Déploiement de l’accès privilégié

  • Article
  • 27 minutes de lecture

Ce document vous guide tout au long de l’implémentation des composants techniques de la stratégie d’accès privilégié, incluant les comptes, les stations de travail et les appareils sécurisés, et la sécurité de l’interface (avec la stratégie d’accès conditionnel).

Résumé des profils de niveau de sécurité

Ce guide configure tous les profils pour les trois niveaux de sécurité et doit être attribué à vos rôles d’organisation en fonction des conseils sur les Niveaux de sécurité d’accès privilégié. Microsoft recommande de les configurer dans l’ordre décrit dans le plan de modernisation rapide (RAMP)

Conditions de licence :

Les concepts abordés dans ce guide supposent que vous disposez de Microsoft 365 Entreprise E5 ou d’une référence SKU équivalente. Certaines recommandations de ce guide peuvent être implémentées avec des références SKU inférieures. Pour plus d’informations, consultez la gestion des licences Microsoft 365 Entreprise.

Pour automatiser l’approvisionnement de la licence, envisagez la gestion des licences par groupe pour vos utilisateurs.

Configuration d’Azure Active Directory

Azure Active Directory (Azure AD) gère les utilisateurs, groupes et appareils de vos postes de travail d’administrateur. Activez les services d’identité et les fonctionnalités avec un compte d’administrateur.

Lorsque vous créez le compte d’administrateur de station de travail sécurisée, vous exposez le compte à votre station de travail actuelle. Veillez à utiliser un appareil sans échec connu pour effectuer cette configuration initiale et toute la configuration globale. Pour réduire les risques d’attaques pour une première expérience, envisagez de suivre les conseils prodigués afin d’éviter les infections de logiciels malveillants.

Exigez une authentification multifacteur au moins pour les administrateurs. Pour plus d’informations sur l’implémentation, consultez Accès conditionnel : exiger l’authentification multifacteur pour les administrateurs.

Utilisateurs et groupes Azure AD

  1. Dans le portail Azure, accédez à Azure Active Directory>Utilisateurs>Nouvel utilisateur.

  2. Créez l’utilisateur de l’appareil en suivant les étapes décrites dans le didacticiel sur la création d’utilisateur.

  3. Entrez :

    • Nom : administrateur de station de travail sécurisée
    • Nom d’utilisateur - secure-ws-user@contoso.com
    • Rôle d’annuaire - Administrateur limité et sélectionnez le rôle Administrateur Intune.
    • Emplacement d’utilisation : par exemple , le Royaume-Uni ou l’emplacement souhaité forme la liste.

  4. Sélectionnez Créer.

Créez votre utilisateur administrateur d’appareil.

  1. Entrez :

    • Nom : administrateur de station de travail sécurisée
    • Nom d’utilisateur - secure-ws-admin@contoso.com
    • Rôle d’annuaire - Administrateur limité et sélectionnez le rôle Administrateur Intune.
    • Emplacement d’utilisation : par exemple , le Royaume-Uni ou l’emplacement souhaité forme la liste.

  2. Sélectionnez Créer.

Créez ensuite quatre groupes : Utilisateurs de stations de travail sécurisées, Administrateurs de stations de travail sécurisées, Extrême urgence et Périphériques de stations de travail sécurisées.

Dans le portail Azure, accédez à Azure Active Directory>Groupes>Nouveau groupe.

  1. Pour le groupe d’utilisateurs de station de travail, vous pouvez souhaiter configurer la gestion des licences par groupe pour automatiser l’approvisionnement des licences aux utilisateurs.

  2. Pour le groupe d’utilisateurs de station de travail, entrez :

    • Type de groupe : sécurité
    • Nom du groupe : utilisateurs de station de travail sécurisée
    • Type d’appartenance : attribué

  3. Ajoutez votre utilisateur de stations de travail sécurisées : secure-ws-user@contoso.com

  4. Vous pouvez ajouter tous les autres utilisateurs qui utiliseront les stations de travail sécurisées.

  5. Sélectionnez Créer.

  6. Pour le groupe Administrateurs de stations de travail privilégié, entrez :

    • Type de groupe : sécurité
    • Nom du groupe : Administrateurs de stations de travail sécurisées
    • Type d’appartenance : attribué

  7. Ajoutez votre utilisateur de stations de travail sécurisées : secure-ws-admin@contoso.com

  8. Vous pouvez ajouter tous les autres utilisateurs qui géreront les stations de travail sécurisées.

  9. Sélectionnez Créer.

  10. Pour le groupe Extrême urgence, entrez :

    • Type de groupe : sécurité
    • Nom du groupe : Extrême urgence
    • Type d’appartenance : attribué

  11. Sélectionnez Créer.

  12. Ajoutez des comptes d’accès d’urgence à ce groupe.

  13. Pour le groupe d’appareils de station de travail, entrez :

    • Type de groupe : sécurité
    • Nom du groupe : stations de travail sécurisées
    • Type d’appartenance : appareil dynamique
    • Règles d’appartenance dynamique - (device.devicePhysicalIds -any _ -contains "[OrderID]:PAW")

  14. Sélectionnez Créer.

Configuration d’appareil Azure AD

Indiquer qui peut joindre des appareils à Azure AD

Configurez les paramètres de vos appareils dans Active Directory pour permettre à votre groupe de sécurité administrative de joindre des appareils à votre domaine. Pour configurer ces paramètres à partir du portail Azure :

  1. Accédez à Azure Active Directory>Appareils>Paramètres de l’appareil.
  2. Choisissez Sélectionné sous Les utilisateurs peuvent joindre des appareils à Azure AD, puis sélectionnez le groupe « Utilisateurs de station de travail sécurisée ».

Supprimer les droits d’administrateur local

Cette méthode requiert que les utilisateurs de l’adresse IP virtuelle, DevOps et des stations de travail privilégiées n’aient pas de droits d’administrateur sur leurs ordinateurs. Pour configurer ces paramètres à partir du portail Azure :

  1. Accédez à Azure Active Directory>Appareils>Paramètres de l’appareil.
  2. Sélectionnez Aucun sous Administrateurs locaux supplémentaires sur les appareils joints à Azure AD.

Pour plus d’informations sur la gestion des membres du groupe Administrateurs local, consultez la rubrique Guide pratique pour gérer le groupe Administrateurs local sur des appareils joints à Azure AD.

Exiger l’authentification multifacteur pour joindre des appareils

Pour renforcer davantage le processus de jonction d’appareils à Azure AD :

  1. Accédez à Azure Active Directory>Appareils>Paramètres de l’appareil.
  2. Sélectionnez Oui sous Exiger l’authentification multifacteur pour joindre des appareils.
  3. Sélectionnez Enregistrer.

Configurer la gestion des appareils mobiles

À partir du portail Azure :

  1. Accédez à Azure Active Directory>Mobilité (MDM et MAM)>Microsoft Intune.
  2. Remplacez le paramètre d’étendue utilisateur MDM par Tout.
  3. Sélectionnez Enregistrer.

Ces étapes permettent de gérer n’importe quel appareil avec Microsoft Endpoint Manager. Pour plus d’informations, consultez Démarrage rapide d’Intune : configurer l’inscription automatique des appareils Windows 10. Vous créerez des stratégies de configuration et de conformité Intune à une étape ultérieure.

Accès conditionnel Azure AD

L’accès conditionnel Azure AD permet de restreindre les tâches administratives privilégiées pour les appareils conformes. Les membres prédéfinis du groupe Utilisateurs de station de travail sécurisée doivent effectuer une authentification multifacteur lors de la connexion aux applications cloud. Une meilleure pratique consiste à exclure des comptes d’accès d’urgence de la stratégie. Pour plus d’informations, consultez Gérer des comptes d’accès d’urgence dans Azure AD.

Accès conditionnel n’autorisant l’accès au portail Azure uniquement qu’à une station de travail sécurisée

Les organisations doivent empêcher les utilisateurs privilégiés de pouvoir se connecter aux interfaces de gestion cloud, aux portails et à PowerShell, à partir d’appareils non-PAW.

Pour empêcher les appareils non autorisés de pouvoir accéder aux interfaces de gestion cloud, suivez les instructions de l’article Accès conditionnel : filtres pour les appareils (préversion). Lors du déploiement de cette fonctionnalité, il est essentiel de prendre en compte la fonctionnalité de compte d’accès d’urgence. Ces comptes doivent être utilisés uniquement pour les cas extrêmes et le compte géré par le biais de la stratégie.

Notes

Vous devez créer un groupe d’utilisateurs et inclure votre utilisateur d’urgence capable de contourner la stratégie d’accès conditionnel. Pour notre exemple, nous avons un groupe de sécurité nommé Emergency BreakGlass

Cet ensemble de stratégies garantit que vos administrateurs doivent utiliser un appareil capable de présenter une valeur d’attribut d’appareil spécifique, que l’authentification multifacteur est satisfaite et que l’appareil est marqué comme conforme par Microsoft Endpoint Manager et Microsoft Defender pour point de terminaison.

Les organisations doivent également envisager de bloquer les protocoles d’authentification hérités dans leurs environnements. Il existe plusieurs façons d’accomplir cette tâche. Pour plus d’informations sur le blocage des protocoles d’authentification hérités, consultez l’article, Procédure : Bloquer l’authentification héritée à Microsoft Azure AD avec l’accès conditionnel.

Configuration de Microsoft Intune

Refus d’inscription de l’appareil BYOD

Dans notre exemple, nous vous recommandons de ne pas autoriser les appareils BYOD. L’inscription BYOD Intune permet aux utilisateurs d’inscrire des appareils avec un niveau d’approbation inférieur ou nul. Cependant, il est important de noter que les organisations qui disposent d’un budget limité pour l’achat de nouveaux appareils, qui cherchent à utiliser le parc matériel existant ou qui envisagent d’utiliser des appareils non Windows, peuvent envisager d’utiliser la fonctionnalité BYOD d’Intune pour déployer le profil Entreprise.

L’aide suivante permet de configurer l’inscription pour les déploiements qui refusent l’accès BYOD.

