Planification d’un environnement de bastion

L’ajout d’un environnement bastion avec une forêt administrative dédiée à active Directory permet aux organisations de gérer des comptes d’administration, des stations de travail et des groupes dans un environnement qui a des contrôles de sécurité plus forts que leur environnement de production existant.

Note

L’approche PAM avec un environnement bastion fourni par MIM est destinée à être utilisée dans une architecture personnalisée pour les environnements isolés où l’accès à Internet n’est pas disponible, où cette configuration est requise par la réglementation ou dans des environnements isolés à impact élevé, tels que les laboratoires de recherche hors connexion et les environnements de contrôle opérationnel ou de contrôle de surveillance et d’acquisition des données. Si votre annuaire Active Directory fait partie d’un environnement connecté à Internet, consultez la sécurisation de l’accès privilégié pour plus d’informations sur l’emplacement de démarrage.

Cette architecture permet de mettre en place des contrôles impossibles ou difficiles à configurer dans une architecture de forêt unique. Cela inclut la création et gestion de comptes en tant qu’utilisateurs non privilégiés dans la forêt administrative, qui sont hautement privilégiés dans l’environnement de production, permettant un renforcement technique accru de la gouvernance. Cette architecture permet également d’utiliser la fonctionnalité d’authentification sélective d’une approbation comme moyen de restreindre les connexions (et l’exposition des informations d’identification) aux hôtes autorisés uniquement. Dans les situations où un niveau d’assurance plus élevé est souhaité pour la forêt de production sans entraîner le coût et la complexité d’une reconstruction complète, une forêt administrative peut fournir un environnement qui augmente le niveau d’assurance de l’environnement de production.

Des techniques supplémentaires peuvent être utilisées en plus de la forêt administrative dédiée. Il s’agit notamment de restreindre l’emplacement où les informations d’identification administratives sont exposées, de limiter les privilèges de rôle des utilisateurs dans cette forêt et de s’assurer que les tâches administratives ne sont pas effectuées sur les hôtes utilisés pour les activités utilisateur standard (par exemple, la messagerie et la navigation web).

Considérations relatives aux bonnes pratiques

Une forêt d’administration dédiée est une forêt Active Directory de domaine unique standard utilisée pour la gestion d’Active Directory. L’avantage d’utiliser des forêts et domaines administratifs est qu’ils peuvent avoir plus de mesures de sécurité que les forêts de production en raison de leurs cas d’usage limités. De plus, étant donné que cette forêt est séparée et ne fait pas confiance aux forêts existantes de l’organisation, une compromission de sécurité dans une autre forêt ne s’étendrait pas à cette forêt dédiée.

Une conception de forêt administrative comporte les considérations suivantes :

Étendue limitée

La valeur d’une forêt d’administration est le niveau élevé d’assurance de sécurité et la surface d’attaque réduite. La forêt peut héberger des fonctions de gestion et des applications supplémentaires, mais chaque augmentation de portée augmente la surface d’attaque de la forêt et de ses ressources. L’objectif est de limiter les fonctions de la forêt afin de réduire la surface d’attaque.

Selon le modèle de niveau de partitionnement des privilèges d’administration, les comptes d’une forêt d’administration dédiée doivent se trouver dans un seul niveau, généralement au niveau 0 ou au niveau 1. Si une forêt se trouve au niveau 1, envisagez de la restreindre à une étendue particulière d’application (par exemple, les applications financières) ou la communauté des utilisateurs (par exemple, les fournisseurs informatiques externalisés).

Confiance restreinte

La forêt CORP de production doit faire confiance à la forêt PRIV administrative, mais pas dans l'autre sens. Cette approbation peut être une approbation de domaine ou une approbation de forêt. Le domaine de la forêt d'administration n'a pas besoin d'avoir la confiance des domaines et forêts gérés pour administrer Active Directory, bien que d'autres applications puissent nécessiter une relation de confiance bidirectionnelle, ainsi qu'une validation de sécurité et des tests.

L'authentification sélective doit être utilisée pour s'assurer que les comptes de la forêt d'administration n'utilisent que les hôtes de production appropriés. Pour maintenir les contrôleurs de domaine et déléguer des droits dans Active Directory, cela nécessite généralement l’octroi du droit « Autorisé à se connecter » pour les contrôleurs de domaine aux comptes d’administrateur de niveau 0 désignés dans la forêt d’administration. Pour plus d’informations, consultez Configuration des paramètres d’authentification sélective .

