atténuer les risques pour l’administration et qu’il fournit des garanties de sécurité, mais l’approche de serveur renvoi elle-même est vulnérable à certaines attaques car il ne respecte pas la principe de «source» propre.This approach is frequently proposed to mitigate risk to administration and does provide some security assurances, but the jump server approach by itself is vulnerable to certain attacks because it violates the "clean source" principle. Le principe de source propre nécessite toutes les dépendances de sécurité de confiance en tant que l’objet sécurisé.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Figure montrant une relation de contrôle simple

Cette figure illustre une relation de contrôle simple.This figure depicts a simple control relationship. N’importe quel sujet ayant le contrôle d’un objet est une dépendance de sécurité de cet objet.Any subject in control of an object is a security dependency of that object. Si un pirate peut contrôler une dépendance de sécurité d’un objet cible (sujet), il peut contrôler cet objet.If an adversary can control a security dependency of a target object (subject), they can control that object.

La session d’administration sur le serveur de renvoi s’appuie sur l’intégrité de l’ordinateur local y accéder.The administrative session on the jump server relies on the integrity of the local computer accessing it. Si cet ordinateur est une station de travail utilisateur soumis à des attaques par hameçonnage et d’autres vecteurs d’attaque sur internet, la session d’administration est également soumis à ces risques.If this computer is a user workstation subject to phishing attacks and other internet-based attack vectors, then the administrative session is also subject to those risks.

Figure montrant comment les pirates peuvent suivre une chaîne de contrôle établie à l’objet cible de vos centres d’intérêt

L’illustration ci-dessus montre comment les pirates peuvent suivre une chaîne de contrôle établie à l’objet cible de vos centres d’intérêt.The figure above depicts how attackers can follow an established control chain to the target object of interest.

Alors que certains contrôles de sécurité avancés, comme l’authentification multifacteur permettre augmenter la difficulté à une personne malveillante prenant en charge cette session d’administration à partir de la station de travail utilisateur, aucune fonctionnalité de sécurité peuvent entièrement protéger contre les attaques techniques lorsqu’une personne malveillante a accès administratif de l’ordinateur source (par exemple, injection de commandes illicites dans une session légitime, piratage des processus légitimes et ainsi de suite.)While some advanced security controls like multi-factor authentication can increase the difficulty of an attacker taking over this administrative session from the user workstation, no security feature can fully protect against technical attacks when an attacker has administrative access of the source computer (e.g. injecting illicit commands into a legitimate session, hijacking legitimate processes, and so on.)

La configuration par défaut dans ce guide de PAW installe les outils d’administration sur le PAW, mais une architecture de serveur de renvoi peut également être ajoutée si nécessaire.The default configuration in this PAW guidance installs administrative tools on the PAW, but a jump server architecture can also be added if required.

Figure montrant comment inverser la relation de contrôle et d’accéder aux applications de l’utilisateur à partir d’une station de travail administrateur ne laissent au pirate aucun chemin d’accès à l’objet ciblé

Cette illustration montre comment inverser la relation de contrôle et d’accéder aux applications de l’utilisateur à partir d’une station de travail administrateur ne laissent au pirate aucun chemin d’accès à l’objet ciblé.This figure shows how reversing the control relationship and accessing user apps from an admin workstation gives the attacker no path to the targeted object. Le serveur de renvoi utilisateur est toujours exposé à des risques donc appropriés, les contrôles de détection et les processus de réponse doivent toujours être appliqués pour cet ordinateur accessible sur internet.The user jump server is still exposed to risk so appropriate protective controls, detective controls, and response processes should still be applied for that internet-facing computer.

Cette configuration nécessite de suivre les pratiques opérationnelles en étroite collaboration pour vous assurer qu’ils saisie accidentelle des informations d’identification d’administrateur dans la session utilisateur sur son bureau, les administrateurs.This configuration requires administrators to follow operational practices closely to ensure that they don't accidentally enter administrator credentials into the user session on their desktop.

Figure montrant comment accéder à un serveur de renvoi administratif à partir d’un PAW n’ajoute aucun chemin d’accès pour la personne malveillante dans les ressources d’administration

Cette illustration montre comment accéder à un serveur de renvoi administratif à partir d’un PAW n’ajoute aucun chemin d’accès pour la personne malveillante dans les ressources d’administration.This figure shows how accessing an administrative jump server from a PAW adds no path for the attacker into the administrative assets. Un serveur de renvoi avec un PAW dans ce cas vous permet de consolider le nombre d’emplacements pour surveiller l’activité d’administration et de distribuer des outils et applications d’administration.A jump server with a PAW allows in this case you to consolidate the number of locations for monitoring administrative activity and distributing administrative applications and tools. Cela ajoute une certaine complexité de la conception, mais peut simplifier les mises à jour de logiciels et la surveillance sécurité si un grand nombre de comptes et stations de travail est utilisé dans votre implémentation PAW.This adds some design complexity, but can simplify security monitoring and software updates if a large number of accounts and workstations are used in your PAW implementation. Le serveur de renvoi doivent être créé et configuré pour les normes de sécurité similaire en tant que le PAW.The jump server would need to be built and configured to similar security standards as the PAW.

Solutions de gestion des privilègesPrivilege Management Solutions

Solutions de gestion des privilèges sont des applications qui fournissent un accès temporaire à privilèges discrets ou des comptes privilégiés à la demande.Privileged Management solutions are applications that provide temporary access to discrete privileges or privileged accounts on demand. Solutions de gestion des privilèges sont un composant primordial d’une stratégie complète pour sécuriser l’accès privilégié et fournir une visibilité extrêmement importante et responsabilisation des activités administratives.Privilege management solutions are an extremely valuable component of a complete strategy to secure privileged access and provide critically important visibility and accountability of administrative activity.

Ces solutions utilisent généralement un flux de travail flexible pour accorder l’accès et beaucoup ont des fonctionnalités de sécurité supplémentaires et des fonctionnalités telles que la gestion de mots de passe de compte de service et l’intégration avec les serveurs de renvoi administratif.These solutions typically use a flexible workflow to grant access and many have additional security features and capabilities like service account password management and integration with administrative jump servers. Il existe de nombreuses solutions sur le marché qui fournissent des fonctionnalités de gestion, y compris la gestion des accès privilégiés MicrosoftIdentity Manager (MIM) (PAM) de privilège.There are many solutions on the market that provide privilege management capabilities, one of which is Microsoft Identity Manager (MIM) privileged access management (PAM).

Microsoft recommande d’utiliser un PAW pour les solutions de gestion des accès privilège.Microsoft recommends using a PAW to access privilege management solutions. Accès à ces solutions doit être accordé uniquement aux Paw.Access to these solutions should be granted only to PAWs. Microsoft ne recommande pas l’utilisation de ces solutions en remplacement d’un PAW car l’accès à des privilèges à l’aide de ces solutions à partir d’un ordinateur de bureau utilisateur potentiellement compromis ne respecte pas la source propre principe comme illustré dans le diagramme ci-dessous:Microsoft does not recommend using these solutions as a substitute for a PAW because accessing privileges using these solutions from a potentially compromised user desktop violates the clean source principle as depicted in the diagram below:

Diagramme montrant comment Microsoft ne recommande pas à l’aide de ces solutions en remplacement d’un PAW, car l’accès à des privilèges à l’aide de ces solutions à partir d’un ordinateur de bureau utilisateur potentiellement compromis viole le principe de source propre

Fournir un PAW pour accéder à ces solutions vous permet de bénéficier des avantages de sécurité de PAW et la solution de gestion de privilèges, comme illustré dans ce diagramme:Providing a PAW to access these solutions enables you to gain the security benefits of both PAW and the privilege management solution, as depicted in this diagram:

Diagramme montrant comment fournir un PAW pour accéder à ces solutions vous permet de bénéficier des avantages de sécurité de PAW et la solution de gestion de privilèges

Notes

Ces systèmes doivent être classés au niveau plus élevé du privilège gérer et de protéger à ou au-dessus de ce niveau de sécurité.These systems should be classified at the highest tier of the privilege they manage and be protected at or above that level of security. Ceux-ci sont généralement configurés pour gérer les ressources de niveau 0 et les solutions de niveau 0 et doivent être classés au niveau 0.These are commonly configured to manage Tier 0 solutions and Tier 0 assets and should be classified at Tier 0. Pour plus d’informations sur le modèle de niveau, voir http://aka.ms/tiermodel pour plus d’informations sur les groupes de niveau 0, consultez l’équivalence de niveau 0dans sécurisation de l’accès référence privilégié.For more information on the tier model, see http://aka.ms/tiermodel For more information on Tier 0 groups, see Tier 0 equivalency in Securing Privileged Access Reference Material.

Pour plus d’informations sur le déploiement de gestion de l’accès privilégié MicrosoftIdentity Manager (MIM) (PAM), voir http://aka.ms/mimpamdeployFor more information on deploying Microsoft Identity Manager (MIM) privileged access management (PAM), see http://aka.ms/mimpamdeploy

Comment Microsoft utilise les stations de travail adminHow Microsoft is using admin workstations

Microsoft utilise l’approche d’architecturale PAW en interne sur nos systèmes ainsi qu’avec nos clients.Microsoft uses the PAW architectural approach both internally on our systems as well as with our customers. Microsoft utilise les stations de travail administratives en interne dans un certain nombre de capacités, notamment l’administration de l’infrastructure de MicrosoftIT, développement de l’infrastructure Microsoft cloud fabric operations et des autres ressources à valeur élevée.Microsoft uses administrative workstations internally in a number of capacities including administration of Microsoft IT infrastructure, Microsoft cloud fabric infrastructure development and operations, and other high value assets.

Ce guide est directement basé sur l’architecture de référence de station de travail à accès privilégié (PAW) déployé par nos équipes de services professionnels de cybersécurité pour protéger les clients contre les attaques.This guidance is directly based on the Privileged Access Workstation (PAW) reference architecture deployed by our cybersecurity professional services teams to protect customers against cybersecurity attacks. Les stations de travail d’administration sont également un élément clé de la protection la plus robuste pour les tâches d’administration, l’architecture de référence de forêt d’administration améliorée sécurité Administrative Environment (ESAE).The administrative workstations are also a key element of the strongest protection for domain administration tasks, the Enhanced Security Administrative Environment (ESAE) administrative forest reference architecture.

Pour plus d’informations sur la forêt d’administration ESAE, consultez approche de conception de forêt d’administration ESAE section sécurisation de l’accès référence privilégié.For more details on the ESAE administrative forest, see ESAE Administrative Forest Design Approach section in Securing Privileged Access Reference Material.

Pour plus d’informations sur le recours aux services Microsoft pour déployer un PAW ou ESAE pour votre environnement, contactez votre représentant Microsoft ou visitez cette page.For more information on engaging Microsoft services to deploy a PAW or ESAE for your environment, contact your Microsoft representative or visit this page.

Qu’est une station de travail à accès privilégié (PAW)?What is a Privileged Access Workstation (PAW)?

En termes plus simples, un PAW est une station de travail renforcée et verrouillée conçue pour fournir des garanties de haute sécurité pour les tâches et comptes sensibles.In simplest terms, a PAW is a hardened and locked down workstation designed to provide high security assurances for sensitive accounts and tasks. Les Paw sont recommandés pour l’administration des systèmes d’identité, la services cloud et la structure de cloud privé ainsi que les fonctions sensibles de l’entreprise.PAWs are recommended for administration of identity systems, cloud services, and private cloud fabric as well as sensitive business functions.

Notes

L’architecture PAW ne nécessite pas un mappage 1:1des comptes pour les stations de travail, s’il s’agit d’une configuration commune.The PAW architecture doesn't require a 1:1 mapping of accounts to workstations, though this is a common configuration. Un PAW crée un environnement de station de travail de confiance qui peut être utilisé par un ou plusieurs comptes.PAW creates a trusted workstation environment that can be used by one or more accounts.

Afin d’offrir la plus grande sécurité, Paw doivent toujours exécuter le plus à jour et sécurisé système d’exploitation: Microsoft recommande fortement Windows10 entreprise, qui inclut un certain nombre de fonctionnalités de sécurité supplémentaires non disponibles dans les autres éditions (en particulier, Credential Guard et Device Guard).In order to provide the greatest security, PAWs should always run the most up-to-date and secure operating system available: Microsoft strongly recommends Windows 10 Enterprise, which includes a number of additional security features not available in other editions (in particular, Credential Guard and Device Guard).

Notes

Les organisations sans accès à Windows10 entreprise peuvent utiliser Windows10 Pro, qui comprend de nombreuses technologies fondamentales critiques pour les Paw, y compris le démarrage sécurisé, BitLocker et Bureau à distance.Organizations without access to Windows 10 Enterprise can use Windows 10 Pro, which includes many of the critical foundational technologies for PAWs, including Trusted Boot, BitLocker, and Remote Desktop. Clients de l’éducation peuvent utiliser Windows10 éducation.Education customers can use Windows 10 Education. Windows10 famille ne doit pas être utilisé pour un PAW.Windows 10 Home should not be used for a PAW.

Pour un tableau de comparaison des différentes éditions de Windows10, lisez cet article.For a comparison matrix of the different editions of Windows 10, read this article.

Les contrôles de sécurité dans le PAW visent à atténuer l’impact le plus élevé et les risques les plus probables de compromission.The security controls in PAW are focused on mitigating the highest impact and most likely risks of compromise. Il s’agit notamment d’atténuation des attaques sur l’environnement et d’atténuation des risques que les contrôles du PAW se dégradent au fil du temps:These include mitigating attacks on the environment and mitigating risks that the PAW controls may degrade over time:

  • Attaques Internet -la plupart des attaques provenant de sources internet directement ou indirectement et utilisent internet pour l’exfiltration, les commandes et contrôle (C2).Internet attacks - Most attacks originate directly or indirectly from internet sources and use the internet for exfiltration and command and control (C2). Isoler le PAW de l’internet public est un élément clé pour garantir que le PAW n’est pas compromis.Isolating the PAW from the open internet is a key element to ensuring the PAW is not compromised.

  • Risque de facilité d’utilisation -si un PAW est trop difficile à utiliser pour les tâches quotidiennes, les administrateurs seront encouragés créer des solutions de contournement pour faciliter leurs tâches.Usability risk - If a PAW is too difficult to use for daily tasks, administrators will be motivated to create workarounds to make their jobs easier. Souvent, ces solutions de contournement Ouvrez la station de travail d’administration et les comptes à des risques de sécurité, il est donc essentiel d’impliquer et permettre aux utilisateurs PAW pour atténuer ces problèmes de facilité d’utilisation en toute sécurité.Frequently, these workarounds open the administrative workstation and accounts to significant security risks, so it's critical to involve and empower the PAW users to mitigate these usability issues securely. Cette opération est effectuée souvent en écoutant leurs commentaires, l’installation des outils et scripts requis pour effectuer leur travail et en garantissant le personnel administratif connaissent pourquoi ils doivent utiliser un PAW, quels un PAW est et comment l’utiliser correctement et avec succès.This is frequently accomplished by listening to their feedback, installing tools and scripts required to perform their jobs, and ensuring all administrative personnel are aware of why they need to use a PAW, what a PAW is, and how to use it correctly and successfully.

  • Risques de l’environnement -étant donné que de nombreux autres ordinateurs et les comptes de l’environnement sont exposés au répertoire de risques internet ou indirectement, un PAW doit être protégé contre les attaques de ressources compromises dans l’environnement de production.Environment risks - Because many other computers and accounts in the environment are exposed to internet risk directory or indirectly, a PAW must be protected against attacks from compromised assets in the production environment. Cela nécessite de limiter les outils de gestion et les comptes qui ont accès au Paw au strict minimum requis pour sécuriser et surveiller ces stations de travail spécialisées.This requires limiting the management tools and accounts that have access to the PAWs to the absolute minimum required to secure and monitor these specialized workstations.

  • Fournir de falsification de la chaîne - s’il est impossible de supprimer tous les risques possibles de falsification de la chaîne logistique pour le matériel et logiciel, en prenant quelques mesures essentielles peuvent atténuer les vecteurs d’attaque critiques qui sont accessibles aux pirates.Supply chain tampering - While it's impossible to remove all possible risks of tampering in the supply chain for hardware and software, taking a few key actions can mitigate critical attack vectors that are readily available to attackers. Cela inclut la validation de l’intégrité de tous les supports d’installation (principe de Source) et à l’aide d’un fournisseur approuvé et digne de confiance pour le matériel et logiciel.This includes validating the integrity of all installation media (Clean Source Principle) and using a trusted and reputable supplier for hardware and software.

  • Les attaques physiques -les Paw pouvant être physiquement mobiles et utilisés en dehors des emplacements physiquement sécurisés, ils doivent être protégés contre les attaques qui exploitent l’accès physique à l’ordinateur.Physical attacks - Because PAWs can be physically mobile and used outside of physically secure facilities, they must be protected against attacks that leverage unauthorized physical access to the computer.

Notes

Un PAW ne protègera pas un environnement d’un pirate qui a déjà acquis un accès administratif sur une forêt ActiveDirectory.A PAW will not protect an environment from an adversary that has already gained administrative access over an Active Directory Forest. Étant donné que de nombreuses implémentations existantes des Services de domaine ActiveDirectory ont été utilisées pendant des années, au risque de vol d’informations d’identification, organisations doivent supposer violation et envisagez la possibilité que peut avoir une compromission des informations d’identification d’administrateur entreprise ou de domaine non détectée.Because many existing implementations of Active Directory Domain Services have been operating for years at risk of credential theft, organizations should assume breach and consider the possibility that they may have an undetected compromise of domain or enterprise administrator credentials. Une organisation qui soupçonne la compromission de domaine doit envisager l’utilisation des services de réponse aux incidents professionnels.An organization that suspects domain compromise should consider the use of professional incident response services.

Pour plus d’informations sur les instructions de réponse et de récupération, consultez «Répondre à une activité suspecte» et «Récupérer d’une violation» de sections de Mitigating Pass-the-Hash et autres vols d’informations d’identification, version2.For more information on response and recovery guidance, see the "Respond to suspicious activity" and "Recover from a breach" sections of Mitigating Pass-the-Hash and Other Credential Theft, version 2.

Visitez réponse aux incidents de Microsoft et les services de récupération page pour plus d’informations.Visit Microsoft's Incident Response and Recovery services page for more information.

Profils matériels PAWPAW Hardware Profiles

Le personnel administratif est également des utilisateurs standard trop: ils doivent avoir non seulement un PAW, mais aussi une station de travail utilisateur standard pour vérifier votre messagerie électronique, naviguer sur le web et accéder à une ligne d’entreprise des applications d’entreprise.Administrative personnel are also standard users too - they need not only a PAW, but also a standard user workstation to check email, browse the web, and access corporate line of business applications. S’assurer que les administrateurs peuvent rester productifs et sécurisés est essentielle pour la réussite du déploiement d’un PAW.Ensuring that administrators can remain both productive and secure is essential to the success of any PAW deployment. Une solution sécurisée qui limite considérablement la productivité est abandonnée par les utilisateurs en faveur de ce qui améliore la productivité (même si elle s’effectue de façon non sécurisée).A secure solution that dramatically limits productivity will be abandoned by the users in favor of one that enhances productivity (even if it is done in an insecure manner).

Afin d’équilibrer les besoins de sécurité et de productivité, Microsoft recommande d’utiliser un de ces profils matériels PAW:In order to balance the need for security with the need for productivity, Microsoft recommends using one of these PAW hardware profiles:

  • Matériel dédié -séparer les appareils dédiés pour les tâches d’utilisateur et les tâches d’administrationDedicated hardware - Separate dedicated devices for user tasks vs. administrative tasks

  • Utilisation simultanée -un appareil unique qui peut s’exécuter des tâches d’administration et les tâches utilisateur simultanément en tirant parti de la virtualisation du système d’exploitation ou d’une présentation.Simultaneous Use - Single device that can run user tasks and administrative tasks concurrently by taking advantage of OS or presentation virtualization.

Les organisations peuvent utiliser qu’un seul profil ou les deux.Organizations may use only one profile or both. Il n’existe aucun problème d’interopérabilité entre les profils matériels, et les organisations ont la possibilité de faire correspondre le profil matériel pour les besoins spécifiques et la situation d’un administrateur donné.There are no interoperability concerns between the hardware profiles, and organizations have the flexibility to match the hardware profile to the specific need and situation of a given administrator.

Notes

Il est essentiel que, dans tous ces scénarios, personnel administratif reçoive un compte d’utilisateur standard qui est distinct du comptes administratifs.It is critical that, in all of these scenarios, administrative personnel are issued a standard user account that is separate from designated administrative account(s). Les comptes d’administration doivent uniquement être utilisées sur le système d’exploitation du PAW.The administrative account(s) should only be used on the PAW administrative operating system.

Ce tableau récapitule les avantages et inconvénients relatifs de chaque profil matériel du point de vue de facilité d’utilisation opérationnelle et la productivité et de sécurité.This table summarizes the relative advantages and disadvantages of each hardware profile from the perspective of operational ease-of-use and productivity and security. Les deux approches matérielles fournissent une sécurité renforcée pour les comptes administrateur contre le vol d’informations d’identification et de réutilisation.Both hardware approaches provide strong security for administrative accounts against credential theft and reuse.

ScénarioScenario AvantagesAdvantages InconvénientsDisadvantages
Matériel dédiéDedicated hardware -Signal fort pour la sensibilité des tâches- Strong signal for sensitivity of tasks
-Meilleure séparation de sécurité- Strongest security separation
-Espace de bureau supplémentaires- Additional desk space
-Poids supplémentaires (pour le travail à distance)- Additional weight (for remote work)
-Coût du matériel- Hardware Cost
Utilisation simultanéeSimultaneous use -Coût matériel- Lower hardware cost
-Expérience sur appareil unique- Single device experience
-Partage de clavier/souris crée risque d’erreurs/risques accidentelles- Sharing single keyboard/mouse creates risk of inadvertent errors/risks

Ce guide contient des instructions détaillées pour la configuration de PAW pour l’approche de matériel dédié.This guidance contains the detailed instructions for the PAW configuration for the dedicated hardware approach. Si vous avez des exigences pour les profils matériels à utilisation simultanée, vous pouvez adapter les instructions de fonction de ce guide vous-même ou passer par une entreprise de services professionnels comme Microsoft pour vous aider.If you have requirements for the simultaneous use hardware profiles, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Matériel dédiéDedicated Hardware

Dans ce scénario, un PAW est utilisé pour l’administration est complètement distincte de l’ordinateur qui est utilisé pour les activités quotidiennes telles que le courrier électronique, modification de documents et le travail de développement.In this scenario, a PAW is used for administration that is completely separate from the PC that is used for daily activities like email, document editing, and development work. Tous les outils d’administration et les applications sont installées sur le PAW et toutes les applications de productivité sont installées sur la station de travail utilisateur standard.All administrative tools and applications are installed on the PAW and all productivity applications are installed on the standard user workstation. Les instructions étape par étape de ce guide sont basées sur ce profil matériel.The step by step instructions in this guidance are based on this hardware profile.

Utilisation simultanée - Ajout d’une machine virtuelle d’utilisateur localSimultaneous Use - Adding a local user VM

Dans ce scénario d’utilisation simultanée, un PC unique est utilisé pour les tâches d’administration et les activités quotidiennes telles que le courrier électronique, modification de documents et le travail de développement.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing, and development work. Dans cette configuration, le système d’exploitation utilisateur est disponible hors connexion (pour modifier des documents et travailler sur la mise en cache localement par courrier électronique), mais nécessite le processus de support et de matériel capable de gérer cet état déconnecté.In this configuration, the user operating system is available while disconnected (for editing documents and working on locally cached email), but requires hardware and support processes that can accommodate this disconnected state.

Diagramme montrant un PC unique dans un scénario d’utilisation simultanée utilisé pour les tâches d’administration et les activités quotidiennes telles que courrier électronique, modification de documents et le travail de développement

Le matériel physique exécute deux systèmes d’exploitation localement:The physical hardware runs two operating systems locally:

  • Système d’exploitation Admin -l’hôte physique exécute Windows10 sur l’hôte PAW pour les tâches administrativesAdmin OS - The physical host runs Windows 10 on the PAW host for Administrative tasks

  • Utilisateur du système d’exploitation -invité d’ordinateurs virtuels client Hyper-V A Windows10 exécute une image d’entrepriseUser OS - A Windows 10 client Hyper-V virtual machine guest runs a corporate image

Avec Windows10/Hyper-V, un ordinateur virtuel d’invité (également exécutant Windows10) peut avoir une expérience utilisateur riche, y compris son, vidéo et applications de communication Internet comme Skype entreprise.With Windows 10Hyper-V, a guest virtual machine (also running Windows 10) can have a rich user experience including sound, video, and Internet communications applications such as Skype for Business.

Dans cette configuration, les tâches quotidiennes qui ne nécessitent pas de privilèges d’administrateur sont effectuent dans l’ordinateur virtuel de système d’exploitation utilisateur qui possède une image Windows10 d’entreprise standard et ne sont pas soumises aux restrictions appliquées à l’hôte PAW.In this configuration, daily work that does not require administrative privileges is done in the user OS virtual machine which has a regular corporate Windows 10 image and is not subject to restrictions applied to the PAW host. Toutes les tâches administratives sont effectuée sur le système d’exploitation de l’administrateur.All administrative work is done on the Admin OS.

Pour ce faire, suivez les instructions de ce guide pour l’hôte PAW, ajouter des fonctionnalités Client Hyper-V, créer une machine virtuelle utilisateur, puis installez une image d’entreprise Windows10 sur la machine virtuelle utilisateur.To configure this, follow the instructions in this guidance for the PAW host, add Client Hyper-V features, create a User VM, and then install a Windows 10 corporate image on the User VM.

Lecture Client Hyper-V article pour plus d’informations sur cette fonctionnalité.Read Client Hyper-V article for more information about this capability. Veuillez noter que le système d’exploitation dans les machines virtuelles invitées devez disposer d’une licence par licence produit Microsoft, décrit également ici.Please note that the operating system in guest virtual machines will need to be licensed per Microsoft product licensing, also described here.

Utilisation simultanée - Ajout de RemoteApp, de RDP ou une infrastructure VDISimultaneous Use - Adding RemoteApp, RDP, or a VDI

Dans ce scénario d’utilisation simultanée, un PC unique est utilisé pour les tâches d’administration et utiliser des activités quotidiennes telles que la messagerie, de modification de documents et de développement.In this simultaneous use scenario, a single PC is used for both administration tasks and daily activities like email, document editing and development work. Dans cette configuration, les systèmes d’exploitation utilisateur sont déployés et gérés de manière centralisée (sur le cloud ou dans votre centre de données), mais ne sont pas disponibles hors connexion.In this configuration, the user operating systems are deployed and managed centrally (on the cloud or in your datacenter), but aren't available while disconnected.

Figure montrant un PC unique dans un scénario d’utilisation simultanée utilisé pour les tâches d’administration et le travail des activités quotidiennes telles que la messagerie, de modification de documents et de développement

Le matériel physique exécute un seul système d’exploitation PAW localement pour les tâches administratives et contacte Microsoft ou 3eservice Bureau à distance tiers pour les applications utilisateur telles que courrier électronique, modification de documents et des applications métier.The physical hardware runs a single PAW operating system locally for administrative tasks and contacts a Microsoft or 3rd party remote desktop service for user applications such as email, document editing, and line of business applications.

Dans cette configuration, les tâches quotidiennes qui ne nécessitent pas de privilèges d’administrateur sont effectuent dans le OS(es) à distance et les applications qui ne sont pas soumises aux restrictions appliquées à l’hôte PAW.In this configuration, daily work that does not require administrative privileges is done in the Remote OS(es) and applications which are not subject to restrictions applied to the PAW host. Toutes les tâches administratives sont effectuée sur le système d’exploitation de l’administrateur.All administrative work is done on the Admin OS.

Pour ce faire, suivez les instructions de ce guide pour l’hôte PAW, autorisez la connectivité réseau aux services Bureau à distance et puis ajouter des raccourcis au bureau de l’utilisateur PAW pour accéder aux applications.To configure this, follow the instructions in this guidance for the PAW host, allow network connectivity to the Remote Desktop services, and then add shortcuts to the PAW user's desktop to access the applications. Les services Bureau à distance peuvent être hébergés de nombreuses façons, dont:The remote desktop services could be hosted in many ways including:

  • Un service Bureau à distance ou VDI existant (local ou dans le cloud)An existing Remote Desktop or VDI service (on-premises or in the cloud)

  • Un nouveau service que vous installez en local ou dans le cloudA new service you install on-premises or in the cloud

  • Azure RemoteApp à l’aide des modèles Office 365préconfigurés ou vos propres images d’installationAzure RemoteApp using pre-configured Office 365 templates or your own installation images

Pour plus d’informations sur Azure RemoteApp, visitez cette page.For more information on Azure RemoteApp, visit this page.

Scénarios PAWPAW Scenarios

Cette section contient des conseils sur les scénarios auxquels ce guide de PAW doit être appliqué.This section contains guidance on which scenarios this PAW guidance should be applied to. Dans tous les scénarios, les administrateurs doivent être formés à utiliser uniquement les Paw pour effectuer le support des systèmes distants.In all scenarios, administrators should be trained to only use PAWs for performing support of remote systems. Pour encourager l’utilisation réussie et sécurisée, tous les utilisateurs PAW doit être également être encouragés à fournir des commentaires pour améliorer l’expérience PAW et ces commentaires doivent être examinés attentivement pour l’intégration avec votre programme PAW.To encourage successful and secure usage, all PAW users should be also be encouraged to provide feedback to improve the PAW experience and this feedback should be reviewed carefully for integration with your PAW program.

Dans tous les scénarios, les renforcement supplémentaires lors des phases ultérieures et différents profils matériels dans ce guide peuvent être utilisés pour répondre aux exigences de sécurité ou de facilité d’utilisation des rôles.In all scenarios, additional hardening in later phases and different hardware profiles in this guidance may be used to meet the usability or security requirements of the roles.

Notes

Notez que ce guide différencie explicitement l’accès à des services spécifiques sur internet (par exemple, des portails d’administration Azure et Office 365) et «Ouvrir Internet» de tous les ordinateurs hôtes et services.Note that this guidance explicitly differentiates between requiring access to specific services on the internet (such as Azure and Office 365 administrative portals) and the "Open Internet" of all hosts and services.

Consultez le page modèle de couche pour plus d’informations sur les désignations.See the Tier model page for more information on the Tier designations.

ScénariosScenarios Utiliser PAW?Use PAW? Considérations de sécurité et d’étendueScope and Security Considerations
Administrateurs d’ActiveDirectory - niveau 0Active Directory Admins - Tier 0 OuiYes Un PAW créé avec le Guide de Phase 1 est suffisant pour ce rôle.A PAW built with Phase 1 guidance is sufficient for this role.

-Une forêt d’administration peut être ajoutée pour fournir le niveau de protection pour ce scénario.- An administrative forest can be added to provide the strongest protection for this scenario. Pour plus d’informations sur la forêt d’administration ESAE, consultez approche de conception de forêt d’administration ESAEFor more information on the ESAE administrative forest, see ESAE Administrative Forest Design Approach
-Un PAW peut servir à gérer plusieurs domaines ou plusieurs forêts.- A PAW can be used to managed multiple domains or multiple forests.
-Si les contrôleurs de domaine sont hébergés sur une Infrastructure en tant que Service (IaaS) ou solution de virtualisation locale, vous devez définir des priorités l’implémentation des Paw pour les administrateurs de ces solutions- If Domain Controllers are hosted on an Infrastructure as a Service (IaaS) or on-premises virtualization solution, you should prioritize implementing PAWs for the administrators of those solutions
Services Admin d’Azure IaaS et PaaS - niveau 0 ou 1 (voir Considérations de conception et d’étendue)Admin of Azure IaaS and PaaS services - Tier 0 or Tier 1 (see Scope and Design Considerations) OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

-Les Paw doivent être utilisés au moins l’administrateur Global et l’administrateur de facturation des abonnements.- PAWs should be used for at least the Global administrator and Subscription Billing administrator. Vous devez également utiliser les Paw pour les administrateurs délégués des serveurs critiques ou sensibles.You should also use PAWs for delegated administrators of critical or sensitive servers.
-Les Paw doivent être utilisés pour gérer le système d’exploitation et applications qui fournissent la synchronisation d’annuaires et de la fédération des identités pour les services cloud comme Azure AD Connect et ActiveDirectory Federation Services (ADFS).- PAWs should be used for managing the operating system and applications that provide Directory Synchronization and Identity Federation for cloud services such as Azure AD Connect and Active Directory Federation Services (ADFS).
-Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services cloud autorisés à l’aide du guide dans la Phase 2.- The outbound network restrictions must allow connectivity only to authorized cloud services using the guidance in Phase 2. Aucun accès internet ouvert ne doivent être autorisées à partir des Paw.No open internet access should be allowed from PAWs.
-EMET doit être configuré pour tous les navigateurs utilisés sur la station de travail Remarque: un abonnement est considéré comme niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.- EMET should be configured for all browsers used on the workstation Note: A subscription is considered to be Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergés dans AzureA subscription is Tier 1 if no Tier 0 servers are hosted in Azure
Locataire administrateur d’Office 365Admin Office 365 Tenant
-Niveau 1- Tier 1
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

-Des Paw doivent être utilisés au moins pour l’administrateur de facturation des abonnements, administrateur général, administrateur Exchange, administrateur SharePoint et rôles d’administrateur utilisateur gestion.- PAWs should be used for at least the Subscription Billing administrator, Global administrator, Exchange administrator, SharePoint administrator, and User management administrator roles. Vous devez également fortement envisager l’utilisation de Paw pour les administrateurs délégués de données très sensibles ou critiques.You should also strongly consider the use of PAWs for delegated administrators of highly critical or sensitive data.
-EMET doit être configuré pour tous les navigateurs utilisés sur la station de travail- EMET should be configured for all browsers used on the workstation
-Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services Microsoft à l’aide du guide dans la Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Aucun accès internet ouvert ne doivent être autorisées à partir des Paw.No open internet access should be allowed from PAWs.
Autres IaaS ou PaaS de cloud administrateur de serviceOther IaaS or PaaS cloud service admin
-Niveau 0 ou 1 (voir Considérations de conception et d’étendue)- Tier 0 or Tier 1 (see Scope and Design Considerations)
Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

-Les Paw doivent être utilisés pour n’importe quel rôle qui possède des droits administratifs sur les machines virtuelles hébergé dans le cloud, y compris la capacité à installer des agents, l’exportation des fichiers de disque dur ou accéder au stockage où sont stockées les disques durs dotés de systèmes d’exploitation, des données sensibles ou des données d’entreprise critiques.- PAWs should be used for any role that has administrative rights over cloud hosted VMs including the ability to install agents, export hard disk files, or access storage where hard drives with operating systems, sensitive data, or business critical data is stored.
-Les restrictions du réseau sortant doivent autoriser la connectivité uniquement aux services Microsoft à l’aide du guide dans la Phase 2.- The outbound network restrictions must allow connectivity only to Microsoft services using the guidance in Phase 2. Aucun accès internet ouvert ne doivent être autorisées à partir des Paw.No open internet access should be allowed from PAWs.
-EMET doit être configuré pour tous les navigateurs utilisés sur la station de travail.- EMET should be configured for all browsers used on the workstation. Remarque: un abonnement est de niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.Note: A subscription is Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergés dans Azure.A subscription is Tier 1 if no Tier 0 servers are hosted in Azure.
Administrateurs de la virtualisationVirtualization Administrators
-Niveau 0 ou 1 (voir Considérations de conception et d’étendue)- Tier 0 or Tier 1 (see Scope and Design Considerations)
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

-Les Paw doivent être utilisés pour n’importe quel rôle qui possède des droits administratifs sur les machines virtuelles, y compris la capacité à installer des agents, l’exportation des fichiers de disque dur virtuel ou accéder au stockage où sont stockés des disques durs avec les informations du système d’exploitation invité, des données sensibles ou des données d’entreprise critiques.- PAWs should be used for any role that has administrative rights over VMs including the ability to install agents, export virtual hard disk files, or access storage where hard drives with guest operating system information, sensitive data, or business critical data is stored. Remarque: un système de virtualisation (et ses administrateurs) sont considérés de niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 sont présents dans l’abonnement.Note: A virtualization system (and its admins) are considered Tier 0 for a Forest if Domain Controllers or other Tier 0 hosts are in the subscription. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergés dans le système de virtualisation.A subscription is Tier 1 if no Tier 0 servers are hosted in the virtualization system.
Administrateurs de Maintenance de serveurServer Maintenance Admins
-Niveau 1- Tier 1
OuiYes Un PAW créé à l’aide de l’aide fournie dans la Phase 2 est suffisant pour ce rôle.A PAW built using the guidance provided in Phase 2 is sufficient for this role.

