Anciens conseils en matière d'accès privilégié

Important

Ces conseils ont été remplacés par des conseils actualisés sur les stations de travail sécurisées, qui font partie d'une solution complète de sécurisation des accès privilégiés.

Cette documentation est conservée en ligne uniquement à des fins d’archivage et de référence. Microsoft recommande vivement de suivre les nouvelles instructions pour une solution plus sécurisée et plus facile à déployer et à prendre en charge.

Directives historiques

Les stations de travail à accès privilégié (PW) fournissent un système d’exploitation dédié pour les tâches sensibles protégées contre les attaques Internet et les vecteurs de menace. La séparation de ces tâches et comptes sensibles des stations de travail et des appareils à usage quotidien offre une protection forte contre les attaques par hameçonnage, les vulnérabilités des applications et du système d’exploitation, les diverses attaques d’emprunt d’identité et les attaques par vol d’informations d’identification telles que la journalisation des séquences de touches, lapass-the-hash et le pass-the-ticket.

Qu’est-ce qu’une station de travail d’accès privilégié ?

En termes les plus simples, un PAW est une station de travail renforcée et verrouillée conçue pour fournir des garanties de sécurité élevées pour les comptes et les tâches sensibles. Les PW sont recommandés pour l’administration de systèmes d’identité, de services cloud, de structure de cloud privé et de fonctions métier sensibles.

Remarque

L’architecture PAW ne nécessite pas de mappage 1:1 des comptes aux stations de travail, bien qu’il s’agit d’une configuration courante. PAW crée un environnement de station de travail approuvé qui peut être utilisé par un ou plusieurs comptes.

Afin d'assurer une sécurité optimale, les PAW doivent toujours utiliser le système d'exploitation le plus récent et le plus sûr disponible : Microsoft recommande vivement Windows 11 Enterprise, qui comprend plusieurs autres fonctionnalités de sécurité non disponibles dans les autres éditions (en particulier, Credential Guard et Device Guard).

Remarque

Les organisations sans accès à Windows 11 Entreprise peuvent utiliser Windows 11 Professionnel, qui comprend de nombreuses technologies fondamentales critiques pour les PW, notamment le démarrage approuvé, BitLocker et le Bureau à distance. Les clients Éducation peuvent utiliser Windows 11 Éducation.

Windows 11 Édition familiale ne doit pas être utilisé pour un PAW.

Les contrôles de sécurité PAW se concentrent sur l’atténuation de l’impact élevé et des risques de compromission élevés. Il s’agit notamment d’atténuer les attaques sur l’environnement et les risques qui peuvent réduire l’efficacité des contrôles PAW au fil du temps :

• attaques internet - La plupart des attaques proviennent directement ou indirectement de sources Internet et utilisent Internet pour l’exfiltration et le contrôle de commande (C2). L’isolation du PAW à partir de l’Internet ouvert est un élément clé pour s’assurer que le PAW n’est pas compromis.
• risque d’utilisation - Si un PAW est trop difficile à utiliser pour les tâches quotidiennes, les administrateurs sont motivés à créer des solutions de contournement pour faciliter leur travail. Souvent, ces solutions de contournement ouvrent la station de travail et les comptes administratifs à des risques de sécurité importants. Il est donc essentiel d’impliquer et d’autoriser les utilisateurs de PAW à atténuer ces problèmes d’utilisation en toute sécurité. Pour ce faire, il est possible d’écouter leurs commentaires, d’installer des outils et des scripts nécessaires pour effectuer leurs travaux et de s’assurer que tous les membres du personnel administratif sont conscients de la raison pour laquelle ils doivent utiliser un PAW, ce qu’est un PAW et comment l’utiliser correctement et correctement.
• Risques de l’environnement - Étant donné que de nombreux autres ordinateurs et comptes de l’environnement sont exposés directement ou indirectement à un risque Internet, un PAW doit être protégé contre les attaques provenant des ressources compromises dans l’environnement de production. Cela nécessite de réduire l’utilisation des outils et comptes de gestion qui ont accès aux PW pour sécuriser et surveiller ces stations de travail spécialisées.
• Manipulation de la chaîne d'approvisionnement - Bien qu'il soit impossible de supprimer tous les risques possibles de falsification dans la chaîne d'approvisionnement pour le matériel et les logiciels, effectuer quelques actions clés peut réduire les vecteurs d'attaque critiques dont les attaquants peuvent facilement profiter. Cela inclut la validation de l’intégrité de tous les supports d’installation et l’utilisation d’un fournisseur fiable et fiable pour le matériel et les logiciels.
• Attaques physiques - Les PAW pouvant être physiquement mobiles et utilisés en dehors d'installations physiquement sécurisées, ils doivent être protégés contre les attaques qui appliquent un accès physique non autorisé à l'ordinateur.

Important

Un PAW ne protège pas un environnement contre un adversaire qui a déjà obtenu un accès administratif sur une forêt Active Directory. Étant donné que de nombreuses implémentations existantes des services de domaine Active Directory fonctionnent depuis des années à risque de vol d’informations d’identification, les organisations doivent supposer une violation et envisager la possibilité qu’elles aient une compromission non détectée des informations d’identification d’administrateur de domaine ou d’entreprise. Une organisation qui soupçonne la compromission du domaine doit envisager l’utilisation des services de réponse aux incidents professionnels.

Pour plus d’informations sur les instructions de réponse et de récupération, consultez « Répondre à une activité suspecte » et « Récupérer d’une violation » de Limitation de Pass-the-Hash et autres vols d’informations d’identification, version 2.

Profils matériels des anciens PAW

Le personnel administratif est également des utilisateurs standard : ils ont besoin d’un PAW et d’une station de travail utilisateur standard pour vérifier les e-mails, parcourir le web et accéder aux applications métier de l’entreprise. S’assurer que les administrateurs peuvent rester productifs et sécurisés est essentiel au succès de tout déploiement PAW. Une solution sécurisée qui limite considérablement la productivité sera abandonnée par les utilisateurs en faveur d’une solution qui améliore la productivité (même si elle est effectuée de manière non sécurisée).

Pour équilibrer le besoin de sécurité avec la nécessité de productivité, Microsoft recommande d’utiliser l’un de ces profils matériels PAW :

• matériel dédié : séparez les appareils dédiés pour les tâches utilisateur et les tâches d’administration.
• Utilisation simultanée : appareil unique capable d’exécuter simultanément des tâches utilisateur et des tâches administratives en tirant parti de la virtualisation du système d’exploitation ou de la présentation.

Les organisations peuvent utiliser un seul profil ou les deux. Il n’existe aucune préoccupation d’interopérabilité entre les profils matériels et les organisations ont la possibilité de faire correspondre le profil matériel à la nécessité et à la situation spécifiques d’un administrateur donné.

Important

Il est essentiel que, dans tous ces scénarios, le personnel administratif soit émis un compte d’utilisateur standard distinct du ou des comptes administratifs désignés. Le ou les comptes administratifs ne doivent être utilisés que sur le système d’exploitation administratif PAW.

Ce tableau récapitule les avantages et inconvénients relatifs de chaque profil matériel du point de vue de la facilité d’utilisation opérationnelle et de la productivité et de la sécurité. Les deux approches matérielles offrent une sécurité forte pour les comptes d’administration contre le vol d’informations d’identification et la réutilisation.

Scénario	Avantages	Inconvénients
Matériel dédié	- Signal fort pour la sensibilité des tâches - Séparation de sécurité la plus forte	- Espace de bureau supplémentaire - Poids supplémentaire (pour le travail à distance) - Coût matériel
Utilisation simultanée	- Coût matériel inférieur - Expérience d’appareil unique	- Le partage d’un seul clavier/souris crée des risques d’erreurs/risques par inadvertance

Ces instructions contiennent les instructions détaillées de la configuration PAW pour l’approche matérielle dédiée. Si vous avez des exigences pour les profils matériels d’utilisation simultanée, vous pouvez adapter les instructions en fonction de ces conseils vous-même ou embaucher une organisation de services professionnels comme Microsoft pour l’aider.

Matériel dédié

Dans ce scénario, un PAW est utilisé pour l’administration qui est distincte du PC utilisé pour les activités quotidiennes telles que la messagerie électronique, la modification de document et le travail de développement. Tous les outils et applications d’administration sont installés sur le PAW et toutes les applications de productivité sont installées sur la station de travail utilisateur standard. Les instructions pas à pas de cette aide sont basées sur ce profil matériel.

Utilisation simultanée : ajout de RemoteApp, RDP ou vDI

Dans ce scénario d’utilisation simultanée, un seul PC est utilisé pour les tâches d’administration et les activités quotidiennes telles que la messagerie électronique, la modification des documents et le travail de développement. Dans cette configuration, les systèmes d’exploitation utilisateur sont déployés et gérés de manière centralisée (sur le cloud ou dans votre centre de données), mais ne sont pas disponibles lors de la déconnexion.

Le matériel physique exécute un système d’exploitation PAW unique localement pour les tâches d’administration et contacte un service Bureau à distance Microsoft ou tiers pour les applications utilisateur telles que la messagerie électronique, la modification de documents et les applications métier.

Dans cette configuration, le travail quotidien qui ne nécessite pas de privilèges d’administration est effectué dans les systèmes d’exploitation distants et les applications, qui ne sont pas soumis à des restrictions appliquées à l’hôte PAW. Tout le travail administratif est effectué sur l'Admin OS.

Pour le configurer, suivez les instructions de cette aide pour l’hôte PAW, autorisez la connectivité réseau aux services Bureau à distance, puis ajoutez des raccourcis au bureau de l’utilisateur PAW pour accéder aux applications. Les services de bureau à distance peuvent être hébergés de nombreuses façons, dont les suivantes :

• Un service Bureau à distance ou VDI existant comme Azure Virtual Desktop, Microsoft Dev Boxou Windows 365 .
• Un nouveau service que vous installez localement ou dans le cloud
• Azure RemoteApp à l’aide de modèles préconfigurés ou de vos propres images d’installation

Vue d’ensemble de l’architecture

Le diagramme suivant illustre un « canal » distinct pour l’administration (tâche hautement sensible) créé en conservant des comptes d’administration et des stations de travail dédiés distincts.

Cette approche architecturale s’appuie sur les protections trouvées dans windows 11 Credential Guard et les fonctionnalités Device Guard et dépasse ces protections pour les comptes et tâches sensibles.

Cette méthodologie est appropriée pour les comptes ayant accès à des ressources à valeur élevée :

• Privilèges Administratifs - Les PAWs offrent une sécurité accrue pour les rôles et tâches informatiques à fort impact. Cette architecture peut être appliquée à l’administration de nombreux types de systèmes, notamment les domaines et forêts Active Directory, les locataires Microsoft Entra ID, les locataires Microsoft 365, les réseaux de contrôle de processus (PCN), les systèmes de contrôle de supervision et d’acquisition de données (SCADA), les ordinateurs de telleur automatisé (ATM) et les appareils point de vente (POS).
• travailleurs de l'information hautement sensibles - L'approche utilisée dans un PAW peut également fournir une protection des tâches et du personnel hautement sensibles des travailleurs de l'information, tels que ceux impliquant des activités préalables de fusion et d'acquisition, des rapports financiers de prépublication, une présence sur les réseaux sociaux de l'organisation, des communications exécutives, des secrets commerciaux non brevetés, des recherches sensibles ou d'autres données propriétaires ou sensibles. Cette aide ne traite pas de la configuration de ces scénarios de travail d’information en profondeur ou n’inclut pas ce scénario dans les instructions techniques.

