Phase 3 : Appliquer des stratégies d’accès privilégié

Cet article fait partie du guide de solution Implémenter une architecture d’accès privilégié .

L’accès privilégié présente un risque de sécurité critique dans la plupart des organisations, car il permet un contrôle direct sur les systèmes d’identité, les plans de contrôle cloud et les ressources critiques pour l’entreprise.

Découvrez comment une architecture d’accès privilégié sécurisé joue un rôle essentiel dans votre scénario métier - Protéger les ressources métier critiques - en réduisant ce risque et en renforçant le contrôle sur les systèmes sensibles.

Cet article décrit la phase 3 de l’implémentation. Il applique des stratégies d’accès privilégié pour restreindre l’emplacement où les identités privilégiées peuvent être utilisées.

À l’aide des signaux d’appareil approuvés établis dans la phase 2, vous configurez l’accès conditionnel de sorte que les rôles privilégiés, les portails et les interfaces de gestion ne peuvent être utilisés qu’à partir de stations de travail d’accès privilégié approuvées et à faible risque (PFA).

Objectifs de protection

La phase 3 applique les objectifs de protection suivants :

  • Vérifiez que les informations d’identification privilégiées ne peuvent pas être utilisées à partir d’appareils non PAW.
  • Les portails d’administration et les interfaces sont accessibles uniquement à partir d’appareils conformes et à faible risque.
  • L’accès privilégié nécessite une authentification utilisateur forte et une approbation d’appareil vérifiée.
  • Restreindre l’accès aux interfaces administratives (portails, API, PowerShell) aux PW approuvés.
  • Les informations d’identification volées ne peuvent pas être réutilisées à partir de points de terminaison standard ou non managés.
  • Les chemins d’accès privilégié sont explicites, auditables et applicables.

Étendue de protection

La phase 3 protège les interfaces d’accès privilégié et les flux de travail par le biais desquels des actions privilégiées se produisent, notamment :

  • Portails de gestion cloud (portail Azure, centre d’administration Microsoft Entra, Microsoft 365 admin center)
  • Portails de gestion de la sécurité (portails Microsoft Defender)
  • Utilisation et activation des rôles privilégiés (y compris les rôles contrôlés par PIM)
  • Sessions de navigateur d’administration
  • Chemins de sortie réseau utilisés par les appareils privilégiés

La phase 3 ne reconfigure pas les appareils ou les identités. Elle applique la stratégie à l’aide des sorties des phases 1 et 2.

Risques atténués

Risque Pourquoi cela importe Atténuation de la phase 3
Informations d’identification privilégiées réutilisées à partir d’appareils non PAW L’authentification multifacteur et les approbations n’empêchent pas les attaquants de réutiliser des jetons volés ou des informations d’identification sur des stations de travail standard compromises. L’accès conditionnel exige que les utilisateurs occupant des rôles privilégiés s’authentifient uniquement depuis des PAW conformes et présentant un faible risque.
Accès privilégié à partir d’appareils à haut risque ou non corrigés Un appareil vulnérable permet aux attaquants d’exercer immédiatement un contrôle administratif. Les décisions d’accès évaluent la conformité dans Intune et le niveau de risque de Microsoft Defender for Endpoint avant d’autoriser l’accès privilégié.
Portails d’administration accessibles à partir d’appareils non gérés ou BYOD Les plans de contrôle cloud deviennent accessibles à partir d’appareils en dehors du contrôle organisationnel. L’accès conditionnel restreint les portails administratifs aux PAW, ce qui bloque l’accès à partir d’appareils non PAW.
Contournement des portails protégés à l’aide d’autres interfaces Les attaquants peuvent éviter les contrôles à l’aide de PowerShell, d’API ou de points de terminaison d’administration alternatifs. L’application des règles s’exerce de manière cohérente dans l’ensemble des interfaces administratives, et pas seulement sur les portails principaux.
Activation de rôle privilégié à partir de stations de travail compromises Les flux de travail d’approbation peuvent être détournés si l’activation de rôle se produit sur un appareil non sécurisé. L’activation des rôles PIM et l’utilisation des rôles sont appliquées par le biais des mêmes exigences d’approbation d’appareil d’accès conditionnel.
Les informations d’identification autorisent uniquement l’accès privilégié Les protections d’identité uniquement supposent un environnement d’exécution fiable. La phase 3 lie les conditions d’identité, d’appareil et d’interface afin que les informations d’identification seules soient insuffisantes.
Manque de visibilité sur l’application des règles Sans application de stratégie, il est difficile de prouver que l’accès privilégié est limité. Les décisions d’accès conditionnel et les données de télémétrie Defender fournissent des preuves d’application vérifiables et observables.
Escalade rapide après compromission de station de travail Les attaquants pivotent rapidement d’un appareil compromis vers un contrôle à l’échelle de l’entreprise. La phase 3 garantit que les identifiants volés sont inutilisables en dehors des PAWs, bloquant ainsi les vecteurs d’escalade courants.

Résultats de phase

Après la phase 3 :

  • Les rôles privilégiés et les portails d’administration sont accessibles uniquement à partir de PW conformes et à faible risque.
  • L’accès conditionnel bloque l’accès privilégié à partir d’appareils non PAW.
  • La conformité des appareils et les signaux de risque Microsoft Defender for Endpoint sont des entrées requises pour prendre des décisions d’accès.
  • L’accès privilégié est appliqué entre les couches d’identité, d’appareil et d’interface.
  • Les tentatives d’accès sont journalisées, observables et auditables.

