Utiliser des stations de travail à accès privilégié
En examinant le rapport de sécurité généré par les consultants pour Contoso, vous avez appris que les pirates malveillants se concentrent sur les stations de travail qui sont régulièrement utilisées par les administrateurs ayant un accès de haut niveau à l’infrastructure. Par conséquent, il est important de s’assurer que ces stations de travail sont sécurisées.
Qu’est une station de travail à accès privilégié ?
Une station de travail à accès privilégié (PAW) est un ordinateur que vous pouvez utiliser pour effectuer des tâches d’administration, telles que l’administration de systèmes d’identité, de services Cloud et d’autres fonctions sensibles. Cet ordinateur est protégé d’Internet et verrouillé afin que seules les applications d’administration requises puissent s’exécuter.
Attention
Assurez-vous que les comptes d’utilisateur d’administration ne sont pas autorisés à être utilisés comme des utilisateurs standard.
Vous ne devez jamais utiliser cette station de travail pour la navigation Web, la messagerie électronique et d’autres applications d’utilisateur final courantes, et elle doit avoir un contrôle strict des applications. Vous ne devez pas autoriser la connexion à des réseaux sans fil ou à des périphériques USB externes. Une PAW doit implémenter des fonctionnalités de sécurité telles que MFA (Multi-Factor Authentication).
Conseil
Vous devez configurer les serveurs privilégiés pour qu’ils n’acceptent pas les connexions à partir d’une station de travail non privilégiée.
Microsoft recommande d’utiliser Windows 10 Enterprise pour vos PAW. En effet, Windows 10 Enterprise prend en charge des fonctionnalités de sécurité qui ne sont pas disponibles dans les autres éditions. Ces fonctionnalités de Windows Defender sont décrites dans le tableau suivant.
| Fonctionnalité | Description |
|---|---|
| Windows Defender Application Control | Passe du modèle d’approbation d’application traditionnel, où toutes les applications sont considérées comme dignes de confiance par défaut, à un modèle d’application où les applications doivent gagner la confiance pour s’exécuter. |
| Windows Defender Credential Guard | Protège les hachages de mot de passe NTLM, les tickets d’octroi de ticket Kerberos et les informations d’identification stockées par les applications en tant qu’informations d’identification de domaine. Étant donné que les informations d’identification ne sont plus stockées dans l’autorité de sécurité locale (LSA), le vol d’informations d’identification peut être bloqué même sur un système compromis. |
| Windows Defender Device Guard | Combine les fonctionnalités de Windows Application Control avec la possibilité d’utiliser l’hyperviseur Hyper-V pour protéger les processus de mode noyau Windows contre l’injection et l’exécution de code malveillant ou non vérifié. |
| Windows Defender Exploit Guard | Permet aux administrateurs de définir et de gérer la protection réseau et des stratégies visant à réduire les attaques de surface et les exploits, et d’empêcher les applications suspectes d’accéder aux dossiers couramment ciblés. |
Profils matériels PAW
Il est important de se souvenir que les administrateurs sont également des utilisateurs. Cela signifie qu’ils utilisent la messagerie électronique, naviguent sur le Web et exécutent des applications de productivité comme Microsoft Office. Si l’ordinateur de l’administrateur est une PAW, cela aura un impact sérieux sur la capacité de l’utilisateur à être productif dans des tâches non administratives.
Attention
Il est à noter que les utilisateurs ont tendance à abandonner les solutions sécurisées qui limitent la productivité en faveur de solutions non sécurisées qui améliorent la productivité.
Pour assurer la sécurité, les utilisateurs administrateurs doivent disposer de deux stations de travail. Une station de travail est une PAW, tandis que l’autre est utilisée pour les tâches quotidiennes qui ne nécessitent pas d’élévation. Vous pouvez procéder à cette séparation en utilisant des profils matériels PAW. Microsoft recommande d’utiliser l’un des profils matériels suivants :
- Matériel dédié. Séparez les appareils dédiés aux tâches de l’utilisateur de ceux dédiés aux tâches d’administration. La station de travail d’administration doit prendre en charge les mécanismes de sécurité matériels tels qu’un module de plateforme sécurisée (TPM) et mettre en œuvre les fonctionnalités de sécurité de Windows 10 Entreprise déjà abordées.
- Utilisation simultanée. Appareil unique qui peut exécuter simultanément des tâches d’utilisateur et des tâches d’administration en exécutant deux systèmes d’exploitation, l’un étant un système d’utilisateur et l’autre un système d’administrateur. Pour ce faire, exécutez un système d’exploitation distinct sur une machine virtuelle pour une utilisation quotidienne.
Attention
Si vous utilisez un seul appareil, assurez-vous que la PAW s’exécute sur l’ordinateur physique, tandis que votre station de travail normale s’exécute en tant que machine virtuelle. Cela assure la sécurité appropriée.
Le tableau suivant décrit les avantages et les inconvénients inhérents à ces approches.
| Scénario | Avantages | Inconvénients |
|---|---|---|
| Matériel dédié | Séparation forte de la sécurité | Nécessite deux appareils. L’implémentation nécessite plus d’espace et des coûts supplémentaires. |
| Utilisation simultanée | Réduction des coûts matériels | Le partage du même clavier et de la même souris peut entraîner des erreurs et poser des risques en matière de sécurité. |