Environnement d’administration de sécurité renforcée
L’architecture ESAE (Enhanced Security admin Environment - Environnement d’administration de sécurité renforcée) (souvent appelée forêt rouge, forêt d’administration ou forêt renforcée) est une approche permettant de fournir un environnement sécurisé pour les administrateurs de Windows Server Active Directory (AD).
La recommandation de Microsoft pour l’utilisation de ce modèle architectural a été remplacée par la stratégie d’accès privilégié moderne et l’accompagnement du plan de modernisation rapide comme approche recommandée par défaut pour la sécurisation des utilisateurs privilégiés. Ce guide vise à inclure l’adaptation d’une stratégie plus large pour passer à une architecture Confiance Zéro. Compte tenu de ces stratégies modernisées, l'architecture de la forêt administrative renforcée ESAE (sur site ou dans le Cloud) est désormais considérée comme une configuration personnalisée qui ne convient qu'aux cas d'exception.
Scénarios d’utilisation continue
Bien qu’il ne s’agit plus d’une architecture recommandée, ESAE (ou les composants individuels qu’il contient) peut toujours être valide dans un ensemble limité de scénarios exemptés. En règle générale, ces environnements locaux sont isolés là où les services cloud peuvent être indisponibles. Ce scénario peut inclure une infrastructure critique ou d’autres environnements de technologie opérationnelle déconnectée (OT). Toutefois, il convient de noter que les segments de contrôle industriel/contrôle de contrôle et d’acquisition de données (ICS/SCADA) aériens de l’environnement n’utilisent généralement pas leur propre déploiement Active Directory.
Si votre organisation se trouve dans l’un de ces scénarios, la maintenance d’une architecture ESAE actuellement déployée dans son intégralité peut toujours être valide. Cependant, il faut comprendre que votre organisation encourt un risque supplémentaire en raison de la complexité technique accrue et des coûts opérationnels liés à la maintenance de l'ESAE. Microsoft recommande à toute organisation qui utilise toujours ESAE ou d’autres contrôles de sécurité d’identité hérités, d’appliquer une rigueur supplémentaire pour surveiller, identifier et atténuer les risques associés.
Remarque
Bien que Microsoft ne recommande plus un modèle de forêt renforcée isolée pour la plupart des scénarios de la majorité des organisations, elle continue de gérer une architecture similaire en interne (ainsi que les processus et le personnel de support associés) en raison des exigences de sécurité extrêmes pour la fourniture de services cloud approuvés aux organisations du monde entier.
Conseils pour les déploiements existants
Pour les clients qui ont déjà déployé cette architecture pour améliorer la sécurité et/ou simplifier la gestion de plusieurs forêts, il est inutile de supprimer ou de remplacer une implémentation de ESAE si elle gérée telle que conçue et prévue. Comme pour les systèmes d’entreprise, vous devez gérer les logiciels impliqués en appliquant des mises à jour de sécurité et en veillant à ce que les logiciels soient repris dans le cycle de vie du support.
Microsoft recommande également aux organisations avec des forêts ESAE/renforcées d’adopter la stratégie d’accès privilégié moderne en suivant l’assistance du plan de modernisation rapide . Cet aide vient compléter une implémentation existante de ESAE et offre une sécurité appropriée pour les rôles qui ne sont pas encore protégés par ESAE, y compris les administrateurs Microsoft Entra, les utilisateurs professionnels sensibles et les utilisateurs d’entreprise standard. Pour plus d’informations, consultez l’article sécurisation des niveaux de sécurité d’accès privilégié.
Quand ESAE a été initialement conçu il y a 10 ans, le but était de se concentrer sur les environnements en local avec Active Directory comme fournisseur d’identité local. Cette approche héritée est basée sur des techniques de segmentation de macro pour obtenir des privilèges minimum et ne tient pas compte adéquatement des environnements hybrides ou cloud. En outre, ESAE et les implémentations de forêt renforcées se concentrent uniquement sur la protection des administrateurs Windows Server Active Directory locaux (identités) et ne comptent pas pour les contrôles d’identité affinés et d’autres techniques contenues dans les piliers restants d’une architecture de confiance zéro moderne. Microsoft recommande les nouvelles solutions basées dans le cloud, car elles peuvent être déployées plus rapidement pour protéger un éventail plus large de rôles et de systèmes administratifs et commerciaux sensibles. En outre, ils sont moins complexes, évolutifs et nécessitent moins d'investissements en capital pour leur maintenance.
Remarque
Bien que l'ESAE ne soit plus recommandé dans son intégralité, Microsoft se rend compte que de nombreux éléments individuels qu'il contient sont définis comme étant une bonne hygiène cybernétique (par exemple, les postes de travail à accès privilégié dédiés). La dépréciation de l’ESAE n’est pas destinée à pousser les organisations à abandonner de bonnes pratiques d’hygiène cybernétique, uniquement pour renforcer les stratégies architecturales mises à jour pour protéger les identités privilégiées.
Exemples de bonnes pratiques d’hygiène cybernétique dans ESAE applicables à la plupart des organisations
- Utilisation de stations de travail d’accès privilégié (PAW) pour toutes les activités administratives
- Application d’une Multi-Factor Authentication (ADG) basée sur des jetons pour les informations d’identification administratives, même si elle n’est pas largement utilisée dans l’environnement
- Application d’un modèle d’Administration de privilège minimum par le biais d’une évaluation régulière de l’appartenance au groupe/rôle (appliquée par une stratégie organisationnelle forte)
Meilleure pratique pour la sécurisation d’AD local
Comme décrit dans les scénarios d’utilisation continue, il peut exister des circonstances où la migration cloud n’est pas accessible (partiellement ou en totalité) en raison de circonstances variables. Pour ces organisations, s’ils n’ont pas encore d’architecture ESAE existante, Microsoft recommande de réduire la surface d’attaque d’AD local en augmentant la rigueur de la sécurité pour Active Directory et les identités privilégiées. Bien qu’il ne s’agit pas d’une liste exhaustive, tenez compte des recommandations de haute priorité suivantes.