Prerequisites

Avant de configurer des procédures dans cet article :

  • Suivez les instructions de la phase 1 pour sécuriser le plan de contrôle d’identité.
  • Terminez la phase 2 pour déployer et sécuriser les PAWs.
  • Assurez-vous que la conformité des appareils et l’intégration à Defender pour point de terminaison sont actives.

Étape 1 : exiger l’authentification multifacteur et l’approbation d’appareil pour l’accès privilégié

Assurez-vous que l’accès privilégié nécessite une authentification utilisateur forte et des appareils approuvés.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Protection>Accès conditionnel>Stratégies.
  2. Sélectionnez Créer une stratégie.
  3. Dans Affectations>, les utilisateurs configurent ces paramètres :
    • Incluez des rôles d’annuaire privilégiés tels que l’administrateur général, l’administrateur de sécurité.
    • Excluez le groupe brise-glace d’urgence.
  4. Dans Assignments>, Cloud apps inclut des applications de gestion du cloud telles que le portail Azure, centre d’administration Microsoft Entra, Microsoft 365 admin center et les portails Defender.
  5. Dans les contrôles Access, accordez l’accès avec ces paramètres :
    • Exiger l’authentification multifacteur
    • Exiger que l’appareil soit marqué comme conforme
    • Exiger que le risque de l’appareil dans Microsoft Defender for Endpoint soit faible
  6. Activez la stratégie.

Étape 2 : restreindre les portails d’administration aux PW

Assurez-vous que les portails administratifs sont accessibles uniquement à partir de PW conformes.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Protection>Accès conditionnel>Stratégies.
  2. Sélectionnez Créer une stratégie pour créer une stratégie supplémentaire.
  3. Dans Affectations>, les utilisateurs configurent ces paramètres :
    • Incluez des rôles d’annuaire privilégiés tels que l’administrateur général, l’administrateur de sécurité.
    • Excluez le groupe break glass d’urgence.
  4. Dans Affectations>Applications cloud, incluez les applications d’administration utilisées pour l’accès privilégié dans votre environnement.
  5. Dans les contrôles Access, accordez l’accès avec ces paramètres :
    • Exiger que l’appareil soit marqué comme conforme
    • Exiger que le niveau de risque de l’appareil Microsoft Defender for Endpoint = Faible
  6. Activez la stratégie.

Étape 3 - Bloquer l’accès privilégié à partir d’appareils non PAW

Assurez-vous que l’accès privilégié aux portails d’administration est bloqué à partir d’appareils non PAW, même si ces appareils répondent aux exigences de conformité générales.

  1. Dans le Centre d’administration Microsoft Entra, accédez à Protection>Accès conditionnel>Stratégies.
  2. Sélectionnez Créer une stratégie pour créer une troisième stratégie.
  3. Dans Affectations>, les utilisateurs configurent ces paramètres :
    • Incluez des rôles d’annuaire privilégiés tels que l’administrateur général, l’administrateur de sécurité.
    • Excluez les comptes d’accès d’urgence désignés.
  4. Dans Affectations>applications cloud figurent les mêmes portails d’administration.
  5. Sous Conditions, sélectionnez Filtrer pour les appareils.
  6. Configurez le filtre d’appareil pour cibler les appareils non PAW :
    • Sélectionnez Inclure les appareils filtrés :
    • Configurez un filtre d’appareil qui identifie les appareils non PAW en fonction de l’attribut ou de la règle que votre organisation utilise pour distinguer les PAW. Assurez-vous que cela correspond à la méthode d’identification établie dans la phase 2.
  7. Sélectionnez OK pour appliquer la condition du filtre d’appareil.
  8. Sous Contrôles d’accès, sélectionnez Bloquer l’accès.
  9. Sélectionnez Créer pour activer la stratégie.

Étape 4 : Restreindre l’accès réseau PAW

Limitez l’accès réseau PAW aux points de terminaison d’administration et de gestion requis uniquement. Cette configuration s’appuie sur des règles de pare-feu explicites pour autoriser les points de terminaison requis, plutôt que les allocations de protocole étendues.

  1. Dans le centre d’administration Microsoft Intune, accédez à Sécurité des points de terminaison>Pare-feu.

  2. Sélectionner Créer une stratégie.

  3. Configurez la stratégie : - Platform : Windows 10 et versions ultérieures. 1. Configurez les paramètres du profil de pare-feu :

    • Connexions entrantes : Bloquer
    • Connexions sortantes : Autoriser (par défaut, contrôlé par les règles ci-dessous)

  4. Sous Paramètres, configurez les règles de pare-feu . Utilisez des règles de pare-feu pour définir le trafic requis pour l’administration privilégiée.

  5. Créez des règles d’autorisation sortantes pour les services requis, telles que :

    • Système de noms de domaine (DNS)
    • DHCP
    • NTP
    • Points de terminaison Microsoft requis pour la gestion du cloud, tels qu’Intune et Microsoft Entra ID.
    • Points de terminaison administratifs requis.

    Chaque règle doit :

    • Spécifiez la direction : sortante.
    • Spécifier l’action : Autoriser
    • Définir des points de terminaison de destination (plages d’adresses IP, noms de domaine complets ou balises de service où elles sont prises en charge)

  6. Vérifiez qu’aucune règle d’autorisation étendue, telle que HTTP/HTTPS sans restriction, n’est configurée.

  7. Affectez la stratégie aux appareils de station de travail sécurisés (PPM).

  8. Sélectionnez Créer pour déployer la stratégie.

Cette opération termine la couche d’application de l’accès privilégié. L’article suivant peut s’appuyer sur celui-ci pour couvrir les critères de mesure, de surveillance et de réussite.

Étapes suivantes

Avec la couche d’application de l’accès privilégié en place, la dernière étape consiste à configurer la surveillance.

  • Last updated on