Maintenir la séparation logique

Pour vous assurer que l’environnement bastion n’est pas affecté par les incidents de sécurité existants ou futurs dans l’organisation Active Directory, les instructions suivantes doivent être utilisées lors de la préparation des systèmes pour l’environnement bastion :

  • Les serveurs Windows ne doivent pas être joints à un domaine ni tirer parti de la distribution de logiciels ou de paramètres à partir de l’environnement existant.

  • L’environnement bastion doit contenir ses propres services de domaine Active Directory, en fournissant Kerberos et LDAP, DNS, services de temps, à l’environnement bastion.

  • MIM ne doit pas utiliser une batterie de bases de données SQL dans l’environnement existant. SQL Server doit être déployé sur des serveurs dédiés dans l’environnement bastion.

  • L’environnement bastion nécessite Microsoft Identity Manager 2016, en particulier les composants MIM Service et PAM doivent être déployés.

  • Les logiciels de sauvegarde et les supports pour l’environnement bastion doivent être conservés séparément de ceux des systèmes dans les forêts existantes, afin qu’un administrateur de la forêt existante ne puisse pas subvertir une sauvegarde de l’environnement bastion.

  • Les utilisateurs qui gèrent les serveurs d’environnement bastion doivent se connecter à partir de stations de travail qui ne sont pas accessibles aux administrateurs dans l’environnement existant, afin que les informations d’identification de l’environnement bastion ne soient pas divulguées.

Garantir la disponibilité des services d’administration

À mesure que l’administration des applications sera transférée vers l’environnement bastion, prenez en compte la façon de fournir une disponibilité suffisante pour répondre aux exigences de ces applications. Les techniques sont les suivantes :

  • Déployez les services de domaine Active Directory sur plusieurs ordinateurs dans l’environnement bastion. Au moins deux sont nécessaires pour garantir l’authentification continue, même si un serveur est temporairement redémarré pour la maintenance planifiée. Des ordinateurs supplémentaires peuvent être nécessaires pour une charge plus élevée ou pour gérer des ressources et des administrateurs basés dans plusieurs régions géographiques.

  • Préparez les comptes de brise-glace dans la forêt existante et la forêt d’administration dédiée, à des fins d’urgence.

  • Déployez SQL Server et le service MIM sur plusieurs ordinateurs dans l’environnement bastion.

  • Conservez une sauvegarde d'AD et de SQL pour chaque modification des utilisateurs ou des définitions de rôle dans la forêt d'administration dédiée.

Configurer les autorisations Active Directory appropriées

La forêt d’administration doit être configurée sur un privilège minimum en fonction des exigences de l’administration Active Directory.

  • Les comptes dans la forêt d’administration qui sont utilisés pour administrer l’environnement de production ne doivent pas recevoir de privilèges administratifs dans cette même forêt, dans les domaines qu'elle contient, ni dans les stations de travail qui s'y trouvent.

  • Les privilèges d’administration sur la forêt d’administration proprement dite doivent être étroitement contrôlés par un processus hors connexion afin de réduire l’opportunité pour un attaquant ou un insider malveillant d’effacer les journaux d’audit. Cela permet également de s’assurer que le personnel disposant de comptes d’administrateur de production ne peut pas assouplir les restrictions sur ses comptes et augmenter les risques pour l’organisation.

  • La forêt administrative doit suivre les configurations SCM (Microsoft Security Compliance Manager) pour le domaine, notamment les configurations fortes pour les protocoles d’authentification.

Lors de la création de l’environnement bastion, avant d’installer Microsoft Identity Manager, identifiez et créez les comptes qui seront utilisés pour l’administration dans cet environnement. Ceci comprend les comptes suivants :

  • Les comptes d'accès d'urgence doivent uniquement être en mesure de se connecter aux contrôleurs de domaine dans l’environnement bastion.

  • Les administrateurs « Carte rouge » approvisionnent d’autres comptes et effectuent une maintenance non planifiée. Aucun accès aux forêts ou systèmes déjà existants en dehors de l’environnement bastion n’est accordé à ces comptes. Les informations d’identification, par exemple, une carte à puce, doivent être sécurisées physiquement et l’utilisation de ces comptes doit être journalisée.

  • Comptes de service nécessaires par Microsoft Identity Manager, SQL Server et d’autres logiciels.

Renforcer les hôtes

Tous les hôtes, y compris les contrôleurs de domaine, les serveurs et les stations de travail joints à la forêt d’administration, doivent disposer des systèmes d’exploitation et des service packs les plus récents installés et mis à jour.

  • Les applications requises pour effectuer l’administration doivent être préinstallées sur les stations de travail afin que les comptes qui les utilisent n’ont pas besoin d’être dans le groupe administrateurs local pour les installer. La maintenance du contrôleur de domaine peut généralement être effectuée avec rdp et les outils d’administration de serveur distant.

  • Les hôtes de forêt d’administration doivent recevoir automatiquement les mises à jour de sécurité. Bien que cela puisse créer un risque d’interruption des opérations de maintenance du contrôleur de domaine, il fournit une atténuation significative du risque de sécurité des vulnérabilités non corrigées.

Identifier les hôtes administratifs

Le risque d’un système ou d’une station de travail doit être mesuré par l’activité à risque la plus élevée effectuée sur celle-ci, telle que la navigation Internet, l’envoi et la réception d’e-mails, ou l’utilisation d’autres applications qui traitent du contenu inconnu ou non approuvé.

Les hôtes administratifs incluent les ordinateurs suivants :

  • Bureau sur lequel les informations d’identification de l’administrateur sont physiquement typées ou entrées.

  • Les « serveurs de rebond » administratifs sur lesquels les sessions d’administration et les outils sont exécutés.

  • Tous les hôtes sur lesquels des actions administratives sont effectuées, y compris ceux qui utilisent un bureau utilisateur standard exécutant un client RDP pour administrer à distance les serveurs et les applications.

  • Les serveurs qui hébergent des applications nécessitant une administration et qui ne sont pas accessibles via le protocole RDP en mode Administrateur restreint ou par la communication à distance Windows PowerShell.

Déployer des stations de travail d’administration dédiées

Bien qu’elles soient peu pratiques, des stations de travail renforcées distinctes dédiées aux utilisateurs avec des informations d’identification administratives à impact élevé peuvent être requises. Il est important de fournir à un hôte un niveau de sécurité égal ou supérieur au niveau des privilèges confiés aux informations d’identification. Envisagez d’incorporer les mesures suivantes pour une protection supplémentaire :

  • Vérifiez que tous les supports de la build sont propres pour atténuer les programmes malveillants installés dans une image principale ou injectés dans un fichier d’installation pendant le téléchargement ou le stockage.

  • Les bases de référence de sécurité doivent être utilisées comme configurations de démarrage. Microsoft Security Compliance Manager (SCM) peut vous aider à configurer les bases de référence sur les hôtes administratifs.

  • Démarrage sécurisé pour atténuer les attaques malveillantes ou les programmes malveillants qui tentent de charger du code non signé dans le processus de démarrage.

  • Restriction logicielle pour garantir que seuls les logiciels administratifs autorisés sont exécutés sur les hôtes administratifs. Les clients peuvent utiliser AppLocker pour cette tâche avec une liste approuvée d’applications autorisées, afin d’empêcher l’exécution de logiciels malveillants et d’applications non prises en charge.

  • Chiffrement de volume complet pour atténuer la perte physique d’ordinateurs, tels que les ordinateurs portables administratifs utilisés à distance.

  • Restrictions USB pour protéger contre l’infection physique.

  • Isolation réseau pour vous protéger contre les attaques réseau et les actions d’administration accidentelles. Les pare-feu hôtes doivent bloquer toutes les connexions entrantes, à l’exception de ces connexions explicitement requises, et bloquer tous les accès Internet sortants inutiles.

  • Logiciel anti-programme malveillant pour vous protéger contre les menaces connues et les programmes malveillants.

  • Exploitez les atténuations pour atténuer les menaces et les attaques inconnues, y compris la boîte à outils EMET (Enhanced Mitigation Experience Toolkit).

  • Analyse de la surface d’attaque pour empêcher l’introduction de nouveaux vecteurs d’attaque à Windows lors de l’installation de nouveaux logiciels. Les outils tels que l’analyseur de surface d’attaque (ASA) permettent d’évaluer les paramètres de configuration sur un hôte et d’identifier les vecteurs d’attaque introduits par des modifications logicielles ou de configuration.

  • Les privilèges d’administration ne doivent pas être accordés aux utilisateurs sur leur ordinateur local.

  • Mode RestrictedAdmin pour les sessions RDP sortantes, sauf si le rôle l'exige. Voir les nouveautés des services Bureau à distance dans Windows Server pour plus d’informations.

Certaines de ces mesures pourraient sembler extrêmes, mais les révélations publiques au cours des dernières années ont illustré les capacités importantes que les adversaires qualifiés possèdent pour compromettre des cibles.

Préparer les domaines existants à gérer par l’environnement bastion

MIM utilise des applets de commande PowerShell pour établir une relation d’approbation entre les domaines AD existants et la forêt administrative dédiée dans l’environnement bastion. Une fois l’environnement bastion déployé et avant que les utilisateurs ou les groupes ne soient convertis en JIT, les applets de commande New-PAMTrust et New-PAMDomainConfiguration mettront à jour les relations d’approbation de domaine et créeront les artefacts nécessaires pour AD et MIM.

Lorsque la topologie Active Directory existante change, les applets de commande Test-PAMTrust, Test-PAMDomainConfiguration, Remove-PAMTrust et Remove-PAMDomainConfiguration peuvent être utilisées pour mettre à jour les relations d’approbation.

Établir la confiance pour chaque forêt

L’applet New-PAMTrust de commande doit être exécutée une seule fois pour chaque forêt existante. Il est appelé sur l’ordinateur du service MIM dans le domaine d’administration. Les paramètres de cette commande sont le nom de domaine du domaine supérieur de la forêt existante et les informations d’identification d’un administrateur de ce domaine.

New-PAMTrust -SourceForest "contoso.local" -Credentials (get-credential)

Après avoir établi l’approbation, configurez chaque domaine pour activer la gestion à partir de l’environnement bastion, comme décrit dans la section suivante.

Activer la gestion de chaque domaine

Il existe sept exigences pour activer la gestion pour un domaine existant.

1. Groupe de sécurité sur le domaine local

Il doit y avoir un groupe dans le domaine existant, dont le nom est le nom de domaine NetBIOS suivi de trois signes dollar, par exemple CONTOSO$$$$. L’étendue du groupe doit être locale de domaine et le type de groupe doit être Sécurité. Cela est nécessaire pour que les groupes soient créés dans la forêt administrative dédiée avec le même identificateur de sécurité que les groupes de ce domaine. Créez ce groupe avec la commande PowerShell suivante, effectuée par un administrateur du domaine existant et exécutée sur une station de travail jointe au domaine existant :

New-ADGroup -name 'CONTOSO$$$' -GroupCategory Security -GroupScope DomainLocal -SamAccountName 'CONTOSO$$$'

2. Audit de réussite et d’échec

Les paramètres de stratégie de groupe sur le contrôleur de domaine pour l’audit doivent inclure l’audit de réussite et d’échec pour la gestion des comptes d’audit et l’accès au service d’annuaire d’audit. Pour ce faire, utilisez la console de gestion des stratégies de groupe, effectuée par un administrateur du domaine existant et exécutée sur une station de travail jointe au domaine existant :

  1. Accédez à Démarrer>Outils d’administration>Gestion des stratégies de groupe.

  2. Accédez à Forêt : contoso.local>Domaines>contoso.local>Contrôleurs de domaine>Stratégie des contrôleurs de domaine par défaut. Un message d’information s’affiche.

    Stratégie des contrôleurs de domaine par défaut - capture d’écran

  3. Cliquez avec le bouton droit sur la stratégie contrôleurs de domaine par défaut , puis sélectionnez Modifier. Une nouvelle fenêtre s'affiche.

  4. Dans la fenêtre Éditeur de gestion des stratégies de groupe, sous l'arborescence de la stratégie des contrôleurs de domaine par défaut, accédez à Configuration de l'ordinateur>Stratégies>Paramètres Windows>Paramètres de sécurité>Stratégies locales>Stratégie d'audit.

    Éditeur de gestion des stratégies de groupe - capture d’écran

  5. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer la gestion des comptes , puis sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, cliquez sur Appliquer et OK.

  6. Dans le volet d’informations, cliquez avec le bouton droit sur Auditer l’accès au service d’annuaire et sélectionnez Propriétés. Sélectionnez Définir ces paramètres de stratégie, cochez la case Réussite, cochez la case Échec, cliquez sur Appliquer et OK.

    Paramètres de stratégie de réussite et d’échec - capture d’écran

  7. Fermez la fenêtre Éditeur de gestion des stratégies de groupe et la fenêtre Gestion des stratégies de groupe. Ensuite, appliquez les paramètres d’audit en lançant une fenêtre PowerShell et en tapant :

    gpupdate /force /target:computer

Le message « Mise à jour de la stratégie d’ordinateur s’est terminée avec succès ». cela doit apparaître après quelques minutes.

