Protection des comptes privilégiés avec les postes de travail à accès sécurisé (SAW)

Protection des comptes privilégiés avec les postes de travail à accès sécurisé (SAW)

11/08/2024

Cet article technique et pédagogique vise à guider les analystes de sécurité, les administrateurs informatiques et les ingénieurs système dans la mise en œuvre de stations de travail à accès sécurisé (SAW), également connues sous le nom de stations de travail à accès privilégié (PAW), pour protéger les comptes et les tâches privilégiés. Les SAW sont conçus pour créer un environnement informatique hautement sécurisé et isolé, minimisant le risque de compromission des comptes hautement privilégiés, qui sont les cibles les plus précieuses pour les attaquants [1].

Présentation

La compromission des informations d’identification privilégiées est l’un des vecteurs d’attaque les plus dévastateurs. L'approche traditionnelle consistant à utiliser le même poste de travail pour les tâches d'administration et de productivité (e-mail, navigation) expose les informations d'identification privilégiées à des risques inacceptables. Les SAW résolvent ce problème en étant des ordinateurs dédiés et renforcés, utilisés exclusivement pour les tâches administratives, suivant le Principe de la source propre : un système de sécurité plus élevé ne doit jamais être géré à partir d'un système de sécurité inférieur [2].

Pourquoi les SAW sont-elles cruciales ?

  • Isolement des informations d'identification : empêche les informations d'identification privilégiées d'être exposées à des environnements moins sécurisés.
  • Attack Surface Reduction : minimise les vecteurs d'attaque disponibles sur le poste de travail administratif.
  • Contrôle strict : permet l'application de politiques de sécurité strictes, telles que le contrôle des applications, qui seraient peu pratiques sur les postes de travail à usage général.

Prérequis

  1. Licence : Windows 10/11 Entreprise. Des outils comme Microsoft Intune sont fortement recommandés pour la gestion.
  2. Accès administrateur : privilèges pour configurer les politiques de sécurité (GPO ou Intune).
  3. Matériel dédié ou environnement virtualisé sécurisé : ordinateurs physiques ou machines virtuelles isolées.

Étape par étape : implémentation d'un SAW

1. Définir le modèle de hiérarchisation

Le modèle d'accès privilégié de Microsoft classe les actifs en niveaux. SAW est essentiel pour protéger l’accès aux niveaux les plus élevés :

  • Tier 0 : Contrôle direct de l'infrastructure (Ex : contrôleurs de domaine, administrateurs globaux Azure AD).
  • Niveau 1 : serveurs et applications critiques.
  • Niveau 2 : postes de travail des utilisateurs finaux.

Un SAW de niveau 0 ne doit être utilisé que pour administrer les ressources de niveau 0.

2. Approvisionnement et durcissement SAW

  1. Installation propre : installez une copie propre de Windows 10/11 Entreprise. N'installez pas de logiciels inutiles.
  2. Mises à jour : appliquez tous les derniers correctifs de sécurité.
  3. Pare-feu Windows : configurez le pare-feu pour bloquer tout le trafic entrant par défaut et autoriser uniquement le trafic sortant strictement nécessaire aux tâches administratives (par exemple, RDP vers des serveurs spécifiques, accès aux portails cloud).
  4. Désactiver les services inutiles : utilisez PowerShell pour désactiver les services non essentiels. powershell # Exemple pour désactiver le service de spouleur d'impression Set-Service -Name "Spooler" -StartupType désactivé Stop-Service -Nom "Spooler"
  5. Appliquer les lignes de base de sécurité : utilisez les lignes de base de sécurité Microsoft ou CIS (Center for Internet Security) pour appliquer des centaines de paramètres de sécurité à la fois via GPO ou Intune.

3. Implémentation du contrôle des applications

C'est l'un des contrôles les plus importants d'une SAW. Seules les applications explicitement autorisées doivent pouvoir s'exécuter.

  • Windows Defender Application Control (WDAC) : Il s'agit de la technologie préférée et la plus sécurisée. WDAC crée des politiques d'intégrité du code qui sont appliquées au niveau du noyau, empêchant l'exécution de tout logiciel ou script non autorisé. La configuration est plus complexe, mais offre le plus haut niveau de sécurité [3].
  • AppLocker : plus facile à gérer, mais considéré comme une technologie héritée avec des contournements connus. Il peut être utilisé comme couche complémentaire au WDAC pour des scénarios spécifiques.

Implémentation de base avec AppLocker (via GPO) :

  1. Accédez à « Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle des applications > AppLocker ».
  2. Créez des règles par défaut pour autoriser l'exécution des fichiersWindows hurle.
  3. Créez des règles pour autoriser uniquement les exécutables, les scripts et les installateurs des outils d'administration nécessaires (par exemple mmc.exe, Remote Desktop Connection).
  4. Configurez le service « Application Identity » pour qu'il démarre automatiquement.

4. Restreindre l'accès à Internet et aux ressources locales

  • Isolation du réseau : le SAW doit se trouver sur un VLAN ou un segment de réseau isolé, avec des règles de pare-feu strictes contrôlant le trafic entrant et sortant.
  • Blocage de la navigation : l'accès à Internet doit être bloqué ou, au minimum, limité à une très petite liste de sites de confiance (par exemple portal.azure.com, portal.office.com) via un serveur proxy ou un pare-feu.
  • Blocage des supports amovibles : utilisez les stratégies relatives aux appareils pour bloquer l'utilisation des clés USB et autres supports de stockage amovibles.
  • Séparation des comptes : L'utilisateur SAW doit être un utilisateur standard sur la machine, et non un administrateur local. Le compte utilisé pour se connecter à SAW ne doit pas être le même compte avec des privilèges de domaine ou de cloud. L'élévation des privilèges ne doit se produire que lors de la connexion à la ressource cible (par exemple en utilisant « runas » ou en saisissant les informations d'identification dans l'outil d'administration).

5. Gestion et maintenance de SAW

  • Mises à jour : SAW doit disposer d'un processus rigoureux pour recevoir et appliquer les correctifs de sécurité.
  • Surveillance : SAW doit être étroitement surveillé par votre solution SIEM (comme Microsoft Sentinel) et EDR (Microsoft Defender for Endpoint). Toute activité anormale doit générer une alerte hautement prioritaire.

Exemple d'utilisation quotidienne

  1. L'administrateur se connecte à son poste de travail utilisateur (niveau 2) pour les tâches de productivité (e-mail, Teams).
  2. Lorsqu'il doit effectuer une tâche administrative (par exemple gérer un contrôleur de domaine), il se déplace physiquement vers son SAW (niveau 0) ou s'y connecte via une méthode sécurisée.
  3. Dans SAW, il se connecte avec son compte utilisateur SAW standard.
  4. Il ouvre l'outil d'administration (ex : Utilisateurs et ordinateurs Active Directory). L'outil s'exécute et lors de la connexion au contrôleur de domaine, il utilise vos informations d'identification d'administrateur de domaine (niveau 0).
  5. Une fois la tâche terminée, il ferme l'outil et se déconnecte de SAW. Les informations d’identification de niveau 0 n’ont jamais été saisies ou exposées en dehors de SAW.

Conclusion

La mise en œuvre de postes de travail à accès sécurisé est une mesure de défense en profondeur essentielle pour protéger les « clés du royaume » d'une organisation. En isolant les tâches administratives dans un environnement renforcé et étroitement contrôlé, les SAW brisent la chaîne d'attaque que les adversaires utilisent pour élever leurs privilèges et se déplacer latéralement. Même si cela nécessite de la planification et de la discipline, investir dans la création d’un environnement de gestion sécurisé constitue l’une des mesures les plus importantes qu’une organisation puisse prendre pour se protéger contre les cyberattaques avancées.

Références

[1]Microsoft. (2023). Aperçu de la sécurisation des accès privilégiés. [2]Microsoft. (2023). Principe de la source propre. [3]Microsoft. (2023). Contrôle des applications Windows Defender (WDAC). [4]Microsoft. (2023). Modèle d'accès privilégié.