Ce document décrit pourquoi cette pratique est recommandée pour protéger les comptes privilégiés à impact élevé, ce que ces solutions PAW ressemblent pour protéger les privilèges d’administration et comment déployer rapidement une solution PAW pour l’administration des services cloud et de domaine.

Ce document fournit des conseils détaillés sur l’implémentation de plusieurs configurations PAW et inclut des instructions d’implémentation détaillées pour vous aider à protéger les comptes à impact élevé courants :

• Phase 1 - Déploiement immédiat pour les administrateurs d'Active Directory : cette phase permet de disposer rapidement d'un PAW capable de protéger les rôles d'administration des domaines et des forêts au niveau local.
• Phase 2 : étendre PAW à tous les administrateurs cela permet de protéger les administrateurs de services cloud tels que Microsoft 365 et Azure, les serveurs d’entreprise, les applications d’entreprise et les stations de travail
• Phase 3 - Sécurité avancée PAW cela traite d’autres protections et considérations relatives à la sécurité PAW

Pourquoi les stations de travail dédiées ?

L’environnement de menace actuel pour les organisations est rempli de tentatives de hameçonnage sophistiquées et d’autres attaques Internet qui créent un risque continu de compromission de la sécurité pour les comptes et les postes de travail exposés à Internet.

Cet environnement de menace exige que les organisations adoptent une posture de sécurité « supposer une violation » lors de la conception de protections pour les ressources à valeur élevée, telles que les comptes administratifs et les ressources métier sensibles. Ces ressources à valeur élevée doivent être protégées contre les menaces internet directes et les attaques montées à partir d’autres stations de travail, serveurs et appareils dans l’environnement.

Cette figure illustre le risque pour les ressources gérées si un attaquant prend le contrôle d’une station de travail utilisateur où les informations d’identification sensibles sont utilisées.

Un attaquant dans le contrôle d’un système d’exploitation a de nombreuses façons d’accéder illicitement à toutes les activités sur la station de travail et d’emprunter l’identité du compte légitime. Diverses techniques d’attaque connues et inconnues peuvent être utilisées pour obtenir ce niveau d’accès. Le volume croissant et la sophistication des cyberattaques ont rendu nécessaire l’extension de ce concept de séparation pour séparer les systèmes d’exploitation clients pour les comptes sensibles. Pour plus d’informations sur ces types d’attaques, visitez le site web Pass The Hash pour obtenir des livres blancs, des vidéos et bien plus encore.

L’approche PAW est une extension de la pratique recommandée bien établie pour utiliser des comptes d’administrateur et d’utilisateur distincts pour le personnel administratif. Cette pratique utilise un compte d’administration affecté individuellement qui est distinct du compte d’utilisateur standard de l’utilisateur. PAW s’appuie sur cette pratique de séparation de compte en fournissant une station de travail fiable pour ces comptes sensibles.

Ce guide PAW est destiné à vous aider à implémenter cette fonctionnalité pour protéger des comptes à valeur élevée, tels que des administrateurs informatiques à privilèges élevés et des comptes métier à haut niveau de confidentialité. Les conseils vous aident à :

• Restreindre l’exposition des informations d’identification aux hôtes approuvés uniquement
• Fournissez une station de travail haute sécurité aux administrateurs afin qu’elles puissent facilement effectuer des tâches d’administration.

Restreindre les comptes sensibles à l’utilisation uniquement de PW renforcés est une protection simple pour ces comptes qui est à la fois hautement utilisable pour les administrateurs et difficile pour un adversaire à vaincre.

Autres approches

Cette section contient des informations sur la façon dont la sécurité des approches alternatives se compare à PAW et comment intégrer correctement ces approches dans une architecture PAW. toutes ces approches présentent des risques significatifs lorsqu’elles sont implémentées en isolation, mais peuvent ajouter de la valeur à une implémentation PAW dans certains scénarios.

Credential Guard et Windows Hello Entreprise

Une partie de Windows 11, Credential Guard utilise la sécurité matérielle et basée sur la virtualisation pour atténuer les attaques courantes de vol d’informations d’identification, telles que pass-the-hash, en protégeant les informations d’identification dérivées. La clé privée pour les informations d’identification utilisées par Windows Hello Entreprise peut être protégée par le matériel TPM (Trusted Platform Module).

Il s’agit d’atténuations puissantes, mais les stations de travail peuvent toujours être vulnérables à certaines attaques, même si les informations d’identification sont protégées par Credential Guard ou Windows Hello Entreprise. Les attaques peuvent inclure des privilèges d’abus et l’utilisation d’informations d’identification directement à partir d’un appareil compromis, réutilisant les informations d’identification précédemment volées avant d’activer Credential Guard et l’abus des outils de gestion et des configurations d’application faibles sur la station de travail.

Les conseils de PAW de cette section incluent l’utilisation de nombreuses technologies pour les comptes et tâches à haut niveau de confidentialité.

Machines virtuelles administratives

Une machine virtuelle d’administration (machine virtuelle d’administration) est un système d’exploitation dédié pour les tâches d’administration hébergées sur un bureau utilisateur standard. Bien que cette approche soit similaire à PAW dans la fourniture d’un système d’exploitation dédié pour les tâches d’administration, il a un défaut irrécupérable dans le fait que la machine virtuelle administrative dépend du bureau utilisateur standard pour sa sécurité.

Le diagramme suivant illustre la capacité des attaquants à suivre la chaîne de contrôle à l’objet cible d’intérêt avec une machine virtuelle d’administration sur une station de travail utilisateur et qu’il est difficile de créer un chemin sur la configuration inverse.

L’architecture PAW n’autorise pas l’hébergement d’une machine virtuelle d’administration sur une station de travail utilisateur, mais une machine virtuelle utilisateur avec une image d’entreprise standard peut être hébergée sur un PAW administrateur pour fournir au personnel un seul PC pour toutes les responsabilités.

Serveur de renvoi

Les architectures « Jump Server » d’administration configurent un petit nombre de serveurs de console d’administration et limitent le personnel à les utiliser pour les tâches administratives. Il s'agit généralement de services de bureau à distance, d'une solution tierce de virtualisation de présentation ou d'une technologie d'infrastructure de bureau virtuel (VDI).

Cette approche est fréquemment proposée pour atténuer les risques liés à l’administration et offre des garanties de sécurité, mais l’approche du serveur de rebond est vulnérable à certaines attaques parce qu’elle enfreint le principe de la source propre. Le principe de source propre nécessite que toutes les dépendances de sécurité soient aussi fiables que l’objet sécurisé.

Cette figure représente une relation de contrôle simple. Tout sujet en contrôle d'un objet est une dépendance de sécurité de cet objet. Si un adversaire peut contrôler une dépendance de sécurité d’un objet cible (objet), il peut contrôler cet objet.

La session d'administration sur le serveur de saut repose sur l'intégrité de l'ordinateur local qui y accède. Si cet ordinateur est une station de travail utilisateur soumise à des attaques par hameçonnage et à d’autres vecteurs d’attaque basés sur Internet, la session d’administration est également soumise à ces risques.

La figure précédente montre comment les attaquants peuvent suivre une chaîne de contrôle établie à l’objet cible d’intérêt.

Bien que certains contrôles de sécurité avancés tels que l’authentification multifacteur puissent augmenter la difficulté d’un attaquant prenant cette session d’administration à partir de la station de travail utilisateur, aucune fonctionnalité de sécurité ne peut entièrement protéger contre les attaques techniques lorsqu’un attaquant a un accès administratif de l’ordinateur source (par exemple, injecter des commandes illicites dans une session légitime, détourner des processus légitimes, et ainsi de suite.)

La configuration par défaut de ce guide PAW installe des outils d’administration sur le PAW, mais une architecture de serveur de rebond peut également être ajoutée si nécessaire.

Cette figure montre comment inverser la relation de contrôle et accéder aux applications utilisateur à partir d’une station de travail d’administration ne donne aucun chemin à l’attaquant pour l’objet ciblé. Le serveur de renvoi de l’utilisateur est toujours exposé à des risques, aussi des contrôles de protection, des contrôles de détection et des processus de réponse appropriés doivent toujours être appliqués pour cet ordinateur sur Internet.

Cette configuration exige que les administrateurs suivent attentivement les pratiques opérationnelles pour s’assurer qu’ils n’entrent pas accidentellement des informations d’identification d’administrateur dans la session utilisateur sur leur bureau.

Cette figure montre comment l'accès à un serveur de saut administratif depuis un PAW ne crée aucun chemin vers les ressources administratives pour l'attaquant. Un serveur de rebond avec un PAW vous permet dans ce cas de consolider le nombre d’emplacements permettant de surveiller l’activité administrative et de distribuer des applications et outils administratifs. Cela ajoute une complexité de conception, mais peut simplifier la surveillance de la sécurité et les mises à jour logicielles si un grand nombre de comptes et de stations de travail sont utilisés dans votre implémentation PAW. Le serveur de rebond doit être créé et configuré selon des normes de sécurité similaires à celles du PAW.

Solutions de gestion des privilèges

Les solutions Privileged Management sont des applications qui fournissent un accès temporaire aux privilèges discrets ou aux comptes privilégiés à la demande. Les solutions de gestion des privilèges constituent un composant précieux d’une stratégie complète pour sécuriser l’accès privilégié et fournir une visibilité et une responsabilité critiques de l’activité administrative.

Ces solutions utilisent généralement un flux de travail flexible pour accorder l’accès, et beaucoup d’entre elles possèdent d’autres fonctionnalités et capacités de sécurité, comme la gestion des mots de passe des comptes de service et l'intégration avec des serveurs de saut administratifs. Il existe de nombreuses solutions sur le marché qui fournissent des fonctionnalités de gestion des privilèges, dont l’une est la gestion des accès privilégiés (PAM) de Microsoft Identity Manager (MIM).

Microsoft recommande d’utiliser un PAW pour accéder aux solutions de gestion des privilèges. L’accès à ces solutions ne doit être accordé qu’aux PW. Microsoft ne recommande pas d’utiliser ces solutions comme substitut à un PAW, car l’accès aux privilèges à l’aide de ces solutions à partir d’un bureau utilisateur potentiellement compromis enfreint le principe de source propre, comme illustré dans le diagramme suivant :

Fournir un PAW pour accéder à ces solutions vous permet d’obtenir les avantages de sécurité de PAW et de la solution de gestion des privilèges, comme illustré dans ce diagramme :

Important

Ces systèmes doivent être classés au niveau le plus élevé du privilège qu’ils gèrent et être protégés au-dessus ou au-dessus de ce niveau de sécurité. Ils sont généralement configurés pour gérer les solutions de niveau 0 et les ressources de niveau 0 et doivent être classés au niveau 0.

Pour plus d’informations sur le déploiement de microsoft Identity Manager (MIM) privileged access management (PAM), consultez https://aka.ms/mimpamdeploy

Scénarios PAW

Cette section contient des conseils sur les scénarios auxquels ces conseils de PAW doivent être appliqués. Dans tous les scénarios, les administrateurs doivent être formés pour utiliser uniquement des PW pour assurer la prise en charge des systèmes distants. Pour encourager l’utilisation réussie et sécurisée, tous les utilisateurs de PAW doivent être encouragés à fournir des commentaires pour améliorer l’expérience PAW, et ces commentaires doivent être examinés attentivement pour l’intégration à votre programme PAW.

Dans tous les scénarios, un renforcement supplémentaire dans les phases suivantes et des profils matériels variés de cette directive pourraient être utilisés pour satisfaire aux exigences d'utilisabilité ou de sécurité des rôles.

Remarque

Cette directive différencie explicitement l'accès à des services spécifiques sur Internet (tels que les portails d'administration Azure et Microsoft 365) et l'"Open Internet" réunissant tous les hôtes et services.

