Environnement d’administration de sécurité amélioré
L’architecture ESAE (Enhanced Security Admin Environment) (souvent appelée forêt rouge, forêt d’administration ou forêt renforcée) est une approche héritée pour fournir un environnement sécurisé pour les identités d’administrateur Windows Server Active Directory (AD).
La recommandation de Microsoft d’utiliser ce modèle architectural a été remplacée par la stratégie d’accès privilégié moderne et plan de modernisation rapide (RAMP) guide comme approche recommandée par défaut pour sécuriser les utilisateurs privilégiés. Ce guide vise à inclure l’adaptation d’une stratégie plus large pour passer à une architecture de confiance zéro . Étant donné ces stratégies modernisées, l’architecture de forêt administrative renforcée ESAE (locale ou basée sur le cloud) est désormais considérée comme une configuration personnalisée adaptée uniquement aux cas d’exception.
Scénarios d’utilisation continue
Bien qu’il ne s’agit plus d’une architecture recommandée, ESAE (ou composants individuels qu’il contient) peut toujours être valide dans un ensemble limité de scénarios exemptés. En règle générale, ces environnements locaux sont isolés où les services cloud peuvent être indisponibles. Ce scénario peut inclure une infrastructure critique ou d’autres environnements de technologie opérationnelle déconnectée (OT). Toutefois, il convient de noter que les segments de contrôle industriel/contrôle de contrôle et d’acquisition de données (ICS/SCADA) aériens de l’environnement n’utilisent généralement pas leur propre déploiement Active Directory.
Si votre organisation se trouve dans l’un de ces scénarios, la maintenance d’une architecture ESAE actuellement déployée dans son intégralité peut toujours être valide. Toutefois, il doit être compris que votre organisation entraîne des risques supplémentaires en raison de la complexité technique accrue et des coûts opérationnels de maintenance de l’ESAE. Microsoft recommande à toute organisation qui utilise toujours ESAE ou d’autres contrôles de sécurité d’identité hérités, d’appliquer une rigueur supplémentaire pour surveiller, identifier et atténuer les risques associés.
Note
Bien que Microsoft ne recommande plus un modèle de forêt renforcé isolé pour la plupart des scénarios de la plupart des organisations, Microsoft exploite toujours une architecture similaire en interne (et les processus de support associés et le personnel) en raison des exigences de sécurité extrêmes pour fournir des services cloud approuvés aux organisations dans le monde entier.
Conseils pour les déploiements existants
Pour les clients qui ont déjà déployé cette architecture pour améliorer la sécurité et/ou simplifier la gestion multi-forêts, il n’est pas urgent de mettre hors service ou de remplacer une implémentation ESAE si elle est utilisée comme conçue et prévue. Comme pour tous les systèmes d’entreprise, vous devez conserver le logiciel dans celui-ci en appliquant des mises à jour de sécurité et en veillant à ce que les logiciels se trouvent dans cycle de vie de support.
Microsoft recommande également aux organisations disposant d’ESAE / forêts renforcées d’adopter la stratégie d’accès privilégié moderne à l’aide du plan de modernisation rapide (RAMP) conseils. Cette aide complète une implémentation ESAE existante et fournit une sécurité appropriée pour les rôles non déjà protégés par ESAE, notamment les administrateurs Microsoft Entra, les utilisateurs professionnels sensibles et les utilisateurs d’entreprise standard. Pour plus d’informations, consultez l’article Sécurisation des niveaux de sécurité d’accès privilégié.
Quand ESAE a été conçu il y a plus de 10 ans, l’accent a été mis sur les environnements locaux avec Active Directory (AD) servant de fournisseur d’identité local. Cette approche héritée est basée sur des techniques de segmentation de macro pour obtenir des privilèges minimum et ne tient pas compte adéquatement des environnements hybrides ou cloud. En outre, l’ESAE et les implémentations de forêt renforcées se concentrent uniquement sur la protection des administrateurs Windows Server Active Directory locaux (identités) et ne comptent pas pour les contrôles d’identité affinés et d’autres techniques contenues dans les piliers restants d’une architecture de Zero-Trust moderne. Microsoft a mis à jour sa recommandation sur les solutions basées sur le cloud, car elle peut être déployée plus rapidement pour protéger un plus large éventail de rôles et systèmes administratifs et sensibles à l’entreprise. En outre, ils sont moins complexes, évolutifs et nécessitent moins d’investissement en capital pour maintenir.
Note
Bien que l’ESAE ne soit plus recommandée dans son intégralité, Microsoft se rend compte que de nombreux composants individuels qu’il contient sont définis comme une bonne hygiène de cyber-hygiène (par exemple, des stations de travail d’accès privilégié dédiées). La dépréciation de l’ESAE n’est pas destinée à pousser les organisations à abandonner de bonnes pratiques d’hygiène cyber, uniquement pour renforcer les stratégies architecturales mises à jour pour protéger les identités privilégiées.
Exemples de bonnes pratiques d’hygiène cyber dans ESAE applicables à la plupart des organisations
- Utilisation de stations de travail d’accès privilégié (PW) pour toutes les activités administratives
- Application d’une authentification multifacteur (MFA) basée sur des jetons pour les informations d’identification administratives, même si elle n’est pas largement utilisée dans l’environnement
- Application du modèle d’administration des privilèges minimum par l’évaluation régulière de l’appartenance au groupe/rôle (appliquée par une stratégie organisationnelle forte)
Bonne pratique pour la sécurisation d’AD local
Comme décrit dans scénarios d’utilisation continue, il peut y avoir des circonstances où la migration cloud n’est pas accessible (partiellement ou en totalité) en raison de circonstances variables. Pour ces organisations, s’ils n’ont pas encore d’architecture ESAE existante, Microsoft recommande de réduire la surface d’attaque d’AD local en augmentant la rigueur de la sécurité pour Active Directory et les identités privilégiées. Bien qu’il ne s’agit pas d’une liste exhaustive, tenez compte des recommandations de haute priorité suivantes.
