Privileged Identity Management pour les services de domaine Active Directory (AD DS)

 

Privileged Identity Management est une solution basée sur Microsoft Identity Manager (MIM), Windows Server 2012 R2 et Windows Server (version d'évaluation technique). Elle permet aux organisations de restreindre l'accès privilégié au sein d'un environnement Active Directory existant.

REMARQUE : la fonctionnalité Active Directory locale de PIM est appelée Privileged Access Manager (PAM).

Le processus de configuration de PIM comprend la création d'une nouvelle forêt bastion Active Directory. La forêt bastion a une relation d'approbation avec votre forêt existante. Elle établit un environnement initial propre, dénué d'artefacts résultant d'utilisateurs malveillants ou de vols d'informations d'identification privilégiées, ce qui permet à une organisation dont l'environnement Active Directory a déjà été compromis de disposer d'une fondation sur laquelle rétablir le contrôle. Elle isole également l'utilisation des comptes privilégiés et réduit le risque que ces informations d'identification soient dérobées, car elles ne sont pas nécessaires pour les tâches non administratives.

Grâce à cette conception, PIM n'exige aucune modification des applications ou utilisateurs existants dans l'environnement Active Directory. Il est inutile de mettre à niveau les serveurs ou d'augmenter les niveaux fonctionnels de domaine ou de forêt dans cet environnement pour commencer à utiliser PIM.

L'un des plus graves problèmes auxquels font face les entreprises aujourd'hui est l'incertitude concernant l'accès aux ressources dans un environnement Active Directory. Les découvertes de vulnérabilités, d'escalades de privilèges non autorisées et d'autres types d'accès non autorisé (y compris les agressions de type « pass-the-hash », « pass-the-ticket », « spear phishing » et Kerberos) sont particulièrement perturbantes. Toutes ces possibilités d'attaque constituent une préoccupation pour les entreprises.

Leur environnement Active Directory pourrait-il déjà être compromis ? Si ce n'est pas le cas, combien de temps faudra-t-il à une personne malveillante pour rechercher et compromettre un compte Admins du domaine ? Une fois que les pirates auront obtenu cet accès, qu'est-ce qui pourra les arrêter ? Combien de temps pourront-ils passer sur le réseau avec cet accès ? Pendant combien de temps l'environnement sera-t-il exposé avant qu'une agression ne soit détectée ? Les pirates peuvent laisser des portes dérobées (créer un moyen de revenir sur le réseau, mais pas à l'aide des procédures normales), effectuer une exfiltration de données et mener à bien d'autres attaques.

L'objectif de PIM est de modifier les délais dans lesquels ces vulnérabilités peuvent être exploitées. Aujourd'hui, il est trop facile pour les pirates d'obtenir des informations d'identification de compte Admins du domaine et il est trop difficile de détecter ces attaques après coup. Associé à d'autres investissements, PIM complique la tâche des personnes malveillantes qui tentent de pénétrer sur un réseau et d'obtenir un accès de compte privilégié. PIM renforce la protection des groupes privilégiés qui contrôlent l'accès à différents ordinateurs appartenant à un domaine et aux applications installées sur ces ordinateurs. Il ajoute également des fonctionnalités d'analyse et de visibilité, ainsi que des contrôles plus affinés permettant aux organisations de savoir qui sont leurs administrateurs privilégiés et ce qu'ils font. PIM permet aux entreprises d'en savoir plus sur l'utilisation de ces comptes d'administration dans l'environnement.

PIM repose sur le principe de l'administration juste-à-temps, qui fonctionne conjointement avec des fonctionnalités associées pour bénéficier d'une administration JEA (Just Enough Administration). JEA est une boîte à outils Windows PowerShell qui définit un ensemble de commandes pour effectuer des activités privilégiées et un point de terminaison où les administrateurs peuvent obtenir l'autorisation pour exécuter ces commandes. Si JEA autorise une certaine tâche pour les utilisateurs disposant d'un certain privilège, un utilisateur peut demander ce privilège et ainsi être en mesure d'effectuer la tâche pendant un laps de temps limité. Un administrateur peut spécifier ce laps de temps et, une fois celui-ci écoulé, le compte privilégié ne peut plus être utilisé. L'administration juste-à-temps et l'administration JEA PIM peuvent être déployées indépendamment ou ensemble.

La configuration et l'utilisation de PIM comportent quatre étapes.