- Utilisez une approche hiérarchisé implémentant un modèle d’administration avec privilèges minimum :
- Appliquez des privilèges minimaux absolus.
- Découvrez, passez en revue et auditez des identités privilégiées (lien fort avec la stratégie organisationnelle).
- L’octroi de privilèges excessifs est l’un des problèmes les plus identifiés dans les environnements évalués.
- MFA pour les comptes d’administration (même s’il n’est pas utilisé largement dans l’environnement).
- Rôles privilégiés basés sur le temps (réduire les comptes excessifs, renforcer les processus d’approbation).
- Activez et configurez tous les audits disponibles pour les identités privilégiées (notification d’activation/désactivation, réinitialisation de mot de passe, autres modifications).
- Utiliser des stations de travail d’accès privilégié (PAW)
- N’administrez pas les PAW à partir d’un hôte moins approuvé.
- Utilisez l’ADG pour accéder aux PAW.
- N’oubliez pas la sécurité physique.
- Vérifiez toujours que les PAW exécutent les systèmes d’exploitation les plus récents et/ou actuellement pris en charge.
- Comprendre les chemins d’attaque et les comptes/applications à haut risque :
- Hiérarchiser la surveillance des identités et des systèmes qui présentent le plus de risques (cibles d’opportunité/impact élevé).
- Éradiquer la réutilisation du mot de passe, y compris entre les limites du système d’exploitation (technique de mouvement latéral commun).
- Appliquez des stratégies limitant les activités qui augmentent les risques (navigation Internet à partir de stations de travail sécurisées, comptes d’administrateur local sur plusieurs systèmes, etc.).
- Réduisez les applications sur Active Directory /Contrôleurs de domaine (chaque application ajoutée est une surface d’attaque supplémentaire).
- Éliminez les applications inutiles.
- Déplacez les applications toujours nécessaires à d’autres charges de travail hors de /DC si possible.
- Sauvegarde immuable d’Active Directory :
- Composant critique pour la récupération d’une infection par rançongiciel.
- Planification de sauvegarde régulière.
- Stocké dans un emplacement cloud ou hors site dicté par le plan de récupération d’urgence.
- Effectuer une évaluation de la sécurité de l'Active Directory :
- L’abonnement Azure est requis pour afficher les résultats (tableau de bord Log Analytics personnalisé).
- Offres prises en charge par l’ingénieur Microsoft ou à la demande.
- Validez /identifiez les conseils issus de l’évaluation.
- Microsoft recommande d’effectuer des évaluations sur une base annuelle.
Pour obtenir des conseils complets sur ces recommandations, passez en revue les meilleures pratiques pour la sécurisation d’Active Directory.
Recommandations supplémentaires
Microsoft reconnaît que certaines entités peuvent ne pas être capables de déployer entièrement une architecture de confiance zéro basée sur le cloud en raison de contraintes variables. Certaines de ces contraintes ont été mentionnées dans la section précédente. Au lieu d’un déploiement complet, les organisations peuvent résoudre les risques et faire progresser la confiance zéro tout en conservant l’équipement ou les architectures hérités dans l’environnement. Outre les conseils mentionnés précédemment, les fonctionnalités suivantes peuvent contribuer à renforcer la sécurité de votre environnement et servir de point de départ à l’adoption d’une architecture confiance zéro.
Microsoft Defender pour Identity (MDI)
Microsoft Defender pour Identity (MDI) (officiellement Azure Advanced Threat Protection ou ATP) sous-tend l’architecture De confiance zéro Microsoft et se concentre sur le pilier de l’identité. Cette solution basée sur le cloud utilise des signaux provenant à la fois d’AD local et de Microsoft Entra ID pour identifier, détecter et examiner les menaces impliquant des identités. MDI surveille ces signaux pour identifier les comportements anormaux et malveillants des utilisateurs et des entités. Notamment, MDI facilite la possibilité de visualiser le chemin du mouvement latéral d’une personne mal intentionnée en mettant en évidence comment un ou plusieurs comptes donnés peuvent être utilisés s’ils sont compromis. Les fonctionnalités d’analyse comportementale et de référence utilisateur de MDI sont des éléments clés pour déterminer l’activité anormale au sein de votre environnement AD.
Remarque
Bien que MDI collecte des signaux à partir d’AD local, il nécessite une connexion basée sur le cloud.
Microsoft Defender pour Internet des objets (D4IoT)
Outre d’autres conseils décrits dans ce document, les organisations qui opèrent dans l’un des scénarios mentionnés ci-dessus peuvent déployer Microsoft Defender pour IoT (D4IoT) . Cette solution comprend un capteur réseau passif (virtuel ou physique) qui permet la découverte des ressources, la gestion des stocks et l’analytique du comportement basé sur les risques pour les environnements IoT (Internet des objets) et de technologie opérationnelle (OT). Il peut être déployé dans des environnements locaux connectés à l’air ou connectés au cloud et dispose de la capacité d’effectuer une inspection approfondie des paquets sur plus de 100 protocoles réseau propriétaires ICS/OT.
Étapes suivantes
Consultez les articles suivants :