Scénario	Utiliser le PAW?	considérations relatives à l’étendue et à la sécurité
Administrateurs Active Directory - Niveau 0	Oui	Un PAW créé avec des instructions de phase 1 est suffisant pour ce rôle. - Une forêt administrative peut être ajoutée pour fournir la protection la plus forte pour ce scénario. Pour plus d’informations sur la forêt administrative ESAE, consultez scénarios ESAE pour une utilisation continue - Une PAW peut être utilisée pour gérer plusieurs domaines ou plusieurs forêts. - Si les contrôleurs de domaine sont hébergés sur une solution IaaS (Infrastructure as a Service) ou de virtualisation locale, vous devez hiérarchiser l’implémentation de PW pour les administrateurs de ces solutions.
Administrateur des services Azure IaaS et PaaS - Niveau 0 ou Niveau 1 (voir Considérations relatives à l’étendue et à la conception)	Oui	Un PAW créé à l’aide des instructions fournies dans la phase 2 est suffisant pour ce rôle. - Les PAW devraient être utilisés au moins pour les personnes qui gèrent Microsoft Entra ID et la facturation des abonnements. Vous devez également utiliser des PW pour les administrateurs délégués de serveurs critiques ou sensibles. - Les PPM doivent être utilisés pour gérer le système d’exploitation et les applications qui fournissent la synchronisation d’annuaires et la fédération des identités pour les services cloud tels que Microsoft Entra Connect et les services de fédération Active Directory (ADFS). - Les restrictions réseau sortantes doivent autoriser la connectivité uniquement aux services cloud autorisés à l’aide des instructions de la phase 2. Aucun accès à Internet ouvert ne doit être autorisé à partir des PW. - Windows Defender Exploit Guard doit être configuré sur la station de travail Remarque : un abonnement est considéré comme un niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 se trouvent dans l’abonnement. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans Azure.
Admin Microsoft 365 Tenant - Niveau 1	Oui	Un PAW créé à l’aide des instructions fournies dans la phase 2 est suffisant pour ce rôle. - Les PW doivent être utilisés pour au moins ceux qui gèrent la facturation des abonnements et ceux qui gèrent l’ID Microsoft Entra et Microsoft 365. Vous devez également envisager fortement l’utilisation des PW pour les administrateurs délégués de données hautement critiques ou sensibles. - Windows Defender Exploit Guard doit être configuré sur la station de travail. - Les restrictions réseau sortantes doivent autoriser la connectivité uniquement aux services Microsoft à l’aide des instructions de la phase 2. Aucun accès à Internet ouvert ne doit être autorisé à partir des PW.
Autre administrateur de service cloud IaaS ou PaaS - Niveau 0 ou Niveau 1 (voir Considérations relatives à l’étendue et à la conception)	Oui	Un PAW créé à l’aide des instructions fournies dans la phase 2 est suffisant pour ce rôle. - Les PW doivent être utilisés pour tout rôle disposant de droits d’administration sur des machines virtuelles hébergées dans le cloud, notamment la possibilité d’installer des agents, d’exporter des fichiers de disque dur ou d’accéder au stockage où des disques durs avec des systèmes d’exploitation, des données sensibles ou des données critiques pour l’entreprise sont stockés. - Les restrictions réseau sortantes doivent autoriser la connectivité uniquement aux services Microsoft à l’aide des instructions de la phase 2. Aucun accès à Internet ouvert ne doit être autorisé à partir des PW. - Windows Defender Exploit Guard doit être configuré sur la station de travail. Remarque : un abonnement est de niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 se trouvent dans l’abonnement. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans Azure.
Administrateurs de virtualisation - Niveau 0 ou Niveau 1 (voir Considérations relatives à l’étendue et à la conception)	Oui	Un PAW créé à l’aide des instructions fournies dans la phase 2 est suffisant pour ce rôle. - Les PPM doivent être utilisés pour n’importe quel rôle disposant de droits d’administration sur des machines virtuelles, notamment la possibilité d’installer des agents, d’exporter des fichiers de disque dur virtuel ou d’accéder au stockage où des disques durs avec des informations sur le système d’exploitation invité, des données sensibles ou des données critiques pour l’entreprise sont stockés. Remarque : un système de virtualisation et ses administrateurs sont considérés comme étant de niveau 0 pour une forêt si les contrôleurs de domaine ou d’autres hôtes de niveau 0 se trouvent dans l’abonnement. Un abonnement est de niveau 1 si aucun serveur de niveau 0 n’est hébergé dans le système de virtualisation.
Administrateurs de maintenance du serveur - Niveau 1	Oui	Un PAW créé à l’aide des instructions fournies dans la phase 2 est suffisant pour ce rôle. - Un PAW doit être utilisé pour les administrateurs qui mettent à jour, corrigent et résolvent les problèmes liés aux serveurs et applications d’entreprise exécutant Windows Server, Linux et d’autres systèmes d’exploitation. - Il pourrait être nécessaire d'ajouter des outils de gestion dédiés pour que les PAWs puissent gérer la plus grande ampleur de ces administrateurs.
Administrateurs de station de travail utilisateur - Niveau 2	Oui	Une PAW créée à l’aide de directives fournies dans la phase 2 est suffisante pour les rôles disposant de droits d’administration sur les appareils des utilisateurs finaux (tels que les rôles de support technique et de support de proximité). - D’autres applications peuvent avoir besoin d’être installées sur des PW pour activer la gestion des tickets et d’autres fonctions de support. - Windows Defender Exploit Guard doit être configuré sur la station de travail. Des outils de gestion dédiés pourraient être ajoutés pour que les PAW gèrent ces administrateurs à une plus grande échelle.
Admin SQL, SharePoint ou ligne d'affaires (LOB) - Niveau 1	Oui	Une PAW construite avec des directives de phase 2 est suffisante pour ce rôle. - D’autres outils de gestion peuvent avoir besoin d’être installés sur des PW pour permettre aux administrateurs de gérer les applications sans avoir à se connecter aux serveurs à l’aide du Bureau à distance.
Utilisateurs gérant la présence des réseaux sociaux	Partiellement	Une PAW créée à l’aide des instructions fournies dans la phase 2 peut être utilisée comme point de départ pour assurer la sécurité de ces rôles. - Protégez et gérez les comptes de réseaux sociaux à l’aide de l’ID Microsoft Entra pour le partage, la protection et le suivi de l’accès aux comptes de réseaux sociaux. Pour plus d’informations sur cette fonctionnalité, lisez ce billet de blog. - Les restrictions réseau sortantes doivent autoriser la connectivité à ces services. Cela peut être fait en autorisant les connexions Internet ouvertes (risque de sécurité beaucoup plus élevé qui annule de nombreuses assurances PAW) ou en autorisant uniquement les adresses DNS requises pour le service (peut être difficile à obtenir).
Utilisateurs standard	Non	Bien que de nombreuses étapes de renforcement puissent être utilisées pour les utilisateurs standard, PAW est conçu pour isoler les comptes de l’accès Internet ouvert dont la plupart des utilisateurs ont besoin pour les tâches de travail.
Borne/VDI invitée	Non	Bien que de nombreuses étapes de renforcement puissent être utilisées pour un système kiosque pour les invités, l’architecture PAW est conçue pour assurer une sécurité plus élevée pour les comptes à haut niveau de confidentialité, et non pour les comptes de confidentialité inférieurs.
Utilisateur VIP (Exécutif, Chercheur, etc.)	Partiellement	Une PAW créée à l’aide d’instructions fournies dans la phase 2 peut être utilisée comme point de départ pour assurer la sécurité de ces rôles. - Ce scénario est similaire à un bureau utilisateur standard, mais a généralement un profil d’application plus petit, plus simple et bien connu. Ce scénario nécessite généralement la découverte et la protection des données sensibles, des services et des applications. - Ces rôles nécessitent généralement un degré élevé de sécurité et un degré élevé d’utilisation, ce qui nécessite des modifications de conception pour répondre aux préférences de l’utilisateur.
Systèmes de contrôle industriel (par exemple, SCADA, PCN et DCS)	Partiellement	Une PAW créée à l’aide d’instructions fournies dans la phase 2 peut être utilisée comme point de départ pour fournir une sécurité pour ces rôles, car la plupart des consoles ICS (y compris des normes courantes telles que SCADA et PCN) ne nécessitent pas de navigation sur Internet ouvert et de vérification de l’e-mail. - Les applications utilisées pour contrôler les machines physiques doivent être intégrées et testées pour la compatibilité et protégées de manière appropriée.
Système d’exploitation incorporé	Non	Bien que de nombreuses étapes de renforcement de PAW puissent être utilisées pour les systèmes d’exploitation incorporés, une solution personnalisée doit être développée pour renforcer ce scénario.

Remarque

scénarios combinés certains membres du personnel peuvent avoir des responsabilités administratives qui s’étendent sur plusieurs scénarios. Dans ces cas, les règles clés à garder à l’esprit sont que les règles de modèle de niveau doivent toujours être suivies.

Mise à l’échelle du programme PAW à mesure que votre programme PAW est mis à l’échelle pour englober davantage d’administrateurs et de rôles, vous devez continuer à vous assurer que vous respectez les normes de sécurité et la facilité d’utilisation. Vous devrez peut-être mettre à jour vos structures de support informatique ou en créer de nouvelles pour résoudre des problèmes spécifiques à la PAW, tels que le processus d’intégration PAW, la gestion des incidents, la gestion de la configuration et la collecte de commentaires pour résoudre les problèmes d’utilisation. Un exemple peut être que votre organisation décide d’activer des scénarios de travail à domicile pour les administrateurs, ce qui nécessiterait un passage des PW de bureau aux PW portables - un changement qui peut nécessiter des considérations de sécurité supplémentaires. Un autre exemple courant consiste à créer ou mettre à jour une formation pour les nouveaux administrateurs : la formation qui doit désormais inclure du contenu sur l’utilisation appropriée d’un PAW (y compris pourquoi il est important et ce qu’est un PAW et ce qui n’est pas le cas). Pour plus d’informations à prendre en compte lors de la mise à l’échelle de votre programme PAW, consultez la phase 2 des instructions.

Ce guide contient les instructions détaillées pour la configuration de PAW dans les scénarios mentionnés précédemment. Si vous avez des exigences pour les autres scénarios, vous pouvez adapter les instructions en fonction de ces conseils vous-même ou embaucher une organisation de services professionnels comme Microsoft pour l’aider.

Mise en œuvre par étape pour les PAW

Étant donné que le PAW doit fournir une source sécurisée et approuvée pour l’administration, il est essentiel que le processus de génération soit sécurisé et approuvé. Cette section fournit des instructions détaillées qui vous permettent de créer votre propre PAW à l’aide de principes généraux et de concepts similaires à ceux utilisés par Microsoft.

Les instructions sont divisées en trois phases, qui se concentrent sur la mise en œuvre rapide des mesures d'atténuation les plus critiques, puis sur l'extension et l'augmentation progressive de l'utilisation de PAW au sein de l'entreprise.

• phase 1 - Déploiement immédiat pour les administrateurs Active Directory
• Phase 2 - Étendre PAW à tous les administrateurs
• Phase 3 - Sécurité avancée des PAW

Il est important de noter que les phases doivent toujours être effectuées dans l’ordre même si elles sont planifiées et implémentées dans le cadre du même projet global.

Phase 1 : Déploiement immédiat pour les administrateurs Active Directory

Objectif : fournir rapidement un PAW permettant de protéger les rôles d’administration de domaine et de forêt sur site.

