Microsoft a publié un article pour décrire un plan d’actions visant à sécuriser les accès privilégiés. Depuis plusieurs mois, les attaques sur les annuaires d’entreprise (Active Directory) ont été de plus en plus importantes avec notamment l’exploitation de failles Pass-The-Hash et Pass-The-Ticket.
Microsoft propose un plan en trois phases :
- Phase 1 : 2 à 4 semaines :
- Séparer les comptes administrateurs pour les tâches administratives
- Privileged Access Workstations (PAW) : http://aka.ms/CyberPAW
- Configuration d’un mot de passe d’administrateur local unique pour les stations de travail. http://aka.ms/LAPS
- Configuration d’un mot de passe d’administrateur local unique pour les serveurs. http://aka.ms/LAPS
- Phase 2 : 1 à 3 mois :
- Privileged Access Workstations (PAW) : Implémentation de stations de travail dédiées pour tous les employés avec des accès privilégiés : http://aka.ms/CyberPAW
- Utilisation du concept des privilèges Just-In-Time à durée limitée en utilisant MIM ou Azure AD Privileged Identity Management.
- Utilisation de l’authentification à facteurs multiples pour les élévations de priviléges.
- Implémentation de Just Enough Admin (JEA) pour la maintenance des contrôleurs de domaine.
- Abaisser la surface d’attaque du domaine et des contrôles de domaine.
- Détecter les attaques avec Microsoft Advanced Threat Analytics (ATA).
- Phase 3 : 6 mois ou plus :
- Moderniser le modèle de délégation et les rôles
- Authentification avec SmartCard ou Microsoft Passport pour tous les administrateurs
- Création d’une forêt d’administration
- Implémentation des stratégies d’intégrité du code pour les contrôleurs de domaine (Windows Server 2016)
- Implémentation des machines virtuelles protégées (Shielded VMs) pour les contrôleurs de domaine virtuels.
Pour en apprendre plus, lisez : https://technet.microsoft.com/windows-server-docs/security/securing-privileged-access/securing-privileged-access