Définir des restrictions d’inscription en empêchant BYOD

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez > Restrictions >d’inscriptiondes appareils> choisissez la restriction par défaut Tous les utilisateurs
  2. Sélectionner Propriétés Paramètres> de la plateforme Modifier
  3. Sélectionnez Bloquer pour Tous les types, à l’exception de Windows MDM.
  4. Sélectionnez Bloquer pour tous les éléments personnels.

Créer un profil de déploiement Autopilot

Après avoir créé un groupe d’appareils, vous devez créer un profil de déploiement pour configurer les appareils Autopilot.

  1. Dans le Centre d’administration de Microsoft Endpoint Manager, choisissez Inscription des appareils>Inscription Windows>Profils de déploiement>Créer un profil.

  2. Entrez :

    • Nom : profil de déploiement de station de travail sécurisée.
    • Description : déploiement de stations de travail sécurisées.
    • Définissez Convertir tous les appareils ciblés vers Autopilot sur Oui. Ce paramètre permet de s’assurer que tous les appareils dans la liste sont inscrits auprès du service de déploiement Autopilot. Le traitement de l’enregistrement prend 48 heures.

  3. Sélectionnez Suivant.

    • Comme Mode de déploiement, choisissez Déploiement automatique (préversion). Les appareils avec ce profil sont associés à l’utilisateur qui inscrit l’appareil. Pendant le déploiement, il est recommandé d’utiliser les fonctionnalités du mode Déploiement automatique pour inclure les éléments suivants :
      • Inscrit l’appareil dans le cadre de l’inscription MDM automatique d’Intune Azure AD, et n’autorise l’accès à un appareil que lorsque les stratégies, applications, certificats et profils réseau sont tous provisionnés sur l’appareil.
      • Les informations d’identification de l’utilisateur sont obligatoires pour l’inscription de l’appareil. Il est important de noter que le déploiement d’un appareil en mode Déploiement automatique vous permettra de déployer des ordinateurs portables dans un modèle partagé. Aucune attribution d’utilisateur ne se produit avant la première attribution de l’appareil à un utilisateur. Par conséquent, toutes les stratégies utilisateur telles que BitLocker ne seront pas activées avant la première attribution d’utilisateur. Si vous souhaitez en savoir plus sur les méthodes de connexion à un appareil sécurisé, veuillez consulter la page Profils sélectionnés.
    • Sélectionnez votre langue (région) et le type de compte utilisateur standard.

  4. Sélectionnez Suivant.

    • Sélectionnez une balise d’étendue si vous en avez préconfiguré une.

  5. Sélectionnez Suivant.

  6. Choisissez Affectations>Affecter à>Groupes sélectionnés. Dans la zone Sélectionner les groupes à inclure, choisissez Stations de travail sécurisées.

  7. Sélectionnez Suivant.

  8. Cliquez sur Créer pour créer le profil. Le profil de déploiement Autopilot est maintenant disponible pour les appareils.

L’expérience utilisateur de l’inscription d’appareils dans AutoPilot diffère selon le type et le rôle de chaque appareil. Dans notre exemple de déploiement, nous illustrons un modèle dans lequel les appareils sécurisés sont déployés en bloc et peuvent être partagés, mais lorsqu’ils sont utilisés pour la première fois, l’appareil est attribué à un utilisateur. Si vous souhaitez en savoir plus, veuillez consulter la page Inscription d’appareil Intune Autopilot.

Page d’état de l’inscription

La page d’état d’inscription (ESP) affiche la progression du provisionnement après l’inscription d’un nouvel appareil. Pour vous assurer que les appareils sont entièrement configurés avant leur utilisation, Intune propose un moyen de bloquer l’utilisation de l’appareil jusqu'à ce que toutes les applications et tous les profils soient installés.

Créer et affecter un profil de page d’état d’inscription

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Appareils>Windows>Inscription Windows>Page de statut d’inscription>Créer un profil.
  2. Indiquez un Nom et une Description.
  3. Choisissez Créer.
  4. Choisissez le nouveau profil dans la liste Page d’état d’inscription.
  5. Définissez l’option Afficher la progression de l'installation des applications et des profils sur Oui.
  6. Définissez Bloquer l'utilisation de l'appareil tant que les profils et les applications ne sont pas tous installés sur Oui.
  7. Choisissez Affectations Sélectionner des>groupes> choisir un Secure Workstation groupe >Sélectionner>Enregistrer.
  8. Choisissez Paramètres> choisissez les paramètres que vous souhaitez appliquer à ce profil >Enregistrer.

Configurer Windows Update

La mise à jour de Windows 10 est une des actions les plus importantes que vous pouvez effectuer. Pour mettre à jour de Windows de façon sécurisée, vous déployez un anneau de mise à jour pour gérer la périodicité à laquelle les mises à jour sont appliquées aux stations de travail.

Ce guide recommande de créer un anneau de mise à jour et de modifier les paramètres par défaut suivants :

  1. Dans le Centre d’administration de Microsoft Endpoint Manager, choisissez Appareils>Mises à jour logicielles>Anneaux de mise à jour Windows 10.

  2. Entrez :

    • Nom : mises à jour de station de travail gérée par Azure
    • Canal de maintenance - canal semi-annuel
    • Report de mise à jour de qualité (jours) : 3
    • Période de report de mise à jour de fonctionnalité (jours) : 3
    • Comportement de mise à jour automatique : automatiquement installer et redémarrer sans contrôle de l’utilisateur final
    • Empêcher l’utilisateur de suspendre les mises à jour Windows : bloquer
    • Exiger l’approbation de l’utilisateur pour redémarrer en dehors des heures de travail : obligatoire
    • Autoriser l’utilisateur à redémarrer (redémarrage engagé) : obligatoire
    • Transférer les utilisateurs vers un redémarrage engagé après un redémarrage automatique (jours) : 3
    • Période rappel de redémarrage engagé (jours) : 3
    • Définir une échéance pour les redémarrages en attente (jours) : 3

  3. Sélectionnez Créer.

  4. Dans l’onglet Affectations, ajoutez le groupe Stations de travail sécurisées.

Pour plus d’informations sur les stratégies Windows Update, consultez CSP de la stratégie-mise à jour.

Intégration d’Intune de Microsoft Defender for Endpoint

Microsoft Defender pour point de terminaison et Microsoft Intune fonctionnent ensemble pour empêcher les violations de la sécurité. Ils peuvent également limiter l’impact des violations. Les fonctionnalités d’ATP permettent la détection de menaces en temps réel, ainsi qu’un audit étendu et la journalisation des appareils de point de terminaison.

Pour configurer l’intégration de Windows Defender for Endpoint et de Microsoft Endpoint Manager :

  1. Dans le Centre d’administration de Microsoft Endpoint Manager, choisissez Sécurité des points de terminaison>Microsoft Defender ATP.

  2. À l’étape 1 sous Configuration de Windows Defender ATP, sélectionnez Connecter Windows Defender ATP à Microsoft Intune dans le Centre de sécurité Windows Defender.

  3. Dans le centre de sécurité Windows Defender :

    1. Sélectionnez Paramètres>Fonctionnalités avancées.
    2. Pour Connexion Microsoft Intune, choisissez Activé.
    3. Sélectionnez Enregistrer les préférences.

  4. Une fois la connexion établie, revenez à Microsoft Endpoint Manager, puis sélectionnez Actualiser en haut.

  5. Définissez Connecter les appareils Windows versions (20H2) 19042.450 et ultérieures à Windows Defender ATP sur Activé.

  6. Sélectionnez Enregistrer.

Création du profil de configuration d’appareil pour l’intégration d’appareils Windows

  1. Connectez-vous au Centre d’administration de Microsoft Endpoint Manager, choisissez Sécurité des points de terminaison>Protection et réponse du point de terminaison>Créer un profil.

  2. Pour Plateforme, sélectionnez Windows 10 et ultérieur.

  3. Pour Type de profil, sélectionnez Détection de point de terminaison et réponse, puis sélectionnez Créer.

  4. Dans la page Options de base, entrez un nom PAW - Defender for Endpoint dans le champ Nom et la Description (facultatif) du profil, puis choisissez Suivant.

  5. Dans la page Paramètres de configuration, configurez l’option suivante dans Détection de point de terminaison et réponse :

  6. Sélectionnez Suivant pour ouvrir la page Balises d’étendue. Les balises d’étendue sont facultatives. Sélectionnez Suivant pour continuer.

  7. Dans la page Affectations , sélectionnez le groupe Station de travail sécurisée. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

  8. Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. Le nouveau profil apparaît dans la liste quand vous sélectionnez le type de stratégie du profil que vous venez de créer. OK, puis Créer pour enregistrer vos modifications et créer le profil.

Pour plus d’informations, consultez Protection avancée contre les menaces Windows Defender.

Terminer le renforcement du profil de station de travail

Pour mener à bien le renforcement de la solution, téléchargez et exécutez le script approprié. Rechercher les liens de téléchargement correspondant au niveau de profil souhaité :

Profil Emplacement de téléchargement Nom de fichier
Entreprise https://aka.ms/securedworkstationgit Enterprise-Workstation-Windows10-(20H2).ps1
Spécialisée https://aka.ms/securedworkstationgit Specialized - Windows10-(20H2).ps1
Privilégié https://aka.ms/securedworkstationgit Privileged-Windows10-(20H2).ps1

Notes

La suppression des droits d’administration et de l’accès, ainsi que le contrôle de l’exécution des applications (AppLocker) sont gérés par les profils de stratégie déployés.

Une fois que le script s’est exécuté correctement, vous pouvez mettre à jour les profils et les stratégies dans Intune. Les scripts créent des stratégies et des profils pour vous, mais vous devez attribuer les stratégies à votre groupe d’appareils Stations de travail sécurisées.

  • Voici où vous trouverez les profils de configuration d’appareil Intune créés par les scripts : Portail Azure>Microsoft Intune>Configuration du périphérique>Profils.
  • Voici où vous trouverez les stratégies de conformité d’appareil Intune créées par les scripts : Portail Azure>Microsoft Intune>Conformité des appareils>Stratégies.

Exécutez le script d’exportation de données Intune DeviceConfiguration_Export.ps1 à partir du référentiel GitHub DeviceConfiguration pour exporter tous les profils Intune actuels à des fins de comparaison et d’évaluation des profils.

Définir des règles dans le profil de configuration Endpoint Protection pour le pare-feu Microsoft Defender

Les paramètres de stratégie de pare-feu Windows Defender sont inclus dans le profil de configuration Endpoint Protection. Comportement de la stratégie appliqué dans le tableau ci-dessous.

Profil Règles de trafic entrant Règles de trafic sortant Comportement de la fusion
Entreprise Bloquer Autoriser Autoriser
Spécialisée Bloquer Autoriser Bloquer
Privilégié Bloquer Bloquer Bloquer

Entreprise : cette configuration est la plus permissive, car elle reflète le comportement par défaut d’une installation Windows. Tout le trafic entrant est bloqué, à l’exception des règles définies explicitement dans les règles de stratégie locales, car la fusion des règles locales est définie sur Autorisé. Tout le trafic sortant est autorisé.

Spécialisée : cette configuration est plus restrictive car elle ignore toutes les règles définies localement sur l’appareil. Tout le trafic entrant est bloqué, y compris les règles définies localement ; la stratégie inclut deux règles pour permettre à l’optimisation de la distribution de fonctionner comme prévu. Tout le trafic sortant est autorisé.

Privilégiée : tout le trafic entrant est bloqué, y compris les règles définies localement ; la stratégie inclut deux règles pour permettre à l’optimisation de la distribution de fonctionner comme prévu. Le trafic sortant est également bloqué en dehors des règles explicites qui autorisent le trafic DNS, DHCP, NTP, NSCI, HTTP et HTTPS. Cette configuration permet non seulement de réduire la surface d’attaque présentée par l’appareil au réseau mais aussi de limiter les connexions sortantes que l’appareil peut établir uniquement aux connexions nécessaires à l’administration des services Cloud.

Règle Sens Action Application / Service Protocol Ports locaux Ports distants
Services World Wide Web (trafic sortant HTTP) Règle de trafic sortant Allow Tous TCP Tous les ports 80
Services World Wide Web (trafic sortant HTTPS) Règle de trafic sortant Allow Tous TCP Tous les ports 443
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe TCP 546 547
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Règle de trafic sortant Allow Dhcp TCP 546 547
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe TCP 68 67
Mise en réseau de base : protocole de configuration d’hôte dynamique pour IPv6 (DHCPV6-out) Règle de trafic sortant Allow Dhcp TCP 68 67
Mise en réseau de base - DNS (UDP-Out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe UDP Tous les ports 53
Mise en réseau de base - DNS (UDP-Out) Règle de trafic sortant Allow Dnscache UDP Tous les ports 53
Mise en réseau de base - DNS (UDP-Out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe TCP Tous les ports 53
Mise en réseau de base - DNS (UDP-Out) Règle de trafic sortant Allow Dnscache TCP Tous les ports 53
Sonde NSCI (TCP-Out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe TCP Tous les ports 80
Sonde NSCI - DNS (TCP-Out) Règle de trafic sortant Allow NlaSvc TCP Tous les ports 80
Temps Windows (UDP-Out) Règle de trafic sortant Allow %SystemRoot%\system32\svchost.exe TCP Tous les ports 80
Sonde de temps Windows - DNS (UDP-Out) Règle de trafic sortant Allow W32Time UDP Tous les ports 123
Agent d’optimisation de la distribution (TCP-In) Trafic entrant Allow %SystemRoot%\system32\svchost.exe TCP 7680 Tous les ports
Agent d’optimisation de la distribution (TCP-In) Trafic entrant Allow DoSvc TCP 7680 Tous les ports
Agent d’optimisation de la distribution (UDP-In) Trafic entrant Allow %SystemRoot%\system32\svchost.exe UDP 7680 Tous les ports
Agent d’optimisation de la distribution (UDP-In) Trafic entrant Allow DoSvc UDP 7680 Tous les ports

Notes

Deux règles sont définies pour chaque règle dans la configuration du pare-feu Microsoft Defender. Pour limiter les règles d’entrée et de sortie aux services Windows, par exemple le client DNS, le nom du service, DNSCache, et le chemin d’accès de l’exécutable, C:\Windows\System32\svchost.exe, doivent être définis en tant que règles distinctes plutôt qu’en tant que règle unique, ce qui est possible avec Stratégie de groupe.

Vous pouvez apporter des modifications supplémentaires à la gestion des règles de trafic entrant et sortant pour vos services autorisés et bloqués, en fonction de vos besoins. Pour plus d’informations, voir le service de configuration du pare-feu.

Proxy de verrouillage d’URL

La gestion restrictive du trafic d’URL inclut les options suivantes :

  • Refuser tout le trafic sortant, à l’exception de certains services Azure et Microsoft, notamment Azure Cloud Shell, et de la possibilité d’autoriser la réinitialisation du mot de passe en libre-service.
  • Le profil privilégié limite les points de terminaison sur Internet auxquels l’appareil peut se connecter à l’aide de la configuration de proxy de verrouillage d’URL suivante.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyEnable"=dword:00000001
"ProxyServer"="127.0.0.2:8080"
"ProxyOverride"="*.azure.com;*.azure.net;*.microsoft.com;*.windowsupdate.com;*.microsoftonline.com;*.microsoftonline.cn;*.windows.net;*.windowsazure.com;*.windowsazure.cn;*.azure.cn;*.loganalytics.io;*.applicationinsights.io;*.vsassets.io;*.azure-automation.net;*.visualstudio.com,portal.office.com;*.aspnetcdn.com;*.sharepointonline.com;*.msecnd.net;*.msocdn.com;*.webtrends.com"
"AutoDetect"=dword:00000000

Les points de terminaison répertoriés dans la liste ProxyOverride sont limités aux points de terminaison nécessaires pour s’authentifier auprès d’Azure AD et accéder aux interfaces de gestion Azure ou Office 365. Pour étendre à d’autres services Cloud, ajoutez leur URL d’administration à la liste. Cette approche est conçue pour limiter l’accès à l’Internet plus vaste pour protéger les utilisateurs privilégiés contre les attaques basées sur Internet. Si cette approche est jugée trop restrictive, envisagez d’utiliser l’approche décrite ci-dessous pour le rôle privilégié.

Activer Microsoft Defender for Cloud Apps, liste d’URL restreinte aux URL approuvées (autoriser la plupart)

Dans le cadre du déploiement de nos rôles, il est recommandé que pour les déploiements d’entreprise et spécialisés, où un refus strict de toute navigation web n’est pas souhaitable, que l’utilisation des fonctionnalités d’un répartiteur de sécurité d’accès cloud (CASB) comme Microsoft Defender for Cloud Apps être utilisée pour bloquer l’accès à des sites web à risque et douteux. Cette solution offre un moyen simple de bloquer les applications et les sites web qui ont été sélectionnés. Cette solution est similaire à l’obtention de l’accès à la liste de blocage à partir de sites tels que le projet Spamhaus qui gère la Liste des domaines bloqués : une excellente ressource à utiliser en tant qu’ensemble avancé de règles à implémenter pour le blocage de sites.

La solution vous fournira les éléments suivants :

  • Visibilité : détecter tous les services cloud ; attribuer à chacun un classement des risques ; identifier l’ensemble des utilisateurs et des applications tierces capables de se connecter
  • Sécurité des données : identifier et contrôler les informations sensibles (DLP) ; répondre aux étiquettes de classification sur le contenu
  • Protection contre les menaces : offrir un contrôle des accès adaptable (AAC) ; fournir une analyse du comportement des utilisateurs et des entités (UEBA) ; limiter les risques des logiciels malveillants
  • Conformité : fournir des rapports et des tableaux de bord pour confirmer la gouvernance du cloud ; soutenir les efforts pour se conformer aux exigences en matière de résidence des données et de conformité réglementaire

Activez Defender pour les applications cloud et connectez-vous à Defender ATP pour bloquer l’accès aux URL à risque :

Gérer les applications locales

La station de travail sécurisée passe à un état véritablement renforcé lorsque les applications locales sont supprimées, y compris les applications de productivité. Ici, vous ajoutez Visual Studio Code afin d’autoriser la connexion à Azure DevOps pour GitHub et de gérer les référentiels de code.

Configuration du portail d’entreprise pour vos applications personnalisées

Une copie géré par Intune du portail d’entreprise vous octroie un accès à la demande à des outils supplémentaires que vous pouvez transmettre aux utilisateurs des stations de travail sécurisées.

En mode sécurisé, l’installation d’applications est limitée aux applications gérées qui sont fournies par le Portail d’entreprise. Toutefois, l’installation du Portail d’entreprise requiert l’accès à Microsoft Store. Dans votre solution sécurisée, vous ajoutez et attribuez l’application Portail d’entreprise Windows 10 pour les appareils Autopilot approvisionnés.

Notes

Veillez à attribuer l’application Portail d’entreprise au groupe Étiquette d’appareil de station de travail sécurisée utilisé pour attribuer le profil Autopilot.

Déployer des applications avec Intune

Dans certaines situations, des applications telles que Microsoft Visual Studio Code sont requises sur la station de travail sécurisée. L’exemple suivant fournit des instructions pour installer Microsoft Visual Studio Code sur des appareils dans le groupe de sécurité Utilisateurs de stations de travail sécurisées.

Visual Studio Code est fourni en tant que package EXE et doit donc être empaqueté en tant que fichier de format .intunewin dans le cadre du déploiement à l’aide de Microsoft Endpoint Manager et de l’outil de préparation de contenu Microsoft Win32.

Téléchargez l’outil de préparation de contenu Microsoft Win32 localement sur une station de travail et copiez-le dans un répertoire pour l’empaqueter, par exemple, dans C:\Packages. Créez ensuite un répertoire Source et Output sous C:\Packages.

Empaqueter Microsoft Visual Studio Code

  1. Téléchargez le programme d’installation hors connexion de Visual Studio Code pour Windows 64 bits.
  2. Copiez le fichier exécutable Visual Studio Code téléchargé dans C:\Packages\Source
  3. Ouvrez maintenant une console PowerShell et accédez à C:\Packages
  4. Saisissez .\IntuneWinAppUtil.exe -c C:\Packages\Source\ -s C:\Packages\Source\VSCodeUserSetup-x64-1.51.1.exe -o C:\Packages\Output\VSCodeUserSetup-x64-1.51.1
  5. Tapez Y pour créer le dossier de sortie. Le fichier intunewin pour Visual Studio Code sera créé dans ce dossier.

Télécharger VS Code vers Microsoft Endpoint Manager

  1. Dans le Centre d’administration Microsoft Endpoint Manager, accédez à Applications>Windows>Ajouter
  2. Sous Sélectionner le type d’application, choisissez Application Windows (Win32) .
  3. Cliquez sur Sélectionner un fichier de package d’application, cliquez sur Sélectionner un fichier, puis sélectionnez VSCodeUserSetup-x64-1.51.1.intunewin à partir de C:\Packages\Output\VSCodeUserSetup-x64-1.51.1. Cliquez sur OK
  4. Entrez Visual Studio Code 1.51.1 dans le champ Nom
  5. Entrez une description pour Visual Studio Code dans le champ Description
  6. Entrez Microsoft Corporation dans le champ Serveur de publication
  7. Téléchargez https://jsarray.com/images/page-icons/visual-studio-code.png et sélectionnez une image pour le logo. Sélectionnez Suivant.
  8. Entrez VSCodeSetup-x64-1.51.1.exe /SILENT dans le champ Commande Install.
  9. Entrez C:\Program Files\Microsoft VS Code\unins000.exe dans le champ Commande de désinstallation
  10. Sélectionnez Déterminer le comportement en fonction des codes de retour dans la liste déroulante Comportement de redémarrage de l’appareil. Sélectionnez Suivant.
  11. Sélectionnez 64 bits dans la liste déroulante de la case Architecture du système d’exploitation
  12. Sélectionnez Windows 10 1903 dans la liste déroulante de la case à cocher Système d’exploitation minimal. Sélectionnez Suivant.
  13. Sélectionnez les règles de détection Configurer manuellement dans la liste déroulante Format des règles
  14. Cliquez sur Ajouter, puis sélectionnez Fichier dans la liste déroulante Type de règle
  15. Entrez C:\Program Files\Microsoft VS Code dans le champ Chemin d’accès
  16. Entrez unins000.exe dans le champ Fichier ou dossier
  17. Sélectionnez Le fichier ou le dossier existe dans la liste déroulante, sélectionnez OK, puis sélectionnez Suivant.
  18. Sélectionnez Suivant, car il n’existe aucune dépendance sur ce package
  19. Sélectionnez Ajouter un groupe sous Disponible pour les appareils inscrits, ajoutez Groupe Utilisateurs disposant de privilèges. Cliquez sur Sélectionner pour confirmer le groupe. Sélectionnez Suivant.
  20. Cliquez sur Créer

Utiliser PowerShell pour créer des applications et des paramètres personnalisés

Nous vous recommandons de définir certains paramètres de configuration, notamment deux recommandations pour les points de terminaison, devant être définis à l’aide de PowerShell. Ces modifications de configuration ne peuvent pas être définies via des stratégies dans Intune.

Vous pouvez également utiliser PowerShell pour étendre les fonctionnalités de gestion de l’hôte. Le script PAW-DeviceConfig.ps1 de GitHub est un exemple de script qui configure les paramètres suivants :

  • Supprime Internet Explorer
  • Supprime PowerShell 2.0
  • Supprime le Lecteur Windows Media
  • Supprime le client Dossiers de travail
  • Supprime l’impression XPS
  • Active et configure la mise en veille prolongée
  • Implémente le correctif du Registre pour activer le traitement des règles DLL AppLocker
  • Implémente les paramètres de Registre pour deux recommandations Microsoft Defender pour les points de terminaison qui ne peuvent pas être définies à l’aide du gestionnaire de points de terminaison.
    • Exiger des utilisateurs qu’ils procèdent à une élévation lors de la définition d’un emplacement réseau
    • Empêcher l’enregistrement des informations d’identification réseau
  • Désactiver l’Assistant Emplacement réseau - empêche les utilisateurs de définir l’emplacement réseau sur Privé et d’augmenter ainsi la surface d’attaque exposée dans le Pare-feu Windows
  • Configure le temps Windows pour utiliser le protocole NTP et définit le service de temps automatique sur Automatique
  • Télécharge et définit l’arrière-plan du Bureau sur une image spécifique afin d’identifier aisément l’appareil en tant que station de travail prête à l’emploi et privilégiée.

Script PAW-DeviceConfig.ps1 disponible sur GitHub.