Étendue : les administrateurs de niveau 0, y compris les administrateurs d’entreprise, les administrateurs de domaine (pour tous les domaines) et les administrateurs d’autres systèmes d’identité faisant autorité.

La phase 1 se concentre sur les administrateurs qui gèrent votre domaine Active Directory local, qui sont des rôles fréquemment ciblés par des attaquants. Ces systèmes d’identité fonctionnent efficacement pour protéger ces administrateurs, que vos contrôleurs de domaine Active Directory soient hébergés dans des centres de données locaux, sur Azure Infrastructure as a Service (IaaS) ou un autre fournisseur IaaS.

Au cours de cette phase, vous créez la structure d’unité d’organisation Active Directory (UO) administrative sécurisée pour héberger votre station de travail d’accès privilégié (PAW) et déployer les PAW eux-mêmes. Cette structure inclut également les stratégies de groupe et les groupes requis pour prendre en charge le PAW.

L’infrastructure est basée sur les unités d’organisation, les groupes de sécurité et les stratégies de groupe suivantes :

• Unités organisationnelles (UO)
  • Six nouveaux OU de premier niveau :
    • Admin
    • Groupes
    • Serveurs de niveau 1
    • Postes de travail
    • Comptes d’utilisateur
    • Mise en quarantaine de l’ordinateur.
• Groupes
  • Six nouveaux groupes globaux compatibles avec la sécurité :
    • Maintenance de la réplication de niveau 0
    • Maintenance du serveur de niveau 1
    • Opérateurs du centre de services
    • Maintenance de station de travail
    • Utilisateurs PAW
    • Maintenance du PAW.
• Objets de stratégie de groupe :
  • Configuration PAW - Ordinateur
  • Configuration PAW - Utilisateur
  • RestrictedAdmin requis - Ordinateur
  • Restrictions de sortie du PAW
  • Restriction de l'accès à la station de travail.
  • Restriction de la connexion au serveur.

La phase 1 comprend les étapes suivantes :

Remplir les conditions préalables

1. Assurez-vous que tous les administrateurs utilisent des comptes distincts, individuels pour les activités d’administration et d’utilisateur final (y compris l’e-mail, la navigation Internet, les applications métier et d’autres activités non administratives). L’affectation d’un compte administratif à chaque personne autorisée distincte de son compte d’utilisateur standard est fondamentale pour le modèle PAW, car seuls certains comptes sont autorisés à se connecter au PAW lui-même.

   Important

   Chaque administrateur doit utiliser son propre compte pour l’administration. Ne partagez pas de compte d’administrateur.

2. réduire le nombre d’administrateurs privilégiés de niveau 0. Étant donné que chaque administrateur doit utiliser un PAW, réduire le nombre d’administrateurs réduit le nombre de PAW nécessaires pour les prendre en charge et les coûts associés. Le nombre inférieur d’administrateurs entraîne également une exposition plus faible de ces privilèges et des risques associés. Bien qu’il soit possible pour les administrateurs d’un emplacement de partager un PAW, les administrateurs dans des emplacements physiques distincts nécessitent des PAW distincts.

3. Acquérir du matériel auprès d’un fournisseur approuvé qui répond à toutes les exigences techniques. Microsoft recommande d’acquérir du matériel répondant aux exigences techniques de l’article Protéger les informations d’identification de domaine avec Credential Guard.

   Remarque

   PAW installé sur du matériel sans ces fonctionnalités peut fournir des protections significatives, mais les fonctionnalités de sécurité avancées telles que Credential Guard et Device Guard ne seront pas disponibles. Credential Guard et Device Guard ne sont pas requis pour le déploiement de la phase 1, mais sont fortement recommandés dans le cadre de la phase 3 (renforcement avancé).

   Assurez-vous que le matériel utilisé pour le PAW est source d’un fabricant et d’un fournisseur dont les pratiques de sécurité sont approuvées par l’organisation. Il s'agit d'une application du principe de source fiable à la sécurité de la chaîne d'approvisionnement.

   Pour plus d’informations sur l’importance de la sécurité de la chaîne d’approvisionnement, visitez ce site.

4. Acquérir et valider le logiciel Windows 11 Enterprise Edition et le logiciel d’application requis.

   • Windows 11 Édition Entreprise
   • outils d’administration de serveur distant pour Windows 11
   • Lignes de base de sécurité de Windows 11

   Remarque

   Microsoft publie des hachages MD5 pour tous les systèmes d’exploitation et applications sur MSDN, mais pas tous les fournisseurs de logiciels fournissent une documentation similaire. Dans ce cas, d’autres stratégies seront nécessaires.

5. Vérifiez que vous disposez d’un serveur WSUS disponible sur leintranet . Vous avez besoin d’un serveur WSUS sur l’intranet pour télécharger et installer des mises à jour pour PAW. Ce serveur WSUS doit être configuré pour approuver automatiquement toutes les mises à jour de sécurité pour Windows 11 ou un personnel administratif doit avoir la responsabilité et la responsabilité d’approuver rapidement les mises à jour logicielles. Pour plus d’informations, consultez la section « Approuver automatiquement les mises à jour pour l’installation » dans la instructions d’approbation des mises à jour.

Déplacez les comptes de niveau 0 vers l’UO Admin\Tier 0\Accounts

Déplacez chaque compte qui est membre de l’administrateur de domaine, de l’administrateur d’entreprise, ou des groupes équivalents de niveau 0 (y compris l’appartenance imbriquée) à cette unité d’organisation. Si votre organisation possède vos propres groupes ajoutés à ces groupes, vous devez les déplacer vers l’UO Admin\Tier 0\Groups.

Ajouter les membres appropriés aux groupes appropriés

1. Utilisateurs PAW - Ajoutez les administrateurs de niveau 0 avec les groupes Domain ou Enterprise Admin que vous avez identifiés à l'étape 1 de la phase 1.

2. Maintenance du PAW - Ajoutez au moins un compte utilisé pour les tâches de maintenance et de dépannage du PAW. Le ou les comptes de maintenance PAW sont utilisés uniquement rarement.

   Important

   N’ajoutez pas le même compte utilisateur ou le même groupe à la fois à PAW Users et PAW Maintenance. Le modèle de sécurité PAW est basé en partie sur l’hypothèse que le compte d’utilisateur PAW dispose de droits privilégiés sur les systèmes managés ou sur le PAW lui-même, mais pas les deux.

   • Il est important de créer de bonnes pratiques et habitudes administratives dans la phase 1.
   • Cela est extrêmement important pour la Phase 2 et au-delà, afin d’éviter le parcours ascendant des privilèges via le PAW, car les PAW servent à couvrir les niveaux.

   Dans l’idéal, aucun personnel n’est affecté aux fonctions à plusieurs niveaux pour appliquer le principe de séparation des tâches, mais Microsoft reconnaît que de nombreuses organisations ont un personnel limité (ou d’autres exigences organisationnelles) qui ne permettent pas cette séparation complète. Dans ces cas, le même personnel peut être affecté aux deux rôles, mais ne doit pas utiliser le même compte pour ces fonctions.

Créer un objet de stratégie de groupe de type « PAW Configuration - Ordinateur » (GPO)

Dans cette section, vous créez une nouvelle stratégie de groupe « PAW Configuration - Computer », qui fournit des protections spécifiques pour ces PAW et la lie à l'OU « Devices » du Tier 0 (« Devices » sous Tier 0\Admin).

Avertissement

N’ajoutez pas ces paramètres à la stratégie de domaine par défaut. Cela aura un impact sur les opérations sur l’ensemble de votre environnement Active Directory. Configurez uniquement ces paramètres dans l’objet de stratégie de groupe nouvellement créé décrit ici, et appliquez-les uniquement à l’unité d’organisation du PAW.

1. Accès à la Maintenance des PAW : ce paramètre définit l'appartenance à des groupes d'utilisateurs privilégiés spécifiques sur les PAW pour un ensemble spécifique d'utilisateurs. Accédez à Configuration ordinateur\Préférences\Paramètres du Panneau de configuration\Utilisateurs locaux et groupes, puis effectuez les étapes suivantes :

   1. Cliquez sur Nouveau et cliquez sur Groupe local

   2. Sélectionnez l’action Mettre à jour, puis sélectionnez « Administrateurs (intégrés) » (n’utilisez pas le bouton Parcourir pour sélectionner les administrateurs du groupe de domaines).

   3. Cochez les cases Supprimer tous les utilisateurs membres et Supprimer tous les groupes de membres

   4. Ajoutez PAW Maintenance (pawmaint) et Administrator (encore une fois, n'utilisez pas le bouton Parcourir pour sélectionner Administrator).

      Important

      N’ajoutez pas le groupe Utilisateurs PAW à la liste d’appartenances du groupe Administrateurs local. Pour s’assurer que les utilisateurs PAW ne peuvent pas modifier accidentellement ou délibérément les paramètres de sécurité du PAW lui-même, ils ne doivent pas être membres des groupes Administrateurs locaux.

      Pour plus d’informations sur l’utilisation des préférences de stratégie de groupe pour modifier l’appartenance au groupe, reportez-vous à l’article TechNet Configurer un élément de groupe local.

2. Restreindre l’appartenance au groupe local : ce paramètre garantit que l’appartenance aux groupes d’administration locaux sur la station de travail est toujours vide

   1. Accédez à Configuration ordinateur\Préférences\Paramètres du Panneau de configuration\Utilisateurs et groupes locaux, puis effectuez les étapes suivantes :

      1. Cliquez sur Nouveau et cliquez sur Groupe local
      2. Sélectionnez l’action Mettre à jour, puis sélectionnez « Opérateurs de sauvegarde (intégrés) » (n’utilisez pas le bouton Parcourir pour sélectionner les opérateurs de sauvegarde du groupe de domaine).
      3. Activez les cases à cocher Supprimer tous les utilisateurs membres et Supprimer tous les groupes de membres.
      4. N’ajoutez aucun membre au groupe. L'affectation d'une liste vide entraîne la suppression automatique de tous les membres par la stratégie de groupe et garantit une liste de membres vide à chaque actualisation de la stratégie de groupe.

   2. Effectuez les étapes précédentes pour les groupes suivants :

      • Opérateurs de chiffrement
      • Administrateurs Hyper-V
      • Opérateurs de configuration réseau
      • Utilisateurs avancés
      • Utilisateurs de bureau à distance
      • Réplicateurs

   3. restrictions d’ouverture de session PAW : ce paramètre limite les comptes qui peuvent se connecter au PAW. effectuez les étapes suivantes pour configurer ce paramètre :

      1. Accédez à Configuration de l'ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Autoriser l'ouverture de session locale.
      2. Sélectionnez Définir ces paramètres de stratégie et ajoutez « Utilisateurs PAW » et Administrateurs (à nouveau, n’utilisez pas le bouton Parcourir pour sélectionner Administrateurs).

   4. Bloquer le trafic réseau entrant : ce paramètre garantit qu’aucun trafic réseau entrant non sollicité n’est autorisé au PAW. Effectuez les étapes suivantes pour configurer ce paramètre :

      1. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec Sécurité avancée\Pare-feu Windows avec Sécurité avancée et effectuez les étapes suivantes :
         1. Cliquez avec le bouton droit sur Pare-feu Windows avec paramètres de sécurité avancés, puis sélectionnez Importer la stratégie.
         2. Cliquez sur Oui pour accepter que cela remplace toutes les stratégies de pare-feu existantes.
         3. Accédez à PAWFirewall.wfw et sélectionnez Ouvrir.
         4. Cliquez sur OK.