MIM_PIM_SetupProcess

  1. Préparation : identifiez les groupes qui disposent de privilèges importants dans votre forêt existante. Dans le cadre de la configuration de PIM, vous supprimerez les membres de ces groupes dans la forêt actuelle et vous créerez les groupes sans membre dans la forêt bastion.

  2. Protection : configurez la protection du cycle de vie et de l'authentification, telle que l'authentification multifacteur (MFA), si les utilisateurs demandent une administration juste-à-temps. L'authentification multifacteur permet de prévenir les attaques par programmation à partir de logiciels malveillants ou suite à un vol d'informations d'identification.

  3. Exécution : une fois que les conditions d'authentification ont été remplies et qu'une demande a été approuvée, un compte d'utilisateur est ajouté à un groupe privilégié dans la forêt bastion. Par exemple, un administrateur de Microsoft SharePoint peut demander des privilèges. L'approbation de cette demande peut exiger l'authentification multifacteur. Une fois que l'administrateur SharePoint s'est authentifié à l'aide de son téléphone, le compte de l'administrateur est ajouté à un groupe privilégié dans la forêt bastion pour un laps de temps spécifique, par exemple 4 heures. Pendant ce laps de temps, l'administrateur dispose de tous les privilèges et autorisations d'accès qui sont affectés à ce groupe. Au bout de 4 heures, le compte est supprimé du groupe.

  4. Suivi : PIM ajoute des fonctionnalités d'audit, d'alertes et de création de rapports pour les demandes d'accès privilégié. Vous pouvez toujours consulter l'historique de l'accès privilégié et voir qui a effectué une activité. Vous pouvez déterminer si l'activité est valide ou non et identifier facilement toute activité non autorisée, par exemple une tentative d'ajout d'un utilisateur directement à un groupe privilégié dans la forêt d'origine. Cette étape est importante non seulement pour identifier les logiciels malveillants, mais également pour suivre les pirates « infiltrés ».

PIM est basé sur les nouvelles fonctionnalités des services AD DS, en particulier pour l'authentification et l'autorisation des comptes de domaine, ainsi que sur les nouvelles fonctionnalités de MIM. PIM permet de séparer les comptes privilégiés d'un environnement Active Directory existant. Quand un compte privilégié doit être utilisé, il doit tout d'abord être demandé, puis approuvé. Après l'approbation, l'autorisation est accordée au compte privilégié via un groupe principal étranger dans une nouvelle forêt bastion plutôt que dans la forêt actuelle de l'utilisateur ou de l'application. L'utilisation d'une forêt bastion offre à l'organisation un meilleur contrôle. Vous pouvez par exemple déterminer quand un utilisateur peut être membre d'un groupe privilégié et comment l'utilisateur doit s'authentifier.

Vous pouvez également déployer Active Directory, le service MIM et d'autres parties de cette solution dans une configuration haute disponibilité.

L'exemple suivant illustre plus en détail le fonctionnement de PIM.

MIM_PIM_howitworks

Ce modèle d'accès d'administration permet à la forêt bastion de délivrer des appartenances aux groupes à durée limitée, qui à leur tour génèrent des tickets TGT à durée limitée que les applications ou les services Kerberos existants peuvent honorer et appliquer, y compris les applications et les services dans d'autres forêts qui approuvent la forêt bastion.

Vous n'avez pas besoin de déplacer les comptes ordinaires des utilisateurs vers une nouvelle forêt qui opère à un niveau fonctionnel spécifique. Ces comptes restent dans leur forêt existante, quel que soit son niveau fonctionnel. Il en va de même pour les ordinateurs, les applications et leurs groupes. Ils restent là où ils sont aujourd'hui dans une forêt existante. Aucune mise à niveau n'est nécessaire. Prenons comme exemple une organisation qui a quelques inquiétudes aujourd'hui concernant ces problèmes de sécurité, mais qui ne prévoit pas pour le moment d'effectuer de mise à niveau de l'infrastructure de serveur vers la prochaine version de Windows Server. Cette organisation peut quand même tirer parti de cette solution combinée en utilisant MIM et une nouvelle forêt bastion pour mieux contrôler l'accès aux ressources existantes.

PIM offre les avantages suivants :

  • Isolation/contrôle des privilèges : les utilisateurs ne détiennent pas de privilèges sur des comptes qui effectuent des tâches ne nécessitant pas un accès privilégié. Par exemple, s'ils ont des comptes qu'ils utilisent pour des activités quotidiennes, telles que la vérification du courrier électronique ou la navigation sur le web, ces comptes n'ont pas de privilèges d'administrateur. Les utilisateurs doivent demander des privilèges. Les demandes sont approuvées ou refusées en fonction des stratégies MIM définies par un administrateur PIM. Tant qu'aucune demande n'a été approuvée, l'accès privilégié n'est pas disponible.