- Utilisez une approche hiérarchisé implémentant un modèle d’administration avec privilèges minimum :
- Appliquez des privilèges minimaux absolus.
- Découvrez, passez en revue et auditez des identités privilégiées (lien fort avec la stratégie organisationnelle).
- L’octroi de privilèges excessifs est l’un des problèmes les plus identifiés dans les environnements évalués.
- MFA pour les comptes d’administration (même s’il n’est pas utilisé largement dans l’environnement).
- Rôles privilégiés basés sur le temps (réduire les comptes excessifs, renforcer les processus d’approbation).
- Activez et configurez tous les audits disponibles pour les identités privilégiées (notification d’activation/désactivation, réinitialisation de mot de passe, autres modifications).
- Utiliser des stations de travail à accès privilégié (PW) :
- N’administrez pas les PW à partir d’un hôte moins approuvé.
- Utilisez l’authentification multifacteur pour accéder aux PW.
- N’oubliez pas la sécurité physique.
- Vérifiez toujours que les PPM exécutent les systèmes d’exploitation les plus récents et/ou actuellement pris en charge.
- Comprendre les chemins d’attaque et les comptes/applications à haut risque :
- Hiérarchiser la surveillance des identités et des systèmes qui présentent le plus de risques (cibles d’opportunité/impact élevé).
- Éradiquer la réutilisation du mot de passe, y compris entre les limites du système d’exploitation (technique de mouvement latéral commun).
- Appliquez des stratégies limitant les activités qui augmentent les risques (navigation Internet à partir de stations de travail sécurisées, comptes d’administrateur local sur plusieurs systèmes, etc.).
- Réduisez les applications sur Active Directory /Contrôleurs de domaine (chaque application ajoutée est une surface d’attaque supplémentaire).
- Éliminez les applications inutiles.
- Déplacez les applications toujours nécessaires à d’autres charges de travail hors de /DC si possible.
- Sauvegarde immuable d’Active Directory :
- Composant critique pour la récupération de l’infection par ransomware.
- Planification de sauvegarde régulière.
- Stocké dans un emplacement cloud ou hors site dicté par le plan de récupération d’urgence.
- Effectuer une évaluation de sécurité Active Directory :
- L’abonnement Azure est requis pour afficher les résultats (tableau de bord Log Analytics personnalisé).
- Offres prises en charge par l’ingénieur Microsoft ou à la demande.
- Validez /identifiez les conseils de l’évaluation.
- Microsoft recommande d’effectuer des évaluations sur une base annuelle.
Pour obtenir des conseils complets sur ces recommandations, passez en revue les meilleures pratiques pour sécuriser lesActive Directory.
Recommandations supplémentaires
Microsoft reconnaît que certaines entités peuvent ne pas être capables de déployer entièrement une architecture de confiance zéro basée sur le cloud en raison de contraintes variables. Certaines de ces contraintes ont été mentionnées dans la section précédente. Au lieu d’un déploiement complet, les organisations peuvent résoudre les risques et progresser vers Zero-Trust tout en conservant l’équipement ou les architectures hérités dans l’environnement. Outre les conseils mentionnés précédemment, les fonctionnalités suivantes peuvent contribuer à renforcer la sécurité de votre environnement et servir de point de départ à l’adoption d’une architecture Zero-Trust.
Microsoft Defender pour Identity (MDI)
Microsoft Defender for Identity (MDI) (officiellement Azure Advanced Threat Protection ou ATP) sous-tend l’architecture de Microsoft Zero-Trust et se concentre sur le pilier de l’identité. Cette solution basée sur le cloud utilise des signaux provenant à la fois d’AD local et de Microsoft Entra ID pour identifier, détecter et examiner les menaces impliquant des identités. MDI surveille ces signaux pour identifier les comportements anormaux et malveillants des utilisateurs et des entités. Notamment, MDI facilite la possibilité de visualiser le chemin du mouvement latéral d’un adversaire en mettant en évidence comment un ou plusieurs comptes donnés peuvent être utilisés s’ils sont compromis. Les fonctionnalités d’analyse comportementale et de référence utilisateur de MDI sont des éléments clés pour déterminer l’activité anormale au sein de votre environnement AD.
Note
Bien que MDI collecte des signaux à partir d’AD local, il nécessite une connexion basée sur le cloud.
Microsoft Defender pour Internet des objets (D4IoT)
Outre d’autres conseils décrits dans ce document, les organisations qui opèrent dans l’un des scénarios mentionnés ci-dessus peuvent déployer Microsoft Defender pour IoT (D4IoT). Cette solution comprend un capteur réseau passif (virtuel ou physique) qui permet la découverte des ressources, la gestion des stocks et l’analytique du comportement basé sur les risques pour les environnements IoT (Internet des objets) et de technologie opérationnelle (OT). Il peut être déployé dans des environnements locaux connectés à l’air ou connectés au cloud et dispose de la capacité d’effectuer une inspection approfondie des paquets sur plus de 100 protocoles réseau propriétaires ICS/OT.
Étapes suivantes
Passez en revue les articles suivants :
- stratégie d’accès privilégié
- plan de modernisation rapide de la sécurité (RAMP)
- Meilleures pratiques pour sécuriser les Active Directory