-Un PAW doit être utilisé pour les administrateurs qui mettre à jour, des correctifs et dépanner les serveurs d’entreprise et les applications qui s’exécutent Windows server, Linux et autres systèmes d’exploitation.- A PAW should be used for administrators that update, patch, and troubleshoot enterprise servers and apps running Windows server, Linux, and other operating systems.
-Outils de gestion dédiés peuvent avoir à être ajoutés pour les Paw gérer la plus grande échelle de ces administrateurs.- Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
Administrateurs de station de travail utilisateurUser Workstation Admins
-Niveau 2- Tier 2
OuiYes Un PAW créé à l’aide des instructions fournies dans la Phase 2 est suffisant pour les rôles qui ont des droits d’administration sur les périphériques de l’utilisateur final (telles que le support technique rôles).A PAW built using guidance provided in Phase 2 is sufficient for roles that have administrative rights on end user devices (such as helpdesk and deskside support roles).

-D’autres applications peuvent doivent être installées sur les Paw pour permettre la gestion des tickets et autres fonctions de prise en charge.- Additional applications may need to be installed on PAWs to enable ticket management and other support functions.
-EMET doit être configuré pour tous les navigateurs utilisés sur la station de travail.- EMET should be configured for all browsers used on the workstation.
Outils de gestion dédiés peuvent avoir à être ajoutés pour les Paw gérer la plus grande échelle de ces administrateurs.Dedicated management tools may need to be added for PAWs to handle the larger scale of these admins.
SQL, SharePoint, ou cœur de métier (LOB) AdminSQL, SharePoint, or line of business (LOB) Admin
-Niveau 1- Tier 1
Un PAW créé avec le Guide de Phase 2 est suffisant pour ce rôle.A PAW built with Phase 2 guidance is sufficient for this role.

-Outils de gestion supplémentaires peuvent avoir à être installé sur les Paw pour permettre aux administrateurs de gérer les applications sans avoir à se connecter aux serveurs à l’aide des services Bureau à distance.- Additional management tools may need to be installed on PAWs to allow administrators to manage applications without needing to connect to servers using Remote Desktop.
Utilisateurs gérant la présence de médias sociauxUsers Managing Social Media Presence PartiellementPartially Un PAW créé à l’aide fournie dans la Phase 2 peut être utilisé comme point de départ pour assurer la sécurité de ces rôles.A PAW built using the guidance provided in Phase 2 can be used as a starting point to provide security for these role.

-Protégez et gérez les comptes de médias sociaux à l’aide d’Azure ActiveDirectory (AAD) pour le partage, la protection et le suivi des accès aux comptes de médias sociaux.- Protect and manage social media accounts using Azure Active Directory (AAD) for sharing, protecting, and tracking access to social media accounts.
Pour plus d’informations sur cette fonctionnalité lire ce billet de blog.For more information on this capability read this blog post.
-Les restrictions du réseau sortant doivent autoriser la connexion à ces services.- The outbound network restrictions must allow connectivity to these services. Cela est possible en autorisant les connexions internet ouvert (beaucoup plus important risque de sécurité qui annule de nombreuses assurances des PAW) ou en autorisant uniquement des adresses DNS requises pour le service (peut être difficile à obtenir).This can be done by allowing open internet connections (much higher security risk that negates many PAW assurances) or by allowing only required DNS addresses for the service (may be challenging to obtain).
Utilisateurs standardStandard Users No Pendant la procédure de renforcement peut être utilisée pour les utilisateurs standard, PAW est conçu pour les comptes à partir de l’accès internet ouverts que la plupart des utilisateurs ont besoin pour accomplir leur travail.While many hardening steps can be used for standard users, PAW is designed to isolate accounts from the open internet access that most users require for job duties.
Borne/VDI invitéeGuest VDI/Kiosk No Pendant la procédure de renforcement peut être utilisée pour un système de borne pour les invités, l’architecture PAW est conçu pour fournir une sécurité accrue pour les comptes à sensibilité élevée, pas davantage de sécurité pour les comptes à sensibilité moindre.While many hardening steps can be used for a kiosk system for guests, the PAW architecture is designed to provide higher security for high sensitivity accounts, not higher security for lower sensitivity accounts.
Utilisateur VIP (exécutif, chercheur, etc.).VIP User (Executive, Researcher, etc.) PartiellementPartially Un PAW créé à l’aide des instructions fournies dans la Phase 2 peut être utilisé comme point de départ pour assurer la sécurité pour ces rôlesA PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles

-Ce scénario est similaire à un bureau d’utilisateur standard, mais a généralement un profil d’application plus petit, plus simple et bien connu.- This scenario is similar to a standard user desktop, but typically has a smaller, simpler, and well-known application profile. Ce scénario nécessite généralement la découverte et la protection des données sensibles, services et applications (ce qui peuvent ou ne peuvent pas être installées sur les postes de travail).This scenario typically requires discovering and protecting sensitive data, services, and applications (which may or may not be installed on the desktops).
-Ces rôles requièrent généralement un degré élevé de sécurité et de très haut degré de facilité d’utilisation, qui nécessitent des modifications de conception pour répondre aux préférences de l’utilisateur.- These roles typically require a high degree of security and very high degree of usability, which require design changes to meet user preferences.
Systèmes de contrôle industriel (SCADA, PCN et les contrôleurs de domaine)Industrial control systems (e.g. SCADA, PCN, and DCS) PartiellementPartially Un PAW créé à l’aide des instructions fournies dans la Phase 2 peut être utilisé comme point de départ pour assurer la sécurité pour ces rôles ICS car la plupart des consoles (y compris des normes communes comme SCADA et PCN) ne nécessitent pas de navigation sur l’Internet public et la vérification de la messagerie.A PAW built using guidance provided in Phase 2 can be used as a starting point to provide security for these roles as most ICS consoles (including such common standards as SCADA and PCN) don't require browsing the open Internet and checking email.

-Les applications utilisées pour contrôler les machines physiques devra être intégrées et testées pour assurer la compatibilité et protégées de manière appropriée- Applications used for controlling physical machinery would have to be integrated and tested for compatibility and protected appropriately
Système d’exploitation incorporéEmbedded Operating System No Pendant la procédure de renforcement de PAW peut être utilisé pour les systèmes d’exploitation intégrés, une solution personnalisée doit être développé pour la sécurisation renforcée dans ce scénario.While many hardening steps from PAW can be used for embedded operating systems, a custom solution would need to be developed for hardening in this scenario.

Notes

Scénarios de combinaison certains personnel peut-être avoir des responsabilités administratives qui couvrent plusieurs scénarios.Combination scenarios some personnel may have administrative responsibilities that span multiple scenarios. Dans ces cas, les règles de clés à prendre en considération sont que les règles de modèle de niveau doivent être suivies à tout moment.In these cases, the key rules to keep in mind are that the Tier model rules must be followed at all times. Consultez la page modèle de niveau pour plus d’informations.See the Tier model page for more information.

Notes

Mise à l’échelle du programme PAW comme votre programme évolue pour englober plusieurs administrateurs et les rôles, vous devez continuer à garantir la conformité aux normes de sécurité et facilité d’utilisation.Scaling the PAW Program as your PAW program scales to encompass more admins and roles, you need to continue to ensure that you maintain adherence to the security standards and usability. Cela peut nécessiter de mettre à jour votre service informatique prennent en charge les structures ou créer de nouveaux pour résoudre les défis spécifiques de PAW tels que des processus d’intégration PAW, gestion des incidents, gestion de la configuration et les défis de collecte de commentaires à la facilité d’utilisation de l’adresse.This may require you to update your IT support structures or create new ones to resolve PAW specific challenges such as PAW onboarding process, incident management, configuration management, and gathering feedback to address usability challenges. Un exemple peut être que votre organisation décide d’activer des scénarios de travail à domicile pour les administrateurs, ce qui nécessite une transition à partir du bureau Paw sur ordinateur portable, un changement qui peut impliquer des considérations de sécurité supplémentaires.One example may be that your organization decides to enable work-from-home scenarios for administrators, which would necessitate a shift from desktop PAWs to laptop PAWs - a shift which may necessitate additional security considerations. Un autre exemple courant consiste à créer ou mettre à jour des formations pour les nouveaux administrateurs, formations qui doivent désormais inclure le contenu sur l’utilisation appropriée des PAW (y compris leur importance et qu’un PAW et n’est pas).Another common example is to create or update training for new administrators - training which must now include content on the appropriate use of a PAW (including why its important and what a PAW is and isn't). Pour plus de considérations à garder à l’esprit lors de l’évolution de votre programme PAW, consultez la Phase 2des instructions.For more considerations which must be addressed as you scale your PAW program, see Phase 2 of the instructions.

Ce guide contient des instructions détaillées pour la configuration de PAW pour les scénarios, comme indiqué plus haut.This guidance contains the detailed instructions for the PAW configuration for the scenarios as noted above. Si vous avez des exigences pour d’autres scénarios, vous pouvez adapter les instructions de fonction de ce guide vous-même ou passer par une entreprise de services professionnels comme Microsoft pour vous aider.If you have requirements for the other scenarios, you can adapt the instructions based on this guidance yourself or hire a professional services organization like Microsoft to assist with it.

Pour plus d’informations sur le recours aux services Microsoft pour concevoir un PAW adapté à votre environnement, contactez votre représentant Microsoft ou visitez cette page.For more information on engaging Microsoft services to design a PAW tailored for your environment, contact your Microsoft representative or visit this page.

Instructions d’Installation de PAWPAW Installation instructions

Étant donné que le PAW doit fournir une source sûre et fiable pour l’administration, il est essentiel que le processus de création soit sécurisé et fiable.Because the PAW must provide a secure and trusted source for administration, it's essential that the build process is secure and trusted. Cette section fournit des instructions détaillées qui vous permet de créer votre propre PAW à l’aide de principes et concepts très similaires à celles utilisées par MicrosoftIT et Microsoft et d’ingénierie organisations de gestion du service.This section will provide detailed instructions which will allow you to build your own PAW using general principles and concepts very similar to those used by Microsoft IT and Microsoft cloud engineering and service management organizations.

Les instructions sont divisées en trois phases axées sur la mise des atténuations les plus critiques rapidement en place progressivement augmentation et extension de l’utilisation de PAW pour l’entreprise.The instructions are divided into three phases which focus on putting the most critical mitigations in place quickly and then progressively increasing and expanding the usage of PAW for the enterprise.

  • Phase 1 - déploiement immédiat pour les administrateurs d’ActiveDirectoryPhase 1 - Immediate Deployment for Active Directory Administrators

  • Phase 2 - étendre les PAW à tous les administrateursPhase 2 - Extend PAW to all administrators

  • Phase 3 - sécurité avancée avec PAWPhase 3 - Advanced PAW security

Il est important de noter que les phases doivent toujours être effectuées dans l’ordre même si elles sont planifiées et implémentées dans le cadre du même projet global.It is important to note that the phases should always be performed in order even if they are planned and implemented as part of the same overall project.

Phase 1 - déploiement immédiat pour les administrateurs d’ActiveDirectoryPhase 1 - Immediate Deployment for Active Directory Administrators

Objectif: Fournit rapidement un PAW qui peut protéger les rôles d’administration domaine et de la forêt locale.Purpose: Provides a PAW quickly that can protect on-premises domain and forest administration roles.

Portée: Les administrateurs de niveau 0, y compris les administrateurs de l’entreprise, Admins du domaine (pour tous les domaines) et les administrateurs d’autres systèmes d’identité faisant autorité.Scope: Tier 0 Administrators including Enterprise Admins, Domain Admins (for all domains), and administrators of other authoritative identity systems.

Phase 1 se concentre sur les administrateurs qui gèrent votre domaine ActiveDirectory local, les rôles critiques fréquemment ciblés par des personnes malveillantes.Phase 1 focuses on the administrators who manage your on-premises Active Directory domain, which are critically important roles frequently targeted by attackers. Ces systèmes d’identité fonctionneront efficacement pour protéger ces administrateurs, si vos contrôleurs de domaine ActiveDirectory (contrôleurs de domaine) sont hébergés dans des centres de données locale, sur l’Infrastructure Azure en tant que Service (IaaS) ou un autre fournisseur IaaS.These identity systems will work effectively for protecting these admins whether your Active Directory Domain Controllers (DCs) are hosted in on-premises datacenters, on Azure Infrastructure as a Service (IaaS), or another IaaS provider.

Pendant cette phase, vous allez créer la structure d’unité d’organisation (UO) ActiveDirectory administrative sécurisée pour héberger votre station de travail de l’accès privilégié (PAW), ainsi que de déployer les Paw eux-mêmes.During this phase, you will create the secure administrative Active Directory organizational unit (OU) structure to host your privileged access workstation (PAW), as well as deploy the PAWs themselves. Cette structure comprend également les stratégies de groupe et les groupes requis pour prendre en charge le PAW.This structure also includes the group policies and groups required to support the PAW. Vous allez créer la majeure partie de la structure à l’aide de scripts PowerShell qui sont disponibles sur Galerie TechNet.You will create most of the structure using PowerShell scripts which are available at TechNet Gallery.

Les scripts créeront les unités d’organisation et les groupes de sécurité suivants:The scripts will create the following OUs and Security Groups:

  • Unités d’organisation (UO)Organizational Units (OU)

    • Six nouvelles UO de niveau supérieur: administrateur; groupes; serveurs de niveau 1; stations de travail. Comptes d’utilisateur; et mise en quarantaine de l’ordinateur.Six new top-level OUs: Admin; Groups; Tier 1 Servers; Workstations; User Accounts; and Computer Quarantine. Chaque unité d’organisation de niveau supérieur contient un nombre d’unités d’organisation enfants.Each top-level OU will contain a number of child OUs.
  • GroupesGroups

    • Six nouveaux sécurisée des groupes globaux: Maintenance de réplication de niveau 0; maintenance du serveur de niveau 1; opérateurs de Service Desk; maintenance de la station de travail; utilisateurs PAW. Maintenance PAW.Six new security-enabled global groups: Tier 0 Replication Maintenance; Tier 1 Server Maintenance; Service Desk Operators; Workstation Maintenance; PAW Users; PAW Maintenance.

Vous allez également créer un nombre d’objets de stratégie de groupe: Configuration PAW - ordinateur; configuration PAW - utilisateur; restrictedAdmin requis - ordinateur; restrictions sortantes de PAW; limiter la station de travail d’ouverture de session; limiter l’ouverture de session de serveur.You will also create a number of group policy objects: PAW Configuration - Computer; PAW Configuration - User; RestrictedAdmin Required - Computer; PAW Outbound Restrictions; Restrict Workstation Logon; Restrict Server Logon.

Phase 1 inclut les étapes suivantes:Phase 1 includes the following steps:

  1. Remplir les conditions préalablesComplete the Prerequisites

    1. Assurez-vous que tous les administrateurs utilisent des comptes distincts et individuels pour les activités d’administration et l’utilisateur final (y compris le courrier électronique, navigation sur Internet, les applications métier d’et autres activités non administratives).Ensure that all administrators use separate, individual accounts for administration and end user activities (including email, Internet browsing, line-of-business applications, and other non-administrative activities). Affectation d’un compte d’administration pour chaque distinct personnel autorisé à partir de leur compte d’utilisateur standard est essentielle pour le modèle PAW, car seuls certains comptes seront autorisés à se connecter au PAW lui-même.Assigning an administrative account to each authorized personnel separate from their standard user account is fundamental to the PAW model, as only certain accounts will be permitted to log onto the PAW itself.

      Notes

      Chaque administrateur doit utiliser son propre compte pour l’administration.Each administrator should use his or her own account for administration. Ne partagez pas un compte d’administration.Do not share an administrative account.

    2. Réduire le nombre d’administrateurs privilégié de niveau 0.Minimize the number of Tier 0 privileged administrators. Étant donné que chaque administrateur doit utiliser un PAW, ce qui réduit le nombre d’administrateurs réduit le nombre de Paw requis ainsi que les coûts associés.Because each administrator must use a PAW, reducing the number of administrators reduces the number of PAWs required to support them and the associated costs. Le nombre moindre d’administrateurs entraîne également une exposition réduite à ces privilèges et les risques associés.The lower count of administrators also results in lower exposure of these privileges and associated risks. S’il est possible pour les administrateurs dans un emplacement de partager un PAW, les administrateurs dans des emplacements physiques séparés besoin de Paw distincts.While it is possible for administrators in one location to share a PAW, administrators in separate physical locations will require separate PAWs.

    3. Acquérez du matériel à partir d’un fournisseur de confiance qui répond à toutes les exigences techniques.Acquire hardware from a trusted supplier that meets all technical requirements. Microsoft recommande l’acquisition du matériel qui répond aux exigences techniques de l’article protéger les informations d’identification de domaine avec Credential Guard.Microsoft recommends acquiring hardware that meets the technical requirements in the article Protect domain credentials with Credential Guard.

      Notes

      Les PAW installés sur le matériel sans ces fonctionnalités peuvent fournir une protection significative, mais les fonctionnalités de sécurité avancées telles que Credential Guard et Device Guard ne sera pas disponibles.PAW installed on hardware without these capabilities can provide significant protections, but advanced security features such as Credential Guard and Device Guard will not be available. Credential Guard et Device Guard ne sont pas requis pour le déploiement de la Phase 1, mais sont vivement recommandées dans le cadre de la Phase 3 (renforcement de la sécurité avancée).Credential Guard and Device Guard are not required for Phase 1 deployment, but are strongly recommended as part of Phase 3 (advanced hardening).