  1. Téléchargez le script [PAW-DeviceConfig.ps1] sur un appareil local.
  2. Accédez au portail Azure>Microsoft Intune>Configuration d’appareil>Scripts PowerShell>Ajouter. Indiquez un nom pour le script et spécifiez l’emplacement du script.
  3. Sélectionnez Configurer.
    1. Définissez l’option Exécuter ce script en utilisant les informations d’identification de l’utilisateur connecté sur Non.
    2. Sélectionnez OK.
  4. Sélectionnez Créer.
  5. Sélectionnez Affectations>Sélectionner des groupes.
    1. Ajoutez le groupe de sécurité Stations de travail sécurisées.
    2. Sélectionnez Enregistrer.

Valider et tester votre déploiement avec votre premier appareil

Cette inscription part du principe que vous allez utiliser un appareil informatique physique. Il est recommandé que, dans le cadre du processus d’approvisionnement, l’OEM, le revendeur, le distributeur ou le partenaire inscrive les appareils dans Windows Autopilot.

Toutefois, pour les tests, il est possible de faire fonctionner des Machines virtuelles Microsoft Azure dans le cadre d’un scénario de test. Toutefois, notez que l’inscription des appareils joints en personne devra être révisée pour permettre à cette méthode de joindre un client.

Cette méthode fonctionne pour Machines virtuelles Microsoft Azure ou les appareils physiques qui n’ont pas été inscrits précédemment.

  1. Démarrer l’appareil et attendre la présentation de la boîte de dialogue du nom d’utilisateur
  2. Appuyez sur SHIFT + F10 pour afficher l’invite de commandes
  3. Tapez PowerShell, puis appuyez sur Entrée.
  4. Tapez Set-ExecutionPolicy RemoteSigned, puis appuyez sur Entrée.
  5. Tapez Install-Script GetWindowsAutopilotInfo, puis appuyez sur Entrée.
  6. Tapez Y, puis cliquez sur Entrée pour accepter la modification de l’environnement du chemin d’accès.
  7. Tapez Y, puis cliquez sur Entrée pour installer le fournisseur NuGet.
  8. Tapez Y pour faire confiance au référentiel.
  9. Exécuter le type Get-WindowsAutoPilotInfo -GroupTag PAW –outputfile C:\device1.csv
  10. Copier le fichier CSV à partir de l’ordinateur virtuel ou de l’appareil physique

Importer des appareils dans Autopilot

  1. Dans le Centre d’administration de Microsoft Endpoint Manager, accédez à Appareils>Appareils Windows>Inscription Windows>Appareils

  2. Sélectionnez Importer et choisissez votre fichier CSV.

  3. Attendez que le Group Tag soit mis à jour avec la valeur PAW et que le Profile Status passe à Assigned.

    Notes

    L’étiquette de groupe est utilisée par le groupe dynamique Stations de travail sécurisées pour que l’appareil soit membre de son groupe.

  4. Ajoutez l’appareil au groupe de sécurité Stations de travail sécurisées.

  5. Sur l’appareil Windows 10 que vous souhaitez configurer, accédez à Windows Settings>Update & Security>Recovery.

    1. Choisissez Prise en main sous Réinitialiser ce PC.
    2. Suivez les invites pour réinitialiser et reconfigurer l’appareil avec les stratégies de conformité et le profil configurés.

Une fois que vous avez configuré l’appareil, effectuez une révision et vérifiez la configuration. Vérifiez que le premier appareil est correctement configuré avant de poursuivre le déploiement.

Attribuer des appareils

Pour affecter des utilisateurs et des appareils, vous devez mapper les profils sélectionnés à votre groupe de sécurité. Tous les nouveaux utilisateurs qui ont besoin d’autorisations pour le service doivent également être ajoutés au groupe de sécurité.

Utilisation de Microsoft Defender for Endpoint afin de surveiller les incidents de sécurité et d’y répondre

  • Observer et surveiller en permanence les vulnérabilités et les configurations incorrectes
  • Utiliser Microsoft Defender for Endpoint pour hiérarchiser les menaces dynamiques dans la nature.
  • Assurer une corrélation des vulnérabilités avec les alertes de Détection de point de terminaison et réponse (EDR)
  • Utiliser le tableau de bord pour identifier les vulnérabilités au niveau de l’ordinateur lors des investigations
  • Envoyer des corrections à Intune

Configurez votre Centre de sécurité Microsoft Defender. Utilisation des conseils dans Vue d’ensemble du tableau de bord Gestion des vulnérabilités des menaces&.

Surveillance de l’activité des applications à l’aide de la détection avancée des menaces

À partir de la station de travail spécialisée, AppLocker est activé pour l’analyse de l’activité des applications sur une station de travail. Par défaut, Defender pour le point de terminaison capture les événements AppLocker et les requêtes de détection avancée permettant de déterminer quels applications, scripts et fichiers DLL sont bloqués par AppLocker.

Notes

Les profils de station de travail spécialisés et privilégiés contiennent les stratégies AppLocker. Le déploiement des stratégies est requis pour la surveillance de l’activité des applications sur un client.

Dans le volet de détection avancée de Microsoft Defender Security Center, utilisez la requête suivante pour retourner des événements AppLocker

DeviceEvents
| where Timestamp > ago(7d) and
ActionType startswith "AppControl"
| summarize Machines=dcount(DeviceName) by ActionType
| order by Machines desc

Surveillance

Étapes suivantes