Phase 2 : Configurer et sécuriser des stations de travail privilégiées

Cet article fait partie du guide de solution Implémenter une architecture d’accès privilégié .

L’accès privilégié présente un risque de sécurité critique dans la plupart des organisations, car il permet un contrôle direct sur les systèmes d’identité, les plans de contrôle cloud et les ressources critiques pour l’entreprise.

Découvrez comment une architecture d’accès privilégié sécurisé joue un rôle essentiel dans votre scénario métier - Protéger les ressources métier critiques - en réduisant ce risque et en renforçant le contrôle sur les systèmes sensibles.

Cet article décrit la phase 2 de la solution. Il déploie et renforce les stations de travail d’accès privilégié (PAW) afin que l’activité privilégiée provient uniquement d’appareils approuvés. Il s’appuie sur la phase 1 et produit les signaux de confiance de l’appareil (conformité Intune et risque Microsoft Defender for Endpoint) utilisés pour l’application des contrôles dans la phase 3.

Objectifs de protection

La phase 2 garantit l’accès privilégié :

  • Provient uniquement des appareils approuvés et renforcés.
  • Isolé des activités de productivité à haut risque.
  • Produit un signal propre et fiable de l’appareil en vue d’une mise en application ultérieure.
  • Réduit le vol d’informations d’identification, la relecture des jetons et le risque de détournement de session.
  • Limite le rayon d’explosion si un appareil est compromis.

Étendue de protection

L’accès privilégié est uniquement aussi fiable que l’appareil à partir duquel il provient. Les protections d’identité, telles que l’authentification multifacteur, les approbations et l’activation de rôle, ne peuvent pas compenser une station de travail compromise. Si un attaquant contrôle l’appareil utilisé pour l’accès privilégié, il peut :

  • Volez des jetons d’authentification une fois l’authentification multifacteur terminée.
  • Injectez des processus malveillants dans des sessions d’administration.
  • Relectez les informations d’identification ou les jetons de la mémoire.
  • Ignorez les flux de travail d’approbation en fonctionnant en tant qu’utilisateur légitime.

Pour les rôles privilégiés, une seule station de travail compromise peut permettre une escalade rapide vers un contrôle à l’échelle du locataire ou à l’échelle de l’entreprise. Par conséquent, la sécurité des appareils définit la limite supérieure d’approbation pour l’accès privilégié. Par conséquent, les stratégies d’accès privilégié supposent que les sessions d’administration proviennent d’appareils qui répondent à la barre de sécurité la plus élevée. Ces dispositifs constituent la frontière de confiance pour les opérations privilégiées.

Stations de travail à accès privilégié (PW)

Un PAW est une station de travail Windows managée et renforcée conçue exclusivement pour les tâches privilégiées. Les PAW définissent la frontière de confiance de l’appareil pour les accès privilégiés et sont isolés des vecteurs d’attaque courants.

  • Sont isolés des courriels, de la navigation générale sur le Web et des charges de travail liées à la productivité.
  • Sont inscrits et gérés via Microsoft Intune.
  • Utilisez Microsoft Entra ID pour l’intégration des identités.
  • Sont surveillés par Microsoft Defender for Endpoint.
  • Fournissez une racine de confiance matérielle robuste.

Voici comment les PAWs s’inscrivent du point de vue des niveaux et profils de sécurité.

Niveau de sécurité Profil d’appareil
Utilisateurs d’entreprise Appareil géré standard
Opérateurs spécialisés Appareil managé renforcé
Privilégié (administrateurs du plan de contrôle) PAW

Risques atténués

Risque Pourquoi cela importe Mesures d’atténuation de la phase 1
L’attaquant vole des jetons d’authentification après l’authentification multifacteur La MFA protège le processus d’authentification, pas l’environnement d’exécution. Si une station de travail est compromise, les attaquants peuvent voler des jetons après l’authentification et les réutiliser pour emprunter l’identité des utilisateurs privilégiés. Les PAW isolent les tâches à privilèges sur des appareils renforcés présentant une surface d’attaque réduite, une protection des identifiants (Credential Guard) et une surveillance continue, empêchant ainsi le vol de jetons à partir d’appareils de productivité compromis.
Injection de processus malveillant dans des sessions d’administration Les attaquants peuvent injecter du code dans des outils d’administration ou des sessions de navigateur sur des appareils compromis, en prenant le contrôle des opérations privilégiées même lorsque les identités sont protégées. Le contrôle d’application, la suppression des droits d’administrateur local et l’exécution restreinte de l’application sur les PW empêchent l’exécution de code non autorisée pendant les sessions d’administration.
Réutilisation des informations d’authentification depuis la mémoire Les attaquants peuvent extraire des informations d’identification ou des jetons de la mémoire de stations de travail compromises et les réutiliser pour élever leurs privilèges ou se déplacer latéralement. Les PW appliquent l’isolation des informations d’identification à l’aide de la sécurité basée sur la virtualisation et de configurations de système d’exploitation renforcées, ce qui réduit l’exposition des informations d’identification en mémoire et limite les opportunités de relecture.
Processus d’approbation contournés depuis des appareils compromis Même avec l’activation de rôle basée sur l’approbation, les attaquants contrôlant une station de travail peuvent détourner des sessions approuvées et augmenter rapidement les privilèges. La fiabilité de l’appareil devient une condition préalable pour les tâches à privilèges. Les PAW garantissent que les approbations et les actions administratives soient effectuées uniquement depuis des appareils conçus pour résister au fait d’être compromis.
Escalade rapide à partir d’une station de travail compromise Une seule station de travail d’administration compromise peut permettre aux attaquants de pivoter rapidement vers les systèmes d’identité, les plans de contrôle et l’administration à l’échelle de l’entreprise. La sécurité de l’appareil fixe la limite supérieure du niveau de confiance. Les PAWs offrent le plus haut niveau de sécurité, réduisant ainsi le risque qu’un terminal compromis puisse être utilisé pour obtenir des rôles privilégiés.

Résultats de phase

Après la phase 2 :

  • Un ou plusieurs appareils PAW dédiés sont configurés.
  • Le travail administratif privilégié provient uniquement des PW.
  • Les PAW sont isolés des usages de productivité.
  • Les appareils sont gérés, surveillés et récupérables de manière centralisée.
  • Les hypothèses de confiance accordée aux appareils sont explicites et applicables.
  • Les phases ultérieures peuvent appliquer en toute sécurité l’accès conditionnel et la surveillance.

Prerequisites

Avant de configurer des procédures dans cet article :

  • Assurez-vous que les instructions de la phase 1 sont terminées.
  • Découvrez la sécurité des appareils dans le récit d’accès privilégié.
  • Les services suivants doivent être disponibles :
    • Microsoft Entra ID en tant que fournisseur d’identité.
    • Microsoft Intune pour la gestion des appareils.
    • Microsoft Defender for Endpoint pour la protection contre les menaces.
  • Vous avez besoin d’au moins un appareil Windows pris en charge par administrateur, avec un matériel Windows moderne qui prend en charge :
    • TPM 2.0
    • Démarrage sécurisé UEFI
    • BitLocker
    • Sécurité basée sur la virtualisation (VBS/HVCI)
    • Microprogramme et pilotes serviceés via Windows Update.

Les appareils qui ne répondent pas à cette barre ne doivent pas être utilisés pour l’accès privilégié.

Étape 1 : Définir le déploiement et le cycle de vie de PAW

Définissez les appareils qui sont des PPM, la façon dont ils sont créés, inscrits, gérés et empêchés d’être utilisés avant qu’ils ne soient prêts.

Créer un groupe d’appareils PAW

Ce groupe contient des appareils PAW et est utilisé pour :

  • Ciblage d’inscription
  • Profils de durcissement
  • Évaluation de la conformité
  • Application de l’accès conditionnel dans une phase ultérieure.

Créez comme suit :

  1. Dans le Centre d’administration Microsoft Entra, accédez à Microsoft Entra ID>Groups>New group.

  2. Configurez les paramètres du groupe, puis sélectionnez Créer.

    • Type de groupe : Sécurité
    • Nom du groupe : Périphériques de station de travail sécurisés
    • Type d’appartenance : Appareils dynamiques

  3. Sélectionnez Ajouter une requête dynamique et ajoutez une règle avec cette syntaxe : device.devicePhysicalIds -any _ -contains « [OrderID] : PAW »

  4. Sélectionnez Enregistrer>Créer.

Les appareils inscrits avec la balise de groupe PAW Autopilot sont identifiés par la règle d’appareil dynamique PAW et traités comme des stations de travail à accès privilégié.

Définir qui peut créer des PAWs

Veillez à ce que les PAW soient enrôlés de manière intentionnelle et sécurisée.

  • Restreindre les personnes pouvant joindre des appareils à Microsoft Entra ID.
  • Exiger l’authentification multifacteur pour joindre des appareils.
  • Supprimez les droits d’administrateur local automatique lors de la jointure.
  1. Dans le Centre d’administration Entra, accédez à Appareils>Paramètres de l’appareil.
  2. Dans Les utilisateurs peuvent joindre des appareils à Microsoft Entra ID>Sélectionné, sélectionnez Utilisateurs de postes de travail sécurisés.
  3. Dans Exiger l’authentification multifacteur pour joindre des appareils, sélectionnez Oui.
  4. Dans Administrateurs locaux supplémentaires sur les appareils joints à Microsoft Entra, sélectionnez Aucun.
  5. Enregistrez les paramètres.

Une fois cette configuration en place, seuls les utilisateurs PAW peuvent enregistrer des PAW, l’authentification multifacteur est requise, et aucun utilisateur PAW ne devient administrateur local par défaut.

Gérer les PAWs dès le premier démarrage

Les PAWs doivent être gérés dès le premier démarrage. Les appareils non managés ne peuvent pas être approuvés pour l’accès privilégié.

  • Configurez Microsoft Entra ID pour inscrire automatiquement des appareils dans Intune.
  • Assurez-vous que tous les PAW sont gérés par MDM immédiatement après la jonction.
  • Restreindre l’inscription des appareils aux plateformes approuvées.
  1. Ouvrez Microsoft Entra ID>Mobility (MDM et MAM)>Microsoft Intune.
  2. Définissez la portée utilisateur MDM sur Tous et enregistrez.
  3. Configurer les restrictions d’inscription :
    • Autoriser l’inscription des appareils Windows.
    • Bloquer ou restreindre les appareils personnels.

Les PAW sont toujours gérés et ne sont jamais non gérés.

Déployer des PAWs de façon cohérente

Utilisez Windows Autopilot pour mettre en place un provisionnement des PAW cohérent et reproductible, afin de garantir que les PAW démarrent dans un état fiable et connu.

Créez un profil de déploiement Autopilot dédié et affectez-le au groupe d’appareils PAW.

  1. Dans le Centre d’administration Microsoft Intune, accédez à Appareils>Windows>Inscription Windows>Profils de déploiement.
  2. Sélectionnez Créer un profil et créez un profil avec les paramètres suivants :
    • Nom : Profil de déploiement de station de travail sécurisé
    • Convertir tous les appareils ciblés en Autopilot : Oui
    • Mode de déploiement : autodéploiement
    • Type de compte d’utilisateur : Standard
  3. Cliquez sur Créer.

Empêcher les PAWs d’être utilisés avant le durcissement

Évitez d’utiliser les PAWs avant qu’ils ne soient entièrement durcis. Cela empêche l’exposition anticipée pendant l’installation.

  • Configurer une page d’état d’inscription (ESP)
  • Bloquer l’utilisation de l’appareil jusqu’à ce que tous les profils et applications requis s’installent
  • Attribuer ESP aux appareils PAW

  1. Dans le Centre d’administration Microsoft Intune, accédez à Appareils>Windows>Inscription Windows>Statut d’inscription.

  2. Sélectionnez Créer un profil et créez un profil avec les paramètres suivants :

    • Afficher la progression de l’installation de l’application et du profil : Oui
    • Bloquer l’utilisation de l’appareil jusqu’à ce que toutes les applications et tous les profils soient installés : Oui

  3. Affectez à Secure Workstation Devices, puis sélectionnez Créer.

Opérations de cycle de vie en cours

  1. Pour restaurer et reconstruire les PAW :

    • Réinitialiser / reprovisionner PAWs via Autopilot lorsqu’ils sont compromis.
    • Considérez les PAWs comme remplaçables, et non comme réparables manuellement.

  2. Pour identifier et suivre les PAWs, utilisez :

    • Appartenance au groupe d’appareils
    • Enregistrement Autopilot

Avec ces processus en place, les PAW sont des appareils clairement identifiables et gérés de manière centralisée, qui peuvent être répertoriés, examinés, effacés en toute sécurité et réapprovisionnés via Autopilot en cas de compromission.

Étape 2 : Sécuriser les PAWs

Renforcer les stations de travail d’accès privilégié (PW) pour présenter un signal d’appareil propre et à faible risque. Les contrôles de renforcement incluent la réduction de la surface d’attaque, l’application de correctifs et la production de signaux de risque/conformité Defender.

Les contrôles d’accès conditionnel et de surveillance s’appuient sur cette posture pour appliquer des décisions d’accès privilégié.

Ces contrôles supposent que les PW répondent aux conditions préalables de sécurité matérielle requises définies précédemment.

Configurer des anneaux Windows Update

Les PAWs doivent être mis à jour rapidement et de façon prévisible. Les retards ou les reports contrôlés par l’utilisateur sapent la confiance des appareils.

  1. Dans le Centre d’administration Microsoft Intune, accédez à Appareils>Windows>Mises à jour logicielles>Anneaux de mises à jour Windows.

  2. Sélectionnez Créer un profil.

  3. Configurez les paramètres suivants :

    • Nom : PAW – anneau de Windows Update
    • Report de mise à jour de qualité (jours) : 3
    • Report de la mise à jour des fonctionnalités (jours) : 3
    • Comportement de mise à jour automatique : Installation et redémarrage automatiques sans contrôle de l’utilisateur final
    • Empêcher l’utilisateur de suspendre les mises à jour : Bloquer
    • Définir l’échéance des redémarrages en attente : 3 jours

  4. Dans Affectations, affectez-les à des appareils de poste de travail sécurisé.

  5. Créez le profil.

Une fois cette procédure terminée, les PAW restent corrigés, avec une fenêtre d’exposition réduite au minimum et sans possibilité de contournement par l’utilisateur.

Intégrer à Defender for Endpoint

L’accès conditionnel et la conformité dépendent des signaux de risque Defender. Sans Defender for Endpoint, la confiance de l’appareil est incomplète.

  1. Dans le Centre d’administration Microsoft Intune, accédez à Sécurité des points de terminaison>Microsoft Defender for Endpoint.
  2. Définissez Connecter Microsoft Defender pour point de terminaison à Intune sur Activé.
  3. Cliquez sur Enregistrer.
  4. Actualisez dans Intune pour confirmer la connexion.

Créer un profil d’intégration

  1. Dans le Centre d’administration Microsoft Intune, accédez à Sécurité des points de terminaison>Détection et réponse des points de terminaison.

  2. Sélectionnez Créer un profil et configurez les paramètres suivants :

    • Plateforme : Windows 10 et versions ultérieures
    • Type de profil : détection et réponse des points de terminaison
    • Nom : PAW - Defender for Endpoint

  3. Dans les paramètres de configuration , activez le partage d’exemples pour tous les fichiers.

  4. Affectez-le au groupe Appareils de poste de travail sécurisé.

  5. Créez le profil.

Après avoir configuré la procédure, les PAWs émettent des données de télémétrie sur les risques liés aux appareils, les logiciels malveillants et l’EDR, utilisées par l’Accès conditionnel et SecOps.

Appliquer des restrictions de pare-feu et de réseau

La plupart des vecteurs de compromission des PAW sont sortants. La restriction de sortie est essentielle.

  1. Dans le Centre d’administration Microsoft Intune, accédez à Sécurité des points de terminaison>Pare-feu.
  2. Créez un profil de protection des points de terminaison.
  3. Configurez les règles de pare-feu sortantes pour autoriser uniquement les services requis tels que DNS, DHCP, NTP et les points de terminaison d’administration et de gestion approuvés. Bloquer le trafic sortant inutile par défaut.
  4. Affecter àdes appareils de station de travail sécurisés.

Après avoir configuré la procédure, les PAWs peuvent accéder uniquement aux points de terminaison d’administration requis pour les tâches de gestion.

Étapes suivantes

Avec les PAW configurés et renforcés, l’étape suivante consiste à appliquer un contrôle d’accès privilégié à l’aide de l’Accès conditionnel et d’une stratégie.

  • Last updated on