      Assurez-vous que le matériel utilisé pour le PAW provient d’un fabricant et un fournisseur dont pratiques de sécurité sont approuvées par l’organisation.Ensure that the hardware used for the PAW is sourced from a manufacturer and supplier whose security practices are trusted by the organization. Il s’agit d’une application du principe de source propre pour fournir la sécurité de la chaîne.This is an application of the clean source principle to supply chain security.

      Notes

      Pour plus d’informations sur l’importance de la sécurité de la chaîne logistique, visitez ce site.For more background on the importance of supply chain security, visit this site.

    4. Acquérez et validez les logiciels d’application requis Windows10 Édition entreprise.Acquire and validate the required Windows 10 Enterprise Edition and application software. Obtenir le logiciel requis pour le PAW et validez-les utilisant les instructions de Source propre pour support d’installation.Obtain the software required for PAW and validate it using the guidance in Clean Source for installation media.

    5. Assurez-vous que vous avez un serveur WSUS est disponible sur l’intranet.Ensure you have WSUS server available on the intranet. Vous devez un serveur WSUS sur l’intranet pour télécharger et installer les mises à jour pour PAW.You will need a WSUS server on the intranet to download and install updates for PAW. Ce serveur WSUS doit être configuré pour approuver automatiquement toutes les mises à jour de sécurité pour Windows10 ou un personnel administratif doit avoir de la responsabilité d’approuver rapidement les mises à jour logicielles.This WSUS server should be configured to automatically approve all security updates for Windows 10 or an administrative personnel should have responsibility and accountability to rapidly approve software updates.

      Notes

      Pour plus d’informations, voir la section «Approuver automatiquement les mises à jour pour Installation» dans le des conseils d’approbation des mises à jour.For more information, see the "Automatically Approve Updates for Installation" section in the Approving Updates guidance.

  2. Déployer l’infrastructure d’unité d’organisation Admin pour héberger les PawDeploy the Admin OU Framework to host the PAWs

    1. Télécharger la bibliothèque de scripts PAW de Galerie TechNetDownload the PAW script library from TechNet Gallery

      Notes

      Télécharger tous les fichiers et les enregistrer dans le même répertoire et les exécuter dans l’ordre indiqué ci-dessous.Download all of the files and save them to the same directory, and run them in the order specified below. Create-PAWGroups dépend de la structure d’unité d’organisation créée par Create-PAWOUs et Set-PAWOUDelegation repose sur les groupes créés par Create-PAWGroups.Create-PAWGroups depends on the OU structure created by Create-PAWOUs, and Set-PAWOUDelegation depends on the groups created by Create-PAWGroups. Ne modifiez pas les scripts ou le fichier de valeurs séparées par des virgules (CSV).Do not modify any of the scripts or the comma-separated value (CSV) file.

    2. Exécutez le script .ps1 Create-PAWOUs.Run the Create-PAWOUs.ps1 script. Ce script crée la nouvelle structure d’unité d’organisation (UO) dans ActiveDirectory et bloquer l’héritage de stratégie de groupe sur les nouvelles unités d’organisation appropriées.This script will create the new organizational unit (OU) structure in Active Directory, and block GPO inheritance on the new OUs as appropriate.

    3. Exécutez le script .ps1 Create-PAWGroups.Run the Create-PAWGroups.ps1 script. Ce script créera de nouveaux groupes de sécurité globaux dans les unités d’organisation appropriées.This script will create the new global security groups in the appropriate OUs.

      Notes

      Alors que ce script crée les groupes de sécurité, il sera les remplit pas.While this script will create the new security groups, it will not populate them automatically.

    4. Exécutez le script .ps1 Set-PAWOUDelegation.Run the Set-PAWOUDelegation.ps1 script. Ce script affecte les autorisations pour les nouvelles unités d’organisation aux groupes appropriés.This script will assign permissions to the new OUs to the appropriate groups.

  3. Déplacez les comptes de niveau 0vers l’UO Admin\Tier 0\Accounts.Move Tier 0 accounts to the Admin\Tier 0\Accounts OU. Déplacez chaque compte qui est membre de l’administrateur de domaine, administrateurs de l’entreprise, ou de niveau 0groupes équivalents (y compris l’appartenance imbriquée) à cette unité d’organisation.Move each account that is a member of the Domain Admin, Enterprise Admin, or Tier 0 equivalent groups (including nested membership) to this OU. Si votre organisation possède vos propres groupes ajoutés à ces groupes, vous devez les déplacer vers l’UO Admin\Tier 0\Groups.If your organization has your own groups that are added to these groups, you should move these to the Admin\Tier 0\Groups OU.

    Notes

    Pour plus d’informations sur les groupes niveau 0, consultez «Équivalence de niveau 0» dans sécurisation de l’accès référence privilégié.For more information on which groups are Tier 0, see "Tier 0 Equivalency" in Securing Privileged Access Reference Material.

  4. Ajoutez les membres appropriés aux groupes pertinentsAdd the appropriate members to the relevant groups

    1. Les utilisateurs PAW - ajoutez les administrateurs de niveau 0 avec le domaine ou d’administrateur d’entreprise identifié à l’étape1 de la Phase 1.PAW Users - Add the Tier 0 administrators with Domain or Enterprise Admin groups that you identified in Step 1 of Phase 1.

    2. Maintenance PAW - ajouter au moins un compte qui sera utilisé pour la maintenance PAW et dépannage des tâches.PAW Maintenance - Add at least one account that will be used for PAW maintenance and troubleshooting tasks. Les comptes de Maintenance de PAW seront utilisés rarement.The PAW Maintenance Account(s) will be used only rarely.

      Notes

      N’ajoutez pas le même compte d’utilisateur ou le groupe utilisateurs de PAW et Maintenance de PAW.Do not add the same user account or group to both PAW Users and PAW Maintenance. Le modèle de sécurité PAW repose en partie sur l’hypothèse que le compte d’utilisateur PAW a des droits privilégiés sur les systèmes gérés ou sur le PAW lui-même, mais pas les deux.The PAW security model is based partly on the assumption that the PAW user account has privileged rights on managed systems or over the PAW itself, but not both.

      • Cela est important pour la création des bonnes pratiques administratives et habitudes en Phase 1.This is important for building good administrative practices and habits in Phase 1.
      • Cela est extrêmement important pour la Phase 2 et au-delà, afin d’éviter l’élévation des privilèges via le PAW, car les Paw servent à couvrir les niveaux.This is critically important for Phase 2 and beyond to prevent escalation of privilege through PAW as PAWs being to span Tiers.

      Dans l’idéal, aucun membre du personnel n’est affecté à plusieurs niveaux pour appliquer le principe de répartition des responsabilités, mais Microsoft reconnaît que de nombreuses organisations est limitée personnel (ou autres exigences d’organisation) qui ne permet pas d’atteindre cette séparation complète.Ideally, no personnel are assigned to duties at multiple tiers to enforce the principle of segregation of duties, but Microsoft recognizes that many organizations may have limited staff (or other organizational requirements) that don't allow for this full segregation. Dans ces cas, le même personnel peut être affecté à ces deux rôles, mais n’utilisez pas le même compte pour ces fonctions.In these cases, the same personnel may be assigned to both roles, but should not use the same account for these functions.

  5. Créer l’objet stratégie de groupe (GPO) «Configuration de PAW – ordinateur» et le lien vers l’unité d’organisation appareils de niveau 0 («appareils» sous Tier 0\Admin).Create "PAW Configuration - Computer" group policy object (GPO) and link to the Tier 0 Devices OU ("Devices" under Tier 0\Admin). Dans cette section, vous allez créer un nouveau «PAW Configuration – ordinateur» GPO qui fournit des protections spécifiques pour ces Paw.In this section, you will create a new "PAW Configuration - Computer" GPO which provide specific protections for these PAWs.

    Notes

    N’ajoutez pas ces paramètres à la stratégie de domaine par défaut.Do not add these settings to the Default Domain Policy. Cela affecterait potentiellement les opérations sur l’ensemble de votre environnement ActiveDirectory.Doing so will potentially impact operations on your entire Active Directory environment. Uniquement configurer ces paramètres dans la stratégie de groupe nouvellement créé décrit ici et les appliquer uniquement à l’unité d’organisation du PAW.Only configure these settings in the newly-created GPOs described here, and only apply them to the PAW OU.

    1. Accès de Maintenance PAW - ce paramètre va définir l’appartenance de groupes privilégiés spécifiques des Paw sur un ensemble spécifique d’utilisateurs.PAW Maintenance Access - this setting will set the membership of specific privileged groups on the PAWs to a specific set of users. Accédez à Configuration\Preferences\Control du Panneau de configuration utilisateurs sécurité\Stratégies et les groupes et suivez les étapes ci-dessous:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

      1. Cliquez sur New et cliquez sur groupe LocalClick New and click Local Group

      2. Sélectionnez le mise à jour action et sélectionnez «administrateurs (intégré)» (n’utilisez pas le bouton Parcourir pour sélectionner le groupe de domaine Administrateurs).Select the Update action, and select "Administrators (built-in)" (do not use the Browse button to select the domain group Administrators).

      3. Sélectionnez le supprimer tous les utilisateurs membres et supprimer tous les groupes de membres cases à cocherSelect the Delete all member users and Delete all member groups check boxes

      4. Ajoutez Maintenance de PAW (pawmaint) et administrateur (là encore, n’utilisez pas le bouton Parcourir pour sélectionner administrateur).Add PAW Maintenance (pawmaint) and Administrator (again, do not use the Browse button to select Administrator).

        Notes

        N’ajoutez pas le groupe d’utilisateurs PAW à la liste des membres du groupe Administrateurs local.Do not add the PAW Users group to the membership list for the local Administrators group. Pour vous assurer que les utilisateurs PAW ne peuvent pas accidentellement ou intentionnellement modifier les paramètres de sécurité du PAW lui-même, ils ne doivent pas être membres du groupe Administrateurs local.To ensure that PAW Users cannot accidentally or deliberately modify the security settings of the PAW itself, they should not be members of the local Administrators groups.

        Pour plus d’informations sur l’utilisation de préférences de stratégie de groupe pour modifier l’appartenance au groupe, reportez-vous à l’article TechNet configurer un élément groupe Local.For more information on using Group Policy Preferences to modify group membership, please refer to the TechNet article Configure a Local Group Item.

    2. Limiter l’appartenance au groupe Local -ce paramètre garantit que l’appartenance aux groupes d’administrateurs locaux sur la station de travail est toujours videRestrict Local Group Membership - this setting will ensure that the membership of local admin groups on the workstation is always empty

      1. Accédez à l’ordinateur Configuration\Preferences\Control du Panneau de configuration sécurité\Stratégies utilisateurs et groupes et suivez les étapes ci-dessous:Go to Computer Configuration\Preferences\Control Panel Settings\Local Users and Groups and follow the steps below:

        1. Cliquez sur New et cliquez sur groupe LocalClick New and click Local Group

        2. Sélectionnez le mise à jour action et sélectionnez «opérateurs de sauvegarde (intégré)» (n’utilisez pas le bouton Parcourir pour sélectionner le groupe de domaine opérateurs de sauvegarde).Select the Update action, and select "Backup Operators (built-in)" (do not use the Browse button to select the domain group Backup Operators).

        3. Sélectionnez le supprimer tous les utilisateurs membres et supprimer tous les groupes de membres cases à cocher.Select the Delete all member users and Delete all member groups check boxes.

        4. N’ajoutez pas de membres au groupe.Do not add any members to the group. Cliquez simplement sur OK.Simply click OK. En affectant une liste vide, stratégie de groupe sera automatiquement supprimer tous les membres et garantir une liste des membres vide que chaque stratégie de groupe est actualisée.By assigning an empty list, group policy will automatically remove all members and ensure a blank membership list each time group policy is refreshed.

      2. Suivez les étapes ci-dessus pour les groupes supplémentaires suivants:Complete the above steps for the following additional groups:

        • Opérateurs de chiffrementCryptographic Operators

        • Administrateurs Hyper-VHyper-V Administrators

        • Opérateurs de Configuration réseauNetwork Configuration Operators

        • Utilisateurs avec pouvoirPower Users

        • Utilisateurs du Bureau à distanceRemote Desktop Users

        • DuplicateursReplicators

      3. Restrictions de connexion PAW - ce paramètre limite les comptes qui peuvent se connecter au PAW.PAW Logon Restrictions - this setting will limit the accounts which can log onto the PAW. Suivez les étapes ci-dessous pour configurer ce paramètre:Follow the steps below to configure this setting:

        1. Accédez à ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\affectation des droits utilisateur\autoriser une session localement.Go to Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Allow log on locally.

        2. Sélectionnez définir ces paramètres de stratégie, puis ajoutez «Utilisateurs PAW» et les administrateurs (là encore, n’utilisez pas le bouton Parcourir pour sélectionner les administrateurs).Select Define these policy settings and add "PAW Users" and Administrators (again, do not use the Browse button to select Administrators).

      4. Bloquer le trafic réseau entrant -ce paramètre garantit qu’aucun trafic réseau entrant non sollicité n’est autorisé au PAW.Block Inbound Network Traffic - This setting will ensure that no unsolicited inbound network traffic is allowed to the PAW. Suivez les étapes ci-dessous pour configurer ce paramètre:Follow the steps below to configure this setting:

        1. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de Sécurité\pare-feu Windows avec Advanced sécurité\Pare-feu Windows avec fonctions avancées de sécurité et suivez les étapes ci-dessous:Go to Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security and follow the steps below:

          1. Cliquez avec le bouton droit sur le pare-feu Windows avec fonctions avancées de sécurité et sélectionnez importer la stratégie.Right click on Windows Firewall with Advanced Security and select Import policy.

          2. Cliquez sur Oui pour accepter que cette opération remplace les stratégies de pare-feu existantes.Click Yes to accept that this will overwrite any existing firewall policies.

          3. Accédez à PAWFirewall.wfw et sélectionnez ouvrir.Browse to PAWFirewall.wfw and select Open.

          4. Cliquez sur OK.Click OK.

            Notes

            Vous pouvez ajouter des adresses ou sous-réseaux qui doivent atteindre le PAW avec le trafic non sollicité à ce stade (par exemple, logiciel gestion ou d’analyse de sécurité.You may add addresses or subnets which must reach the PAW with unsolicited traffic at this point (e.g. security scanning or management software. Les paramètres dans le fichier WFW seront activer le pare-feu en mode «Bloc – par défaut» pour tous les profils de pare-feu, désactiver la fonctionnalité de fusion de règle et activer la journalisation des paquets ignorés et réussies.The settings in the WFW file will enable the firewall in "Block - Default" mode for all firewall profiles, turn off rule merging and enable logging of both dropped and successful packets. Ces paramètres bloquent le trafic remplaceraient tout en autorisant la communication bidirectionnelle sur les connexions établies à partir du PAW, empêcher les utilisateurs disposant d’un accès à partir de la création de règles de pare-feu locales qui remplacent les paramètres de stratégie de groupe et vous assurer que le trafic entrant et sortant dans le PAW est enregistré.These settings will block unsolicitied traffic while still allowing bidirectional communication on connections initiated from the PAW, prevent users with local administrative access from creating local firewall rules that would override the GPO settings and ensure that traffic in and out of the PAW is logged. Ouvrir ce pare-feu pour développer la surface d’attaque pour le PAW et augmente le risque de sécurité. Avant d’ajouter des adresses, consultez la section Gestion et exploitation de PAW dans ce guide.Opening up this firewall will expand the attack surface for the PAW and increase security risk. Before adding any addresses, consult the Managing and Operating PAW section in this guidance.

      5. Configurer Windows Update pour WSUS -suivez les étapes ci-dessous pour modifier les paramètres pour configurer Windows Update pour les Paw:Configure Windows Update for WSUS - follow the steps below to change the settings to configure Windows Update for the PAWs:

        1. Accédez à Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Windows mises à jour et suivez les étapes ci-dessous:Go to Computer Configuration\Policies\Administrative Templates\Windows Components\Windows Updates and follow the steps below:

          1. Activer la stratégie configurer les mises à jour automatiques.Enable the Configure Automatic Updates policy.

          2. Sélectionnez l’option 4 - téléchargement automatique et planification des installations.Select option 4 - Auto download and schedule the install.

          3. Modifiez l’option jour de l’installation planifiée à 0 - tous les jours et l’option heure d’installation planifiée à votre préférence de l’organisation.Change the option Scheduled install day to 0 - Every Day and the option Scheduled install time to your organizational preference.

          4. Activer l’option spécifier l’emplacement intranet du service de mise à jour Microsoft stratégie, et spécifiez dans les deux options l’URL du serveur WSUS d’ESAE.Enable option Specify intranet Microsoft update service location policy, and specify in both options the URL of the ESAE WSUS server.

      6. Lier le «PAW Configuration – ordinateur» objet stratégie de groupe comme suit:Link the "PAW Configuration - Computer" GPO as follows:

        StratégiePolicy Emplacement du lienLink Location
        Configuration PAW - ordinateurPAW Configuration - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
  6. Créer l’objet stratégie de groupe (GPO) «Configuration de PAW – utilisateur» et le lien vers l’unité d’organisation de comptes de niveau 0 («comptes» sous Tier 0\Admin).Create "PAW Configuration - User" group policy object (GPO) and link to the Tier 0 Accounts OU ("Accounts" under Tier 0\Admin). Dans cette section, vous allez créer un nouveau «PAW Configuration – utilisateur» GPO qui fournit des protections spécifiques pour ces Paw.In this section, you will create a new "PAW Configuration - User" GPO which provide specific protections for these PAWs.

    Notes

    N’ajoutez pas ces paramètres à la stratégie de domaine par défautDo not add these settings to the Default Domain Policy

    1. Bloquer la navigation internet - pour empêcher la navigation sur internet, cette option définit une adresse de proxy d’une adresse de bouclage (127.0.0.1).Block internet browsing - To deter inadvertent internet browsing, this will set a proxy address of a loopback address (127.0.0.1).

      1. Allez dans configuration\preferences\paramètres windows\registre.Go to User Configuration\Preferences\Windows Settings\Registry. Avec le bouton droit de Registre, sélectionnez New > élément de Registre et configurez les paramètres suivants:Right-click Registry, select New > Registry Item and configure the following settings:

        1. Action: remplacerAction: Replace

        2. La ruche: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

        3. Chemin de la clé: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        4. Nom de la valeur: ProxyEnableValue name: ProxyEnable

          Notes

          Ne sélectionnez pas la zone à gauche du nom de la valeur par défaut.Do not select the Default box to the left of Value name.

        5. Type de valeur: REG_DWORDValue type: REG_DWORD

        6. Données de la valeur: 1Value data: 1

          1. un.a. Cliquez sur l’onglet commun et sélectionnez supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.

          2. Dans l’onglet commun, sélectionnez ciblage au niveau élément et cliquez sur ciblage.On the Common tab select Item level targeting and click Targeting.

          3. Cliquez sur nouvel élément et sélectionnez groupe de sécurité.Click New Item and select Security group.

          4. Sélectionnez le bouton «...» et recherchez le groupe d’utilisateurs PAW.Select the "..." button and browse for the PAW Users group.

          5. Cliquez sur nouvel élément et sélectionnez groupe de sécurité.Click New Item and select Security group.

          6. Sélectionnez le bouton «...» et recherchez le administrateurs des Services Cloud groupe.Select the "..." button and browse for the Cloud Services Admins group.

          7. Cliquez sur le administrateurs des Services Cloud de l’élément, puis cliquez sur Options de l’élément.Click on the Cloud Services Admins item and click Item Options.

          8. Sélectionnez n’est pas.Select Is not.

          9. Cliquez sur OK sur la fenêtre de ciblage.Click OK on the targeting window.

        7. Cliquez sur OK pour terminer la stratégie de groupe ProxyServerClick OK to complete the ProxyServer group policy setting

      2. Allez dans configuration\preferences\paramètres windows\registre.Go to User Configuration\Preferences\Windows Settings\Registry. Avec le bouton droit de Registre, sélectionnez New > élément de Registre et configurez les paramètres suivants:Right-click Registry, select New > Registry Item and configure the following settings:

        • Action: remplacerAction: Replace

        • La ruche: HKEY_CURRENT_USERHive: HKEY_CURRENT_USER

        • Chemin de la clé: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

        • Nom de la valeur: proxyserveurValue name: ProxyServer

          Notes

          Ne sélectionnez pas la zone à gauche du nom de la valeur par défaut.Do not select the Default box to the left of Value name.

        • Type de valeur: REG_SZValue type: REG_SZ

        • Données de la valeur: 127.0.0.1:80Value data: 127.0.0.1:80

          1. Cliquez sur le commune onglet et sélectionnez supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.

          2. Sur le commune onglet sélectionnez ciblage au niveau élément et cliquez sur ciblage.On the Common tab select Item level targeting and click Targeting.

          3. Cliquez sur nouvel élément et le groupe de sécurité sélectionnez.Click New Item and select security group.

          4. Sélectionnez le bouton «...» et ajoutez le groupe d’utilisateurs de PAW.Select the "..." button and add the PAW Users group.

          5. Cliquez sur nouvel élément et le groupe de sécurité sélectionnez.Click New Item and select security group.

          6. Sélectionnez le bouton «...» et recherchez le administrateurs des Services Cloud groupe.Select the "..." button and browse for the Cloud Services Admins group.

          7. Cliquez sur le administrateurs des Services Cloud de l’élément, puis cliquez sur Options de l’élément.Click on the Cloud Services Admins item and click Item Options.

          8. Sélectionnez n’est pas.Select Is not.

          9. Cliquez sur OK sur la fenêtre de ciblage.Click OK on the targeting window.

      3. Cliquez sur OK pour terminer le paramètre de stratégie de groupe ProxyServerClick OK to complete the ProxyServer group policy setting,

    2. Accédez à l’utilisateur Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Internet Explorer, puis activez les options ci-dessous.Go to User Configuration\Policies\Administrative Templates\Windows Components\Internet Explorer, and enable the options below. Ces paramètres empêchent les administrateurs de remplacer manuellement les paramètres de proxy.These settings will prevent the administrators from manually overriding the proxy settings.

      1. Activer la désactiver la modification de la Configuration automatique paramètres.Enable the Disable changing Automatic Configuration settings.

      2. Activer la empêcher la modification des paramètres de proxy.Enable the Prevent changing proxy settings.

  7. Empêcher les administrateurs de la connexion à des hôtes de niveau inférieur.Restrict Administrators from logging onto lower tier hosts. Dans cette section, nous allons configurer des stratégies de groupe pour empêcher les comptes administratifs privilégiés de journalisation sur les hôtes de niveau inférieur.In this section, we will configure group policies to prevent privileged administrative accounts from logging onto lower tier hosts.

    1. Créez le nouvel restriction de connexion à une station de travail GPO - ce paramètre empêchera de niveau 0 et comptes d’administrateur de niveau 1 se connecter à des stations de travail standard.Create the new Restrict Workstation Logon GPO - this setting will restrict Tier 0 and Tier 1 administrator accounts from logging onto standard workstations. Cet objet de stratégie de groupe doit être lié à l’unité d’organisation de niveau supérieur de «Stations de travail» et ont les paramètres suivants:This GPO should be linked to the "Workstations" top-level OU and have the following settings:

      • (i) Dans l’ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\affectation des droits utilisateur\refuser connexion en tant que traitement par lots, sélectionnez définir ces paramètres de stratégie et ajoutez les groupes de niveau 1 et le niveau 0:(i) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 and Tier 1 groups:

        Groupes à ajouter aux paramètres de stratégie:Groups to add to policy settings:

        Administrateurs de l’entrepriseEnterprise Admins

        Admins du domaineDomain Admins

        Administrateurs du schémaSchema Admins

        DOMAINE\AdministrateursDOMAIN\Administrators

        Opérateurs de compteAccount Operators

        Opérateurs de sauvegardeBackup Operators

        Opérateurs d’impressionPrint Operators

        Opérateurs de serveurServer Operators

        Contrôleurs de domaineDomain Controllers

        Read-Only Contrôleurs de domaineRead-Only Domain Controllers

        Groupe Propriétaires créateurs de stratégieGroup Policy Creators Owners

        Opérateurs de chiffrementCryptographic Operators

        Notes

        Remarque: Groupes de niveau 0intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Autres groupes déléguésOther Delegated Groups

        Notes

        Remarque: N’importe quel groupe personnalisé créé avec l’accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

        Administrateurs de niveau 1Tier 1 Admins

        Notes

        Remarque: Ce groupe a été créé précédemment dans la Phase 1Note: This Group was created earlier in Phase 1

      • (ii) Dans l’ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\Attribution des droits utilisateur\refuser connexion en tant que service, sélectionnez définir ces paramètres de stratégie et ajoutez les groupes de niveau 1 et le niveau 0:(ii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 and Tier 1 groups:

        Groupes à ajouter aux paramètres de stratégie:Groups to add to policy settings:

        Administrateurs de l’entrepriseEnterprise Admins

        Admins du domaineDomain Admins

        Administrateurs du schémaSchema Admins

        DOMAINE\AdministrateursDOMAIN\Administrators

        Opérateurs de compteAccount Operators

        Opérateurs de sauvegardeBackup Operators

        Opérateurs d’impressionPrint Operators

        Opérateurs de serveurServer Operators

        Contrôleurs de domaineDomain Controllers

        Read-Only Contrôleurs de domaineRead-Only Domain Controllers

        Groupe Propriétaires créateurs de stratégieGroup Policy Creators Owners

        Opérateurs de chiffrementCryptographic Operators

        Notes

        Remarque: Groupes de niveau 0intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Autres groupes déléguésOther Delegated Groups

        Notes

        Remarque: N’importe quel groupe personnalisé créé avec l’accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

        Administrateurs Teir 1Teir 1 Admins

        Notes

        Remarque: Ce groupe a été créé précédemment dans la Phase 1Note: This Group was created earlier in Phase 1

    2. Créez le nouvel restriction de connexion serveur GPO - ce paramètre empêchera les comptes d’administrateur de niveau 0 de se connecter aux serveurs de niveau 1.Create the new Restrict Server Logon GPO - this setting will restrict Tier 0 administrator accounts from logging onto Tier 1 servers. Cet objet de stratégie de groupe doit être lié à l’unité d’organisation de niveau supérieur de «Serveurs de niveau 1» et ont les paramètres suivants:This GPO should be linked to the "Tier 1 Servers" top-level OU and have the following settings:

      • (i) Dans l’ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\affectation des droits utilisateur\refuser connexion en tant que traitement par lots, sélectionnez définir ces paramètres de stratégie et ajoutez les groupes de niveau 0:(i) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a batch job, select Define these policy settings and add the Tier 0 groups:

        Groupes à ajouter aux paramètres de stratégie:Groups to add to policy settings:

        Administrateurs de l’entrepriseEnterprise Admins

        Admins du domaineDomain Admins

        Administrateurs du schémaSchema Admins

        DOMAINE\AdministrateursDOMAIN\Administrators

        Opérateurs de compteAccount Operators

        Opérateurs de sauvegardeBackup Operators

        Opérateurs d’impressionPrint Operators

        Opérateurs de serveurServer Operators

        Contrôleurs de domaineDomain Controllers

        Read-Only Contrôleurs de domaineRead-Only Domain Controllers

        Groupe Propriétaires créateurs de stratégieGroup Policy Creators Owners

        Opérateurs de chiffrementCryptographic Operators

        Notes

        Remarque: Groupes de niveau 0intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Autres groupes déléguésOther Delegated Groups

        Notes

        Remarque: N’importe quel groupe personnalisé créé avec l’accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      • (ii) Dans l’ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\Attribution des droits utilisateur\refuser connexion en tant que service, sélectionnez définir ces paramètres de stratégie et ajoutez les groupes de niveau 0:(ii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on as a service, select Define these policy settings and add the Tier 0 groups:

        Groupes à ajouter aux paramètres de stratégie:Groups to add to policy settings:

        Administrateurs de l’entrepriseEnterprise Admins

        Admins du domaineDomain Admins

        Administrateurs du schémaSchema Admins

        DOMAINE\AdministrateursDOMAIN\Administrators

        Opérateurs de compteAccount Operators

        Opérateurs de sauvegardeBackup Operators

        Opérateurs d’impressionPrint Operators

        Opérateurs de serveurServer Operators

        Contrôleurs de domaineDomain Controllers

        Read-Only Contrôleurs de domaineRead-Only Domain Controllers

        Groupe Propriétaires créateurs de stratégieGroup Policy Creators Owners

        Opérateurs de chiffrementCryptographic Operators

        Notes

        Remarque: Groupes de niveau 0intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Autres groupes déléguésOther Delegated Groups

        Notes

        Remarque: N’importe quel groupe personnalisé créé avec l’accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

      • (iii) Dans l’ordinateur Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres sécurité\Stratégies locales\Attribution des droits utilisateur\refuser localement, sélectionnez définir ces paramètres de stratégie et ajoutez les groupes de niveau 0:(iii) In Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny log on locally, select Define these policy settings and add the Tier 0 groups:

        Groupes à ajouter aux paramètres de stratégie:Groups to add to policy settings:

        Administrateurs de l’entrepriseEnterprise Admins

        Admins du domaineDomain Admins

        Administrateurs du schémaSchema Admins

        Opérateurs de compteAccount Operators

        Opérateurs de sauvegardeBackup Operators

        Opérateurs d’impressionPrint Operators

        Opérateurs de serveurServer Operators

        Contrôleurs de domaineDomain Controllers

        Read-Only Contrôleurs de domaineRead-Only Domain Controllers

        Groupe Propriétaires créateurs de stratégieGroup Policy Creators Owners

        Opérateurs de chiffrementCryptographic Operators

        Notes

        Remarque: Groupes de niveau 0intégrés, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Built-in Tier 0 Groups, see Tier 0 equivalency for more details.

        Autres groupes déléguésOther Delegated Groups

        Notes

        Remarque: N’importe quel groupe personnalisé créé avec l’accès de niveau 0 effectif, consultez l’équivalence de niveau 0 pour plus d’informations.Note: Any custom created groups with effective Tier 0 access, see Tier 0 equivalency for more details.

  8. Déployer votre PawDeploy your PAW(s)

    Notes

    Assurez-vous que le PAW est déconnecté du réseau pendant le processus de génération du système d’exploitation.Ensure that the PAW is disconnected from the network during the operating system build process.

    1. Installer Windows10 à l’aide du support d’installation de source propre que vous avez obtenu précédemment.Install Windows 10 using the clean source installation media that you obtained earlier.

      Notes

      Vous pouvez utiliser MicrosoftDeployment Toolkit (MDT) ou un autre système de déploiement automatisé d’images pour automatiser le déploiement de PAW, mais vous devez vous assurer que le processus de génération est au moins aussi fiable que le PAW.You may use Microsoft Deployment Toolkit (MDT) or another automated image deployment system to automate PAW deployment, but you must ensure the build process is as trustworthy as the PAW. Cherchent spécifiquement des images d’entreprise et les systèmes de déploiement (y compris les fichiers ISO, les packages de déploiement, etc.) comme mécanisme de persistance donc préexistants images ou systèmes de déploiement ne doivent pas être utilisés.Adversaries specifically seek out corporate images and deployment systems (including ISOs, deployment packages, etc.) as a persistence mechanism so preexisting deployment systems or images should not be used.

      Si vous automatisez le déploiement du PAW, vous devez:If you automate deployment of the PAW, you must:

      • Créer le système à l’aide du support d’installation validé en utilisant les recommandations de Source propre pour support d’installation.Build the system using installation media validated using the guidance in Clean Source for installation media.
      • Assurez-vous que le système de déploiement automatisé est déconnecté du réseau pendant le processus de génération du système d’exploitation.Ensure that the automated deployment system is disconnected from the network during the operating system build process.
    2. Définir un mot de passe complexe pour le compte d’administrateur local.Set a unique complex password for the local Administrator account. N’utilisez pas un mot de passe qui a été utilisé pour un autre compte dans l’environnement.Do not use a password that has been used for any other account in the environment.

      Notes

      Microsoft recommande d’utiliser Solution de mot de passe d’administrateur Local (LAPS) pour gérer le mot de passe administrateur local pour toutes les stations de travail, y compris les Paw.Microsoft recommends using Local Administrator Password Solution (LAPS) to manage the local Administrator password for all workstations, including PAWs. Si vous utilisez LAPS, assurez-vous que vous uniquement accorder groupe Maintenance de PAW le droit de lire les mots de passe gérés par LAPS pour les Paw.If you use LAPS, ensure that you only grant the PAW Maintenance group the right to read LAPS-managed passwords for the PAWs.

    3. Installez Remote Server Administration Tools pour Windows10 à l’aide du support d’installation de source propre.Install Remote Server Administration Tools for Windows 10 using the clean source installation media.

    4. Installez Enhanced Mitigation Experience Toolkit (EMET) à l’aide du support d’installation de source propre.Install Enhanced Mitigation Experience Toolkit (EMET) using the clean source installation media.

      Notes

      Veuillez noter que, au moment de la dernière mise à jour de ce guide, EMET 5.5 était toujours en version bêta.Please note that, at the time of the last update of this guidance, EMET 5.5 was still in beta testing. Dans la mesure où il s’agit de la première version prise en charge sur Windows10, il est inclus ici en dépit de son état de la version bêta.Because this is the first version supported on Windows 10, it is included here despite its beta state. Si l’installation de la version bêta sur le PAW dépasse votre tolérance au risque, vous pouvez ignorer cette étape pour l’instant.If installing beta software on the PAW exceeds your risk tolerance, you may skip this step for now.

    5. Connectez le PAW au réseau.Connect the PAW to the network. Assurez-vous que le PAW peut se connecter au contrôleur de domaine au moins un (DC).Ensure that the PAW can connect to at least one Domain Controller (DC).

    6. À l’aide d’un compte qui est membre du groupe Maintenance de PAW, exécutez la commande PowerShell suivante à partir du PAW nouvellement créé pour le joindre au domaine dans l’unité d’organisation appropriée:Using an account that is a member of the PAW Maintenance group, run the following PowerShell command from the newly-created PAW to join it to the domain in the appropriate OU:

      Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

      Remplacez les références à Fabrikam avec votre nom de domaine, le cas échéant.Replace the references to Fabrikam with your domain name, as appropriate. Si votre nom de domaine s’étend à plusieurs niveaux (par exemple, child.fabrikam.com), ajoutez les noms supplémentaires avec les «DC = «identificateur dans l’ordre dans lequel elles apparaissent dans le nom de domaine complet du domaine.If your domain name extends to multiple levels (e.g. child.fabrikam.com), add the additional names with the "DC=" identifier in the order in which they appear in the domain's fully-qualified domain name.

      Notes

      Si vous avez déployé un forêt d’administration ESAE (pour les administrateurs de niveau 0dans la Phase 1) ou un MicrosoftIdentity Manager (MIM) privileged access management (PAM) (de niveau 1 et 2administrateurs dans la Phase 2), vous joignez le PAW au domaine dans cet environnement au lieu du domaine de production.If you have deployed an ESAE Administrative Forest (for Tier 0 admins in Phase 1) or a Microsoft Identity Manager (MIM) privileged access management (PAM) (for Tier 1 and 2 admins in Phase 2), you would join the PAW to the domain in that environment here instead of the production domain.

    7. S’appliquent à toutes les mises à jour de Windows critiques et importantes avant d’installer tout autre logiciel (y compris les outils d’administration, les agents, etc..).Apply all critical and important Windows Updates before installing any other software (including administrative tools, agents, etc.).

    8. Forcer l’application de stratégie de groupe.Force the Group Policy application.

      1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante:Open an elevated command prompt and enter the following command:

        Gpupdate /force /sync

      2. Redémarrez l’ordinateurRestart the computer

    9. (Facultatif) **Installer d’autres outils requis pour les administrateurs ActiveDirectory.(Optional)** Install additional required tools for Active Directory Admins. Installez les autres outils ou scripts requis pour effectuer des tâches.Install any other tools or scripts required to perform job duties. Veillez à évaluer les risques d’exposition des informations d’identification sur les ordinateurs cibles avec tout outil avant de l’ajouter à un PAW.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Accès cette page pour obtenir plus d’informations sur l’évaluation des outils d’administration et les méthodes de connexion pour le risque d’exposition des informations d’identification.Access this page to obtain more information on evaluating administrative tools and connection methods for credential exposure risk. Veillez à obtenir tous les supports d’installation utilisant les instructions de Source propre pour support d’installation.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

      Notes

      À l’aide d’un serveur de renvoi d’un emplacement central pour ces outils permettre réduire la complexité, même si elle ne constitue pas une limite de sécurité.Using a jump server for a central location for these tools can reduce complexity, even if it doesn't serve as a security boundary.

    10. (Facultatif) **Télécharger et installer le logiciel d’accès à distance requis.(Optional)** Download and install required remote access software. Si les administrateurs utiliseront le PAW à distance pour l’administration, installez le logiciel d’accès à distance à l’aide du Guide de sécurité de votre fournisseur de solutions d’accès à distance.If administrators will be using the PAW remotely for administration, install the remote access software using security guidance from your remote access solution vendor. Veillez à obtenir tous les supports d’installation utilisant les instructions de Source propre pour support d’installation.Ensure to obtain all installation media using the guidance in Clean Source for installation media.

      Notes

      Étudiez attentivement tous les risques impliqués dans l’accès à distance via un PAW.Carefully consider all of the risks involved in allowing remote access via a PAW. Si un PAW mobile permet plusieurs scénarios importants, y compris le travail à domicile, logiciel d’accès à distance peut être vulnérable aux attaques et compromettre un PAW.While a mobile PAW enables many important scenarios, including work from home, remote access software can potentially be vulnerable to attack and used to compromise a PAW.

    11. Validez l’intégrité du système PAW en examinant et en confirmant que tous les paramètres appropriés sont en place en suivant les étapes ci-dessous:Validate the integrity of the PAW system by reviewing and confirming that all appropriate settings are in place using the steps below:

      1. Confirmer qu’uniquement les stratégies de groupe spécifiques à PAW sont appliquées pour le PAWConfirm that only the PAW-specific group policies are applied to the PAW

        1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante:Open an elevated command prompt and enter the following command:

          Gpresult /scope computer /r

        2. Passez en revue la liste résultante et vérifiez que le groupe uniquement les stratégies qui s’affichent sont celles que vous avez créé précédemment.Review the resulting list and ensure that the only group policies that appear are the ones you created above.

      2. Vérifiez que les comptes d’utilisateurs supplémentaires sont membres des groupes privilégiés sur le PAW à l’aide de la procédure ci-dessous:Confirm that no additional user accounts are members of privileged groups on the PAW using the steps below:

        1. Ouvrez modifier les utilisateurs et groupes locaux (lusrmgr.msc), sélectionnez groupeset vérifiez que seuls les membres du groupe Administrateurs local sont le compte administrateur local et le groupe de sécurité global Maintenance de PAW.Open Edit Local Users and Groups (lusrmgr.msc), select Groups, and confirm that the only members of the local Administrators group are the local Administrator account and the PAW Maintenance global security group.

          Notes

          Le groupe d’utilisateurs PAW ne doit pas être un membre du groupe Administrateurs local.The PAW Users group should not be a member of the local Administrators group. Seuls les membres doivent être le compte administrateur local et le groupe de sécurité global Maintenance de PAW (et les utilisateurs PAW ne doit pas être soit un membre de ce groupe global).The only members should be the local Administrator account and the PAW Maintenance global security group (and PAW Users should not be a member of that global group either).

        2. Également à l’aide de modifier les utilisateurs et groupes locaux, assurez-vous que les groupes suivants n’ont aucun membre:Also using Edit Local Users and Groups, ensure that the following groups have no members:

          • Opérateurs de sauvegardeBackup Operators

          • Opérateurs de chiffrementCryptographic Operators

          • Administrateurs Hyper-VHyper-V Administrators

          • Opérateurs de Configuration réseauNetwork Configuration Operators

          • Utilisateurs avec pouvoirPower Users

          • Utilisateurs du Bureau à distanceRemote Desktop Users

          • DuplicateursReplicators

    12. (Facultatif) **Si votre organisation utilise des informations de sécurité et de la solution de gestion (SIEM) des événements, vérifiez que le PAW est configuré pour transférer les événements sur le système à l’aide de transfert des événements de Windows (WEF) ou enregistré avec la solution afin que la solution SIEM reçoive activement les événements et des informations à partir du PAW.(Optional)** If your organization uses a security information and event management (SIEM) solution, ensure that the PAW is configured to forward events to the system using Windows Event Forwarding (WEF) or is otherwise registered with the solution so that the SIEM is actively receiving events and information from the PAW. Les détails de cette opération varient en fonction de votre solution SIEM.The details of this operation will vary based on your SIEM solution.

      Notes

      Si votre solution SIEM nécessite un agent qui s’exécute en tant que système ou un compte d’administration local sur les Paw, assurez-vous que les solutions SIEM sont gérées avec le même niveau de confiance que vos contrôleurs de domaine et les systèmes d’identité.If your SIEM requires an agent which runs as system or a local administrative account on the PAWs, ensure that the SIEMs are managed with the same level of trust as your domain controllers and identity systems.

    13. (Facultatif) **Si vous avez choisi de déployer LAPS pour gérer le mot de passe du compte administrateur local sur votre PAW, vérifiez que le mot de passe est enregistré correctement.(Optional)** If you chose to deploy LAPS to manage the password for the local Administrator account on your PAW, verify that the password is registered successfully.

      • À l’aide d’un compte disposant des autorisations pour lire les mots de passe gérés par LAPS, ouvrez ActiveDirectory Users and Computers (dsa.msc).Using an account with permissions to read LAPS-managed passwords, open Active Directory Users and Computers (dsa.msc). Vérifiez que l’option fonctionnalités avancées est activée et puis cliquez sur l’objet ordinateur approprié.Ensure that Advanced Features is enabled, and then right-click the appropriate computer object. Sélectionnez l’onglet Éditeur d’attribut et confirmez que la valeur de msSVSadmPwd est remplie avec un mot de passe valide.Select the Attribute Editor tab and confirm that the value for msSVSadmPwd is populated with a valid password.

Phase 2 - étendre les PAW à tous les administrateursPhase 2 - Extend PAW to All Administrators

Étendue: Tous les utilisateurs disposant de droits administratifs sur les applications critiques et des dépendances.Scope: All users with administrative rights over mission-critical applications and dependencies. Cela doit inclure au moins les administrateurs de serveurs d’applications, d’intégrité opérationnelle et de surveillance des solutions, les solutions de virtualisation, les systèmes de stockage et les périphériques réseau de la sécurité.This should include at least administrators of application servers, operational health and security monitoring solutions, virtualization solutions, storage systems, and network devices.

Notes

Les instructions de cette phase supposent que la Phase 1 a été effectuée dans son intégralité.The instructions in this phase assume that Phase 1 has been completed in its entirety. Ne commencez pas la Phase 2 jusqu'à ce que vous avez effectué toutes les étapes de la Phase 1.Do not begin Phase 2 until you have completed all of the steps in Phase 1.

Après avoir confirmé que toutes les étapes ont été réalisées, effectuez les étapes ci-dessous pour effectuer la Phase 2:Once you confirm that all steps were done, perform the steps below to complete Phase 2:

  1. (Recommandé) **Activer **RestrictedAdmin mode - activer cette fonctionnalité sur vos serveurs existants et les stations de travail, puis appliquez l’utilisation de cette fonctionnalité.(Recommended) Enable RestrictedAdmin mode - Enable this feature on your existing servers and workstations, then enforce the use of this feature. Cette fonctionnalité nécessite que les serveurs cibles pour exécuter Windows Server2008R2 ou version ultérieure et cibler des stations de travail pour exécuter Windows7 ou version ultérieure.This feature will require the target servers to be running Windows Server 2008 R2 or later and target workstations to be running Windows 7 or later.

    1. Activer RestrictedAdmin mode sur vos serveurs et les stations de travail en suivant les instructions disponibles sur cette page.Enable RestrictedAdmin mode on your servers and workstations by following the instructions available in this page.

      Notes

      Avant d’activer cette fonctionnalité pour les serveurs exposés à internet, vous devez envisager le risque que des pirates parviennent à authentifier ces serveurs avec un hachage de mot de passe volé précédemment.Before enabling this feature for internet facing servers, you should consider the risk of adversaries being able to authenticate to these servers with a previously-stolen password hash.

    2. Créer un objet stratégie de groupe (GPO) «RestrictedAdmin requis – ordinateur».Create "RestrictedAdmin Required - Computer" group policy object (GPO). Cette section crée un objet de stratégie de groupe qui applique l’utilisation de la /RestrictedAdmin commutateur pour les connexions Bureau à distance sortantes, protéger les comptes contre le vol d’informations d’identification sur les systèmes ciblesThis section creates a GPO which enforces the use of the /RestrictedAdmin switch for outgoing Remote Desktop connections, protecting accounts from credential theft on the target systems

      • Accédez à ordinateur configuration informations identification\restreindre la délégation des informations d’identification à des serveurs distants et la valeur activé.Go to Computer Configuration\Policies\Administrative Templates\System\Credentials Delegation\Restrict delegation of credentials to remote servers and set to Enabled.
    3. Lien le RestrictedAdmin requis - ordinateur aux approprié niveau 1 et/ou niveau 2périphériques en utilisant les options de stratégie ci-dessous:Link the RestrictedAdmin Required - Computer to the appropriate Tier 1 and/or Tier 2 Devices by using the Policy options below:

      Configuration PAW - ordinateurPAW Configuration - Computer

      -> emplacement du lien: Admin\Tier 0\Devices (existant)-> Link Location: Admin\Tier 0\Devices (Existing)

      Configuration PAW - utilisateurPAW Configuration - User

      -> emplacement du lien: Admin\Tier 0\Accounts-> Link Location: Admin\Tier 0\Accounts

      RestrictedAdmin requis - ordinateurRestrictedAdmin Required - Computer

      -> admin\Tier1\Devices ou -> admin\Tier2\Devices (les deux sont facultatifs)->Admin\Tier1\Devices or -> Admin\Tier2\Devices (Both are optional)

      Notes

      Cela n’est pas nécessaire pour les systèmes de niveau 0, ces systèmes ayant déjà dans un contrôle total de toutes les ressources dans l’environnement.This is not necessary for Tier 0 systems as these systems are already in full control of all assets in the environment.

  2. Déplacer des objets de niveau 1vers les unités d’organisation appropriées.Move Tier 1 Objects to the appropriate OUs.

    1. Déplacer les groupes de niveau 1vers le Admin\Tier 1\Groups UO.Move Tier 1 groups To the Admin\Tier 1\Groups OU. Recherchez tous les groupes qui accorder les droits d’administration suivants et déplacement dans cette unité d’organisation.Locate all groups that grant the following administrative rights and move them to this OU.

      • Administrateur local sur plusieurs serveursLocal administrator on more than one server

      • Accès administratif aux services cloudAdministrative Access to cloud services

      • Accès administratif aux applications d’entrepriseAdministrative Access to enterprise applications

    2. Déplacez les comptes de niveau 1vers l’UO Admin\Tier 1\ACCOUNTS.Move Tier 1 accounts to the Admin\Tier 1\Accounts OU. Déplacez chaque compte qui est membre de ces groupes de niveau 1 (y compris l’appartenance imbriquée) à cette unité d’organisation.Move each account that is a member of those Tier 1 groups (including nested membership) to this OU.

  3. Ajoutez les membres appropriés aux groupes pertinentsAdd the appropriate members to the relevant groups

    • Administrateurs de niveau 1 -ce groupe contient les administrateurs de niveau 1 qui seront limités à partir de la journalisation sur les ordinateurs hôtes de niveau 2.Tier 1 Admins - This group will contain the Tier 1 Admins that will be restricted from logging onto Tier 2 hosts. Ajoutez toutes vos groupes d’administration de niveau 1 qui ont des privilèges d’administration sur les serveurs ou des services internet.Add all of your Tier 1 administrative groups that have administrative privileges over servers or internet services.

      Notes

      Si le personnel administratif a la responsabilité de gérer des ressources sur plusieurs niveaux, vous devez créer un compte administratif distinct par niveau.If administrative personnel have duties to manage assets at multiple tiers, you will need to create a separate admin account per tier.

  4. Activer Credential Guard afin de réduire le risque de vol d’informations d’identification et de réutilisation.Enable Credential Guard to reduce risk of credential theft and reuse. Credential Guard est une nouvelle fonctionnalité de Windows10 qui restreint l’accès de l’application des informations d’identification, la prévention des attaques de vol d’informations d’identification (y compris Pass-the-Hash).Credential Guard is a new feature of Windows 10 that restricts application access to credentials, preventing credential theft attacks (including Pass-the-Hash). Credential Guard est complètement transparent pour l’utilisateur final et nécessite des efforts et l’heure d’installation minimale.Credential Guard is completely transparent to the end user and requires minimal setup time and effort. Pour plus d’informations sur Credential Guard, y compris les étapes de déploiement et la configuration matérielle requise, reportez-vous à l’article protéger les informations d’identification de domaine avec Credential Guard.For further information on Credential Guard, including deployment steps and hardware requirements, please refer to the article, Protect domain credentials with Credential Guard.

    Notes

    Device Guard doit être activée pour configurer et utiliser la protection des informations d’identification.Device Guard must be enabled in order to configure and use Credential Guard. Toutefois, vous n’êtes pas obligé de configurer les autres protections protection d’appareils afin d’utiliser la protection des informations d’identification.However, you are not required to configure any other Device Guard protections in order to use Credential Guard.

  5. (Facultatif) **Activer la connectivité aux Services Cloud.(Optional)** Enable Connectivity to Cloud Services. Cette étape permet la gestion des services cloud, comme Azure et Office 365 avec des garanties de sécurité approprié.This step allows management of cloud services like Azure and Office 365 with appropriate security assurances. Cette étape est également requise pour MicrosoftIntune pour gérer les Paw.This step is also required for Microsoft Intune to manage the PAWs.

    Notes

    Ignorez cette étape si aucune connectivité cloud n’est requise pour l’administration des services cloud ou de gestion par Intune.Skip this step if no cloud connectivity is required for administration of cloud services or management by Intune.

    Ces étapes seront restreindre la communication sur internet aux seuls services cloud autorisés (mais pas sur l’internet public) et ajoutent des protections pour les navigateurs et autres applications qui traitent le contenu à partir d’internet.These steps will restrict communication over the internet to only authorized cloud services (but not the open internet) and add protections to the browsers and other applications that will process content from the internet. Ces Paw pour l’administration ne doit jamais être utilisé pour les tâches d’utilisateur standard comme les communications sur internet et la productivité.These PAWs for administration should never be used for standard user tasks like internet communications and productivity.

    Pour activer la connectivité à PAW services, procédez comme suit:To enable connectivity to PAW services follow the steps below:

    1. Configurez PAW pour autoriser uniquement les destinations Internet autorisées.Configure PAW to allow only authorized Internet destinations. Lorsque vous étendez votre déploiement PAW pour activer l’administration du cloud, vous devez autoriser l’accès aux services autorisés en filtrant les accès à partir de l’internet public où les attaques peuvent être plus facilement lancées contre vos administrateurs.As you extend your PAW deployment to enable cloud administration, you need to allow access to authorized services while filtering out access from the open internet where attacks can more easily be mounted against your admins.

      1. Créer administrateurs des Services Cloud de groupe et ajouter tous les comptes qui nécessitent un accès aux services cloud sur internet.Create Cloud Services Admins group and add all of the accounts to it that require access to cloud services on the internet.

      2. Télécharger le PAW proxy.pac à partir de fichiers Galerie TechNet et publiez-le sur un site Web interne.Download the PAW proxy.pac file from TechNet Gallery and publish it on an internal website.

        Notes

        Vous devez mettre à jour le proxy.pac fichier après téléchargement pour vous assurer qu’il est à jour et complet.You will need to update the proxy.pac file after downloading to ensure that it is up-to-date and complete.
        Microsoft publie toutes les Office 365 et Azure URL actuelle du bureau centre de Support.Microsoft publishes all current Office 365 and Azure URLs in the Office Support Center.

        Vous devrez peut-être ajouter d’autres destinations Internet valides pour l’ajouter à cette liste pour les autres fournisseurs IaaS, mais ne pas ajouter de productivité, divertissements, actualités ou rechercher des sites à cette liste.You may need to add other valid Internet destinations to add to this list for other IaaS provider, but do not add productivity, entertainment, news, or search sites to this list.

        Vous devrez également régler le fichier PAC pour prendre en charge une adresse proxy valide à utiliser pour ces adresses.You may also need to adjust the PAC file to accommodate a valid proxy address to use for these addresses.

        Notes

        Vous pouvez également restreindre l’accès à partir du PAW à l’aide d’un proxy web ainsi défense en profondeur.You can also restrict access from the PAW using a web proxy as well for defense in depth. Nous déconseillons l’utilisation cela par lui-même sans fichier PAC comme il sera uniquement restreindre l’accès pour les Paw alors connectés au réseau d’entreprise.We don't recommend using this by itself without the PAC file as it will only restrict access for PAWs while connected to the corporate network.

        Ces instructions supposent que vous utilisez Internet Explorer (ou MicrosoftEdge) pour l’administration d’Office 365, Azure et autres services cloud.These instructions assume that you will be using Internet Explorer (or Microsoft Edge) for administration of Office 365, Azure, and other cloud services. Microsoft vous recommande de configurer des restrictions similaires pour les navigateurs tiers 3edont vous avez besoin pour l’administration.Microsoft recommends configuring similar restrictions for any 3rd party browsers that you require for administration. Navigateurs Web sur les Paw doivent uniquement être utilisés pour l’administration des services cloud et jamais pour la navigation web générale.Web browsers on PAWs should only be used for administration of cloud services, and never for general web browsing.

      3. Une fois que vous avez configuré le proxy.pac de fichier, la mise à jour Configuration PAW - GPO de l’utilisateur.Once you have configured the proxy.pac file, update the PAW Configuration - User GPO.

        1. Allez dans configuration\preferences\paramètres windows\registre.Go to User Configuration\Preferences\Windows Settings\Registry. Avec le bouton droit de Registre, sélectionnez New > élément de Registre et configurez les paramètres suivants:Right-click Registry, select New > Registry Item and configure the following settings:

          1. Action: remplacerAction: Replace

          2. Ruche: HKEY_ CURRENT_USERHive: HKEY_ CURRENT_USER

          3. Chemin de la clé: Software\Microsoft\Windows\CurrentVersion\Internet SettingsKey Path: Software\Microsoft\Windows\CurrentVersion\Internet Settings

          4. Nom de la valeur: AutoConfigUrlValue name: AutoConfigUrl

            Notes

            Ne sélectionnez pas le par défaut située à gauche du nom de valeur.Do not select the Default box to the left of Value name.

          5. Type de valeur: REG_SZValue type: REG_SZ

          6. Données de la valeur: Saisissez l’URL complète pour le proxy.pac fichier, y compris http:// et le nom de fichier - http://proxy.fabrikam.com/proxy.pac par exemple.Value data: enter the complete URL to the proxy.pac file, including http:// and the file name - for example http://proxy.fabrikam.com/proxy.pac. L’URL peut également être une partie - http://proxy/proxy.pac par exemple,The URL can also be a single-label URL - for example, http://proxy/proxy.pac

            Notes

            Le fichier PAC peut également être hébergé sur un partage de fichiers, avec la syntaxe de file://server.fabrikan.com/share/proxy.pac, mais cela nécessite une autorisation du protocole file://.The PAC file can also be hosted on a file share, with the syntax of file://server.fabrikan.com/share/proxy.pac but this requires allowing the file:// protocol. Consultez la section «Remarque: File://-based Proxy Scripts déconseillées» de ce Configuration du Proxy Web présentation blog des détails supplémentaires sur la configuration de la valeur de Registre requise.See the "NOTE: File://-based Proxy Scripts Deprecated" section of this Understanding Web Proxy Configuration blog for additional detail on configuring the required registry value.

          7. Cliquez sur le commune onglet et sélectionnez supprimer cet élément lorsqu’il n’est plus appliqué.Click the Common tab and select Remove this item when it is no longer applied.

          8. Sur le commune onglet sélectionnez ciblage au niveau élément et cliquez sur ciblage.On the Common tab select Item level targeting and click Targeting.

          9. Cliquez sur nouvel élément et sélectionnez groupe de sécurité.Click New Item and select security group.

          10. Sélectionnez le bouton «...» et recherchez le administrateurs des Services Cloud groupe.Select the "..." button and browse for the Cloud Services Admins group.

          11. Cliquez sur nouvel élément et sélectionnez groupe de sécurité.Click New Item and select security group.

          12. Sélectionnez le bouton «...» et recherchez le utilisateurs PAW groupe.Select the "..." button and browse for the PAW Users group.

          13. Cliquez sur le utilisateurs PAW de l’élément, puis cliquez sur Options de l’élément.Click on the PAW Users item and click Item Options.

          14. Sélectionnez n’est pas.Select Is not.

          15. Cliquez sur OK sur la fenêtre de ciblage.Click OK on the targeting window.

          16. Cliquez sur OK pour terminer la AutoConfigUrl paramètre de stratégie de groupe.Click OK to complete the AutoConfigUrl group policy setting.

    2. Appliquer des lignes de base de sécurité de Windows10 et lien d’accès Service Cloud les lignes de base de sécurité pour Windows et pour le service cloud accéder (si nécessaire) pour les unités d’organisation appropriées en suivant les étapes ci-dessous:Apply Windows 10 Security baselines and Cloud Service Access Link the security baselines for Windows and for cloud service access (if required) to the correct OUs using the steps below:

      1. Extrayez le contenu du fichier ZIP de lignes de base sécurité de Windows10.Extract the contents of the Windows 10 Security Baselines ZIP file.

      2. Créez ces objets de stratégie de groupe, importer la stratégie paramètres, et lien conformément à cette table.Create these GPOs, import the policy settings, and link per this table. Liez chaque stratégie à chaque emplacement et assurez-vous que l’ordre suit la table (entrées inférieures dans la table doivent être appliquée ultérieurement et versions ultérieures de priorité):Link each policy to each location and ensure the order follows the table (lower entries in table should be applied later and higher priority):

        Stratégies:Policies:

        CM Windows10 - sécurité de domaineCM Windows 10 - Domain Security N/a - ne pas lier maintenantN/A - Do Not Link Now
        SCM Windows10 TH2 - ordinateurSCM Windows 10 TH2 - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 TH2-BitLockerSCM Windows 10 TH2- BitLocker Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 - Credential GuardSCM Windows 10 - Credential Guard Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Internet Explorer - ordinateurSCM Internet Explorer - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Configuration PAW - ordinateurPAW Configuration - Computer Admin\Tier 0\Devices (existant)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (nouveau lien)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (nouveau lien)Admin\Tier 2\Devices (New Link)
        RestrictedAdmin requis - ordinateurRestrictedAdmin Required - Computer Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        SCM Windows10 - utilisateurSCM Windows 10 - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Internet Explorer SCM - utilisateurSCM Internet Explorer - User Admin\Tier 0\DevicesAdmin\Tier 0\Devices
        Admin\Tier 1\DevicesAdmin\Tier 1\Devices
        Admin\Tier 2\DevicesAdmin\Tier 2\Devices
        Configuration PAW - utilisateurPAW Configuration - User Admin\Tier 0\Devices (existant)Admin\Tier 0\Devices (Existing)
        Admin\Tier 1\Devices (nouveau lien)Admin\Tier 1\Devices (New Link)
        Admin\Tier 2\Devices (nouveau lien)Admin\Tier 2\Devices (New Link)

        Notes

        Le «SCM Windows10 – sécurité de domaine «objet stratégie de groupe peut être liée au domaine indépendamment du PAW, mais affecte l’ensemble du domaine.The "SCM Windows 10 - Domain Security" GPO may be linked to the domain independently of PAW, but will affect the entire domain.

  6. (Facultatif) **Installer d’autres outils requis pour les administrateurs de niveau 1.(Optional)** Install additional required tools for Tier 1 Admins. Installez les autres outils ou scripts requis pour effectuer des tâches.Install any other tools or scripts required to perform job duties. Veillez à évaluer les risques d’exposition des informations d’identification sur les ordinateurs cibles avec tout outil avant de l’ajouter à un PAW.Ensure to evaluate the risk of credential exposure on the target computers with any tool before adding it to a PAW. Pour plus d’informations sur l’évaluation des outils d’administration et aux méthodes de risque d’exposition des informations d’identification visitez cette page.For more information on evaluating administrative tools and connection methods for credential exposure risk visit this page. Veillez à obtenir tous les supports d’installation utilisant les instructions de Source propre pour support d’installationEnsure to obtain all installation media using the guidance in Clean Source for installation media

  7. Identifiez et obtenez en toute sécurité les logiciels et les applications requises pour l’administration.Identify and safely obtain software and applications required for administration. Cela est similaire au travail effectué en Phase 1, mais avec une portée plus large en raison de l’augmentation du nombre d’applications, des services et des systèmes sécurisés.This is similar to the work performed in Phase 1, but with a broader scope due to the increased number of applications, services, and systems being secured.

    Notes

    Veillez à protéger ces nouvelles applications (y compris les navigateurs web) en activant les protections fournies par EMET.Ensure that you protect these new applications (including web browsers) by opting them into the protections provided by EMET.

    Exemples d’applications et logiciels supplémentaires:Examples of additional software and applications include:

    • MicrosoftAzure PowerShellMicrosoft Azure PowerShell

    • PowerShell pour Office 365 (également appelé Module MicrosoftOnline Services)Office 365 PowerShell (also known as Microsoft Online Services Module)

    • Logiciels de gestion de service basée sur la Console de gestion Microsoft ou d’applicationApplication or service management software based on the Microsoft Management Console

    • Logiciels de gestion de service ou les propriétaire application (non-basée sur MMC)Proprietary (non-MMC-based) application or service management software

      Notes

      De nombreuses applications sont désormais exclusivement gérées via les navigateurs web, y compris de nombreux services cloud.Many applications are now exclusively managed via web browsers, including many cloud services. Même si cela réduit le nombre d’applications qui doivent être installées sur un PAW, elle présente également des risques de problèmes d’interopérabilité de navigateur.While this reduces the number of applications which need to be installed on a PAW, it also introduces the risk of browser interoperability issues. Vous devrez peut-être déployer un navigateur web non Microsoft sur des instances spécifiques de PAW pour activer l’administration des services spécifiques.You may need to deploy a non-Microsoft web browser onto specific PAW instances to enable administration of specific services. Si vous déployez un navigateur web supplémentaire, assurez-vous que vous suivez toutes les principes de source propre et sécuriser le navigateur en fonction des conseils sur la sécurité du fournisseur.If you do deploy an additional web browser, ensure that you follow all clean source principles and secure the browser according to the vendor's security guidance.

  8. (Facultatif) **Télécharger et installer des agents de gestion requis.(Optional)** Download and install any required management agents.

    Notes

    Si vous choisissez d’installer des agents de gestion supplémentaires (surveillance, sécurité, gestion de la configuration, etc.), il est essentiel de vérifier que les systèmes de gestion sont approuvés au même niveau que les contrôleurs de domaine et les systèmes d’identité.If you choose to install additional management agents (monitoring, security, configuration management, etc.), it is vital that you ensure the management systems are trusted at the same level as domain controllers and identity systems. Pour plus d’informations, consultez Gestion et mise à jour des Paw.See the Managing and Updating PAWs for additional guidance.

  9. Évaluez votre infrastructure pour identifier les systèmes qui nécessitent les protections de sécurité supplémentaires fournies par un PAW.Assess your infrastructure to identify systems which require the additional security protections provided by a PAW. Assurez-vous de savoir exactement quels systèmes doivent être protégées.Ensure that you know exactly which systems must be protected. Poser des questions essentielles relatives aux ressources, telles que:Ask critical questions about the resources themselves, such as:

    • Où sont les systèmes cibles qui doivent être gérés?Where are the target systems which must be managed? Ils collectées dans un seul emplacement physique, ou connectés à un seul sous-réseau bien défini?Are they collected in a single physical location, or connected to a single well-defined subnet?

    • Le nombre de systèmes sont-ils présents?How many systems are there?

    • Ces systèmes dépendent-ils sur d’autres systèmes (virtualisation, stockage, etc.), et si tel est le cas, comment ces systèmes gérés?Do these systems depend on other systems (virtualization, storage, etc.), and if so, how are those systems managed? Comment les systèmes critiques sont-ils exposés à ces dépendances, et quels sont les risques associés avec ces dépendances?How are the critical systems exposed to these dependencies, and what are the additional risks associated with those dependencies?

    • Comment critiques sont les services gérés sont-ils, et quelle est la perte attendue si ces services étaient compromis?How critical are the services being managed, and what is the expected loss if those services are compromised?

      Notes

      Inclure vos services cloud dans cette évaluation: les pirates ciblent plus en plus des déploiements de cloud non sécurisés, et il est essentiel que vous administriez ces services de façon aussi sécurisée que vous le feriez pour vos applications critiques locales.Include your cloud services in this assessment - attackers increasingly target insecure cloud deployments, and it is vital that you administer those services as securely as you would your on-premises mission-critical applications.

      Utilisez cette évaluation pour identifier les systèmes qui nécessitent une protection supplémentaire, puis étendez votre programme PAW aux administrateurs de ces systèmes.Use this assessment to identify the specific systems which require additional protection, and then extend your PAW program to the administrators of those systems. Des exemples courants de systèmes qui profitent grandement de l’administration basée sur les PAW comprennent SQLServer (sur site et SQL Azure), les applications de ressources humaines et les logiciels financiers.Common examples of systems which benefit greatly from PAW-based administration include SQL Server (both on-premises and SQL Azure), human resources applications, and financial software.

      Notes

      Si une ressource est gérée à partir d’un système Windows, il peut être géré avec un PAW, même si l’application elle-même s’exécute sur un système d’exploitation autres que Windows ou sur une plateforme cloud non Microsoft.If a resource is managed from a Windows system, it can be managed with a PAW, even if the application itself runs on an operating system other than Windows or on a non-Microsoft cloud platform. Par exemple, le propriétaire d’un abonnement Amazon Web Services doit uniquement utiliser un PAW pour administrer ce compte.For example, the owner of an Amazon Web Services subscription should only use a PAW to administer that account.

  10. Développez une méthode de demande et de distribution pour le déploiement de Paw à l’échelle de votre organisation.Develop a request and distribution method for deploying PAWs at scale in your organization. En fonction du nombre de Paw que vous choisissez de déployer en Phase 2, vous devrez peut-être automatiser le processus.Depending on the number of PAWs you choose to deploy in Phase 2, you may need to automate the process.

    • Envisagez de développer une demande formelle et le processus d’approbation pour les administrateurs à utiliser pour obtenir un PAW.Consider developing a formal request and approval process for administrators to use to obtain a PAW. Ce processus permet de normaliser le processus de déploiement, garantir la responsabilité pour les appareils PAW et vous aider à identifier les lacunes dans le déploiement de PAW.This process would help standardize the deployment process, ensure accountability for PAW devices, and help identify gaps in PAW deployment.

    • Comme indiqué précédemment, cette solution de déploiement doit être distincte de méthodes d’automatisation existantes (qui a peut-être déjà été compromis) et doit suivre les principes énoncés dans la Phase 1.As stated previously, this deployment solution should be separate from existing automation methods (which may have already been compromised) and should follow the principles outlined in Phase 1.

      Notes

      Tout système qui gère les ressources doit lui-même être géré au niveau de confiance identique ou supérieur.Any system which manages resources should itself managed at the same or higher trust level.

  11. Passez en revue et déployer des profils matériels PAW supplémentaires si nécessaire.Review and if necessary deploy additional PAW hardware profiles. Le profil matériel que vous avez choisi pour le déploiement de la Phase 1 peut ne pas convenir pour tous les administrateurs.The hardware profile you chose for Phase 1 deployment may not be suitable for all administrators. Passez en revue les profils matériels et sélectionnez éventuellement les profils matériels PAW supplémentaires pour répondre aux besoins des administrateurs.Review the hardware profiles and if appropriate select additional PAW hardware profiles to match the needs of the administrators. Par exemple, le profil matériel dédié (distinct PAW et utilisation quotidienne stations de travail) peut être inapproprié pour un administrateur qui se déplace souvent: dans ce cas, vous pouvez choisir de déployer le profil utilisation simultanée (PAW avec machine virtuelle d’utilisateur) pour cet administrateur.For example, the Dedicated Hardware profile (separate PAW and daily use workstations) may be unsuitable for an administrator who travels often - in this case, you might choose to deploy the Simultaneous Use profile (PAW with user VM) for that administrator.

  12. Tenez compte des communications, culturelles et opérationnelles et les besoins de formation qui accompagnent un déploiement PAW étendu.Consider the cultural, operational, communications, and training needs which accompany an extended PAW deployment. Un changement aussi significatif à un modèle d’administration nécessite naturellement à la gestion des modifications, et il est essentiel d’intégrer le projet de déploiement lui-même.Such a significant change to an administrative model will naturally require change management to some degree, and it is essential to build that into the deployment project itself. Au minimum les points suivants:Consider at a minimum the following:

    • Comment vous communiquent les modifications apportées à la direction pour assurer la prise en charge?How will you communicate the changes to senior leadership to ensure their support? Un projet sans communiquerez-vous sauvegarde est susceptible d’échouer, ou à la moins très difficile à financer et faire accepter.Any project without senior leadership backing is likely to fail, or at the very least struggle for funding and broad acceptance.

    • Comment documenterez-vous le nouveau processus pour les administrateurs?How will you document the new process for administrators? Ces modifications doivent être documentées et communiquées non seulement aux administrateurs existants (qui doivent changer leurs habitudes et gérer les ressources d’une façon différente), mais également pour les nouveaux administrateurs (ceux promus dans ou recrutés depuis l’extérieur de l’organisation).These changes must be documented and communicated not only to existing administrators (who must change their habits and manage resources in a different way), but also for new administrators (those promoted from within or hired from outside the organization). Il est essentiel que la documentation soit claire et explique complètement l’importance des menaces, rôle des PAW pour protéger les administrateurs et comment utiliser les PAW correctement.It is essential that the documentation is clear and fully articulates the importance of the threats, PAW's role in protecting the admins, and how to use PAW correctly.

      Notes

      Cela est particulièrement important pour les rôles à rotation élevée, y compris, mais pas limité au personnel du support technique.This is especially important for roles with high turnover, including but not limited to help desk personnel.

    • Comment garantirez-vous la conformité avec le nouveau processus?How will you ensure compliance with the new process? Tandis que le modèle PAW inclut un nombre de contrôles techniques pour éviter l’exposition des informations d’identification privilégiées, il est impossible à éviter totalement toute exposition possible uniquement à l’aide de contrôles techniques.While the PAW model includes a number of technical controls to prevent the exposure of privileged credentials, it is impossible to fully prevent all possible exposure purely using technical controls. Par exemple, bien qu’il soit possible d’empêcher un administrateur de se connecter avec succès sur un ordinateur de bureau utilisateur avec les informations d’identification privilégiées, le simple fait de tenter l’ouverture de session peut exposer les informations d’identification aux logiciels malveillants installés sur ce bureau de l’utilisateur.For example, although it is possible to prevent an administrator from successfully logging onto a user desktop with privileged credentials, the simple act of attempting the logon can expose the credentials to malware installed on that user desktop. Il est donc essentiel de détailler non seulement les avantages du modèle PAW, mais les risques de non-conformité.It is therefore essential that you articulate not only the benefits of the PAW model, but the risks of non-compliance. Cela doit être complété par des audits et des alertes afin que l’exposition des informations d’identification peut être détectée et traitée rapidement.This should be complemented by auditing and alerting so that credential exposure can be quickly detected and addressed.