  • Step-up et proof-up : il s'agit de nouvelles stimulations d'authentification et d'autorisation qui permettent de gérer le cycle de vie de comptes d'administration distincts. L'utilisateur peut demander l'élévation d'un compte d'administration et cette demande passe par les flux de travail MIM.

  • Journalisation supplémentaire : outre les flux de travail MIM intégrés, il existe une journalisation supplémentaire pour PIM qui identifie la demande, comment elle a été autorisée et tous les événements qui se produisent après l’approbation.

  • Flux de travail personnalisable : vous pouvez configurer les flux de travail MIM pour différents scénarios et utiliser plusieurs flux de travail, en fonction des paramètres de l’utilisateur demandeur ou des rôles demandés.

Un utilisateur peut soumettre une demande de plusieurs manières : à l'aide d'options traditionnelles telles que l'API des services web Services MIM et à l'aide de nouvelles interfaces, via un point de terminaison REST et Windows PowerShell (New-PAMRequest), ce qui permet aux utilisateurs de créer facilement de nouvelles demandes.

En guise d'exemple, supposons qu'un utilisateur était membre d'un groupe d'administration avant la configuration de PIM. Dans le cadre de cette configuration, l'utilisateur est supprimé du groupe d'administration et une stratégie est créée dans MIM. La stratégie spécifie que si cet utilisateur demande des privilèges d'administrateur et qu'il est authentifié par l'authentification multifacteur, la demande est approuvée et un compte distinct pour l'utilisateur est ajouté au groupe privilégié dans la forêt bastion.

En supposant que la demande soit approuvée, le flux de travail Action communique directement avec la forêt bastion Active Directory pour ajouter un utilisateur à un groupe. Par exemple, quand Jean demande à administrer la base de données de ressources humaines, son compte d'administration est ajouté au groupe privilégié dans la forêt bastion en quelques secondes. L'appartenance à ce groupe de son compte d'administration expirera après un laps de temps spécifique, par exemple une heure, un jour, une semaine ou tout autre délai qui convient pour cette demande. Avec Windows Server (version d'évaluation technique), cette appartenance est associée dans Active Directory avec une limite de temps ; avec Windows Server 2012 R2 dans la forêt bastion, ce délai est appliqué par MIM.

System_CAPS_ICON_note.jpg Remarque


Quand vous ajoutez un nouveau membre à un groupe, la modification doit être répliquée vers d'autres contrôleurs de domaine dans la forêt bastion. La latence de réplication peut affecter la capacité des utilisateurs à accéder aux ressources. Pour plus d'informations sur la latence de réplication, consultez Fonctionnement de la topologie de réplication Active Directory.

En revanche, un lien avec expiration est évalué en temps réel par le Gestionnaire de comptes de sécurité (SAM). Cela signifie que même si l'ajout d'un membre de groupe est une modification qui doit être répliquée par le contrôleur de domaine qui reçoit la demande d'accès, la suppression d'un membre de groupe n'a pas besoin d'être répliquée. Elle est évaluée instantanément sur n'importe quel contrôleur de domaine.

Ce flux de travail est conçu spécifiquement pour ces comptes d'administration. Les administrateurs (ou même les scripts) qui n'ont besoin que d'un accès occasionnel à des groupes privilégiés peuvent demander précisément cet accès. MIM enregistre la demande et les modifications dans Active Directory que vous pouvez visualiser dans l'Observateur d'événements. Il est très facile d'envoyer la sortie de ce système vers des solutions d'analyse d'entreprise telles que les services ACS (Audit Collection Services) de System Center 2012 Operations Manager ou d'autres outils tiers.

Une fois les flux de travail terminés, les utilisateurs peuvent vérifier que leurs comptes dans la forêt bastion appartiennent aux mêmes groupes que ceux dont leurs comptes de forêt (« Corp » dans le diagramme précédent) existants étaient initialement membres, comme s'ils avaient été membres tout le long. Ils peuvent ensuite utiliser leur compte dans la forêt bastion pour accéder aux applications existantes dans la forêt existante. Ces droits d'accès disparaîtront automatiquement quand le ticket expirera et toutes leurs appartenances expireront également, sauf si elles sont renouvelées.

Afficher: