Modèle de niveau administratif Active DirectoryActive Directory administrative tier model

S'applique à : Windows ServerApplies To: Windows Server

L’objectif de ce modèle de niveau est de protéger les systèmes d’identité à l’aide d’un ensemble de zones de mémoire tampon entre le contrôle total de l’environnement (niveau 0) et les composants de station de travail à haut risque auxquels les attaques nuisent souvent.The purpose of this tier model is to protect identity systems using a set of buffer zones between full control of the Environment (Tier 0) and the high risk workstation assets that attackers frequently compromise.

Diagramme montrant les trois couches du modèle de niveau

Le modèle de niveau se compose de trois niveaux et inclut uniquement des comptes d’administrateur, pas des comptes d’utilisateur standard :The Tier model is composed of three levels and only includes administrative accounts, not standard user accounts:

  • Niveau 0 : contrôle direct des identités d’entreprise dans l’environnement.Tier 0 - Direct Control of enterprise identities in the environment. Le niveau 0 inclut les comptes, groupes et autres ressources qui ont un contrôle administratif direct ou indirect de la forêt Active Directory, des domaines ou des contrôleurs de domaine et de toutes les ressources qui y sont contenues.Tier 0 includes accounts, groups, and other assets that have direct or indirect administrative control of the Active Directory forest, domains, or domain controllers, and all the assets in it. Le degré de sécurité de toutes les ressources du niveau 0 est équivalent car elles se contrôlent toutes efficacement les unes les autres.The security sensitivity of all Tier 0 assets is equivalent as they are all effectively in control of each other.
  • Niveau 1 : contrôle des serveurs et applications d’entreprise.Tier 1 - Control of enterprise servers and applications. Les ressources du niveau 1 incluent des systèmes d’exploitation serveur, des services cloud et des applications d’entreprise.Tier 1 assets include server operating systems, cloud services, and enterprise applications. Les comptes d’administrateur du niveau 1 ont un contrôle administratif d’une valeur commerciale significative sur ces ressources.Tier 1 administrator accounts have administrative control of a significant amount of business value that is hosted on these assets. Les administrateurs de serveur qui gèrent ces systèmes d’exploitation avec la possibilité d’exercer un impact sur tous les services d’entreprise sont un exemple de rôle courant.A common example role is server administrators who maintain these operating systems with the ability to impact all enterprise services.
  • Niveau 2 : contrôle des stations de travail et appareils des utilisateurs.Tier 2 - Control of user workstations and devices. Les comptes d’administrateur du niveau 2 ont un contrôle administratif d’une valeur commerciale significative sur les stations de travail et appareils des utilisateurs.Tier 2 administrator accounts have administrative control of a significant amount of business value that is hosted on user workstations and devices. Exemples : les administrateurs du support technique des ordinateurs et de l’assistance car ils peuvent exercer un impact sur l’intégrité de presque toutes les données utilisateur.Examples include Help Desk and computer support administrators because they can impact the integrity of almost any user data.

Notes

Les niveaux offrent également un moyen simple de définir des priorités pour protéger les ressources administratives, mais il est important de ne pas perdre de vue qu’un attaquant qui contrôle toutes les ressources de tout niveau peut accéder à toutes les ressources de l’entreprise ou à une grande partie.The tiers also serve as a basic prioritization mechanism for protecting administrative assets, but it is important to consider that an attacker with control of all assets at any tier can access most or all business assets. Ce moyen simple de définir des priorités est utile car il rend la tâche de l’attaquant plus difficile et plus coûteuse.The reason it is useful as a basic prioritization mechanism is attacker difficulty/cost. En effet, il est plus facile pour un attaquant d’opérer avec un contrôle total de toutes les identités (niveau 0) ou de tous les serveurs et services cloud (niveau 1) que d’accéder à chaque station de travail ou appareil de l’utilisateur (niveau 2) pour obtenir les données de votre organisation.It is easier for an attacker to operate with full control of all identities (Tier 0) or servers and cloud services (Tier 1) than it is if they must access each individual workstation or user device (Tier 2) to get your organization's data.

Confinement et zones de sécuritéContainment and security zones

Les niveaux sont propres à une zone de sécurité spécifique.The tiers are relative to a specific security zone. Même si elles ont porté de nombreux noms, les zones de sécurité constituent une approche bien établie qui assure le confinement des menaces de sécurité par une isolation de la couche réseau entre elles.While they have gone by many names, security zones are a well-established approach that provide containment of security threats through network layer isolation between them. Le modèle de niveau complète l’isolation en assurant le confinement des adversaires au sein d’une zone de sécurité où l’isolement réseau n’est pas efficace.The tier model complements the isolation by providing containment of adversaries within a security zone where network isolation isn't effective. Les zones de sécurité peuvent couvrir à la fois l’infrastructure locale et cloud, comme dans l’exemple où les contrôleurs de domaine et les membres du domaine du même domaine sont hébergés localement et sur Azure.Security zones can span both on-premises and cloud infrastructure, such as in the example where Domain Controllers and domain members in the same domain are hosted on-premises and in Azure.

Diagramme montrant comment les zones de sécurité peuvent couvrir une infrastructure cloud et une infrastructure locale

Le modèle de niveau empêche l’escalade de privilèges en limitant ce que les administrateurs peuvent contrôler et les emplacements où ils peuvent se connecter (parce que la connexion à un ordinateur accorde le contrôle de ces informations d’identification et de toutes les ressources gérées par ces informations d’identification).The Tier model prevents escalation of privilege by restricting what administrators can control and where they can log on (because logging on to a computer grants control of those credentials and all assets managed by those credentials).

Restrictions de contrôleControl restrictions

Les restrictions de contrôle sont indiquées dans la figure ci-dessous :Control restrictions are shown in the figure below:

Diagramme des restrictions de contrôle

Principales responsabilités et restrictions critiquesPrimary responsibilities and critical restrictions

Administrateur de niveau 0 : gère le magasin d’identités et un petit nombre de systèmes qui en ont le contrôle effectif, et :Tier 0 administrator - manage the identity store and a small number of systems that are in effective control of it, and:

  • Peut gérer et contrôler les ressources à tout niveau si besoinCan manage and control assets at any level as required
  • Peut uniquement se connecter de manière interactive ou accéder aux ressources approuvées au niveau 0Can only log on interactively or access assets trusted at the Tier 0 level

Administrateur de niveau 1 : gère les serveurs d’entreprise, les services et les applications, et :Tier 1 administrator - manage enterprise servers, services, and applications, and:

  • Peut uniquement gérer et contrôler les ressources au niveau 1 ou 2Can only manage and control assets at the Tier 1 or Tier 2 level
  • Peut uniquement accéder aux ressources (par le biais du type de connexion réseau) qui sont approuvées au niveau 1 ou 0Can only access assets (via network logon type) that are trusted at the Tier 1 or Tier 0 levels
  • Peut uniquement se connecter de façon interactive aux ressources approuvées au niveau 1Can only interactively log on to assets trusted at the Tier 1 level

Administrateur de niveau 2 : gère les postes de travail, les ordinateurs portables, les imprimantes et autres appareils d’utilisateur de l’entreprise, et :Tier 2 administrator - manage enterprise desktops, laptops, printers, and other user devices, and:

  • Peut uniquement gérer et contrôler les ressources au niveau 2Can only manage and control assets at the Tier 2 level
  • Peut accéder aux ressources (par le biais du type de connexion réseau) à tous les niveaux si besoinCan access assets (via network logon type) at any level as required
  • Peut uniquement se connecter de façon interactive aux ressources approuvées au niveau 2Can only interactively log on to assets trusted at Tier 2 level

Restrictions de connexionLogon restrictions

Les restrictions de connexion sont indiquées dans la figure ci-dessous :Logon restrictions are shown in the figure below:

Diagramme des restrictions de connexion

Notes

Notez que certaines ressources peuvent exercer un impact de niveau 0 sur la disponibilité de l’environnement, sans impacter directement la confidentialité ou l’intégrité des ressources.Note that some assets can have Tier 0 impact to availability of the environment, but do not directly impact the confidentiality or integrity of the assets. Celles-ci incluent le service serveur DNS et les périphériques réseau critiques tels que les serveurs proxy Internet.These include the DNS Server service and critical network devices like Internet proxies.

Principe de source propreClean source principle

Le principe de source propre nécessite que toutes les dépendances de sécurité aient au moins le niveau de confiance de l’objet sécurisé.The clean source principle requires all security dependencies to be as trustworthy as the object being secured.

Diagramme montrant comment un sujet contrôlant un objet est une dépendance de sécurité de cet objet

N’importe quel sujet ayant le contrôle d’un objet est une dépendance de sécurité de cet objet.Any subject in control of an object is a security dependency of that object. Si un adversaire peut contrôler tout ce qui a le contrôle effectif d’un objet cible, il peut contrôler cet objet cible.If an adversary can control anything in effective control of a target object, they can control that target object. C’est pourquoi vous devez veiller à ce que les garanties de toutes les dépendances de sécurité se trouvent au niveau de sécurité souhaité de l’objet lui-même ou au-dessus.Because of this, you must ensure that the assurances for all security dependencies are at or above the desired security level of the object itself.

Même si ce principe est simple, son application exige de comprendre les relations de contrôle d’une ressource d’intérêt (objet) et d’en effectuer une analyse de dépendance pour découvrir toutes les dépendances de sécurité (sujets).While simple in principle, applying this requires understanding the control relationships of an asset of interest (Object) and performing a dependency analysis of it to discover all security dependencies (Subject(s)).

Étant donné que le contrôle est transitif, ce principe doit être répété de façon récursive.Because control is transitive, this principle has to be repeated recursively. Par exemple, si A contrôle B et B contrôle C, alors A contrôle également C indirectement.For example if A controls B and B controls C, then A also indirectly controls C.

Diagramme montrant comment, si A contrôle B et B contrôle C, alors A contrôle également C indirectement

Une attaque qui compromet A accède à tout ce que A contrôle (y compris B) et à tout ce que B contrôle (y compris C).An attacker that compromises A gets access to everything A controls (including B), and everything B controls (including C). En utilisant la terminologie des dépendances de sécurité sur ce même exemple, B et A sont tous les deux des dépendances de sécurité de C et doivent être sécurisés au niveau de garantie souhaité de C pour que C ait ce niveau d’assurance.Using the language of security dependencies on this same example, both B and A are security dependencies of C and have to be secured at the desired assurance level of C in order for C to have that assurance level.

Pour les systèmes d’infrastructure informatique et d’identité, ce principe doit être appliqué aux moyens de contrôle les plus courants, notamment au matériel sur lequel sont installés les systèmes, au support d’installation des systèmes, à l’architecture et à la configuration du système, ainsi qu’aux opérations quotidiennes.For IT infrastructure and identity systems, this principle should be applied to the most common means of control including the hardware where systems are installed, the installation media for the systems, the architecture and configuration of the system, and daily operations.

Source propre pour le support d’installationClean Source for installation media

Diagramme montrant une source propre pour le support d’installation

L’application du principe de source propre au support d’installation vous oblige à veiller à ce que le support d’installation n’ait pas été manipulé depuis que le fabricant vous l’a fourni (autant que faire se peut).Applying the clean source principle to installation media requires you to ensure that the installation media has not been tampered with since being released by the manufacturer (as best you are able to determine). Cette figure illustre une attaque qui utilise cette voie pour compromettre un ordinateur :This figure depicts an attacker using this path to compromise a computer:

Figure montrant une attaque qui utilise une voie pour compromettre un ordinateur

Si vous appliquez le principe de source propre au support d’installation, vous devez valider l’intégrité des logiciels pendant tout le temps où vous les avez en possession, depuis leur acquisition, leur stockage et leur transfert jusqu’à leur utilisation.Applying the clean source principle to installation media requires validating the software integrity throughout the cycle you possess it including during acquisition, storage, and transfer up until it is used.

Acquisition des logicielsSoftware acquisition

La source des logiciels doit être validée par l’un des moyens suivants :The source of the software should be validated through one of the following means:

  • Les logiciels sont obtenus à partir d’un support physique provenant du fabricant ou d’une source digne de confiance. En général, le support fabriqué est envoyé par un fournisseur.Software is obtained from physical media that is known to come from the manufacturer or a reputable source, typically manufactured media shipped from a vendor.
  • Les logiciels sont obtenus à partir d’Internet et validés par des hachages de fichiers fournis par le fournisseur.Software is obtained from the Internet and validated with vendor-provided file hashes.
  • Les logiciels sont obtenus à partir d’Internet et validés en téléchargeant, puis en comparant deux copies indépendantes :Software is obtained from the Internet and validated by downloading and comparing two independent copies:
    • Téléchargez sur deux hôtes sans aucune relation de sécurité (ils ne sont pas dans le même domaine et ils ne sont pas gérés par les mêmes outils), de préférence à partir de connexions Internet distinctes.Download to two hosts with no security relationship (not in the same domain and not managed by the same tools), preferably from separate Internet connections.
    • Comparer les fichiers téléchargés à l’aide d’un utilitaire comme certutil : certutil -hashfile <filename>Compare the downloaded files using a utility like certutil: certutil -hashfile <filename>

Si possible, tous les logiciels d’application, comme les outils et programmes d’installation d’application, doivent être signés numériquement et vérifiés à l’aide de Windows Authenticode avec l’outil Windows Sysinternals, sigcheck.exe, avec une vérification de la révocation.When possible, all application software, such as application installers and tools should be digitally signed and verified using Windows Authenticode with the Windows Sysinternals tool, sigcheck.exe, with revocation checking. Certains logiciels peuvent être nécessaires si le fournisseur ne donne pas ce type de signature numérique.Some software may be required where the vendor may not provide this type of digital signature.

Stockage et transfert des logicielsSoftware storage and transfer

Après avoir obtenu les logiciels, vous devez les stocker à un emplacement protégé de toute modification, notamment par des hôtes connectés à Internet ou du personnel de confiance à un niveau inférieur à celui des systèmes où seront installés les logiciels ou le système d’exploitation.After obtaining the software, it should be stored in a location that is protected from modification, especially by internet-connected hosts or personnel trusted at a lower level than the systems where the software or operating system will be installed. Ce stockage peut être un support physique ou un emplacement électronique sécurisé.This storage can be physical media or a secure electronic location.

Utilisation des logicielsSoftware usage

Dans l’idéal, les logiciels doivent être validés au moment où ils sont utilisés, par exemple quand ils sont installés manuellement, empaquetés pour un outil de gestion de configuration ou importés dans un outil de gestion de configuration.Ideally, the software should be validated at the time it is used, such as when it is manually installed, packaged for a configuration management tool, or imported into a configuration management tool.

Source propre pour l’architecture et la conceptionClean source for architecture and design

L’application du principe de source propre à l’architecture système vous oblige à veiller à ce que le système ne dépende pas de systèmes d’un niveau de confiance inférieur.Applying the clean source principle to the system architecture requires you to ensure that the system is not dependent on lower trust systems. Un système peut dépendre d’un système d’un niveau de confiance plus élevé, mais pas d’un système d’un niveau de confiance inférieur avec des normes de sécurité inférieures.A system can be dependent on a higher trust system, but not on a lower trust system with lower security standards.

Par exemple, vous pouvez accepter qu’Active Directory contrôle le poste de travail d’un utilisateur standard, mais vous prenez un risque réel en raison de l’escalade des privilèges, si vous laissez le poste de travail d’un utilisateur standard contrôler Active Directory.As an example, its acceptable for Active Directory to control a standard user desktop but it's a significant escalation of privilege risk for a standard user desktop to be in control of the Active Directory.

Diagramme montrant comment un système peut dépendre d’un système ayant un niveau de confiance plus élevé, mais pas d’un système ayant un niveau de confiance inférieur avec des normes de sécurité inférieures

La relation de contrôle peut être introduite par plusieurs moyens, notamment les listes de contrôle d’accès (ACL) de sécurité sur des objets tels que les systèmes de fichiers, l’appartenance au groupe Administrateurs local sur un ordinateur ou les agents installés sur un ordinateur s’exécutant comme système (avec la possibilité d’exécuter des scripts et du code arbitraire).The control relationship can be introduced through many means including security Access Control Lists (ACLs) on objects like filesystems, membership in the local administrators group on a computer, or agents installed on a computer running as System (with the ability to run arbitrary code and scripts).

Un exemple souvent négligé est l’exposition lors de la connexion, laquelle crée une relation de contrôle en exposant les informations d’identification d’administration d’un système à un autre système.A frequently overlooked example is exposure through logon, which creates a control relationship by exposing administrative credentials of a system to another system. C’est la raison pour laquelle les attaques visant à voler des informations d’identification, comme les attaques de type pass-the-hash, sont si puissantes.This is the underlying reason why credential theft attacks like pass the hash are so powerful. Quand un administrateur se connecte au poste de travail d’un utilisateur standard avec des informations d’identification de niveau 0, il les expose à ce poste de travail, lui permet de contrôler Active Directory et crée une voie d’escalade de privilèges vers Active Directory.When an administrator logs in to a standard user desktop with Tier 0 credentials, they are exposing those credentials to that desktop, putting it in control of AD, and creating an escalation of privilege path to AD. Pour plus d’informations sur ces attaques, voir cette page.For more information on these attacks, see this page.

Parce que les ressources qui dépendent de systèmes d’identité tels qu’Active Directory sont très nombreuses, vous devez réduire le nombre de systèmes dont dépendent votre Active Directory et vos contrôleurs de domaine.Because of the large number of assets that depend on identity systems like Active Directory, you should minimize the number of systems your Active Directory and Domain Controllers depend on.

Diagramme montrant que vous devez réduire le nombre de systèmes sur lesquels dépendent vos contrôleurs de domaine et Active Directory

Pour plus d’informations sur la réduction des principaux risques liés à Active Directory, voir cette page.For more information on hardening the top risks of active directory, see this page.

Normes opérationnelles basées sur le principe de source propreOperational standards based on clean source principle

Cette section décrit les normes opérationnelles et les attentes relatives au personnel d’administration.This section describes the operational standards and expectations for administrative personnel. Ces normes sont conçues pour sécuriser le contrôle administratif des systèmes informatiques d’une organisation contre les risques éventuellement créés par les pratiques et processus opérationnels.These standards are designed to secure administrative control of an organization's information technology systems against risks that could be created by operational practices and processes.

Diagramme montrant comment les normes sont conçues pour sécuriser le contrôle administratif des systèmes informatiques d’une organisation contre les risques éventuellement créés par les pratiques et processus opérationnels

Intégration des normesIntegrating the standards

Vous pouvez intégrer ces normes aux normes et pratiques globales de votre organisation.You can integrate these standards into your organization's overall standards and practices. Vous pouvez les adapter à vos besoins spécifiques, aux outils disponibles et au goût du risque de votre organisation. Néanmoins, nous vous recommandons quelques modifications minimes pour réduire les risques.You can adapt these to the specific requirements, available tools, and risk appetite of your organization, but we recommend only minimum modifications to reduce risk. Nous vous conseillons d’utiliser les valeurs par défaut indiquées dans ces instructions comme point de référence pour votre état final idéal et de gérer les deltas comme des exceptions à traiter par ordre de priorité.We recommend you use the defaults in this guidance as the benchmark for your ideal end state and manage any deltas as exceptions to be addressed in priority order.

Ces instructions s’articulent autour des sections suivantes :The standards guidance is organized into these sections:

  • HypothèsesAssumptions
  • Comité consultatif sur les modificationsChange Advisory Board
  • Pratiques opérationnellesOperational Practices
    • RécapitulatifSummary
    • Détails des normesStandards Details

HypothèsesAssumptions

Les normes indiquées dans cette section supposent que l’organisation dispose des attributs suivants :The standards in this section assume that the organization has the following attributes:

  • La plupart ou la totalité des serveurs et stations de travail inclus dans l’étendue sont joints à Active Directory.Most or all servers and workstations in scope are joined to Active Directory.

  • Tous les serveurs à gérer exécutent Windows Server 2008 R2 ou ultérieur et ont activé le mode RestrictedAdmin du protocole RDP.All servers to be managed are running Windows Server 2008 R2 or later and have RDP RestrictedAdmin mode enabled.

  • Toutes les stations de travail à gérer exécutent Windows 7 ou ultérieur et ont activé le mode RestrictedAdmin du protocole RDP.All workstations to be managed are running Windows 7 or later and have RDP RestrictedAdmin mode enabled.

    Notes

    Pour activer le mode RestrictedAdmin du protocole RDP, voir cette page.To enable RDP RestrictedAdmin mode, see this page.

  • Des cartes à puce sont disponibles et délivrées à tous les comptes d’administration.Smart cards are available and issued to all administrative accounts.

  • Le compte Builtin\Administrator de chaque domaine a été désigné comme compte d’accès d’urgence.The Builtin\Administrator for each domain has been designated as an emergency access account

  • Une solution de gestion des identités d’entreprise est déployée.An enterprise identity management solution is deployed.

  • LAPS a été déployé sur les serveurs et stations de travail pour gérer le mot de passe du compte administrateur local.LAPS has been deployed to servers and workstations to manage the local administrator account password

  • Une solution de gestion de l’accès privilégié, comme Microsoft Identity Manager, est déjà en place ou en passe d’être adoptée.There is a privileged access management solution, such as Microsoft Identity Manager, in place, or there is a plan to adopt one.

  • Des membres du personnel sont désignés pour surveiller les alertes de sécurité et y répondre.Personnel are assigned to monitor security alerts and respond to them.

  • La capacité technique à appliquer rapidement des mises à jour de sécurité Microsoft est disponible.The technical capability to rapidly apply Microsoft security updates is available.

  • Aucun contrôleur de gestion de la carte de base n’est utilisé sur les serveurs, ou ils respectent des contrôles de sécurité stricts.Baseboard management controllers on servers will not be used, or will adhere to strict security controls.

  • Les comptes d’administrateur et groupes pour les serveurs (administrateurs de niveau 1) et les stations de travail (administrateurs de niveau 2) sont gérés par les administrateurs de domaine (niveau 0).Administrator accounts and groups for servers (Tier 1 admins) and workstations (Tier 2 admins) will be managed by domain admins (Tier 0).

  • Un comité consultatif sur les modifications, ou une autre autorité désignée, est en place pour l’approbation des modifications Active Directory.There is a Change Advisory Board (CAB) or another designated authority in place for approving Active Directory changes.

Comité consultatif sur les modificationsChange advisory board

Un comité consultatif sur les modifications est un forum de discussion et une autorité d’approbation des modifications pouvant avoir un impact sur le profil de sécurité de l’organisation.A Change Advisory Board (CAB) is the discussion forum and approval authority for changes that could impact the security profile of the organization. Toutes les exceptions à ces normes doivent être soumises au comité avec une évaluation des risques et une justification.Any exceptions to these standards should be submitted to the CAB with a risk assessment and justification.

Chaque norme indiquée dans le présent document est classée selon sa criticité pour un niveau donné.Each standard in this document is broken out by the criticality of meeting the standard for a given Tier level.

Diagramme montrant la norme des niveaux donnés

Toutes les exceptions relatives aux éléments obligatoires (signalés par un octogone rouge ou un triangle orange dans ce document) sont considérées comme temporaires, et ils doivent être approuvées par le comité.All exceptions for Mandatory items (marked with red octagon or an orange triangle in this document) are considered temporary, and they need to be approved by the CAB. Les recommandations incluent les points suivants :Guidelines include:

  • La demande initiale exige une justification et une acceptation du risque signées par le superviseur direct du personnel. Elle expire au bout de six mois.The initial request requires justification risk acceptance signed by personnel's immediate supervisor, and it expires after six months.
  • Les renouvellements exigent une justification et une acceptation du risque signées par un responsable de division. Ils expirent au bout de six mois.Renewals require justification and risk acceptance signed by a business unit director, and they expire after six months.

Toutes les exceptions relatives aux éléments recommandés (signalés par un cercle jaune dans ce document) sont considérées comme temporaires et doivent être approuvées par le comité.All exceptions for Recommended items (marked with a yellow circle in this document) are considered temporary, and need to be approved by the CAB. Les recommandations incluent les points suivants :Guidelines include:

  • La demande initiale exige une justification et une acceptation du risque signées par le superviseur direct du personnel. Elle expire au bout de 12 mois.The initial request requires justification risk acceptance signed by personnel's immediate supervisor, and it expires after 12 months.
  • Les renouvellements exigent une justification et une acceptation du risque signées par un responsable de division. Ils expirent au bout de 12 mois.Renewals require justification and risk acceptance signed by a business unit director, and they expire after 12 months.

Résumé des normes liées aux pratiques opérationnellesOperational practices standards summary

Les colonnes Niveau de ce tableau font référence au niveau du compte d’administration, dont le contrôle affecte généralement toutes les ressources qu’il inclut.The Tier columns in this table refer to the Tier level of the administrative account, the control of which typically impacts all assets in that tier.

Tableau montrant les niveaux du compte d’administration

Des décisions opérationnelles prises régulièrement sont essentielles pour maintenir la sécurité de l’environnement.Operational decisions that are made on a regular basis are critical to maintaining the security posture of the environment. Ces normes pour les processus et les pratiques garantissent qu’une erreur opérationnelle ne mène pas à une vulnérabilité opérationnelle exploitable dans l’environnement.These standards for processes and practices help ensure that an operational error does not lead to an exploitable operational vulnerability in the environment.

Responsabilité et habilitation des administrateursAdministrator enablement and accountability

Les administrateurs doivent être informés, habilités, formés et tenus responsables afin de faire fonctionner l’environnement de façon aussi sécurisée que possible.Administrators must be informed, empowered, trained, and held accountable to operate the environment as securely as possible.

Normes relatives au personnel administratifAdministrative personnel standards

Le personnel administratif doit être contrôlé pour garantir sa fiabilité et a besoin de privilèges administratifs :Assigned administrative personnel must be vetted to ensure they are trustworthy and have a need for administrative privileges:

  • Vérifiez les antécédents du personnel avant de lui attribuer des privilèges administratifs.Perform background checks on personnel prior to assigning administrative privileges.
  • Chaque trimestre, passez en revue les privilèges administratifs pour déterminer quels membres du personnel ont toujours un besoin légitime de disposer d’un accès administratif.Review administrative privileges each quarter to determine which personnel still have a legitimate business need for administrative access.
Responsabilité et briefing sur la sécurité administrativeAdministrative security briefing and accountability

Les administrateurs doivent être informés et tenus responsables des risques encourus par l’organisation, et conscients de leur rôle dans la gestion de ces risques.Administrators must be informed and accountable for the risks to the organization and their role in managing that risk. Les administrateurs doivent être formés tous les ans sur les aspects suivants :Administrators should be trained yearly on:

  • Menaces générales pour l’environnementGeneral threat environment
    • Adversaires identifiésDetermined adversaries
    • Techniques d’attaque de type pass-the-hash et vol d’informations d’identificationAttack techniques including pass-the-hash and credential theft
  • Incidents et menaces spécifiques de l’organisationOrganization-specific threats and incidents
  • Rôles de l’administrateur dans la protection contre les attaquesAdministrator's roles in protecting against attacks
    • Gestion de l’exposition des informations d’identification avec le modèle de niveauManaging credential exposure with the Tier model
    • Utilisation de stations de travail administrativesUse of administrative workstations
    • Utilisation du mode RestrictedAdmin du protocole RDP (Remote Desktop Protocol)Use of Remote Desktop Protocol RestrictedAdmin mode
  • Pratiques administratives spécifiques de l’organisationOrganization-specific administrative practices
    • Passer en revue toutes les recommandations opérationnelles de cette normeReview all operational guidelines in this standard
    • Implémenter les principales règles suivantes :Implement the following key rules:
      • Utiliser des comptes d’administration uniquement sur des stations de travail administrativesDo not use administrative accounts on anything but administrative workstations
      • Ne pas désactiver ni entraver les contrôles de sécurité sur le compte ou les stations de travail (par exemple, les restrictions de connexion ou les attributs exigés pour les cartes à puce)Do not disable or dismantle security controls on your account or workstations (for example, logon restrictions or attributes required for smart cards)
      • Signaler les problèmes ou les activités suspectesReport issues or unusual activity

Pour garantir l’adhésion à ces règles, tous les membres du personnel dotés de comptes administratifs doivent signer un code de conduite relatifs aux privilèges administratifs indiquant qu’ils acceptent de suivre les pratiques stipulées dans la stratégie d’administration propre à l’organisation.To provide accountability, all personnel with administrative accounts should sign an Administrative Privilege Code of Conduct document that says they intend to follow organization-specific administrative policy practices.

Octroi et suppression de privilèges d’accès pour les comptes administratifsProvisioning and deprovisioning processes for administrative accounts

Les normes suivantes doivent être respectées pour satisfaire les exigences liées au cycle de vie.The following standards must be met for meeting lifecycle requirements.

  • Tous les comptes administratifs doivent être approuvés par l’autorité approbatrice indiquée dans le tableau ci-après.All administrative accounts must be approved by the Approving Authority outlined in the following table.
    • L’approbation doit uniquement être octroyée si le personnel a un besoin légitime de disposer de privilèges administratifs.Approval must only be granted if the personnel have a legitimate business need for administrative privileges.
    • Une approbation de privilèges administratifs ne doit pas dépasser six mois.Approval for administrative privileges should not exceed six months.
  • L’accès à des privilèges administratifs doit être immédiatement supprimé dans les situations suivantes :Access to administrative privileges must be immediately deprovisioned when:
    • L’employé change de poste.Personnel change positions.
    • L’employé quitte l’organisation.Personnel leave the organization.
  • Les comptes doivent être immédiatement désactivés une fois que l’employé a quitté l’organisation.Accounts must be immediately disabled following personnel leaving the organization.
  • Les comptes désactivés doivent être supprimés dans un délai de six mois et l’enregistrement de leur suppression doit être consigné auprès du comité consultatif sur les modifications.Disabled accounts must be deleted within six months and the record of their deletion must be entered into change approval board records.
  • Tous les mois, passez en revue tous les membres dotés d’un compte privilégié pour vérifier qu’aucune autorisation inadéquate n’a été accordée.Review all privileged account memberships monthly to ensure that no unauthorized permissions have been granted. Ce processus peut être remplacé par un outil automatisé qui avertit des modifications.This can be replaced by an automated tool that alerts changes.
Niveau de privilège du compteAccount Privilege Level Autorité approbatriceApproving Authority Fréquence de vérification des octroisMembership Review Frequency
Administrateur de niveau 0Tier 0 Administrator Comité consultatif sur les modificationsChange approval board Mensuelle ou automatiséeMonthly or automated
Administrateur de niveau 1Tier 1 Administrator Administrateurs de niveau 0 ou sécuritéTier 0 administrators or security Mensuelle ou automatiséeMonthly or automated
Administrateur de niveau 2Tier 2 Administrator Administrateurs de niveau 0 ou sécuritéTier 0 administrators or security Mensuelle ou automatiséeMonthly or automated

Privilèges minimumOperationalize least privilege

Ces normes permettent d’atteindre les privilèges minimum en réduisant le nombre d’administrateurs en place et leur durée de détention de ces privilèges.These standards help achieve least privilege by reducing the number of administrators in role and the amount of time that they have privileges.

Notes

Instaurer les privilèges minimum dans votre organisation nécessite de comprendre les rôles organisationnels, leurs exigences et leurs mécanismes de conception pour vous assurer qu’ils sont en mesure d’accomplir leur travail avec lesdits privilèges minimum.Achieving least privilege in your organization will require understanding the organizational roles, their requirements, and their designing mechanisms to ensure that they are able to accomplish their job by using least privilege. Instaurer des privilèges minimum dans un modèle d’administration exige souvent l’utilisation de plusieurs approches :Achieving a state of least privilege in an administrative model frequently requires the use of multiple approaches:

  • Limiter le nombre d’administrateurs ou de membres de groupes privilégiésLimit the count of administrators or members of privileged groups
  • Déléguer moins de privilèges aux comptesDelegate fewer privileges to accounts
  • Fournir des privilèges temporaires sur demandeProvide time-bound privileges on demand
  • Offrir la capacité à d’autres membres du personnel d’effectuer des tâches (approche de la « concierge »)Provide ability for other personnel to perform tasks (a concierge approach)
  • Fournir des processus pour l’accès d’urgence et les scénarios d’utilisation rareProvide processes for emergency access and rare-use scenarios
Limiter le nombre d’administrateursLimit count of administrators

Au moins deux personnes qualifiées doivent être affectées à chaque rôle administratif pour garantir la continuité de l’activité.A minimum of two qualified personnel should be assigned to each administrative role to ensure business continuity.

Si le nombre de personnes affectées à un rôle est supérieur à deux, le comité consultatif sur les modifications doit approuver les raisons particulières de l’attribution de privilèges à chaque personne (y compris les deux d’origine).If the number of personnel assigned to any role exceeds two, the change approval board must approve the specific reasons for assigning privileges to each individual member (including the original two). La justification de l’approbation doit préciser :The justification for the approval must include:

  • les tâches techniques exécutées par les administrateurs qui requièrent des privilèges administratifs,What technical tasks are performed by the administrators that require the administrative privileges
  • la fréquence d’exécution de ces tâches,How often are the tasks performed
  • la raison précise pour laquelle ces tâches ne peuvent pas être exécutées par un autre administrateur en leur nom,Specific reason why the tasks cannot be performed by another administrator on their behalf
  • la description de toutes les autres approches connues pouvant remplacer l’octroi de privilèges et les raisons pour lesquelles elles ne sont pas acceptables.Document all other known alternative approaches to granting the privilege and why each isn't acceptable
Affecter dynamiquement des privilègesDynamically assign privileges

Les administrateurs doivent obtenir des autorisations « juste-à-temps » pour les utiliser au moment où ils effectuent des tâches.Administrators are required to obtain permissions "just-in-time" to use them as they perform tasks. Aucune autorisation n’est attribuée définitivement à des comptes administratifs.No permissions will be permanently assigned to administrative accounts.

Notes

Les privilèges administratifs attribués définitivement créent naturellement une stratégie des « privilèges maximum », car le personnel administratif a besoin d’un accès rapide aux autorisations pour maintenir la disponibilité opérationnelle en cas de problème.Permanently assigned administrative privileges naturally create a "most privilege" strategy because administrative personnel require rapid access to permissions to maintain operational availability if there is an issue. Les autorisations juste-à-temps permettent de :Just-in-time permissions provide the ability to:

  • affecter des autorisations de façon plus fine, en se rapprochant des privilèges minimum,Assign permissions more granularly, getting closer to least privilege.
  • réduire le temps d’exposition des privilèges,Reduce the exposure time of privileges
  • suivre l’utilisation des autorisations pour détecter les attaques ou les abus.Tracking permissions use to detect abuse or attacks.

Gérer le risque d’exposition des informations d’identificationManage Risk of Credential Exposure

Utilisez les pratiques suivantes pour gérer correctement le risque d’exposition des informations d’identification.Use the following practices to proper manage risk of credential exposure.

Séparer les comptes administratifsSeparate administrative accounts

Tous les employés autorisés à détenir des privilèges administratifs doivent avoir des comptes distincts pour leurs fonctions administratives, différents de leurs comptes d’utilisateur.All personnel that are authorized to possess administrative privileges must have separate accounts for administrative functions that are distinct from user accounts.

  • Comptes d’utilisateur standard : privilèges d’utilisateur standard octroyés pour les tâches d’utilisateur standard, comme l’e-mail, la navigation web et l’utilisation des applications métier.Standard user accounts - Granted standard user privileges for standard user tasks, such as email, web browsing, and using line-of-business applications. Ces comptes ne doivent pas bénéficier de privilèges administratifs.These accounts should not be granted administrative privileges.
  • Comptes administratifs : comptes distincts créés pour les personnes qui disposent des privilèges administratifs appropriés.Administrative accounts - Separate accounts created for personnel who are assigned the appropriate administrative privileges. Un administrateur qui doit gérer les ressources de chaque niveau doit avoir un compte distinct pour chaque niveau.An administrator who is required to manage assets in each Tier should have a separate account for each Tier. Ces comptes ne doivent pas avoir accès à l’e-mail ni à l’Internet public.These accounts should have no access to email or the public Internet.
Pratiques pour la connexion des administrateursAdministrator logon practices

Pour qu’un administrateur puisse se connecter à un hôte de façon interactive (localement par protocole RDP standard, à l’aide d’un compte d’identification ou à l’aide de la console de virtualisation), cet hôte doit atteindre ou dépasser la norme correspondant au niveau du compte d’administrateur (ou à un niveau supérieur).Before an administrator can log on to a host interactively (locally over standard RDP, by using RunAs, or by using the virtualization console), that host must meet or exceed the standard for the admin account Tier (or a higher Tier).

Les administrateurs peuvent uniquement se connecter pour administrer des stations de travail avec leurs comptes administratifs.Administrators can only sign in to admin workstations with their administrative accounts. Les administrateurs se connectent uniquement à des ressources gérées en utilisant la technologie de support approuvée décrite dans la section suivante.Administrators only log on to managed resources by using the approved support technology described in the next section.

Notes

Cette approche est obligatoire car la connexion à un hôte de manière interactive accorde le contrôle des informations d’identification à cet hôte.This is required because logging onto a host interactively grants control of the credentials to that host.

Consultez Outils d’administration et types d’ouverture de session pour plus d’informations sur les types d’ouverture de session, les outils d’administration courants et l’exposition des informations d’identification.See the Administrative Tools and Logon Types for details about logon types, common management tools, and credential exposure.

Utilisation de technologies et méthodes de support approuvéesUse of approved support technology and methods

Les administrateurs qui prennent en charge des systèmes et utilisateurs distants doivent suivre ces recommandations pour empêcher tout adversaire ayant le contrôle de l’ordinateur distant de voler leurs informations d’identification d’administration.Administrators who support remote systems and users must follow these guidelines to prevent an adversary in control of the remote computer from stealing their administrative credentials.

  • Les options de support principales doivent être utilisées si elles sont disponibles.The primary support options should be used if they are available.
  • Les options de support secondaires doivent être utilisées uniquement si l’option principale n’est pas disponible.The secondary support options should only be used if the primary support option is not available.
  • Les méthodes de support interdites ne doivent jamais être utilisées.Forbidden support methods may never be used.
  • Un compte administratif ne doit jamais utiliser de navigation Internet ni accéder à des e-mail.No internet browsing or email access may be performed by any administrative account at any time.
Administration de forêt, domaine et contrôleur de domaine de niveau 0Tier 0 forest, domain, and DC administration

Vérifiez que les pratiques suivantes sont appliquées pour ce scénario :Ensure that the following practices are applied for this scenario:

  • Support de serveur distant : lors de l’accès à distance à un serveur, les administrateurs de niveau 0 doivent suivre ces recommandations :Remote server support - When remotely accessing a server, Tier 0 administrators must follow these guidelines:

    • Option principale (outil)  : Outils de contrôle à distance qui utilisent des ouvertures de session réseau (type 3).Primary (tool) - Remote tools that use network logons (type 3). Pour plus d’informations, voir Outils d’administration et types d’ouverture de session.For more information, see Administrative Tools and Logon Types.

    • Option principale (interactive)  : Utilisez une session en mode RestrictedAdmin ou Standard du protocole RDP à partir d’une station de travail administrative avec un compte de domaine.Primary (interactive) - Use RDP RestrictedAdmin or a Standard RDP Session from an admin workstation with a domain account

      Notes

      Si vous disposez d’une solution de gestion des privilèges de niveau 0, ajoutez « qui utilise des autorisations obtenues juste-à-temps à partir d’une solution de gestion de l’accès privilégié ».If you have a Tier 0 privilege management solution, add "that uses permissions obtained just-in-time from a privileged access management solution."

  • Support de serveur physique : Quand ils se trouvent physiquement dans une console de serveur ou une console de machine virtuelle (outils Hyper-V ou VMWare), ces comptes ne font pas l’objet de restrictions quant à l’utilisation d’outils d’administration spécifiques. Seules les restrictions générales liées aux tâches d’utilisateur standard comme l’e-mail et la navigation sur l’Internet ouvert s’appliquent.Physical server support - When physically present at a server console or at a virtual machine console (Hyper-V or VMWare tools), these accounts have no specific administrative tool usage restrictions, only the general restrictions from standard user tasks like email and browsing the open internet.

    Notes

    L’administration de niveau 0 diffère de celle des autres niveaux, car toutes les ressources de niveau 0 disposent déjà d’un contrôle direct ou indirect de toutes les ressources.Tier 0 administration is different from administration of other tiers because all Tier 0 assets already have direct or indirect control of all assets. Par exemple, une attaque ayant le contrôle d’un contrôleur de domaine n’a pas besoin de voler des informations d’identification auprès des administrateurs connectés puisqu’elle a déjà accès à toutes les informations d’identification de domaine dans la base de données.As an example, an attacker in control of a DC has no need to steal credentials from logged on administrators as they already have access to all domain credentials in the database.

Support d’applications de serveur et d’entreprise de niveau 1Tier 1 server and enterprise application support

Vérifiez que les pratiques suivantes sont appliquées pour ce scénario :Ensure that the following practices are applied for this scenario:

  • Support de serveur distant : lors de l’accès à distance à un serveur, les administrateurs de niveau 1 doivent suivre ces recommandations :Remote server support - When remotely accessing a server, Tier 1 administrators must follow these guidelines:
    • Option principale (outil)  : Outils de contrôle à distance qui utilisent des ouvertures de session réseau (type 3).Primary (tool) - Remote tools that use network logons (type 3). Pour plus d’informations, voir Mitigating Pass-the-Hash and Other Credential Theft (Atténuation des attaques de type Pass-the-Hash et autres vols d’informations d’identification) v1 (pages 42 à 47).For more information, see Mitigating Pass-the-Hash and Other Credential Theft v1 (pp 42-47).
    • Option principale (interactive)  : Utilisez le mode RestrictedAdmin du protocole RDP à partir d’une station de travail d’administration avec un compte de domaine qui utilise des autorisations obtenues juste-à-temps à partir d’une solution de gestion de l’accès privilégié.Primary (interactive) - Use RDP RestrictedAdmin from an admin workstation with a domain account that uses permissions obtained just-in-time from a privileged access management solution.
    • Option secondaire : Ouvrez une session sur le serveur à l’aide d’un mot de passe de compte local défini par LAPS à partir d’une station de travail d’administration.Secondary - Log on to the server by using a local account password that is set by LAPS from an admin workstation.
    • Options interdite : Le protocole RDP standard ne doit pas être utilisé avec un compte de domaine.Forbidden - Standard RDP may not be used with a domain account.
    • Option interdite : Utilisation des informations d’identification du compte de domaine en cours de session (par exemple, en utilisant un compte d’identification ou une authentification auprès d’un partage).Forbidden - Using the domain account credentials while in the session (for example, using RunAs or authenticating to a share). Cette pratique expose les informations d’identification d’ouverture de session au risque de vol.This exposes the logon credentials to the risk of theft.
  • Support de serveur physique : Quand les serveurs se trouvent physiquement dans une console de serveur ou une console de machine virtuelle (outils Hyper-V ou VMWare), les administrateurs de niveau 1 doivent extraire le mot de passe du compte local de LAPS avant d’accéder au serveur.Physical server support - When physically present at a server console or at a virtual machine console (Hyper-V or VMWare tools), Tier 1 administrators must retrieve the local account password from LAPS prior to accessing the server.
    • Option principale : Récupérez le mot de passe du compte local défini par LAPS à partir d’une station de travail d’administration avant l’ouverture de session sur le serveur.Primary - Retrieve the local account password set by LAPS from an admin workstation before logging on to the server.
    • Option interdite : Une ouverture de session avec un compte de domaine n’est pas autorisée dans ce scénario.Forbidden - Logging on with a domain account is not allowed in this scenario.
    • Option interdite : Utilisation des informations d’identification du compte de domaine en cours de session (par exemple, compte d’identification ou authentification auprès d’un partage).Forbidden - Using the domain account credentials while in the session (for example, RunAs or authenticating to a share). Cette pratique expose les informations d’identification d’ouverture de session au risque de vol.This exposes the logon credentials to the risk of theft.
Support utilisateur et support technique de niveau 2Tier 2 help desk and user support

Des organisations de support technique et de support utilisateur assurent la prise en charge des utilisateurs finaux (qui n’ont pas besoin de privilèges administratifs) et de leurs stations de travail (qui ont besoin de privilèges administratifs).Help Desk and user support organizations perform support for end users (which doesn't require administrative privileges) and the user workstations (which does require administrative privileges).

Support utilisateur : Les tâches incluent l’assistance des utilisateurs pour effectuer des tâches qui ne nécessitent aucune modification de la station de travail, souvent en leur montrant comment utiliser une fonctionnalité d’application ou de système d’exploitation.User support - Tasks include assisting users with performing tasks that require no modification to the workstation, frequently showing them how to use an application feature or operating system feature.

  • Support utilisateur sur place : Le personnel de support de niveau 2 se trouve physiquement dans l’espace de travail de l’utilisateur.Desk-side user support - The Tier 2 support personnel is physically at the user's workspace.
    • Option principale : Un support de type « Procuration de privilège » peut être fourni sans aucun outil.Primary - "Over the shoulder" support can be provided with no tools.
    • Option interdite : L’ouverture de session avec les informations d’identification d’administration du compte de domaine n’est pas autorisée dans ce scénario.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario. Basculez vers un support station de travail côté bureau si des privilèges administratifs sont exigés.Switch to desk-side workstation support if administrative privileges are required.
  • Support utilisateur à distance : Le personnel de support de niveau 2 est physiquement éloigné de l’utilisateur.Remote user support - The Tier 2 support personnel is physically remote to the user.
    • Option principale : Peuvent être utilisés l’Assistance à distance, Skype Entreprise ou un partage d’écran utilisateur similaire.Primary - Remote Assistance, Skype for Business, or similar user-screen sharing may be used. Pour plus d’informations, voir Qu’est-ce que l’Assistance à distance Windows ?For more information, see What is Windows Remote Assistance?
    • Option interdite : L’ouverture de session avec les informations d’identification d’administration du compte de domaine n’est pas autorisée dans ce scénario.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario. Basculez vers un support station de travail si des privilèges administratifs sont exigés.Switch to workstation support if administrative privileges are required.
  • Support station de travail : Les tâches incluent des opérations de maintenance ou de dépannage d’une station de travail, qui requièrent un accès à un système permettant de consulter des journaux, d’installer des logiciels, de mettre à jour des pilotes, etc.Workstation support - Tasks include performing workstation maintenance or troubleshooting that requires access to a system for viewing logs, installing software, updating drivers, and so on.
    • Support station de travail sur place : Le personnel de support de niveau 2 se trouve physiquement devant la station de travail de l’utilisateur.Desk-side workstation support - The Tier 2 support personnel is physically at the user's workstation.
      • Option principale : Récupérez le mot de passe du compte local défini par LAPS à partir d’une station de travail d’administration avant la connexion à la station de travail de l’utilisateur.Primary - Retrieve the local account password set by LAPS from an admin workstation before connecting to user workstation.
      • Option interdite : L’ouverture de session avec les informations d’identification d’administration du compte de domaine n’est pas autorisée dans ce scénario.Forbidden - Logging on with domain account administrative credentials is not allowed in this scenario.
    • Support station de travail à distance : Le personnel de support de niveau 2 est physiquement éloigné de la station de travail.Remote workstation support - The Tier 2 support personnel is physically remote to the workstation.
      • Option principale : Utilisez le mode RestrictedAdmin du protocole RDP à partir d’une station de travail d’administration avec un compte de domaine qui utilise des autorisations obtenues juste-à-temps à partir d’une solution de gestion de l’accès privilégié.Primary - Use RDP RestrictedAdmin from an admin workstation with a domain account that uses permissions obtained just-in-time from a privileged access management solution.
      • Option secondaire : Récupérez un mot de passe du compte local défini par LAPS à partir d’une station de travail d’administration avant la connexion à la station de travail de l’utilisateur.Secondary - Retrieve a local account password set by LAPS from an admin workstation before connecting to user workstation.
      • Option interdite : Utilisez le protocole RDP standard avec un compte de domaine.Forbidden - Use standard RDP with a domain account.
Absence de navigation sur l’Internet public avec des comptes d’administration ou des stations de travail d’administrationNo browsing the public Internet with admin accounts or from admin workstations

Le personnel administratif ne peut pas naviguer sur l’Internet ouvert en étant connecté avec un compte d’administration ou en ayant ouvert une session sur une station de travail d’administration.Administrative personnel cannot browse the open Internet while logged on with an administrative account or while logged on to an administrative workstation. Les seules exceptions autorisées sont l’utilisation d’un navigateur web pour administrer un service basé sur le cloud.The only authorized exceptions are the use of a web browser to administer a cloud-based service.

Absence d’accès à des e-mails avec des comptes d’administration ou à partir de stations de travail d’administrationNo accessing email with admin accounts or from admin workstations

Le personnel administratif ne peut pas accéder à des e-mails en étant connecté avec un compte d’administration ou en ayant ouvert une session sur une station de travail d’administration.Administrative personnel cannot access email while logged on with an administrative account or while logged on to an administrative workstation.

Stocker les mots de passe des comptes de service et d’application à un emplacement sécuriséStore service and application account passwords in a secure location

Les recommandations suivantes doivent être utilisées pour les processus de sécurité physique qui contrôlent l’accès au mot de passe :The following guidelines should be used for the physical security processes that control access to the password:

  • Mettez sous clé les mots de passe de compte de service dans un coffre fort physique.Lock the service account passwords in a physical safe.
  • Assurez-vous que seul le personnel approuvé situé au niveau ou au-dessus de la classification du compte a accès aux mots de passe de compte.Ensure that only personnel trusted at or above the Tier classification of the account have access to the account password.
  • Limitez au maximum le nombre de personnes qui peuvent accéder aux mots de passe.Limit the number of people who access to the passwords to a minimum number to for accountability.
  • Veillez à ce que tous les accès à des mots de passe soient consignés, suivis et surveillés par un tiers désintéressé, par exemple, un responsable qui n’est pas formé pour effectuer l’administration informatique.Ensure that all access to the password is logged, tracked, and monitored by a disinterested party, such as a manager who is not trained to perform IT administration.
Authentification renforcéeStrong Authentication

Utilisez les pratiques suivantes pour configurer correctement une authentification renforcée.Use the following practices to proper configure strong authentication.

Mettre en place une authentification multifacteur par carte à puce pour tous les comptes d’administrateurEnforce smartcard multi-factor authentication (MFA) for all admin accounts

Aucun compte d’administrateur n’est autorisé à utiliser un mot de passe à des fins d’authentification.No administrative account is allowed to use a password for authentication. Les seules exceptions autorisées sont les comptes d’accès d’urgence qui sont protégés par les processus appropriés.The only authorized exceptions are the emergency access accounts that are protected by the appropriate processes.

Liez tous les comptes administratifs à une carte à puce et activez l’attribut « Une carte à puce est nécessaire pour ouvrir une session interactive ».Link all administrative accounts to a smart card and enable the attribute "Smart Card Required for Interactive Logon."

Un script doit être implémenté pour réinitialiser automatiquement et régulièrement la valeur de hachage du mot de passe aléatoire par désactivation et réactivation immédiate de l’attribut « Une carte à puce est nécessaire pour ouvrir une session interactive ».A script should be implemented to automatically and periodically reset the random password hash value by disabling and immediately re-enabling the attribute "Smart Card Required for Interactive Logon."

N’autorisez aucune exception pour les comptes utilisés par le personnel humain en dehors des comptes d’accès d’urgence.Allow no exceptions for accounts used by human personnel beyond the emergency access accounts.

Mettre en place Multi-Factor Authentication pour tous les comptes d’administrateur cloudEnforce Multi-Factor Authentication for All Cloud Admin Accounts

Tous les comptes dotés de privilèges administratifs dans un service cloud, comme Microsoft Azure et Office 365, doivent utiliser une authentification multifacteur.All accounts with administrative privileges in a cloud service, such as Microsoft Azure and Office 365, must use multi-factor authentication.

Procédures d’urgence rarement utiliséesRare Use emergency procedures

Les pratiques opérationnelles doivent prendre en charge les normes suivantes :Operational practices must support the following standards:

  • Veillez à ce que les interruptions soient rapidement résolues.Ensure outages can be resolved quickly.
  • Veillez à ce que les tâches à privilèges élevés rares puissent être effectuées si besoin.Ensure rare high-privilege tasks can be completed as needed.
  • Veillez à ce que des procédures sécurisées soient utilisées pour protéger les informations d’identification et les privilèges.Ensure safe procedures are used to protect the credentials and privileges.
  • Veillez à ce que des processus de suivi et d’approbation appropriés soient appliqués.Ensure appropriate tracking and approval processes are followed.
Suivre correctement les processus appropriés à tous les comptes d’accès d’urgenceCorrectly follow appropriate processes for all emergency access accounts

Veillez à ce que chaque compte d’accès d’urgence dispose d’une feuille de suivi dans le coffre fort.Ensure that each emergency access account has a tracking sheet in the safe.

La procédure décrite sur la feuille de suivi du mot de passe doit être observée pour chaque compte, laquelle implique de modifier le mot de passe après chaque utilisation et de fermer la session sur toutes les stations de travail ou tous les serveurs utilisés une fois l’opération terminée.The procedure documented on the password tracking sheet should be followed for each account, which includes changing the password after each use and logging out of any workstations or servers used after completion.

Toute utilisation des comptes d’accès d’urgence doit être approuvée par le comité consultatif sur les modifications, à l’avance ou après les faits, en tant qu’utilisation d’urgence approuvée.All use of emergency access accounts should be approved by the change approval board in advanced or after-the-fact as an approved emergency usage.

Limiter et surveiller l’utilisation des comptes d’accès d’urgenceRestrict and monitor usage of emergency access accounts

Pour toute utilisation des comptes d’accès d’urgence :For all use of emergency access accounts:

  • Seuls les administrateurs de domaine autorisés peuvent accéder aux comptes d’accès d’urgence avec des privilèges administratifs de domaine.Only authorized domain admins can access the emergency access accounts with domain admin privileges.

  • Les comptes d’accès d’urgence peuvent être utilisés uniquement sur des contrôleurs de domaine et d’autres hôtes de niveau 0.The emergency access accounts can be used only on domain controllers and other Tier 0 hosts.

  • Ces comptes doivent uniquement être utilisés pour :This account should be used only to:

    • résoudre et corriger les problèmes techniques qui empêchent l’utilisation des comptes d’administration appropriés,Perform troubleshooting and correction of technical issues that are preventing the use of the correct administrative accounts.
    • effectuer des tâches rares, comme :Perform rare tasks, such as:
      • l’administration du schéma,Schema administration

      • Tâches de forêt qui nécessitent des privilèges d’administrateur d’entrepriseForest-wide tasks that require enterprise administrative privileges

        Notes

        Gestion de la topologie, notamment la gestion de site et un sous-réseau Active Directory est déléguée pour limiter l’utilisation de ces privilèges.Topology management including Active Directory site and subnet management is delegated to limit the use of these privileges.

  • Toute utilisation de l’un de ces comptes doit faire l’objet d’une autorisation écrite par le responsable du groupe de sécurité.All usage of one of these accounts should have written authorization by the security group lead

  • La procédure indiquée sur la feuille de suivi pour chaque compte d’accès d’urgence exige de modifier le mot de passe à chaque utilisation.The procedure on the tracking sheet for each emergency access account requires the password to be changed for each use. Un membre de l’équipe de sécurité doit valider le bon déroulement de cette opération.A security team member should validate that this happened correctly.

Attribuer temporairement une appartenance à l’administrateur d’entreprise et l’administrateur de schémaTemporarily assign enterprise admin and schema admin membership

Les privilèges doivent être ajoutés selon les besoins et supprimés après utilisation.Privileges should be added as needed and removed after use. Le compte d’urgence doit posséder ces privilèges seulement pendant la durée de la tâche et pour un maximum de 10 heures.The emergency account should have these privileges assigned for only the duration of the task to be completed, and for a maximum of 10 hours. Toute utilisation et toute durée de ces privilèges doivent être consignées dans un enregistrement du comité consultatif sur les modifications, une fois la tâche terminée.All usage and duration of these privileges should be captured in the change approval board record after the task is completed.

Approche de la conception de forêt administrative ESAEESAE Administrative Forest Design Approach

Cette section contient une approche destinée à une forêt administrative basée sur l’architecture de référence ESEA (Enhanced Security Administration Environnement) déployée par les équipes des services professionnels de cybersécurité de Microsoft afin de protéger leurs clients contre les attaques de cybersécurité.This section contains an approach for an administrative forest based on the Enhanced Security Administrative Environment (ESAE) reference architecture deployed by Microsoft's cybersecurity professional services teams to protect customers against cybersecurity attacks.

Les forêts administratives dédiées permettent aux organisations d’héberger des comptes, stations de travail et groupes administratifs dans un environnement dont les contrôles de sécurité sont renforcés par rapport à ceux de l’environnement de production.Dedicated administrative forests allow organizations to host administrative accounts, workstations, and groups in an environment that has stronger security controls than the production environment.

Cette architecture permet plusieurs contrôles de sécurité qui ne sont pas possibles ou facilement configurés dans une architecture à forêt unique, même si elle est gérée avec des stations de travail à accès privilégié.This architecture enables a number of security controls that aren't possible or easily configured in a single forest architecture, even one managed with Privileged Access Workstations (PAWs). Cette approche permet l’approvisionnement de comptes en tant qu’utilisateurs sans privilèges standard dans la forêt d’administration, qui ont des privilèges très élevés dans l’environnement de production, permettant ainsi une meilleure mise en œuvre technique de la gouvernance.This approach allows the provisioning of accounts as standard non-privileged users in the administrative forest that are highly privileged in the production environment, enabling greater technical enforcement of governance. Cette architecture permet également d’utiliser la fonctionnalité d’authentification sélective d’une approbation comme un moyen de limiter les ouvertures de session (et l’exposition des informations d’identification) aux seuls hôtes autorisés.This architecture also enables the use of the selective authentication feature of a trust as a means to restrict logons (and credential exposure) to only authorized hosts. Dans les situations où un niveau supérieur de garantie est souhaité pour la forêt de production sans pour autant impliquer le coût et la complexité d’une recréation complète, une forêt d’administration peut fournir un environnement qui augmente le niveau de garantie de l’environnement de production.In situations in which a greater level of assurance is desired for the production forest without incurring the cost and complexity of a complete rebuild, an administrative forest can provide an environment that increases the assurance level of the production environment.

Bien que cette approche ajoute une forêt à un environnement Active Directory, le coût et la complexité sont limités par la conception fixe, le petit encombrement matériel/logiciel et le petit nombre d’utilisateurs.While this approach does add a forest to an Active Directory environment, the cost and complexity are limited by the fixed design, small hardware/software footprint, and small number of users.

Notes

Cette approche fonctionne bien pour administrer Active Directory, mais de nombreuses applications ne sont pas compatibles avec une administration par des comptes provenant d’une forêt externe qui utilise une approbation standard.This approach works well for administering Active Directory, but many applications aren't compatible with being administered by accounts from an external forest using a standard trust.

Cette figure illustre une forêt ESAE utilisée pour l’administration de ressources de niveau 0 et une forêt PRIV configurée pour une utilisation avec la fonctionnalité Privileged Identity Management de Microsoft Identity Manager.This figure depicts an ESAE forest used for administration of Tier 0 Assets and a PRIV forest configured for use with Microsoft Identity Manager's Privileged Access Management capability. Pour plus d’informations sur le déploiement d’une instance MIM PAM, voir l’article Privileged Identity Management pour les services de domaine Active Directory (AD DS).For more information on deploying a MIM PAM instance, see Privileged Identity Management for Active Directory Domain Services (AD DS) article.

Figure montrant une forêt ESAE utilisée pour l’administration de ressources du niveau 0 et une forêt PRIV configurée pour une utilisation avec la fonctionnalité Privileged Identity Management de Microsoft Identity Manager

Une forêt d’administration dédiée est une forêt Active Directory de domaine unique standard, dédiée à la fonction de gestion d’Active Directory.A dedicated administrative forest is a standard single domain Active Directory forest dedicated to the function of Active Directory management. Les forêts et les domaines d’administration peuvent être renforcés de façon plus stricte que les forêts de production, en raison du nombre limité de cas d’utilisation.Administrative forests and domains may be hardened more stringently than production forests because of the limited use cases.

La conception d’une forêt d’administration doit inclure les considérations suivantes :An administrative forest design should include the following considerations:

  • Étendue limitée : la valeur principale d’une forêt d’administration est le niveau élevé de garantie de sécurité et la surface d’attaque réduite aboutissant à un risque résiduel inférieur.Limited scope - The primary value of an admin forest is the high level of security assurance and reduced attack surface resulting in lower residual risk. La forêt peut être utilisée pour héberger des fonctions et des applications de gestion supplémentaires, sachant que chaque augmentation de son étendue augmente la surface d’attaque de la forêt et de ses ressources.The forest can be used to house additional management functions and applications, but each increase in scope will increase the attack surface of the forest and its resources. L’objectif est de limiter les fonctions de la forêt et des utilisateurs administrateurs qui s’y trouvent pour conserver une surface d’attaque minimale : chaque augmentation de l’étendue doit donc être envisagée avec précaution.The objective is to limit the functions of the forest and admin users inside to keep the attack surface minimal, so each scope increase should be considered carefully.

  • Configurations d’approbation : configurez l’approbation à partir de forêts ou de domaines gérés vers la forêt d’administration.Trust configurations - Configure trust from managed forests(s) or domain(s) to the administrative forest

    • Une approbation à sens unique est requise depuis l'environnement de production vers la forêt d'administration.A one-way trust is required from production environment to the admin forest. Il peut s’agir d’une approbation de domaine ou d’une approbation de forêt.This can be a domain trust or a forest trust. Le domaine/La forêt d’administration n’a pas besoin d’approuver les domaines/forêts gérés pour gérer Active Directory, même si d’autres applications peuvent nécessiter une relation d’approbation bidirectionnelle, la validation de la sécurité et des tests.The admin forest/domain does not need to trust the managed domains/forests to manage Active Directory, though additional applications may require a two-way trust relationship, security validation, and testing.
    • L’authentification sélective doit être utilisée pour limiter les comptes de la forêt d’administration à la seule connexion aux hôtes de production appropriés.Selective authentication should be used to restrict accounts in the admin forest to only logging on to the appropriate production hosts. Pour la gestion des contrôleurs de domaine et la délégation de droits dans Active Directory, ceci nécessite généralement d’accorder le droit « Autorisé à ouvrir une session » pour les contrôleurs de domaine à des comptes d’administrateur désignés de niveau 0 dans la forêt d’administration.For maintaining domain controllers and delegating rights in Active Directory, this typically requires granting the "Allowed to logon" right for domain controllers to designated Tier 0 admin accounts in the admin forest. Pour plus d’informations, voir Configuration des paramètres de l’authentification sélective.See Configuring Selective Authentication Settings for more information.
  • Privilèges et renforcement de domaines : la forêt d’administration doit être configurée avec des privilèges minimum, en fonction de la configuration requise pour l’administration d’Active Directory.Privileges and domain hardening - The administrative forest should be configured to least privilege based on the requirements for Active Directory administration.

    • L’octroi de droits d’administrer des contrôleurs de domaine et de déléguer des autorisations exige d’ajouter de comptes de forêt d’administration au groupe local BUILTIN\Administrators du domaine.Granting rights to administer domain controllers and delegate permissions requires adding admin forest accounts to the BUILTIN\Administrators domain local group. Cet ajout est nécessaire car le groupe global Administrateurs de domaine n’accepte pas de membres provenant d’un domaine externe.This is because the Domain Admins global group cannot have members from an external domain.

    • Le seul inconvénient à l’utilisation de ce groupe pour octroyer des droits est qu’il n’a pas d’accès administratif aux nouveaux objets de stratégie de groupe, par défaut.One caveat to using this group to grant rights is that they won't have administrative access to new group policy objects by default. Vous pouvez y remédier en suivant la procédure indiquée dans cet article de la Base de connaissances pour modifier les autorisations par défaut du schéma.This can be changed by following the procedure in this knowledge base article to change the schema default permissions.

    • Les comptes de la forêt d’administration utilisés pour administrer l’environnement de production ne doivent pas recevoir de privilèges d’administration pour la forêt d’administration, ni pour les domaines et les stations de travail qu’elle contient.Accounts in the admin forest that are used to administer the production environment should not be granted administrative privileges to the admin forest, domains in it, or workstations in it.

    • Les privilèges d’administration sur la forêt d’administration doivent être étroitement contrôlés par un processus hors connexion, afin de réduire la possibilité qu’un attaquant ou un utilisateur interne malveillant effacent les journaux d’audit.Administrative privileges over the admin forest should be tightly controlled by an offline process to reduce the opportunity for an attacker or malicious insider to erase audit logs. Ceci limite la possibilité que le personnel utilisant des comptes d’administration de production assouplisse les restrictions sur leurs comptes, augmentant ainsi les risques pour l’organisation.This also helps ensure that personnel with production admin accounts cannot relax the restrictions on their accounts and increase risk to the organization.

    • La forêt d’administration doit respecter les configurations de référence de conformité de sécurité Microsoft (SCB) pour le domaine, notamment les configurations renforcées des protocoles d’authentification.The administrative forest should follow the Microsoft Security Compliance Baseline (SCB) configurations for the domain, including strong configurations for authentication protocols.

    • Tous les hôtes de la forêt d’administration doivent être automatiquement mis à jour avec les mises à jour de sécurité.All admin forest hosts should be automatically updated with security updates. Si cette configuration peut aboutir à un risque d’interruption des opérations de maintenance du contrôleur de domaine, elle permet également une limitation importante des risques de sécurité liés à des vulnérabilités non corrigées.While this may create risk of interrupting domain controller maintenance operations, it provides a significant mitigation of security risk of unpatched vulnerabilities.

      Notes

      Une instance Windows Server Update Services dédiée peut être configurée pour approuver automatiquement les mises à jour.A dedicated Windows Server Update Services instance can be configured to automatically approve updates. Pour plus d’informations, voir la section « Approuver automatiquement les mises à jour pour l’installation » dans Approbation des mises à jour.For more information, see the "Automatically Approve Updates for Installation" section in Approving Updates.

  • Renforcement des stations de travail : créez les stations de travail d’administration à l’aide des stations de travail à accès privilégié (par le biais de la phase 3), mais changez l’appartenance au domaine par la forêt d’administration au lieu de l’environnement de production.Workstation Hardening - Build the administrative workstations using the Privileged Access Workstations (through Phase 3), but change the domain membership to the administrative forest instead of the production environment.

  • Renforcement des serveurs et contrôleurs de domaine : pour tous les contrôleurs de domaine et serveurs de la forêt d’administration :Server and DC hardening - For all domain controllers and servers in the administrative forest:

    • Vérifiez que tous les supports sont validés en utilisant les instructions données dans Source propre pour le support d’installation.Ensure all media is validated using the guidance in Clean Source for installation media

    • Vérifiez que les serveurs de la forêt d’administration disposent des derniers systèmes d’exploitation installés, même si cela n’est pas faisable en production.Ensure the administrative forest servers should have the latest operating systems installed, even if this is not feasible in production.

    • Les hôtes de la forêt d’administration doivent être automatiquement mis à jour avec les mises à jour de sécurité.Admin forest hosts should be automatically updated with security updates.

      Notes

      Windows Server Update Services peut être configuré pour approuver automatiquement les mises à jour.Windows Server Update Services can be configured to automatically approve updates. Pour plus d’informations, voir la section « Approuver automatiquement les mises à jour pour l’installation » dans Approbation des mises à jour.For more information, see the "Automatically Approve Updates for Installation" section in Approving Updates.

    • Des bases de référence de sécurité doivent être utilisées comme configurations de démarrage.Security Baselines should be used as starting configurations.

      Notes

      Les clients peuvent utiliser le Toolkit de conformité de sécurité (SCT) Microsoft pour configurer les bases de référence sur les hôtes d’administration.Customers can use the Microsoft Security Compliance Toolkit (SCT) for configuring the baselines on the administrative hosts.

    • Démarrage sécurisé pour atténuer les risques face à des attaquants ou des programmes malveillants tentant de charger du code non signé dans le processus de démarrage.Secure Boot to mitigate against attackers or malware attempting to load unsigned code into the boot process.

      Notes

      Cette fonctionnalité a été introduite dans Windows 8 pour tirer parti de l’interface UEFI (Unified Extensible Firmware Interface).This feature was introduced in Windows 8 to leverage the Unified Extensible Firmware Interface (UEFI).

    • Chiffrement intégral des volumes pour limiter les risques liés à la perte physique d’ordinateurs, comme des ordinateurs portables d’administration utilisés à distance.Full volume encryption to mitigate against physical loss of computers, such as administrative laptops used remotely.

      Notes

      Pour plus d’informations, voir BitLocker.See BitLocker for more information.

    • Restrictions USB pour protéger contre les vecteurs d’infection physique.USB restrictions to protect against physical infection vectors.

    • Isolement du réseau pour protéger contre les attaques réseau et les actions d’administration inappropriées effectuées par inadvertance.Network isolation to protect against network attacks and inadvertent admin actions. Les pare-feu des hôtes doivent bloquer toutes les connexions entrantes, sauf celles qui sont explicitement requises, et bloquer tout accès Internet sortant.Host firewalls should block all incoming connections except those explicitly required and block all outbound Internet access.

    • Logiciel anti-programme malveillant pour protéger contre les menaces et les programmes malveillants connus.Antimalware to protect against known threats and malware.

    • Analyse de la surface des attaques pour empêcher l’introduction de nouveaux vecteurs d’attaque dans Windows lors de l’installation de nouveaux logiciels.Attack surface analysis to prevent introduction of new attack vectors to Windows during installation of new software.

      Notes

      L’utilisation d’outils comme Attack Surface Analyzer (ASA) permet d’évaluer les paramètres de configuration sur un hôte et d’identifier les vecteurs d’attaque introduits par des modifications logicielles ou de configuration.Use of tools such as the Attack Surface Analyzer (ASA) will help assess configuration settings on a host and identify attack vectors introduced by software or configuration changes.

  • Renforcement des comptesAccount hardening

    • Une authentification multifacteur doit être configurée pour tous les comptes de la forêt d’administration, sauf un.Multi-factor authentication should be configured for all accounts in the admin forest, except one account. Au moins un compte administratif doit s’appuyer sur un mot de passe pour garantir le fonctionnement de l’accès en cas de rupture du processus d’authentification multifacteur.At least one administrative account should be password based to ensure access will work in case the multi-factor authentication process breaks. Ce compte doit être protégé par un processus de contrôle physique draconien.This account should be protected by a stringent physical control process.

    • Les comptes configurés pour l’authentification multifacteur doivent être configurés pour définir régulièrement un nouveau hachage NTLM sur les comptes.Accounts configured for multi-factor authentication should be configured to set a new NTLM hash on accounts regularly. Pour ce faire, vous pouvez désactiver et activer l’attribut de compte Une carte à puce est nécessaire pour ouvrir une session interactive.This can be accomplished by disabling and enabling the account attribute Smart card is required for interactive logon.

      Notes

      Vous pouvez ainsi interrompre des opérations en cours qui utilisent ce compte, alors ce processus doit uniquement être lancé quand les administrateurs ne vont pas utiliser le compte, par exemple pendant la nuit ou le week-end.This can interrupt operations in progress that are using this account, so this process should be initiated only when administrators won't be using the account, such as at night or on weekends.

  • Contrôles de détectionDetective controls

    • Les contrôles de détection pour la forêt d’administration doivent être conçus pour alerter en cas d’anomalies dans cette forêt.Detective controls for the administrative forest should be designed to alert on anomalies in the admin forest. Le nombre limité de scénarios et d’activités autorisés peut aider à spécifier ces contrôles de façon plus précise que dans l’environnement de production.The limited number of authorized scenarios and activities can help tune these controls more accurately than the production environment.

Pour plus d’informations sur les services Microsoft de conception et déploiement d’un ESAE pour votre environnement, voir cette page.For more information engaging about Microsoft services to design and deploy an ESAE for your environment, see this page.

Équivalence du niveau 0Tier 0 Equivalency

La plupart des organisations contrôle l’appartenance aux puissants groupes Active Directory de niveau 0 comme les administrateurs, les administrateurs de domaine et les administrateurs de l’entreprise.Most organizations control membership to powerful Tier 0 Active Directory groups like Administrators, Domain Admins, and Enterprise Admins. De nombreuses organisations négligent le risque lié aux autres groupes dont les privilèges sont pourtant équivalents dans un environnement Active Directory standard.Many organizations overlook the risk of other groups that are effectively equivalent in privilege in a typical active directory environment. Ces groupes offrent un chemin d’accès de l’escalade relativement facile pour un intrus des mêmes privilèges de niveau 0 explicites à l’aide de diverses méthodes d’attaque.These groups offer a relatively easy escalation path for an attacker to the same explicit Tier 0 privileges using various different attack methods.

Par exemple, un opérateur de serveur peut accéder à un média de sauvegarde d’un contrôleur de domaine et extraire toutes les informations d’identification des fichiers situés sur ce média pour les utiliser à des fins d’escalade de privilèges.As an example, a server operator could gain access to a backup media of a domain controller and extract all the credentials from the files in that media and use them to escalate privileges.

Les organisations doivent contrôler et surveiller l’appartenance dans tous les groupes de niveau 0 (y compris l’appartenance imbriquée), comme les groupes suivants :Organizations should control and monitor membership in all of the Tier 0 groups (including nested membership) including:

  • Administrateurs de l’entrepriseEnterprise Admins
  • Administrateurs du domaineDomain Admins
  • Administrateurs de schémaSchema Admin
  • BUILTIN\AdministratorsBUILTIN\Administrators
  • Opérateurs de compteAccount Operators
  • Opérateurs de sauvegardeBackup Operators
  • Opérateurs d'impressionPrint Operators
  • Opérateurs de serveurServer Operators
  • Contrôleurs de domaineDomain Controllers
  • Contrôleurs de domaine en lecture seuleRead-only Domain Controllers
  • Propriétaires créateurs de la stratégie de groupeGroup Policy Creator Owners
  • Opérateurs de chiffrementCryptographic Operators
  • Utilisateurs du modèle COM distribuéDistributed COM Users
  • Autres groupes délégués - les groupes personnalisés qui peuvent être créés par votre organisation pour gérer les opérations d’annuaire pouvant aussi disposer des accès de niveau 0 effectif.Other Delegated Groups - Custom groups that may be created by your organization to manage directory operations that may also have effective Tier 0 access.

Outils d’administration et types d’ouverture de sessionAdministrative Tools and Logon Types

Les informations de référence ci-après vous aident à identifier le risque d’exposition des informations d’identification associé à l’utilisation de différents outils d’administration pour l’administration à distance.This is reference information to help identify the risk of credential exposure associated with using different administrative tools for remote administration.

Dans un scénario d’administration à distance, les informations d’identification sont toujours exposées sur l’ordinateur source si bien qu’il est toujours recommandé d’utiliser une station de travail à accès privilégié digne de confiance pour les comptes sensibles ou à impact élevé.In a remote administration scenario, credentials are always exposed on the source computer so a trustworthy privileged access workstation (PAW) is always recommended for sensitive or high impact accounts. Le fait que les informations d’identification soient exposées ou non à un vol potentiel sur l’ordinateur (distant) cible dépend principalement du type d’ouverture de session Windows utilisé par la méthode de connexion.Whether credentials are exposed to potential theft on the target (remote) computer depends primarily on the windows logon type used by the connection method.

Ce tableau comprend des recommandations pour les outils d’administration et les méthodes de connexion les plus courants :This table includes guidance for the most common administrative tools and connection methods:

Méthode de connexionConnection method Type d’ouverture de sessionLogon type Informations d’identification réutilisables sur la destinationReusable credentials on destination CommentairesComments
Ouverture de session sur consoleLog on at console Interactive (Interactif)Interactive vv Inclut l’accès à distance au matériel/des cartes d’extinction et des KVM réseau.Includes hardware remote access / lights-out cards and network KVMs.
RUNASRUNAS Interactive (Interactif)Interactive vv
RUNAS /NETWORKRUNAS /NETWORK NewCredentialsNewCredentials vv Clone la session LSA en cours pour un accès local, mais utilise de nouvelles informations d’identification pour la connexion aux ressources réseau.Clones current LSA session for local access, but uses new credentials when connecting to network resources.
Bureau à distance (réussite)Remote Desktop (success) RemoteInteractiveRemoteInteractive vv Si le client Bureau à distance est configuré pour partager des ressources et appareils locaux, ceux-ci peuvent être aussi compromis.If the remote desktop client is configured to share local devices and resources, those may be compromised as well.
Bureau à distance (échec - type d’ouverture de session refusé)Remote Desktop (failure - logon type was denied) RemoteInteractiveRemoteInteractive - Par défaut, si l’ouverture de session RDP échoue, les informations d’identification sont uniquement stockées très brièvement.By default, if RDP logon fails credentials are only stored very briefly. Cela peut ne pas être le cas si l’ordinateur est compromis.This may not be the case if the computer is compromised.
Net use * \\SERVERNet use * \\SERVER Network (Réseau)Network -
Net use * \\SERVER /u:userNet use * \\SERVER /u:user Network (Réseau)Network -
Composants logiciels enfichables MMC sur ordinateur distantMMC snap-ins to remote computer Network (Réseau)Network - Exemple : Gestionnaire de périphériques de gestion, Observateur d’événements, ordinateur, ServicesExample: Computer Management, Event Viewer, Device Manager, Services
PowerShell WinRMPowerShell WinRM Network (Réseau)Network - Exemple : Enter-PSSession serverExample: Enter-PSSession server
PowerShell WinRM avec CredSSPPowerShell WinRM with CredSSP NetworkClearTextNetworkClearText vv New-PSSession serverNew-PSSession server
-Authentication Credssp-Authentication Credssp
-Credential cred-Credential cred
PsExec sans informations d’identification explicitesPsExec without explicit creds Network (Réseau)Network - Exemple : PsExec \\server cmdExample: PsExec \\server cmd
PsExec avec informations d’identification explicitesPsExec with explicit creds Réseau + InteractifNetwork + Interactive vv PsExec \\server -u user -p pwd cmdPsExec \\server -u user -p pwd cmd
Crée plusieurs sessions d’ouverture de session.Creates multiple logon sessions.
Accès à distance au RegistreRemote Registry Network (Réseau)Network -
Passerelle des services Bureau à distanceRemote Desktop Gateway Network (Réseau)Network - Authentification auprès de la passerelle des services Bureau à distance.Authenticating to Remote Desktop Gateway.
Tâche planifiéeScheduled task Batch (Fichier de commandes)Batch vv Le mot de passe est également enregistré en tant que secret LSA sur le disque.Password will also be saved as LSA secret on disk.
Exécuter des outils en tant que serviceRun tools as a service ServiceService vv Le mot de passe est également enregistré en tant que secret LSA sur le disque.Password will also be saved as LSA secret on disk.
Analyseurs de vulnérabilitéVulnerability scanners Network (Réseau)Network - La plupart des analyseurs utilisent par défaut des ouvertures de session réseau, bien que certains fournisseurs puissent implémenter des ouvertures de session non-réseau et introduire plus de risque de vol d’informations d’identification.Most scanners default to using network logons, though some vendors may implement non-network logons and introduce more credential theft risk.

Pour l’authentification web, utilisez la référence indiquée dans le tableau ci-dessous :For web authentication, use the reference from the table below:

Méthode de connexionConnection method Type d’ouverture de sessionLogon type Informations d’identification réutilisables sur la destinationReusable credentials on destination CommentairesComments
Authentification de base IISIIS "Basic Authentication" NetworkCleartextNetworkCleartext
(IIS 6.0+)(IIS 6.0+)

Interactive (Interactif)Interactive
(avant IIS 6.0)(prior to IIS 6.0)
vv
Authentification Windows intégrée IISIIS "Integrated Windows Authentication" Network (Réseau)Network - Fournisseurs NTLM et Kerberos.NTLM and Kerberos Providers.

Définitions des colonnes :Column Definitions:

  • Type d’ouverture de session identifie le type d’ouverture de session lancé par la connexion.Logon type identifies the logon type initiated by the connection.
  • Informations d’identification réutilisables sur la destination indique que les types suivants d’informations d’identification sont stockés dans la mémoire de processus LSASS sur l’ordinateur de destination où le compte spécifié est connecté en local :Reusable credentials on destination indicates that the following credential types will be stored in LSASS process memory on the destination computer where the specified account is logged on locally:
    • Hachages LM et NTLM and NT hashes
    • TGT KerberosKerberos TGTs
    • Mots de passe en texte en clair (le cas échéant)Plaintext password (if applicable).

Les symboles utilisés dans ce tableau ont la signification suivante :The symbols in this table defined as follows:

  • (-) indique que les informations d’identification ne sont pas exposées.(-) denotes when credentials are not exposed.
  • (-) indique que les informations d’identification sont exposées.(v) denotes when credentials are exposed.

Pour les applications de gestion qui ne figurent pas dans ce tableau, vous pouvez déterminer le type d’ouverture de session à partir du champ correspondant dans Auditer les événements de connexion.For management applications that are not in this table, you can determine the logon type from the logon type field in the audit logon events. Pour plus d’informations, voir Auditer les événements de connexion.For more information, see Audit logon events.

Sur les ordinateurs Windows, toutes les authentifications sont traitées comme l’un des nombreux types d’ouverture de session, quel que soit le protocole d’authentification ou l’authentificateur utilisé.In Windows-based computers, all authentications are processed as one of several logon types, regardless of which authentication protocol or authenticator is used. Ce tableau inclut les types d’ouverture de session les plus courants et leurs attributs relatifs au vol d’informations d’identification :This table includes most common logon types and their attributes relative to credential theft:

Type d’ouverture de sessionLogon type # Authentificateurs acceptésAuthenticators accepted Informations d’identification réutilisables dans une session LSAReusable credentials in LSA session ExemplesExamples
Interactif (également appelé ouverture de session locale)Interactive (a.k.a., Logon locally) 22 Mot de passe, carte à puce,Password, Smartcard,
Autreother
OuiYes Ouverture de session consoleConsole logon;
RUNASRUNAS;
Solutions de contrôle à distance du matériel (par exemple, KVM réseau ou accès à distance/carte d’extinction dans le serveur)Hardware remote control solutions (such as Network KVM or Remote Access / Lights-Out Card in server)
Authentification de base IIS (avant IIS 6.0)IIS Basic Auth (before IIS 6.0)
Network (Réseau)Network 33 Mot de passe,Password,
hachage NT,NT Hash,
ticket KerberosKerberos ticket
Non (sauf si une délégation est activée, alors des tickets Kerberos sont présents)No (except if delegation is enabled, then Kerberos tickets present) NET USE,NET USE;
appels RPC,RPC calls;
Registre à distance,Remote registry;
authentification Windows intégrée IIS,IIS integrated Windows auth;
authentification Windows SQLSQL Windows auth;
Batch (Fichier de commandes)Batch 44 Mot de passe (généralement stocké en tant que secret LSA)Password (usually stored as LSA secret) OuiYes Tâches planifiéesScheduled tasks
ServiceService 55 Mot de passe (généralement stocké en tant que secret LSA)Password (usually stored as LSA secret) OuiYes Windows ServicesWindows services
NetworkCleartextNetworkCleartext 88 Mot de passePassword OuiYes Authentification de base IIS (IIS 6.0 et versions ultérieures)IIS Basic Auth (IIS 6.0 and newer);
Windows PowerShell avec CredSSPWindows PowerShell with CredSSP
NewCredentialsNewCredentials 99 Mot de passePassword OuiYes RUNAS /NETWORKRUNAS /NETWORK
RemoteInteractiveRemoteInteractive 1010 Mot de passe, carte à puce,Password, Smartcard,
Autreother
OuiYes Bureau à distance (anciennement services Terminal Server)Remote Desktop (formerly known as "Terminal Services")

Définitions des colonnes :Column definitions:

  • Type d’ouverture de session est le type d’ouverture de session demandé.Logon type is the type of logon requested.
  • # est l’identificateur numérique pour le type d’ouverture de session qui est signalé dans les événements d’audit dans le journal d’événements de sécurité.# is the numeric identifier for the logon type that is reported in audit events in the Security event log.
  • Authentificateurs acceptés indique les types d’authentificateurs capables de lancer une ouverture de session de ce type.Authenticators accepted indicates which types of authenticators are able to initiate a logon of this type.
  • Informations d’identification réutilisables dans une session LSA indique si le type d’ouverture de session entraîne la conservation des informations d’identification par la session LSA, comme les mots de passe en texte en clair, les hachages NT ou les tickets Kerberos pouvant être utilisés pour s’authentifier auprès d’autres ressources réseau.Reusable credentials in LSA session indicates whether the logon type results in the LSA session holding credentials, such as plaintext passwords, NT hashes, or Kerberos tickets that could be used to authenticate to other network resources.
  • Exemples répertorie des scénarios courants dans lesquels le type d’ouverture de session est utilisé.Examples list common scenarios in which the logon type is used.

Notes

Pour plus d’informations sur les types d’ouverture de session, voir SECURITY_LOGON_TYPE (énumération).For more information about Logon Types, see SECURITY_LOGON_TYPE enumeration.