Prise en main de la gestion de l'accès privilégié

 

Ce guide contient des instructions qui illustrent les fonctionnalités de Microsoft Identity Manager et des Services de domaine Active Directory pour la gestion de l'accès privilégié pour l'administration entre forêts.

Dans de nombreuses cyber-attaques sophistiquées contre diverses entreprises dans le monde entier, les pirates concentrent souvent leur attention sur l'obtention des privilèges d'administrateur. En particulier, ils peuvent utiliser des techniques telles que « Pass-the-Hash », le « spear-phishing » ou autres pour obtenir les droits d'accès d'un utilisateur disposant de privilèges d'administrateur dans un domaine ou une forêt. Ces attaques sont exacerbées par le fait que de nombreux utilisateurs ont des privilèges d'administrateur permanents associés à leur compte Active Directory. Si un intrus compromet l'un de ces comptes d'utilisateurs et parvient à se connecter ou à exécuter un programme en tant qu'utilisateur, il dispose alors de privilèges d'administrateur. Les organisations soucieuses des risques d'attaque interne et de la restriction d'accès avec l'externalisation informatique cherchent également à améliorer les contrôles ou les utilisateurs disposant d'un accès avec des privilèges élevés. Le document Meilleures pratiques pour la sécurisation d'Active Directory met en évidence le besoin d'« éliminer l'appartenance permanente aux groupes disposant de privilèges élevés » et d'« implémenter des contrôles pour accorder une appartenance temporaire à des groupes privilégiés en cas de besoin ». Ce guide illustre comment implémenter ces contrôles à l'aide de Windows Server Active Directory et de Microsoft Identity Manager.

L'architecture de solution pour la gestion de l'accès privilégié (PAM, Privileged Access Management) est basée sur deux concepts :

  • le contrôle grâce à la gestion de l'accès d'un utilisateur, et non de ses informations d'identification, et l'utilisation des groupes Active Directory pour fournir cet accès ;

  • l'extraction et l'isolement des comptes d'administration par rapport aux forêts Active Directory existantes.

Cette solution est axée principalement sur les comptes de domaine, où un utilisateur final s'authentifie et est autorisé à agir en tant que rôle ou administrateur d'application d'une collection particulière de systèmes ou parmi plusieurs services qui reposent sur Kerberos (ou les services AD FS) avec des groupes de sécurité hébergés par Active Directory. Ce guide de laboratoire de test n'a pas pour but de couvrir les scénarios liés aux comptes de service, aux comptes d'administrateur local, aux comptes partagés ou aux environnements autres qu'Active Directory.

Afficher: