Serveur d'impression

PAM dans Server 2016 – Serveur d’impression

Le 2 mai 2019 - 9 minutes de lecture

Non, ce n'est pas cette fille qui était la pom-pom girl en chef au lycée – et ne la confondez pas avec IPAM (IP Address Management), qui est également une fonctionnalité de Windows Server 2016. PAM signifie Privileged Access Management, qui n'est également pas être confondu avec PIM, qui signifie gestion des identités privilégiées. Notez que PAM concerne les services de domaine Active Directory (AD DS) dans Windows Server 2016, tandis que PIM se rapporte à Microsoft Azure Active Directory (AAD).

PAM et PIM visent tous deux à protéger les ressources des administrateurs. Quoi? Qui, moi Bien sûr, vous êtes digne de confiance, mais qu'en est-il de ces autres personnes qui ont des privilèges d'administrateur pour une raison ou une autre? Un compte administratif dispose de beaucoup de pouvoir et peut être délibérément utilisé de manière abusive ou simplement utilisée, mettant ainsi votre réseau en péril.

Dans cet article, nous nous concentrons sur Windows Server. Nous allons donc parler de PAM, qui fonctionne avec Microsoft Identity Manager (MIM) et introduit des améliorations en matière de sécurité et de nouvelles capacités de surveillance. Server 2016 vous aide également à sécuriser les accès privilégiés avec des technologies telles que l'administration JIT (Just in Time) et l'administration JEA (Just Enough Administration), qui vous permettent de mieux contrôler l'étendue et la durée des privilèges d'administration. Puisque nous, les professionnels de l'informatique, sommes tous des maniaques du contrôle (c'est une exigence du poste), c'est une bonne chose.

PAM et ADDS

Active Directory (AD) a été réintroduit dans Windows 2000 Server en tant que solution LDAP (Lightweight Directory Access Protocol) pour concurrencer le système d'exploitation du serveur NetWare alors populaire qui faisait appel aux entreprises avec son service d'annuaire global appelé NDS (Services d'annuaire NetWare). AD transformé en AD DS (services de domaine Active Directory) dans les versions ultérieures de Windows Server. AD DS fournit une centralisation des stratégies de sécurité pour les réseaux basés sur un domaine Windows.

AD DS a évolué au fil des ans, acquérant de nouvelles fonctionnalités à chaque itération. PAM est basé sur les nouvelles fonctionnalités de Windows Server 2016 AD DS, conçues pour permettre un contrôle accru sur les comptes administratifs.

Le dilemme du compte administrateur

Microsoft tente depuis longtemps de limiter les utilisations abusives et abusives des comptes d’administration. Le contrôle de compte d'utilisateur (UAC), introduit dans Windows Vista, était l'une de ces tentatives visant à empêcher l'utilisation inutile de comptes d'administrateur sur le système d'exploitation de bureau. Cependant, son implémentation "dans votre visage" a amené de nombreux utilisateurs à le désactiver, annulant ainsi le but recherché.

L'utilisation de privilèges administratifs sur le serveur a des conséquences encore plus graves. Les administrateurs – en fonction des privilèges d'administration dont sont dotés leurs comptes – peuvent installer des programmes, modifier les paramètres de configuration, créer et supprimer des comptes d'utilisateur, attribuer et modifier des autorisations sur des fichiers, etc. Entre de mauvaises mains, de telles capacités peuvent être désastreuses. Et peu importe la fiabilité de vos administrateurs, chaque fois qu’un compte administrateur est utilisé, il est vulnérable aux attaques.

Pourtant, de nombreuses organisations ont des privilèges d'administrateur attribués à de nombreux utilisateurs différents, pour différentes raisons. Ces privilèges ont peut-être été nécessaires pour l'exécution de tâches à un moment donné, mais ne le sont plus. Dans certaines organisations, le service informatique peut même ne pas savoir exactement qui a les privilèges d'administration et la portée de ces privilèges. Cela peut mettre tout le réseau en danger.

Obtenir un accès privilégié sous contrôle

La gestion des accès privilégiés dans Windows Server 2016 repose sur deux concepts:

  • Administration juste à temps
  • Juste assez d'administration (JEA)

(Ne me demandez pas pourquoi le deuxième acronyme inclut le mot «administration» et l’autre pas, parce que je ne le sais pas. Peut-être juste pour nous garder sur nos gardes).

En tout état de cause, JIT et JEA vous donnent un contrôle beaucoup plus fin sur ces comptes d'administration fastueux qui semblent se multiplier comme des lapins. Cela prend un peu de travail, mais cela en vaut la peine, car s’agissant d’abus de privilèges administratifs, une once de prévention vaut vraiment la peine de guérir. Nous parlerons de chacun d’eux plus en détail plus loin dans cet article, mais revenons d’abord à PAM et à son fonctionnement.