      Remarque

      Vous pouvez ajouter des adresses ou des sous-réseaux qui doivent atteindre le PAW avec un trafic non sollicité à ce moment (par exemple, l'analyse de sécurité ou le logiciel de gestion des systèmes). Les paramètres du fichier WFW activent le pare-feu en mode « Bloquer - Par défaut » pour tous les profils de pare-feu, désactivez la fusion des règles et activez la journalisation des paquets supprimés et réussis. Ces paramètres bloquent le trafic non sollicité tout en autorisant toujours la communication bidirectionnelle sur les connexions lancées à partir du PAW, empêchent les utilisateurs disposant d’un accès administratif local de créer des règles de pare-feu locales qui remplacent les paramètres d’objet de stratégie de groupe et garantissent que le trafic entrant et sortant du PAW est journalisé. L’ouverture de ce pare-feu étend la surface d’attaque pour le PAW et augmente le risque de sécurité. Avant d’ajouter des adresses, consultez la section Gestion et exploitation de PAW dans ce guide..

   5. Configurer Windows Update pour WSUS : effectuez les étapes suivantes pour modifier les paramètres de configuration de Windows Update pour les PPM :

      1. Accédez à Configuration ordinateur\Policies\Modèles d’administration\Composants Windows\Mises à jour Windows et effectuez les étapes suivantes :
         1. Activez la stratégie Configuration du service Mises à jour automatiques.
         2. Sélectionnez l'option 4 - Téléchargement automatique et programmation de l'installation.
         3. Modifiez l’option jour d’installation planifiée sur 0 - Chaque jour et l’option heure d’installation planifiée à votre préférence organisationnelle.
         4. Activez l'option Spécifier la stratégie d'emplacement du service de mise à jour Microsoft intranet.

   6. Liez l’objet de stratégie de groupe « Configuration PAW - Ordinateur » comme suit :

      Politique	Emplacement du lien
      Configuration PAW - Ordinateur	Admin\Tier 0\Appareils

Créer un objet de stratégie de groupe (GPO) « Configuration PAW – Utilisateur »

Dans cette section, vous créez un nouvel objet de stratégie de groupe « PAW Configuration - User » qui fournit des protections spécifiques pour ces PAW et établit un lien avec l'OU Tier 0 Accounts (« Accounts » sous Tier 0\Admin).

Avertissement

N’ajoutez pas ces paramètres à la stratégie de domaine par défaut

1. Bloquer la navigation Internet : pour empêcher la navigation Internet accidentelle, cela définit une adresse proxy d’une adresse de bouclage (127.0.0.1).

   1. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel élément de Registre> et configurez les paramètres suivants :

      1. Action : Remplacer

      2. Hive : HKEY_CURRENT_USER

      3. Chemin d'accès : Logiciel : Microsoft : Windows : Version actuelle : Paramètres Internet

      4. Nom de la valeur : ProxyEnable

         Attention

         Ne sélectionnez pas la zone Par défaut à gauche du nom de la valeur.

      5. Type de valeur : REG_DWORD

      6. Données de valeur : 1

         1. Cliquez sur l’onglet Commun et sélectionnez Supprimer cet élément lorsqu’il n’est plus appliqué.
         2. Dans l'onglet Commun, sélectionnez Ciblage au niveau de l'élément et cliquez sur Ciblage.
         3. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.
         4. Sélectionnez le bouton « ... » et parcourez pour trouver le groupe Utilisateurs PAW.
         5. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.
         6. Sélectionnez le bouton « ... » et recherchez le groupe des administrateurs des services cloud.
         7. Cliquez sur l’élément Administrateurs de services cloud, puis cliquez sur Options de l’élément.
         8. Sélectionnez N’est pas.
         9. Cliquez sur OK dans la fenêtre de ciblage.

      7. Cliquez sur ok pour terminer le paramètre de stratégie de groupe ProxyServer

   2. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel élément de Registre> et configurez les paramètres suivants :

      • Action : Remplacer
      • Hive : HKEY_CURRENT_USER
      • Chemin d'accès : Software\Microsoft\Windows\CurrentVersion\Internet Settings XXX

        • Nom de la valeur : ProxyServeur

          Attention

          Ne sélectionnez pas la zone Par défaut à gauche du nom de la valeur.

        • Type de valeur : REG_SZ

        • Données de valeur : 127.0.0.1:80

          1. Cliquez sur l’onglet Commun et sélectionnez Supprimer cet élément lorsqu’il n’est plus appliqué.
          2. Dans l'onglet Commun, sélectionnez Ciblage au niveau de l'élément et cliquez sur Ciblage.
          3. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.
          4. Sélectionnez le bouton "..." et ajoutez le groupe Utilisateurs PAW.
          5. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.
          6. Sélectionnez le bouton « ... » et recherchez le groupe administrateurs des services cloud.
          7. Cliquez sur l’élément Administrateurs de services cloud, puis cliquez sur Options de l’élément.
          8. Sélectionnez N’est pas.
          9. Cliquez sur OK dans la fenêtre de ciblage.

   3. Cliquez sur ok pour terminer le paramètre de stratégie de groupe ProxyServer,

2. Accédez à Configuration utilisateur\Policies\Modèles d’administration\Composants Windows\Internet Explorer, puis activez les options suivantes. Ces paramètres empêchent les administrateurs de remplacer manuellement les paramètres du proxy.
   1. Activez l'pour désactiver la modification des paramètres de configuration automatique.
   2. Activez l'Empêcher la modification des paramètres de proxy.

Empêcher les administrateurs de se connecter à des hôtes de niveau inférieur

Dans cette section, nous configurons des stratégies de groupe pour empêcher les comptes d’administration privilégiés de se connecter à des hôtes de niveau inférieur.

1. Créez le nouvel objet de stratégie de groupe Restrict Workstation Logon - ce paramètre empêche les comptes d'administrateur de niveau 0 et de niveau 1 de se connecter aux stations de travail standard. Cet objet de stratégie de groupe doit être relié à l’UO « Stations de travail » de niveau supérieur et avoir les paramètres suivants :

   • Dans Configuration de l'ordinateur - Politiques - Paramètres de Windows - Paramètres de sécurité - Stratégies locales - Attribution des droits d'utilisateur - Interdire l'ouverture d'une session en tant que travail par lot, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 et de niveau 1, y compris

     • Groupes de niveau 0 intégrés XXX
       • Administrateurs d’entreprise
       • Administrateurs de domaine
       • Administrateurs de schéma
       • BUILTIN\Administrateurs
       • Opérateurs de compte
       • Opérateurs de sauvegarde
       • Opérateurs d’impression
       • Opérateurs de serveur
       • Contrôleurs de domaine
       • contrôleurs de domaine Read-Only
       • Propriétaires créateurs de stratégies de groupe
       • Opérateurs de chiffrement
     • D’autres groupes délégués, y compris tous les groupes créés personnalisés avec accès effectif au niveau 0.
     • Administrateurs de niveau 1

   • Dans Configuration ordinateur\Policies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Refuser l’ouverture de session en tant que service, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 et de niveau 1 :

     • Groupes de niveau 0 intégrés XXX
       • Administrateurs d’entreprise
       • Administrateurs de domaine
       • Administrateurs de schéma
       • BUILTIN\Administrators
       • Opérateurs de compte
       • Opérateurs de sauvegarde
       • Opérateurs d’impression
       • Opérateurs de serveur
       • Contrôleurs de domaine
       • contrôleurs de domaine Read-Only
       • Groupe Propriétaires créateurs de stratégie
       • Opérateurs de chiffrement
     • D’autres groupes délégués, y compris tous les groupes créés personnalisés avec accès effectif au niveau 0.
     • Administrateurs de niveau 1

2. Créez le nouvel objet de stratégie de groupe Restrict Server Logon - ce paramètre empêche les comptes d'administrateur de niveau 0 de se connecter aux serveurs de niveau 1. Cet objet de stratégie de groupe doit être relié à l’UO « Serveurs de niveau 1 » de niveau supérieur et avoir les paramètres suivants :

   • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Refuser l’ouverture de session en tant que tâche de traitement par lots, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :

     • Groupes de niveau 0 intégrés XXX
       • Administrateurs d’entreprise
       • Administrateurs de domaine
       • Administrateurs de schéma
       • BUILTIN\Administrateurs
       • Opérateurs de compte
       • Opérateurs de sauvegarde
       • Opérateurs d’impression
       • Opérateurs de serveur
       • Contrôleurs de domaine
       • contrôleurs de domaine Read-Only
       • Groupe Propriétaires créateurs de stratégie
       • Opérateurs de chiffrement
     • D’autres groupes délégués, y compris tous les groupes créés personnalisés avec accès effectif au niveau 0.

   • Dans Configuration de l'ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Refuser l'ouverture de session en tant que service, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :

     • Groupes de niveau 0 intégrés XXX
       • Administrateurs d’entreprise
       • Administrateurs de domaine
       • Administrateurs de schéma
       • BUILTIN\Administrateurs
       • Opérateurs de compte
       • Opérateurs de sauvegarde
       • Opérateurs d’impression
       • Opérateurs de serveur
       • Contrôleurs de domaine
       • contrôleurs de domaine Read-Only
       • Groupe Propriétaires créateurs de stratégie
       • Opérateurs de chiffrement
     • D’autres groupes délégués, y compris tous les groupes créés personnalisés avec accès effectif au niveau 0.

   • Dans Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Affectation des droits utilisateur\Refuser l'ouverture de session locale, sélectionnez Définir ces paramètres de stratégie et ajoutez les groupes de niveau 0 :

     • Groupes de niveau 0 intégrés XXX
       • Administrateurs d’entreprise
       • Administrateurs de domaine
       • Administrateurs de schéma
       • BUILTIN\Administrateurs
       • Opérateurs de compte
       • Opérateurs de sauvegarde
       • Opérateurs d’impression
       • Opérateurs de serveur
       • Contrôleurs de domaine
       • contrôleurs de domaine Read-Only
       • Groupe Propriétaires créateurs de stratégie
       • Opérateurs de chiffrement
     • D’autres groupes délégués, y compris tous les groupes créés personnalisés avec accès effectif au niveau 0.

Déployez votre/vos PAW(s)

Important

Vérifiez que le PAW est déconnecté du réseau pendant le processus de génération du système d’exploitation.

1. Installez Windows 11 à l’aide du support d’installation source propre que vous avez obtenu précédemment.

   Remarque

   Vous pouvez utiliser Microsoft Deployment Toolkit (MDT) ou un autre système de déploiement d’images automatisé pour automatiser le déploiement PAW, mais vous devez vous assurer que le processus de génération est aussi fiable que le PAW. Les adversaires recherchent spécifiquement les images d’entreprise et les systèmes de déploiement (y compris les isos, les packages de déploiement, etc.) comme mécanisme de persistance, de sorte que les systèmes de déploiement ou les images préexistants ne doivent pas être utilisés.

   Si vous automatisez le déploiement du PAW, vous devez :

   • Générez le système à l’aide d’un support d’installation validé et authentique.
   • Vérifiez que le système de déploiement automatisé est déconnecté du réseau pendant le processus de génération du système d’exploitation.

2. Définissez un mot de passe complexe unique pour le compte Administrateur local. N’utilisez pas de mot de passe utilisé pour un autre compte dans l’environnement.

   Remarque

   Microsoft recommande d’utiliser Solution de mot de passe administrateur local (LAPS) pour gérer le mot de passe administrateur local pour toutes les stations de travail, y compris les PAWs. Si vous utilisez LAPS, vérifiez que vous accordez uniquement au groupe de maintenance PAW le droit de lire les mots de passe gérés par LAPS pour les PAW.

3. Installez les outils d’administration de serveur distant pour Windows 11 à l’aide du support d’installation source propre.

4. Configurer Windows Defender Exploit Guard

5. Connectez le PAW au réseau. Vérifiez que le PAW peut se connecter à au moins un contrôleur de domaine (DC).

6. À l'aide d'un compte membre du groupe de maintenance PAW, exécutez la commande PowerShell suivante depuis le PAW nouvellement créé pour l'ajouter au domaine dans l'unité d'organisation appropriée.

   Add-Computer -DomainName Fabrikam -OUPath "OU=Devices,OU=Tier 0,OU=Admin,DC=fabrikam,DC=com"

   Remplacez les références à Fabrikam par votre nom de domaine, le cas échéant. Si votre nom de domaine s’étend à plusieurs niveaux (par exemple, child.fabrikam.com), ajoutez les autres noms avec l’identificateur « DC= » dans l’ordre dans lequel ils apparaissent dans le nom de domaine complet du domaine.

7. Appliquez toutes les mises à jour Windows critiques et importantes avant d’installer d’autres logiciels (y compris les outils d’administration, les agents, etc.).

8. Forcez l’application de la stratégie de groupe.

   1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante : Gpupdate /force /sync
   2. Redémarrer l’ordinateur

9. (Facultatif) Installez d’autres outils requis pour les administrateurs Active Directory. Installez tous les autres outils ou scripts requis pour effectuer des tâches de travail. Veillez à évaluer le risque d’exposition des informations d’identification sur les ordinateurs cibles avec n’importe quel outil avant de l’ajouter à un PAW.

   Remarque

   L’utilisation d’un serveur de rebond pour un emplacement central pour ces outils peut réduire la complexité, même si elle ne sert pas de limite de sécurité.

10. (Facultatif) Téléchargez et installez les logiciels d’accès à distance requis. Si les administrateurs utilisent le PAW à distance pour l’administration, installez le logiciel d’accès à distance à l’aide des conseils de sécurité de votre fournisseur de solution d’accès à distance.

    Remarque

    Examinez soigneusement tous les risques liés à l’autorisation d’un accès à distance via un PAW. Si un PAW mobile permet de nombreux scénarios importants, notamment le travail à domicile, les logiciels d’accès à distance peuvent potentiellement être vulnérables aux attaques et utilisés pour compromettre un PAW.

11. Validez l’intégrité du système PAW en examinant et en confirmant que tous les paramètres appropriés sont en place en procédant comme suit :

    1. Confirmez que seules les stratégies de groupe propres au PAW sont appliquées au PAW
       1. Ouvrez une invite de commandes avec élévation de privilèges et entrez la commande suivante : Gpresult /scope computer /r
       2. Passez en revue la liste résultante et vérifiez que les seules stratégies de groupe qui apparaissent sont celles que vous avez créées précédemment.
    2. Vérifiez qu’aucun autre compte d’utilisateur n’est membre de groupes privilégiés sur le PAW en procédant comme suit :

       1. Ouvrez Modifier les utilisateurs et les groupes locaux (lusrmgr.msc), sélectionnez Groupes, puis vérifiez que les seuls membres du groupe Administrateurs locaux sont le compte Administrateur local et le groupe de sécurité global PAW Maintenance.

          Important

          Le groupe Utilisateurs PAW ne doit pas être membre du groupe Administrateurs local. Les seuls membres doivent être le compte Administrateur local et le groupe de sécurité global PAW Maintenance (et les utilisateurs PAW ne doivent pas être membres de ce groupe global).

       2. Utilisez également Modifier les utilisateurs et les groupes locaux, vérifiez que les groupes suivants n’ont aucun membre :

          • Opérateurs de sauvegarde
          • Opérateurs de chiffrement
          • Administrateurs Hyper-V
          • Opérateurs de configuration réseau
          • Utilisateurs avec pouvoir
          • Utilisateurs de Bureau à distance
          • Réplicateurs

12. (Facultatif) Si votre organisation utilise une solution SIEM (Security Information and Event Management), vérifiez que le PAW est configuré pour transférer des événements vers le système à l’aide de windows Event Forwarding (WEF) ou s’inscrit dans le cas contraire auprès de la solution afin que le SIEM reçoive activement des événements et des informations du PAW. Les détails de cette opération varient en fonction de votre solution SIEM.

    Remarque

    Si votre SIEM nécessite un agent qui s’exécute en tant que système ou compte d’administration local sur les PPM, assurez-vous que les SIEM sont gérés avec le même niveau de confiance que vos contrôleurs de domaine et systèmes d’identité.

13. (Facultatif) Si vous avez choisi de déployer LAPS pour gérer le mot de passe du compte Administrateur local sur votre PAW, vérifiez que le mot de passe est correctement inscrit.

    • Ouvrez Utilisateurs et ordinateurs Active Directory (dsa.msc) avec un compte disposant des autorisations pour lire les mots de passe gérés par LAPS. Vérifiez que les fonctionnalités avancées sont activées, puis cliquez avec le bouton droit sur l’objet d’ordinateur approprié. Sélectionnez l’onglet Éditeur d’attributs et vérifiez que la valeur de msSVSadmPwd est remplie avec un mot de passe valide.

Phase 2 : Étendre PAW à tous les administrateurs

Étendue : tous les utilisateurs disposant de droits d’administration sur les applications et dépendances stratégiques. Cela doit inclure au moins les administrateurs de serveurs d’applications, les solutions de surveillance de l’intégrité opérationnelle et de sécurité, les solutions de virtualisation, les systèmes de stockage et les appareils réseau.

Remarque

Les instructions de cette phase supposent que la phase 1 a été terminée dans son intégralité. Ne commencez pas la phase 2 tant que vous n’avez pas effectué toutes les étapes de la phase 1.

Une fois que vous avez vérifié que toutes les étapes ont été effectuées, procédez comme suit pour terminer la phase 2 :

(Recommandé) Activez le mode RestrictedAdmin

Activez cette fonctionnalité sur vos serveurs et stations de travail existants, puis appliquez l’utilisation de cette fonctionnalité. Cette fonctionnalité nécessite que les serveurs cibles exécutent Windows Server 2008 R2 ou version ultérieure et que les stations de travail cibles exécutent Windows 7 ou version ultérieure.

1. Activez le mode RestrictedAdmin sur vos serveurs et stations de travail en suivant les instructions disponibles sur cette page.

   Remarque

   Avant d’activer cette fonctionnalité pour les serveurs accessibles sur Internet, vous devez prendre en compte le risque que les adversaires puissent s’authentifier auprès de ces serveurs avec un hachage de mot de passe volé précédemment.

2. Créez un objet de stratégie de groupe (GPO) intitulé « RestrictedAdmin Required - Computer ». Cette section crée un objet de stratégie de groupe qui impose l'utilisation du commutateur /RestrictedAdmin pour les connexions de bureau à distance sortantes, protégeant ainsi les comptes contre le vol d'informations d'identification sur les systèmes cibles.

   • Accédez à Configuration\Système\Délégation d’informations d’identification\Restreindre la délégation d’informations d’identification aux serveurs distants, et réglez la valeur sur Activé.

3. Reliez le commutateur RestrictedAdmin Required - Computer aux appareils de niveau 1 et/ou de niveau 2 appropriés à l'aide des options de stratégie suivantes :

   • Configuration PAW - Ordinateur
     • - emplacement du lien> : Admin\Tier 0\Devices (existant)
   • Configuration PAW - Utilisateur
     • - emplacement du lien> : Admin\Tier 0\Accounts
   • RestrictedAdmin requis - ordinateur
     • ->Admin\Tier1\Devices ou -> Admin\Tier2\Devices (les deux sont facultatifs)

   Remarque

   Cela n’est pas nécessaire pour les systèmes de niveau 0, car ces systèmes sont déjà en contrôle total de toutes les ressources de l’environnement.

Déplacer des objets de niveau 1 vers les unités d’organisation appropriées

1. Déplacez les groupes de niveau 1 vers l’unité d’organisation Admin\Tier 1\Groups. Recherchez tous les groupes qui accordent les droits d’administration suivants et déplacez-les vers cette unité d’organisation.

   • Administrateur local sur plusieurs serveurs
     • Accès administratif aux services cloud
     • Accès administratif aux applications d’entreprise

2. Déplacez les comptes de niveau 1 vers l’UO Admin\Tier 1\Accounts. Déplacez chaque compte membre des groupes de niveau 1 (y compris l’appartenance imbriquée) vers cette unité d’organisation.

3. Ajouter les membres appropriés aux groupes appropriés

   • administrateurs de niveau 1 : ce groupe contient les administrateurs de niveau 1 qui ne peuvent pas se connecter aux hôtes de niveau 2. Ajoutez tous vos groupes d’administration de niveau 1 qui ont des privilèges d’administration sur des serveurs ou des services Internet.

     Important

     Si le personnel administratif a des tâches pour gérer les ressources à plusieurs niveaux, vous devez créer un compte administrateur distinct par niveau.

4. Activez Credential Guard pour réduire le risque de vol et de réutilisation des informations d’identification. Credential Guard est une nouvelle fonctionnalité de Windows 11 qui limite l’accès aux informations d’identification, empêchant les attaques par vol d’informations d’identification (y compris pass-the-hash). Credential Guard est transparent pour l’utilisateur final et nécessite un temps de configuration et un effort minimals. Pour plus d’informations sur Credential Guard, notamment les étapes de déploiement et la configuration matérielle requise, consultez l’article Protéger les informations d’identification de domaine avec Credential Guard.

   Remarque

   Device Guard doit être activé pour configurer et utiliser Credential Guard. Toutefois, vous n’êtes pas obligé de configurer d’autres protections Device Guard afin d’utiliser Credential Guard.

5. (Facultatif) Activez la connectivité aux services cloud. Cette étape permet la gestion des services cloud comme Azure et Microsoft 365 avec des garanties de sécurité appropriées. Cette étape est également requise pour que Microsoft Intune gère les PAWs.

   Remarque

   Ignorez cette étape si aucune connectivité cloud n’est requise pour l’administration des services cloud ou de la gestion par Intune.

   • Ces étapes limitent la communication via Internet aux services cloud autorisés uniquement (mais pas à l’Internet ouvert) et ajoutent des protections aux navigateurs et aux autres applications qui traitent le contenu à partir d’Internet. Ces PW pour l’administration ne doivent jamais être utilisés pour les tâches utilisateur standard telles que les communications Internet et la productivité.
   • Pour activer la connectivité aux services PAW, procédez comme suit :

   1. Configurez PAW pour autoriser uniquement les destinations Internet autorisées. Lorsque vous étendez votre déploiement PAW pour activer l’administration cloud, vous devez autoriser l’accès aux services autorisés tout en filtrant l’accès à partir d’Internet ouvert où les attaques peuvent être plus facilement montées sur vos administrateurs.

      1. Créez administrateurs de services cloud groupe et ajoutez tous les comptes à celui-ci qui nécessitent l’accès aux services cloud sur Internet.

      2. Téléchargez le fichier PAW proxy.pac à partir de TechNet Gallery et publiez-le sur un site web interne.

         Remarque

         Vous devez mettre à jour le fichier proxy.pac après téléchargement pour vous assurer qu’il est à jour et complet. Microsoft publie toutes les URL Microsoft 365 et Azure actuelles dans le Centre de support Office . Ces instructions supposent que vous utiliserez Internet Explorer (ou Microsoft Edge) pour l’administration de Microsoft 365, Azure et d’autres services cloud. Microsoft recommande de configurer des restrictions similaires pour les navigateurs tiers dont vous avez besoin pour l’administration. Les navigateurs web sur les PW ne doivent être utilisés que pour l’administration des services cloud, et jamais pour la navigation web générale.

         Vous devrez peut-être ajouter d’autres destinations Internet valides à ajouter à cette liste pour d’autres fournisseurs IaaS, mais n’ajoutez pas de productivité, de divertissement, d’actualités ou de sites de recherche à cette liste.

         Vous devrez peut-être également ajuster le fichier PAC pour prendre en charge une adresse proxy valide à utiliser pour ces adresses.

         Vous pouvez également restreindre l’accès à partir du PAW à l’aide d’un proxy web, ainsi que pour la défense en profondeur. Nous vous déconseillons d’utiliser ce fichier sans le fichier PAC, car il restreindra uniquement l’accès aux PPAW lorsqu’il est connecté au réseau d’entreprise.

      3. Une fois le fichier proxy.pac configuré, mettez à jour l'objet de stratégie de groupe PAW Configuration - User.

         1. Accédez à Configuration utilisateur\Préférences\Paramètres Windows\Registre. Cliquez avec le bouton droit sur Registre, sélectionnez Nouvel élément de Registre> et configurez les paramètres suivants :

            1. Action : Remplacer

            2. Hive : HKEY_CURRENT_USER

            3. Chemin d'accès : Logiciel : Microsoft : Windows : Version actuelle : Paramètres Internet

            4. Nom de la valeur : AutoConfigUrl

               Attention

               Ne cochez pas la case Par défaut à gauche du nom de la valeur.

            5. Type de valeur : REG_SZ

            6. Données de valeur : entrez l’URL complète du fichier proxy.pac, y compris http:// et le nom du fichier , par exemple http://proxy.fabrikam.com/proxy.pac. L’URL peut également être une URL à étiquette unique , par exemple, http://proxy/proxy.pac

               Remarque

               Le fichier PAC peut également être hébergé sur un partage de fichiers, avec la syntaxe de file://server.fabrikan.com/share/proxy.pac, mais cela nécessite l’autorisation du protocole file://. Consultez la section « NOTE : File:// Les scripts de proxy basés sur la base sont obsolètes » de ce blog Comprendre la configuration du proxy Web pour plus de détails sur la configuration de la valeur de registre requise.

            7. Cliquez sur l’onglet Common et sélectionnez Supprimer cet élément lorsqu’il n’est plus utilisé.

            8. Dans l'onglet Commun, sélectionnez Ciblage au niveau de l'élément et cliquez sur Ciblage.

            9. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.

            10. Sélectionnez le bouton « ... » et recherchez le groupe Administrateurs des Services Cloud.

            11. Cliquez sur nouvel élément, puis sélectionnez groupe de sécurité.

            12. Sélectionnez le bouton «... » et recherchez le groupe Utilisateurs de PAW.

            13. Cliquez sur l’élément Utilisateurs de PAW, puis cliquez sur Options d’élément.

            14. Sélectionnez N’est pas.

            15. Cliquez sur OK dans la fenêtre de ciblage.

            16. Cliquez sur OK pour terminer la configuration de la stratégie du groupe AutoConfigUrl.

   2. Appliquez les bases de référence de sécurité Windows 11 et l’accès au service cloud liez les bases de référence de sécurité pour Windows et pour l’accès au service cloud (si nécessaire) aux unités d’organisation appropriées en procédant comme suit :

      1. Extrayez le contenu du fichier ZIP des bases de référence de sécurité Windows 11.

      2. Créez ces objets de stratégie de groupe, les paramètres Importer la stratégie paramètres, et le lien conformément à cette table. Liez chaque stratégie à chaque emplacement et assurez-vous que l’ordre suit la table (les entrées inférieures de la table doivent être appliquées ultérieurement et plus prioritaires) :

         Stratégies :

         Nom de la stratégie	Lien
         CM Windows 11 - Sécurité du domaine	N/A - Ne pas lier maintenant
         SCM Windows 11 TH2 - Ordinateur	Administrateur\Niveau 0\Appareils
         	Admin\Niveau 1\Appareils
         	Administrateur\Tier 2\Appareils
         SCM Windows 11 TH2 - BitLocker	Admin\Tier 0\Appareils
         	Admin\Niveau 1\Appareils
         	Admin\Niveau 2\Appareils
         SCM Windows 11 - Credential Guard	Admin\Tier 0\Appareils
         	Admin\Niveau 1\Appareils
         	Admin\Niveau 2\Appareils
         SCM Internet Explorer - Ordinateur	Administrateur\Tier 0\Appareils
         	Administrateur\Niveau 1\Appareils
         	Admin\Tier 2\Appareils
         Configuration PAW - Ordinateur	Admin\Tier 0\Devices (existant)
         	Admin\Tier 1\Devices (Nouveau lien)
         	Admin\Tier 2\Devices (Nouveau lien)
         RestrictedAdmin requis - Ordinateur	Admin\Tier 0\Appareils
         	Administrateur\Niveau 1\Appareils
         	Administrateur\Niveau 2\Appareils
         SCM Windows 11 - Utilisateur	Admin\Tier 0\Périphériques
         	Admin\Niveau 1\Appareils
         	Admin\Niveau 2\Appareils
         SCM Internet Explorer - Utilisateur	Admin\Tier 0\Appareils
         	Admin\Niveau 1\Appareils
         	Admin\Niveau 2\Appareils
         Configuration PAW - Utilisateur	Admin\Tier 0\Appareils (Existants)
         	Admin\Tier 1\Devices (Nouveau lien)
         	Admin\Tier 2\Devices (Nouveau lien)

         Remarque

         L'objet de stratégie de groupe « SCM Windows 11 - Sécurité du domaine » pourrait être lié au domaine indépendamment de PAW, mais affectera l'ensemble du domaine.

6. (Facultatif) Installez d’autres outils requis pour les administrateurs de niveau 1. Installez tous les autres outils ou scripts requis pour effectuer des tâches de travail. Veillez à évaluer le risque d’exposition des informations d’identification sur les ordinateurs cibles avec n’importe quel outil avant de l’ajouter à un PAW.

7. Identifiez et obtenez en toute sécurité des logiciels et des applications requis pour l’administration. Cela est similaire au travail effectué dans la phase 1, mais avec une étendue plus large en raison de l’augmentation du nombre d’applications, de services et de systèmes sécurisés.

   Important

   Veillez à protéger ces nouvelles applications (y compris les navigateurs web) en les choisissant dans les protections fournies par Windows Defender Exploit Guard.

   • Voici quelques exemples d’autres logiciels et applications :

     • Logiciel de gestion des services ou des applications basé sur la console de gestion Microsoft

     • Service propriétaire (non basé sur MMC) ou logiciel de gestion des applications

       Remarque

       De nombreuses applications sont désormais gérées exclusivement via des navigateurs web, y compris de nombreux services cloud. Bien que cela réduit le nombre d’applications qui doivent être installées sur un PAW, il introduit également le risque d’interopérabilité du navigateur. Vous devrez peut-être déployer un navigateur web non Microsoft sur des instances PAW spécifiques pour activer l’administration de services spécifiques. Si vous déployez un navigateur web supplémentaire, veillez à suivre tous les principes de source propres et à sécuriser le navigateur en fonction des instructions de sécurité du fournisseur.

8. (Facultatif) Téléchargez et installez tous les agents de gestion requis.

   Important

   Si vous choisissez d’installer des agents de gestion supplémentaires (surveillance, sécurité, gestion de la configuration, etc.), il est essentiel de vous assurer que les systèmes de gestion sont approuvés au même niveau que les contrôleurs de domaine et les systèmes d’identité.

9. Évaluez votre infrastructure pour identifier les systèmes qui nécessitent plus de protections de sécurité fournies par un PAW. Vérifiez que vous savez exactement quels systèmes doivent être protégés. Posez des questions critiques sur les ressources elles-mêmes, telles que :

   • Où sont les systèmes cibles qui doivent être gérés ? Sont-ils collectés dans un emplacement physique unique ou connectés à un seul sous-réseau bien défini ?

   • Combien de systèmes y sont-ils ?

   • Ces systèmes dépendent-ils d’autres systèmes (virtualisation, stockage, etc.) et, le cas échéant, comment ces systèmes sont-ils gérés ? Comment les systèmes critiques sont-ils exposés à ces dépendances et quels sont les autres risques associés à ces dépendances ?

   • Quelle est l'importance critique des services gérés, et quelle perte est attendue si ces services venaient à être compromis ?

     Important

     Incluez vos services cloud dans cette évaluation : les attaquants ciblent de plus en plus les déploiements cloud non sécurisés, et il est essentiel que vous gériez ces services de manière aussi sécurisée que vous le feriez pour vos applications stratégiques locales.

     Utilisez cette évaluation pour identifier les systèmes spécifiques qui nécessitent une protection supplémentaire, puis étendez votre programme PAW aux administrateurs de ces systèmes. Parmi les exemples courants de systèmes qui bénéficient considérablement de l’administration basée sur PAW, citons SQL Server (localement et SQL Azure), les applications de ressources humaines et les logiciels financiers.

     Remarque

     Si une ressource est gérée à partir d’un système Windows, elle peut être gérée avec un PAW, même si l’application elle-même s’exécute sur un système d’exploitation autre que Windows ou sur une plateforme cloud non-Microsoft. Par exemple, le propriétaire d’un abonnement fournisseur de services cloud doit uniquement utiliser un PAW pour administrer ce compte.

10. Développez une méthode de demande et de distribution pour déployer des PW à grande échelle dans votre organisation. Selon le nombre de PW que vous choisissez de déployer dans la phase 2, vous devrez peut-être automatiser le processus.

    • Envisagez de développer un processus formel de demande et d’approbation pour que les administrateurs utilisent pour obtenir un PAW. Ce processus permet de normaliser le processus de déploiement, de garantir la responsabilité des appareils PAW et d’identifier les lacunes dans le déploiement de PAW.

    • Comme indiqué précédemment, cette solution de déploiement doit être distincte des méthodes d’automatisation existantes (qui ont peut-être déjà été compromises) et doit suivre les principes décrits dans la phase 1.

      Important

      Tout système qui gère les ressources doit lui-même être géré au même niveau de confiance ou supérieur.

11. Passez en revue les profils matériels PAW et déployez-en plus si nécessaire. Le profil matériel que vous avez choisi pour le déploiement de phase 1 peut ne pas convenir à tous les administrateurs. Passez en revue les profils matériels et, si nécessaire, sélectionnez d’autres profils matériels PAW pour répondre aux besoins des administrateurs. Par exemple, le profil matériel dédié (PAW distinct et stations de travail d’utilisation quotidienne) peut ne pas convenir à un administrateur qui voyage souvent.

12. Tenez compte des besoins culturels, opérationnels, de communication et de formation qui accompagnent un déploiement étendu de PAW. Une telle modification significative d’un modèle administratif exigera naturellement une gestion des changements à un certain degré, et il est essentiel de créer cela dans le projet de déploiement lui-même. Tenez compte au minimum des questions suivantes :

    • Comment communiquerez-vous les changements apportés aux dirigeants supérieurs pour assurer leur soutien ? Tout projet sans soutien de haut niveau est susceptible d’échouer, ou de lutter pour le financement et l’acceptation large.

    • Comment documenterez-vous le nouveau processus pour les administrateurs ? Ces modifications doivent être documentées et communiquées non seulement aux administrateurs existants (qui doivent modifier leurs habitudes et gérer les ressources de manière différente), mais aussi pour les nouveaux administrateurs (ceux promus à partir de l’intérieur ou embauchés à partir de l’extérieur de l’organisation). Il est essentiel que la documentation soit claire et entièrement articulée :

      • L’importance des menaces
      • Rôle de PAW dans la protection des administrateurs.
      • Comment utiliser un PAW correctement.

      Important

      Cela est particulièrement important pour les rôles ayant un chiffre d’affaires élevé, y compris, mais pas limité au personnel du support technique.

    • Comment garantir la conformité avec le nouveau processus ? Bien que le modèle PAW inclut plusieurs contrôles techniques pour empêcher l’exposition des informations d’identification privilégiées, il est impossible d’empêcher entièrement toute exposition purement possible à l’aide de contrôles techniques. Par exemple, bien qu’il soit possible d’empêcher un administrateur de se connecter à un bureau d’utilisateur avec des informations d’identification privilégiées, le simple acte de tentative d’ouverture de session peut exposer les informations d’identification aux programmes malveillants installés sur ce bureau utilisateur. Il est donc essentiel d’exprimer non seulement les avantages du modèle PAW, mais les risques de non-conformité. Cela doit être complété par l’audit et les alertes afin que l’exposition des informations d’identification puisse être rapidement détectée et traitée.

Phase 3 : Étendre et améliorer la protection

Étendue : ces protections améliorent les systèmes intégrés à la phase 1, ce qui renforce la protection de base avec des fonctionnalités avancées, notamment l’authentification multifacteur et les règles d’accès réseau.

Remarque

Cette phase peut être effectuée à tout moment après la fin de la phase 1. Elle ne dépend pas de l’achèvement de la phase 2 et peut donc être effectuée avant, simultanément ou après la phase 2.

Effectuez les étapes suivantes pour configurer cette phase :

1. Activer l’authentification multifacteur pour les comptes privilégiés. L’authentification multifacteur renforce la sécurité des comptes en obligeant l’utilisateur à fournir un jeton physique en plus des informations d’identification. L’authentification multifacteur complète bien les stratégies d’authentification, mais elle ne dépend pas des stratégies d’authentification pour le déploiement (et, de même, les stratégies d’authentification ne nécessitent pas d’authentification multifacteur). Microsoft recommande d’utiliser l’une des formes suivantes d’authentification multifacteur :

   • carte à puce: une carte à puce est un appareil physique résistant à la falsification et portable qui fournit une deuxième vérification pendant le processus d’ouverture de session Windows. En exigeant qu’un individu possède une carte pour l’ouverture de session, vous pouvez réduire le risque de réutilisation à distance des informations d’identification volées. Pour plus d’informations sur l’ouverture de session de carte à puce dans Windows, reportez-vous à l’article Vue d’ensemble de la carte à puce.
   • carte à puce virtuelle: une carte à puce virtuelle offre les mêmes avantages de sécurité que les cartes à puce physiques, avec l’avantage ajouté d’être lié à un matériel spécifique. Pour plus d’informations sur le déploiement et la configuration matérielle requise, reportez-vous aux articles Vue d’ensemble de la carte à puce virtuelle et Prise en main des cartes à puce virtuelles : Guide pas à pas.
   • windows Hello Entreprise: Windows Hello Entreprise permet aux utilisateurs de s’authentifier auprès d’un compte Microsoft, d’un compte Active Directory, d’un compte Microsoft Entra ou d’un service non-Microsoft prenant en charge l’authentification FIDO (Fast ID Online). Après une vérification initiale en deux étapes lors de l’inscription de Windows Hello Entreprise, un Windows Hello Entreprise est configuré sur l’appareil de l’utilisateur et l’utilisateur définit un mouvement, qui peut être Windows Hello ou un code confidentiel. Les informations d’identification Windows Hello Entreprise sont une paire de clés asymétrique, qui peut être générée dans des environnements isolés de modules de plateforme sécurisée (TPMs).
     • Pour plus d'informations sur Windows Hello pour Entreprise, consultez l'article Windows Hello pour Entreprise.
   • Authentification multifactorielle Azure : L'authentification multifactorielle Azure (MFA) offre la sécurité d'un deuxième facteur de vérification et une protection renforcée grâce au suivi et à l'analyse basée sur l'apprentissage automatique. L’authentification multifacteur Microsoft Entra peut sécuriser non seulement les administrateurs Azure, mais aussi de nombreuses autres solutions, notamment les applications web, l’ID Microsoft Entra et les solutions locales telles que l’accès à distance et le Bureau à distance. Pour plus d’informations, consultez l’article l’authentification multifacteur.

2. Autoriser la liste des applications approuvées à l’aide de Contrôle des applications Windows Defender et/ou d’AppLocker. En limitant la capacité de code non approuvé ou non signé à s’exécuter sur un PAW, vous réduisez davantage la probabilité d’activités malveillantes et de compromission. Windows inclut deux options principales pour le contrôle d’application :

   • appLocker: AppLocker permet aux administrateurs de contrôler les applications qui peuvent s’exécuter sur un système donné. AppLocker peut être contrôlé de manière centralisée par le biais d’une stratégie de groupe et appliqué à des utilisateurs ou groupes spécifiques (pour une application ciblée aux utilisateurs de PW). Pour plus d’informations sur AppLocker, consultez l’article TechNet Vue d’ensemble d’AppLocker.
   • Windows Defender Application Control: la nouvelle fonctionnalité Windows Defender Application Control fournit un contrôle d’application basé sur le matériel amélioré qui, contrairement à AppLocker, ne peut pas être substitué sur l’appareil concerné. Comme AppLocker, le contrôle d’application Windows Defender peut être contrôlé par le biais d’une stratégie de groupe et ciblé pour des utilisateurs spécifiques. Pour plus d’informations sur la restriction de l’utilisation des applications avec Windows Defender Application Control, consultez Guide de déploiement du contrôle d’application Windows Defender.

3. utiliser des utilisateurs protégés, des stratégies d’authentification et des silos d’authentification pour protéger davantage les comptes privilégiés. Les membres des utilisateurs protégés sont soumis à des stratégies de sécurité supplémentaires qui protègent les informations d’identification stockées dans l’agent de sécurité local (LSA) et réduisent considérablement le risque de vol d’informations d’identification et de réutilisation. Les stratégies d’authentification et les silos contrôlent la façon dont les utilisateurs privilégiés peuvent accéder aux ressources dans le domaine. Collectivement, ces protections renforcent considérablement la sécurité des comptes de ces utilisateurs privilégiés. Pour plus d’informations sur ces fonctionnalités, consultez l’article Comment configurer des comptes protégés.

   Remarque

   Ces protections sont destinées à compléter, sans remplacer, les mesures de sécurité existantes de la phase 1. Les administrateurs doivent toujours utiliser des comptes distincts pour l’administration et l’utilisation générale.

Gestion et mise à jour

Les PW doivent avoir des fonctionnalités anti-programme malveillant et des mises à jour logicielles doivent être rapidement appliquées pour maintenir l’intégrité de ces stations de travail.

La gestion de la configuration supplémentaire, la surveillance opérationnelle et la gestion de la sécurité peuvent également être utilisées avec des PW. L’intégration de ces fonctionnalités doit être examinée avec soin, car chacune d’entre elles présente un risque de compromission de la PAW via cet outil. S’il est judicieux d’introduire des fonctionnalités de gestion avancées dépend de plusieurs facteurs, notamment :

• État de sécurité et pratiques de la fonctionnalité de gestion (y compris les pratiques de mise à jour logicielle pour l’outil, les rôles d’administration et les comptes dans ces rôles, les systèmes d’exploitation sur lesquels l’outil est hébergé ou géré, et toute autre dépendance matérielle ou logicielle de cet outil)
• Fréquence et quantité de déploiements de logiciels et mises à jour sur vos PW
• Conditions requises pour les informations détaillées sur l’inventaire et la configuration
• Exigences de surveillance de la sécurité
• Normes organisationnelles et autres facteurs spécifiques à l’organisation

Conformément au principe de source propre, tous les outils utilisés pour gérer ou surveiller les PAWs doivent être dignes de confiance à un niveau égal ou supérieur à celui des PAWs. Ce processus nécessite généralement que ces outils soient gérés à partir d’un PAW pour garantir aucune dépendance de sécurité à partir de stations de travail à privilèges inférieurs.

Ce tableau présente différentes approches qui peuvent être utilisées pour gérer et surveiller les PPM :

Approche	Considérations
Par défaut dans le PAW - Windows Server Update Services - Windows Defender	- Aucun coût supplémentaire - Effectue des fonctions de sécurité requises de base - Instructions incluses dans cette aide
Gérer avec Intune	Fournit une visibilité et un contrôle basés sur le cloud Déploiement de logiciels o Gérer les mises à jour logicielles Gestion des stratégies de pare-feu Windows Protection anti-programme malveillant Assistance à distance Gestion des licences logicielles. Aucune infrastructure serveur requise Nécessite la procédure « Activer la connectivité aux services cloud » de la phase 2 Si l’ordinateur PAW n’est pas joint à un domaine, cette configuration nécessite l’application des bases de référence SCM aux images locales à l’aide des outils fournis dans le téléchargement de la base de référence de sécurité.
Nouvelle instance de System Center pour la gestion des PW	- Fournit une visibilité et un contrôle de la configuration, du déploiement de logiciels et des mises à jour de sécurité - Nécessite une infrastructure de serveur distincte, une sécurisation au niveau des stations de travail à accès privilégié (PAWs) et des compétences pour le personnel hautement privilégié.
Gérer les PAW avec des outils de gestion existants	- Crée un risque important de compromission des PW, sauf si l’infrastructure de gestion existante est mise à niveau de sécurité des PPM Remarque : Microsoft déconseille généralement cette approche, sauf si votre organisation a une raison spécifique de l’utiliser. D'après notre expérience, il est généralement très coûteux d'amener tous ces outils (et leurs dépendances en matière de sécurité) au niveau de sécurité des PAW. - La plupart de ces outils offrent une visibilité et un contrôle de la configuration, du déploiement de logiciels et des mises à jour de sécurité
Outils d’analyse ou de surveillance de la sécurité nécessitant un accès administrateur	Inclut tout outil qui installe un agent ou nécessite un compte disposant d’un accès administratif local. - Nécessite de porter l'assurance de la sécurité des outils au niveau des PAW. - Peut nécessiter une réduction de la posture de sécurité des PAWs pour prendre en charge les fonctionnalités des outils (ouverture de ports, installation de Java ou d'autres middleware, etc.), ce qui implique une évaluation des compromis en matière de sécurité.
Informations de sécurité et gestion des événements (SIEM)	Si SIEM est sans agent Il est possible d’accéder aux événements sur les PAW sans accès administratif à l’aide d’un compte dans le groupe Lecteurs des journaux d’événements Nécessite l’ouverture de ports réseau pour autoriser le trafic entrant à partir des serveurs SIEM Si SIEM requiert un agent, consultez l’autre ligne Analyse de sécurité ou outils de surveillance nécessitant l’accès administrateur.
Transfert d’événements Windows	- Fournit une méthode sans agent de transfert d’événements de sécurité des PW vers un collecteur externe ou SIEM - Peut accéder aux événements sur les PAW sans accès administratif. - Ne nécessite pas l’ouverture de ports réseau pour autoriser le trafic entrant à partir des serveurs SIEM

Exploitation des PAW

La solution PAW doit être exploitée à l’aide des normes basées sur des principes de source propre.

Articles connexes

Microsoft Advanced Threat Analytics (analyse avancée des menaces)

Protéger les informations d’identification de domaine dérivées avec Credential Guard

Présentation de Device Guard

Protection des ressources à valeur élevée avec des stations de travail d’administration sécurisées

Nouveautés de l’authentification Kerberos pour Windows Server 2012

Guide de l'assurance du mécanisme d’authentification pour AD DS dans Windows Server 2008 R2 étape par étape

Vue d’ensemble de la technologie du Module de plateforme sécurisée

Étapes suivantes

sécurisation de l’accès privilégié