Phase 3: Étendre et améliorer la ProtectionPhase 3: Extend and Enhance Protection

Étendue: Ces protections améliorent les systèmes créés en Phase 1, en renforçant la protection de base avec des fonctionnalités avancées, y compris l’authentification multifacteur et les règles d’accès réseau.Scope: These protections enhance the systems built in Phase 1, bolstering the basic protection with advanced features including multi-factor authentication and network access rules.

Notes

Cette phase peut être effectuée à tout moment après que la Phase 1 a été effectuée.This phase can be performed at any time after Phase 1 has been completed. Il n’est pas dépendante à la fin de la Phase 2 et peut donc être exécutée avant, simultanées, ou après la Phase 2.It is not dependent on completion of Phase 2, and thus can be performed before, concurrent with, or after Phase 2.

Suivez les étapes ci-dessous pour configurer cette phase:Follow the steps below to configure this phase:

  1. Activer l’authentification multifacteur pour les comptes privilégiés.Enable multi-factor authentication for privileged accounts. L’authentification multifacteur renforce la sécurité du compte en demandant à l’utilisateur à fournir un jeton physique en plus des informations d’identification.Multi-factor authentication strengthens account security by requiring the user to provide a physical token in addition to credentials. L’authentification multifacteur complète des stratégies d’authentification extrêmement bien, mais elle ne dépend pas de stratégies d’authentification pour le déploiement (et, de même, les stratégies d’authentification ne nécessitent pas l’authentification multifacteur).Multi-factor authentication complements authentication policies extremely well, but it does not depend on authentication policies for deployment (and, similarly, authentication policies do not require multi-factor authentication). Microsoft recommande d’utiliser une de ces formes d’authentification multifacteur:Microsoft recommends using one of these forms of multi-factor authentication:

    • Carte à puce: une carte à puce est un appareil physique résistant aux falsifications et portable qui fournit une seconde vérification pendant le processus d’ouverture de session Windows.Smart card: A smart card is a tamper-resistant and portable physical device which provides a second verification during the Windows logon process. En demandant à un individu de posséder une carte pour la connexion, vous pouvez réduire le risque d’informations d’identification volées à distance.By requiring an individual to possess a card for logon, you can reduce the risk of stolen credentials being reused remotely. Pour plus d’informations sur la carte à puce d’ouverture de session dans Windows, reportez-vous à l’article vue d’ensemble de la carte à puce.For details on smart card logon in Windows, please refer to the article Smart Card Overview.

    • Carte à puce virtuelle: une carte à puce virtuelle présente les mêmes avantages de sécurité des cartes à puce comme physiques, avec l’avantage d’être liées à un matériel spécifique.Virtual smart card: A virtual smart card provides the same security benefits as physical smart cards, with the added benefit of being linked to specific hardware. Pour plus d’informations sur le déploiement et la configuration matérielle requise, reportez-vous aux articles vue d’ensemble de carte à puce virtuelles et commencer avec les cartes à puce virtuelles: Guide pas à pas.For details on deployment and hardware requirements, please refer to the articles, Virtual Smart Card Overview and Get Started with Virtual Smart Cards: Walkthrough Guide.

    • MicrosoftPassport: MicrosoftPassport permet aux utilisateurs de s’authentifier auprès d’un compte Microsoft, d’un compte ActiveDirectory, un compte MicrosoftAzure ActiveDirectory (Azure AD) ou un service non-Microsoft qui prend en charge l’authentification Fast ID Online (FIDO).Microsoft Passport: Microsoft Passport lets users authenticate to a Microsoft account, an Active Directory account, a Microsoft Azure Active Directory (Azure AD) account, or non-Microsoft service that supports Fast ID Online (FIDO) authentication. Après une vérification initiale en deux étapes lors de l’inscription de MicrosoftPassport, MicrosoftPassport est configuré sur l’appareil de l’utilisateur et l’utilisateur définit un mouvement, qui peut être Windows Hello ou un code confidentiel.After an initial two-step verification during Microsoft Passport enrollment, a Microsoft Passport is set up on the user's device and the user sets a gesture, which can be Windows Hello or a PIN. Informations d’identification MicrosoftPassport sont une paire de clés asymétrique, ce qui peut être générée dans des environnements isolés de Modules de plateforme sécurisée (TPM).Microsoft Passport credentials are an asymmetric key pair, which can be generated within isolated environments of Trusted Platform Modules (TPMs). Pour plus d’informations sur MicrosoftPassport, lisez vue d’ensemble de MicrosoftPassport article.For more information on Microsoft Passport read Microsoft Passport overview article.

    • L’authentification multifacteur Azure: l’authentification multifacteur Azure (MFA) fournit la sécurité d’un second facteur de vérification, ainsi que la protection renforcée par l’analyse basée sur une formation-ordinateur et d’analyse.Azure multi-factor authentication: Azure multi-factor authentication (MFA) provides the security of a second verification factor as well as enhanced protection through monitoring and machine-learning-based analysis. Azure MFA peut sécuriser non seulement les administrateurs Azure, mais nombreuses autres solutions, y compris les applications web, Azure ActiveDirectory et des solutions locales telles que l’accès à distance et Bureau à distance.Azure MFA can secure not only Azure administrators but many other solutions as well, including web applications, Azure Active Directory, and on-premises solutions like remote access and Remote Desktop. Pour plus d’informations sur l’authentification multifacteur Azure, reportez-vous à l’article multi-Factor Authentication.For more information on Azure multi-factor authentication, please refer to the article Multi-Factor Authentication.

  2. Liste d’autorisation sécurisée des applications à l’aide de la protection des appareils et/ou AppLocker.Whitelist trusted applications using Device Guard and/or AppLocker. En limitant la capacité du code non approuvé ou non signée à s’exécuter sur un PAW, vous réduisez encore la probabilité d’activités malveillantes de compromissions.By limiting the ability of untrusted or unsigned code to run on a PAW, you further reduce the likelihood of malicious activity and compromise. Windows comprend deux options principales pour le contrôle d’application:Windows includes two primary options for application control:

    • AppLocker: AppLocker permet aux administrateurs de contrôler les applications pouvant être exécutées sur un système donné.AppLocker: AppLocker helps administrators control which applications can run on a given system. AppLocker peut être centralisée contrôlé via la stratégie de groupe et appliqué à des utilisateurs ou groupes (pour une application ciblée aux utilisateurs de Paw).AppLocker can be centrally controlled through group policy, and applied to specific users or groups (for targeted application to users of PAWs). Pour plus d’informations sur AppLocker, reportez-vous à l’article TechNet vue d’ensemble d’AppLocker.For more information on AppLocker, please refer to the TechNet article AppLocker Overview.

    • Device Guard: la nouvelle fonctionnalité de Device Guard fournit un contrôle étendu application en fonction du matériel qui, contrairement à AppLocker, ne peut pas être remplacé sur l’appareil concerné.Device Guard: the new Device Guard feature provides enhanced hardware-based application control which, unlike AppLocker, cannot be overridden on the impacted device. Comme AppLocker, Device Guard peut être contrôlée via une stratégie de groupe et destiné à des utilisateurs spécifiques.Like AppLocker, Device Guard can be controlled via group policy and targeted to specific users. Pour plus d’informations sur la limitation de l’utilisation des applications avec Device Guard, reportez-vous à l’article TechNet Guide de déploiement de Device Guard.For more information on restricting application usage with Device Guard, please refer to the TechNet article, Device Guard Deployment Guide.

  3. Utilisez les utilisateurs protégés, les stratégies d’authentification et Silos d’authentification pour protéger davantage les comptes privilégiés.Use Protected Users, Authentication Policies, and Authentication Silos to further protect privileged accounts. Les membres des utilisateurs protégés sont soumis à des stratégies de sécurité supplémentaire qui protègent les informations d’identification stockées dans l’agent de sécurité locale (LSA) et réduisent le risque de vol d’informations d’identification et de réutilisation.The members of Protected Users are subject to additional security policies which protect the credentials stored in the local security agent (LSA) and greatly minimize the risk of credential theft and reuse. Stratégies d’authentification et silos contrôlent comment privilégiés utilisateurs peuvent accéder aux ressources dans le domaine.Authentication policies and silos control how privileged users can access resources in the domain. Collectivement, ces protections renforcent de façon spectaculaire la sécurité du compte de ces utilisateurs privilégiés.Collectively, these protections dramatically strengthen the account security of these privileged users. Pour plus d’informations sur ces fonctionnalités, reportez-vous à l’article web comment configurer des comptes protégés.For additional details on these features, please refer to the web article How to Configure Protected Accounts.

    Notes

    Ces protections sont destinées à compléter, sans les remplacer, les mesures de sécurité à la Phase 1.These protections are meant to complement, not replace, existing security measures in Phase 1. Les administrateurs doivent toujours utiliser des comptes distincts pour l’administration et une utilisation générale.Administrators should still use separate accounts for administration and general use.

La gestion et la mise à jour des PawManaging and Updating PAWs

Les Paw doivent avoir des fonctionnalités anti-programme malveillant et mises à jour logicielles doivent être appliquées rapidement pour conserver l’intégrité de ces stations de travail.PAWs must have anti-malware capabilities and software updates must be rapidly applied to maintain integrity of these workstations.

Gestion de la configuration supplémentaire, la surveillance opérationnelle et la gestion de la sécurité peuvent également être utilisées avec Paw, mais leur intégration doit être envisagée avec précaution, car chaque fonctionnalité de gestion présente également des risques de compromission de PAW à travers cet outil.Additional configuration management, operational monitoring, and security management can also be used with PAWs, but the integration of these must be considered carefully because each management capability also introduces risk of PAW compromise through that tool. S’il est judicieux d’introduire des fonctions de gestion avancées dépend d’un nombre de facteurs, notamment:Whether it makes sense to introduce advanced management capabilities depends on a number of factors including:

  • L’état de sécurité et les pratiques des capacités de gestion (y compris les pratiques pour la mise à jour de logiciels pour l’outil, les rôles administratifs et les comptes de ces rôles et les systèmes d’exploitation l’outil est hébergé ou géré à partir de toutes les autres dépendances matérielles ou logicielles de cet outil)The security state and practices of the management capability (including software update practices for the tool, administrative roles and accounts in those roles, operating systems the tool is hosted on or managed from, and any other hardware or software dependencies of that tool)

  • La fréquence et la quantité des déploiements de logiciels et mises à jour sur vos PawThe frequency and quantity of software deployments and updates on your PAWs

  • Configuration requise pour des informations détaillées sur la configuration et d’inventaireRequirements for detailed inventory and configuration information

  • Surveillance des exigences de la sécuritéSecurity monitoring requirements

  • Les normes organisationnelles et autres facteurs spécifiques à l’organisationOrganizational standards and other organizational-specific factors

Par le principe de source propre, tous les outils utilisés pour gérer ou surveiller les Paw doivent être approuvés au niveau ou au-dessus du niveau de Paw.Per the clean source principle, all tools used to manage or monitor the PAWs must be trusted at or above the level of the PAWs. Ceci nécessite généralement ces outils pour être gérés à partir d’un PAW afin de n’assurer aucune dépendance de sécurité à partir de stations de travail plus faible privilège.This typically requires those tools to be managed from a PAW to ensure no security dependency from lower privilege workstations.

Le tableau suivant décrit les différentes approches qui peuvent être utilisés pour gérer et surveiller les Paw:This table outlines different approaches that may be used to manage and monitor the PAWs:

ApprocheApproach Considérations relatives àConsiderations
Par défaut dans le PAWDefault in PAW

-WindowsServerUpdateServices- Windows Server Update Services
-Windows Defender- Windows Defender
-Aucun coût supplémentaire- No additional cost
-Exécute les fonctions de sécurité de base requise- Performs basic required security functions
-Les instructions fournies dans ce guide- Instructions included in this guidance
Gérer avec IntuneManage with Intune
  • Fournit un contrôle et visibilité en cloudProvides cloud based visibility and control

    • Déploiement de logicielsSoftware Deployment
    • O gérer les mises à jour logicielleso Manage software updates
    • Gestion des stratégies de pare-feu WindowsWindows Firewall policy management
    • Protection anti-programme malveillantAnti-malware protection
    • Assistance à distanceRemote assistance
    • Gestion des licences logicielles.Software license management.
  • Aucune infrastructure serveur requiseNo server infrastructure required
  • Nécessite «Activer la connectivité pour Cloud Services» comme suit dans la Phase 2Requires following "Enable Connectivity to Cloud Services" steps in Phase 2
  • Si l’ordinateur PAW n’est pas joint à un domaine, vous devez appliquer les lignes de base SCM aux images locales avec les outils fournis dans le téléchargement de ligne de base de sécurité.If the PAW computer is not joined to a domain, this requires applying the SCM baselines to the local images using the tools provided in the security baseline download.
Nouvelles instances de SystemCenter pour gérer les PawNew System Center instance(s) for managing PAWs -Assure la visibilité et le contrôle de configuration, le déploiement de logiciels et mises à jour de sécurité- Provides visibility and control of configuration, software deployment, and security updates
-Nécessite une infrastructure serveur distincte, avec le niveau de Paw et compétent pour ce personnel dotés de privilèges élevés- Requires separate server infrastructure, securing it to level of PAWs, and staffing skills for those highly privileged personnel
Gestion des Paw avec les outils de gestion existantsManage PAWs with existing management tool(s) -Crée un risque significatif de compromission des Paw, sauf si l’infrastructure de gestion existante est élevée au niveau de sécurité de Paw Remarque: Microsoft décourage généralement cette approche, sauf si votre organisation a une raison spécifique de l’utiliser.- Creates significant risk to compromise of PAWs unless the existing management infrastructure is brought up to security level of PAWs Note: Microsoft would generally discourage this approach unless your organization has a specific reason to use it. Dans notre expérience, il est généralement très coûteux de donner à tous ces outils (et leurs dépendances de sécurité) sur le niveau de sécurité des Paw.In our experience, there is typically a very high cost of bringing all of these tools (and their security dependencies) up to the security level of the PAWs.
-La plupart de ces outils assurent la visibilité et contrôle de configuration, le déploiement de logiciels et mises à jour de sécurité- Most of these tools provide visibility and control of configuration, software deployment, and security updates
Analyse de sécurité ou outils de surveillance nécessitant l’accès administrateurSecurity Scanning or monitoring tools requiring admin access Comprend un outil qui installe un agent ou requiert un compte disposant d’un accès.Includes any tool that installs an agent or requires an account with local administrative access.

-Nécessite de mettre la garantie de sécurité outil jusqu’au niveau de Paw.- Requires bringing tool security assurance up to level of PAWs.
-Peut nécessiter ce qui réduit la posture de sécurité de Paw pour prendre en charge la fonctionnalité de l’outil (ouvrir des ports, installer Java ou d’autres intergiciels, etc.), la création d’une décision compromis de sécurité,- May require lowering security posture of PAWs to support tool functionality (open ports, install Java or other middleware, etc.), creating a security trade-off decision,
Informations et événements gestion de la sécurité (SIEM)Security information and event management (SIEM)
  • Si SIEM est sans agentIf SIEM is agentless

    • Peut accéder aux événements sur les Paw sans accès administratif à l’aide d’un compte dans le lecteurs des journaux d’événements groupeCan access events on PAWs without administrative access by using an account in the Event Log Readers group
    • Nécessite l’ouverture des ports de réseau pour autoriser le trafic entrant à partir des serveurs SIEMWill require opening up network ports to allow inbound traffic from the SIEM servers
  • Si SIEM requiert un agent, voir les autres lignes analyse de sécurité ou outils de surveillance nécessitant l’accès administrateur.If SIEM requires an agent, see other row Security Scanning or monitoring tools requiring admin access.
Transfert d’événements WindowsWindows Event Forwarding -Fournit une méthode de transfert d’événements de sécurité de Paw à un collecteur externe ou un SIEM sans agent- Provides an agentless method of forwarding security events from the PAWs to an external collector or SIEM
-Il est possible d’accéder aux événements sur les Paw sans accès administratif- Can access events on PAWs without administrative access
-Ne nécessite pas l’ouverture des ports de réseau pour autoriser le trafic entrant à partir des serveurs SIEM- Does not require opening up network ports to allow inbound traffic from the SIEM servers

Exploitation des PawOperating PAWs

La solution PAW doit être exploitée en respectant les normes des normes opérationnelles basé sur le principe de Source.The PAW solution should be operated using the standards in Operational Standards based on Clean Source Principle.

Services de cybersécurité de MicrosoftEngaging Microsoft Cybersecurity Services

Aperçu de Premier: comment atténuer Pass-the-Hash et autres formes de vol d’informations d’identificationTaste of Premier: How to Mitigate Pass-the-Hash and Other Forms of Credential Theft

MicrosoftAdvanced Analytique contre les menacesMicrosoft Advanced Threat Analytics

Protéger les informations d’identification de domaine dérivées avec Credential GuardProtect derived domain credentials with Credential Guard

Vue d’ensemble de Device GuardDevice Guard Overview

Protection des ressources à haute valeur avec les stations de travail admin sécuriséesProtecting high-value assets with secure admin workstations

Mode utilisateur isolé dans Windows10 avec Dave Probert (Channel 9)Isolated User Mode in Windows 10 with Dave Probert (Channel 9)

Isolé des processus en Mode utilisateur et des fonctionnalités dans Windows10 avec Logan Gabriel (Channel 9)Isolated User Mode Processes and Features in Windows 10 with Logan Gabriel (Channel 9)

Plus sur les processus et fonctionnalités en Mode utilisateur isolé de Windows10 avec Dave Probert (Channel 9)More on Processes and Features in Windows 10 Isolated User Mode with Dave Probert (Channel 9)

Atténuation de vol d’informations d’identification à l’aide de la Windows10 Mode utilisateur isolé (Channel 9)Mitigating Credential Theft using the Windows 10 Isolated User Mode (Channel 9)

L’activation de la Validation KDC stricte dans Windows KerberosEnabling Strict KDC Validation in Windows Kerberos

Nouveautés de l’authentification Kerberos pour Windows Server2012What's New in Kerberos Authentication for Windows Server 2012

L’Assurance du mécanisme d’authentification pour ADDS dans Windows Server2008R2 Step-by-Step GuideAuthentication Mechanism Assurance for AD DS in Windows Server 2008 R2 Step-by-Step Guide

Module de plateforme sécuriséeTrusted Platform Module