PAM fonctionne avec les fonctionnalités d'authentification et d'autorisation des comptes de domaine AD DS, conjointement avec les nouvelles fonctionnalités de Microsoft Identity Manager (MIM). PAM implique la configuration d’un environnement bastion distinct du reste de votre Active Directory. Un environnement bastion est une forêt d'administration Active Directory dédiée, isolée de l'environnement de production, dotée de protections de sécurité renforcées et ne faisant pas confiance aux autres forêts existantes de l'organisation. Il existe une confiance à sens unique uniquement, la forêt d'entreprise accordant sa confiance à la forêt d'administration, mais pas l'inverse.

Cette forêt administrative est utilisée pour la gestion Active Directory. En raison de sa portée limitée, il présente une surface d’attaque plus petite. L'environnement bastion a son propre AD DS séparé et son logiciel de sauvegarde et son support sont également séparés. MIM 2016 avec les composants PAM doit être déployé dans l'environnement bastion. MIM utilise PowerShell pour préparer vos domaines existants à la gestion par l'environnement bastion et créer la configuration de domaine PAM. Vous pouvez en savoir plus sur ce processus dans le document Microsoft. Planification d'un environnement de bastion.

Comprendre JIT et JEA

L’administration Just in Time est un moyen de contrôler quand les administrateurs ont des privilèges administratifs. La plupart des administrateurs n'ont pas besoin de privilèges d'administrateur pour tout ce qu'ils font. la plupart des tâches qu'ils accomplissent au cours de la journée peuvent être accomplies avec les privilèges d'utilisateur standard.

Autrefois, on nous disait que les administrateurs devraient avoir deux comptes différents, l’un avec des privilèges d’administrateur et l’autre configuré en tant qu’utilisateur standard, et qu’ils devraient basculer d’un compte à l’autre, en fonction de ce qu’ils font. Cela semble bien en théorie, mais dans la pratique, les êtres humains ont tendance à faire les choses facilement, si possible. Pour un administrateur, le moyen le plus simple consiste simplement à utiliser le compte administrateur pour tout, à tout moment, afin de ne pas avoir à prendre la peine de changer lorsque ces privilèges sont nécessaires. Vous pourriez appeler cela «Just in Case Administration» (JICA?).

JIT facilite les choses en ajoutant les privilèges d’administrateur uniquement lorsque cela est nécessaire pour faire le travail, et seulement pendant la période limitée où ils sont réellement nécessaires. Cela s'appelle également des privilèges limités dans le temps. Au lieu d'avoir des dizaines ou plus d'administrateurs permanents, vous avez des utilisateurs qui ont des privilèges d'administrateur uniquement pour les moments où ils en ont besoin. Restreindre les délais dans lesquels ces privilèges sont activés diminue évidemment les risques d'exposition et de sécurité.

Alors que JIT limite le temps pendant lequel un utilisateur dispose de privilèges administratifs, Just Enough Administration limite la portée de ces privilèges lorsque l'utilisateur en dispose. JEA adopte une approche basée sur les rôles afin de permettre à des utilisateurs spécifiques d’effectuer des tâches administratives spécifiques sur des serveurs spécifiques, au lieu de donner à chacun les droits d’administration complets dont il n’a pas besoin. Le niveau de risque, en ce qui concerne les comptes d’administrateur, est corrélé à la portée des privilèges; un compte avec des privilèges plus limités présente un risque moindre (dans la mesure où le montant des dommages peut être causé) s'il est compromis.

JEA fonctionne en créant une plate-forme de contrôle d’accès basé sur les rôles (RBAC) afin que vous puissiez limiter les utilisateurs à l’exécution des tâches pour lesquelles ils sont autorisés, sans qu’ils deviennent des administrateurs permanents. Cela réduit le nombre total d'administrateurs.

Découvrez plus en détail JIT et JEA dans Server 2016 dans ce diaporama présenté sur le site Web de MSDN Channel 9 de Microsoft, intitulé Juste assez d'administration avec Windows Server 2016.

Pensée finale

Windows Server 2016, comme chaque version précédente du système d'exploitation Windows Server, ajoute la prise en charge de nouvelles améliorations en matière de sécurité pour aider les organisations à sécuriser davantage leurs serveurs et réseaux sur site. En raison du risque accru associé aux pouvoirs associés aux comptes d'administration, Server 2016 s'attache à réduire ce risque en vous aidant à réduire le nombre d'administrateurs permanents et à limiter à la fois la durée d'utilisation des privilèges d'administrateur et la portée de ces privilèges. à juste ce qui est nécessaire pour l'accomplissement des tâches du travail, et pas plus.

PAM avec JIT et JEA est un nouveau mécanisme de défense puissant, destiné à protéger contre les conséquences potentiellement désastreuses d’un compromis sur un compte administratif. Il s’inscrit dans la stratégie de sécurité actuelle de Microsoft «présumer de la violation» qui associe des mesures préventives à celles qui atténuent les dommages si et quand L’attaquant parvient à percer les défenses de la ligne de front. Grâce à PAM, il est moins probable qu'un compte administrateur soit utilisé à mauvais escient, mais contribue également, en limitant la durée et la portée des privilèges administratifs, à limiter l'étendue des dommages.


Publier des vues:
2 632


signaler cette annonce


Lire la suite


Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.