Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Ce document décrit les niveaux de sécurité d’une stratégie d’accès privilégié pour une feuille de route sur la façon d’adopter cette stratégie, consultez le plan de modernisation rapide (RaMP). Pour obtenir des conseils sur l’implémentation, consultez le déploiement d’accès privilégié
Ces niveaux sont principalement conçus pour fournir des conseils techniques simples et simples afin que les organisations puissent déployer rapidement ces protections extrêmement importantes. La stratégie d’accès privilégié reconnaît que les organisations ont des besoins uniques, mais aussi que les solutions personnalisées créent une complexité qui entraîne des coûts plus élevés et une sécurité plus faible au fil du temps. Pour équilibrer ce besoin, la stratégie fournit des conseils prescriptifs fermes pour chaque niveau et flexibilité en permettant aux organisations de choisir quand chaque rôle sera nécessaire pour répondre aux exigences de ce niveau.
Rendre les choses simples aide les gens à le comprendre et réduit le risque qu’ils seront confondus et font des erreurs. Bien que la technologie sous-jacente soit presque toujours complexe, il est essentiel de garder les choses simples plutôt que de créer des solutions personnalisées difficiles à prendre en charge. Pour plus d’informations, consultez les principes de conception de la sécurité.
La conception de solutions qui sont axées sur les besoins des administrateurs et des utilisateurs finaux, les gardera simples pour eux. La conception de solutions simples pour la sécurité et le personnel informatique afin de créer, d’évaluer et de maintenir (avec automatisation si possible) entraîne moins d’erreurs de sécurité et des garanties de sécurité plus fiables.
La stratégie de sécurité d’accès privilégié recommandée implémente un système simple de trois niveaux d’assurance dans les domaines et est conçu pour faciliter le déploiement de comptes, d’appareils, d’intermédiaires et d’interfaces.
Chaque niveau successif entraîne des coûts d’attaquants, avec un niveau supplémentaire d’investissement Defender pour le cloud. Les niveaux sont conçus pour cibler les « points doux » où vous obtenez le plus de retour (augmentation des coûts de l’attaquant) pour chaque investissement de sécurité que vous effectuez.
Chaque rôle de votre environnement doit être mappé à l’un de ces niveaux, et éventuellement augmenté au fil du temps dans le cadre d’un plan d’amélioration de la sécurité. Chaque profil est clairement défini en tant que configuration technique et automatisé dans la mesure du possible pour faciliter le déploiement et accélérer les protections de sécurité. Pour en savoir plus sur la feuille de route d’accès privilégié.
Niveaux de sécurité
Les niveaux de sécurité utilisés dans toute cette stratégie sont les suivants :
Entreprise
La sécurité d’entreprise convient à tous les utilisateurs d’entreprise et aux scénarios de productivité. Dans la progression du plan de modernisation rapide, l’entreprise sert également de point de départ pour l’accès spécialisé et privilégié, car elle s’appuie progressivement sur les contrôles de sécurité dans la sécurité de l’entreprise.
Note
Des configurations de sécurité plus faibles existent, mais ne sont pas recommandées par Microsoft pour les organisations d’entreprise aujourd’hui en raison des compétences et des ressources que les attaquants ont disponibles. Pour plus d’informations sur ce que les attaquants peuvent acheter entre eux sur les marchés sombres et les prix moyens, consultez la vidéo Top 10 Best Practices for Azure Security
Spécialisé
La sécurité spécialisée fournit des contrôles de sécurité accrus pour les rôles ayant un impact commercial élevé (en cas de compromission par un attaquant ou un insider malveillant).
Votre organisation doit avoir des critères documentés pour les comptes spécialisés et privilégiés (par exemple, l’impact commercial potentiel est supérieur à 1 M USD), puis identifier tous les rôles et comptes répondant à ces critères. (utilisé dans toute cette stratégie, y compris dans les comptes spécialisés)
Les rôles spécialisés sont généralement les suivants :
- Développeurs de systèmes critiques pour l’entreprise.
- Rôles métier sensibles tels que les utilisateurs de terminaux SWIFT, les chercheurs ayant accès aux données sensibles, le personnel ayant accès à des rapports financiers avant la publication publique, les administrateurs de paie, les approbateurs pour les processus métier sensibles et d’autres rôles à impact élevé.
- Cadres et assistants personnels / assistants administratifs qui gèrent régulièrement des informations sensibles.
- Les comptes de réseaux sociaux à fort impact qui pourraient endommager la réputation de l’entreprise.
- Les administrateurs informatiques sensibles ayant des privilèges et un impact significatifs, mais ne sont pas à l’échelle de l’entreprise. Ce groupe inclut généralement les administrateurs des charges de travail à impact élevé individuels. (par exemple, administrateurs de planification des ressources d’entreprise, administrateurs bancaires, rôles de support technique /support technique, etc.)
La sécurité spécialisée des comptes sert également d’étape intermédiaire pour la sécurité privilégiée, qui s’appuie davantage sur ces contrôles. Pour plus d’informations sur l’ordre recommandé de progression, consultez la feuille de route de l’accès privilégié .
Privilégié
La sécurité privilégiée est le niveau de sécurité le plus élevé conçu pour les rôles qui pourraient facilement provoquer un incident majeur et des dommages matériels potentiels à l’organisation entre les mains d’un attaquant ou d’un insider malveillant. Ce niveau inclut généralement des rôles techniques disposant d’autorisations d’administration sur la plupart ou sur tous les systèmes d’entreprise (et inclut parfois quelques rôles critiques pour l’entreprise)
Les comptes privilégiés se concentrent d’abord sur la sécurité, avec la productivité définie comme la possibilité d’effectuer facilement et en toute sécurité des tâches de travail sensibles en toute sécurité. Ces rôles n’auront pas la possibilité d’effectuer des tâches sensibles et de productivité générales (parcourir le web, installer et utiliser n’importe quelle application) à l’aide du même compte ou du même appareil/station de travail. Ils auront des comptes et des stations de travail très restreints avec une surveillance accrue de leurs actions pour une activité anormale qui pourrait représenter l’activité de l’attaquant.
Les rôles de sécurité d’accès privilégié sont généralement les suivants :
- Rôles d’administrateur Microsoft Entra
- Autres rôles de gestion des identités disposant de droits d’administration pour un annuaire d’entreprise, des systèmes de synchronisation d’identités, une solution de fédération, un répertoire virtuel, un système de gestion des identités/accès privilégiés ou similaires.
- Rôles avec appartenance à ces groupes Active Directory locaux
- Administrateurs d’entreprise
- Administrateurs de domaine
- Administrateur de schéma
- BUILTIN\Administrators
- Opérateurs de compte
- Opérateurs de sauvegarde
- Opérateurs d’impression
- Opérateurs de serveur
- Contrôleurs de domaine
- Contrôleurs de domaine en lecture seule
- Propriétaires de créateur de stratégie de groupe
- Opérateurs de chiffrement
- Utilisateurs COM distribués
- Groupes Exchange locaux sensibles (y compris les autorisations Exchange Windows et le sous-système approuvé Exchange)
- Autres groupes délégués : groupes personnalisés qui peuvent être créés par votre organisation pour gérer les opérations d’annuaire.
- Tout administrateur local d’un système d’exploitation ou d’un locataire de service cloud sous-jacent hébergeant les fonctionnalités ci-dessus, notamment
- Membres du groupe Administrateurs locaux
- Personnel qui connaît la racine ou le mot de passe administrateur intégré
- Administrateurs de n’importe quel outil de gestion ou de sécurité avec des agents installés sur ces systèmes