3. Autoriser les connexions à l’autorité de sécurité locale

Les contrôleurs de domaine doivent autoriser les connexions RPC sur TCP/IP pour l'autorité de sécurité locale (LSA) provenant de l’environnement bastion. Sur les versions antérieures de Windows Server, la prise en charge TCP/IP dans LSA doit être activée dans le Registre :

New-ItemProperty -Path HKLM:SYSTEM\\CurrentControlSet\\Control\\Lsa -Name TcpipClientSupport -PropertyType DWORD -Value 1

4. Créer la configuration du domaine PAM

L’applet de commande New-PAMDomainConfiguration doit être exécutée sur l’ordinateur du Service MIM dans le domaine administratif. Les paramètres de cette commande sont le nom de domaine du domaine existant et les informations d’identification d’un administrateur de ce domaine.

 New-PAMDomainConfiguration -SourceDomain "contoso" -Credentials (get-credential)

5. Accorder des autorisations de lecture aux comptes

Les comptes de la forêt bastion utilisés pour la définition des rôles (administrateurs qui utilisent les applets de commande New-PAMUser et New-PAMGroup), ainsi que le compte utilisé par le service de surveillance MIM, ont besoin d’autorisations de lecture dans ce domaine.

Les étapes suivantes permettent l’accès en lecture pour l’utilisateur PRIV\Administrator au domaine Contoso au sein du contrôleur de domaine CORPDC :

  1. Vérifiez que vous êtes connecté à CORPDC en tant qu’administrateur de domaine Contoso (par exemple, Contoso\Administrator).

  2. Lancez les utilisateurs et les ordinateurs Active Directory.

  3. Cliquez avec le bouton droit sur le domaine contoso.local , puis sélectionnez Déléguer le contrôle.

  4. Sous l’onglet Utilisateurs et groupes sélectionnés, cliquez sur Ajouter.

  5. Dans la fenêtre contextuelle Sélectionner des utilisateurs, des ordinateurs ou des groupes, cliquez sur Emplacements et remplacez l’emplacement par priv.contoso.local. Dans le nom de l’objet, tapez Administrateurs de domaine , puis cliquez sur Vérifier les noms. Lorsqu’une fenêtre contextuelle s’affiche, saisissez le nom d’utilisateur priv\administrator et le mot de passe.

  6. Après les administrateurs de domaine, tapez ; MIMMonitor. Une fois les noms administrateurs de domaine et MIMMonitor soulignés, cliquez sur OK, puis sur Suivant.

  7. Dans la liste des tâches courantes, sélectionnez Lire toutes les informations utilisateur, puis cliquez sur Suivant et Terminer.

  8. Fermez Utilisateurs et ordinateurs Active Directory.

6. Un compte d'urgence

Si l’objectif du projet de gestion des accès privilégiés est de réduire le nombre de comptes avec des privilèges d’administrateur de domaine attribués définitivement au domaine, il doit exister un compte de secours dans le domaine, dans le cas où il existe un problème ultérieur avec la relation de confiance. Les comptes d’accès d’urgence à la forêt de production doivent exister dans chaque domaine et doivent uniquement être en mesure de se connecter aux contrôleurs de domaine. Pour les organisations avec plusieurs sites, des comptes supplémentaires peuvent être requis pour la redondance.

7. Mettre à jour les autorisations dans l’environnement bastion

Passez en revue les autorisations sur l’objet AdminSDHolder dans le conteneur système de ce domaine. L’objet AdminSDHolder a une liste de contrôle d’accès unique (ACL), utilisée pour contrôler les autorisations des principaux de sécurité membres de groupes Active Directory intégrés. Notez si des modifications apportées aux autorisations par défaut ont été apportées, ce qui aurait un impact sur les utilisateurs disposant de privilèges d’administration dans le domaine, car ces autorisations ne s’appliquent pas aux utilisateurs dont le compte se trouve dans l’environnement bastion.

Sélectionner des utilisateurs et des groupes pour l’inclusion

L’étape suivante consiste à définir les rôles PAM, en associant les utilisateurs et les groupes auxquels ils doivent avoir accès. Ces utilisateurs et groupes sont généralement un sous-ensemble des utilisateurs et des groupes pour le niveau identifié comme étant géré dans l’environnement bastion. Vous trouverez plus d’informations sur la définition de rôles pour Privileged Access Management.

  • Last updated on