Gestion des accès privilégiés pour les domaines Windows Active Directory

Protéger tout compte Windows avec un accès privilégié

De nombreux risques découlent d'un accès privilégié. Ces risques peuvent provenir d'attaques externes ou d'initiés malveillants au sein d'une organisation. Quoi qu’il en soit, les risques font qu’il est important d’assurer à tout moment la sécurité des accès privilégiés.

La gestion des accès privilégiés (PAM) est principalement considérée comme étant utilisée pour protéger les comptes les plus privilégiés comptes d’administrateur local Windows, comptes d’administrateur de domaine, comptes de service Active Directory et tout ce qui règne sur la majeure partie de l’environnement réseau. Toutefois, la véritable valeur de PAM est qu’elle est utilisée pour protéger tout compte avec un accès aux données, applications et systèmes critiques. Tout compte ayant accès à des données sensibles, privilégiées, protégées ou utiles devrait, d'une manière ou d'une autre, être surveillé de manière égale et, dans certains cas, l’accès devrait être refusé si certains critères ne sont pas remplis.

Nous examinons ici comment la Gestion des Connexions aide les organisations à protéger les deux. Elle permet aux services informatiques de sécuriser l’accès aux comptes non privilégiés et d’améliorer simultanément la sécurité mise en place par PAM en augmentant la capacité du service informatique à restreindre et répondre à l’utilisation des comptes privilégiés.

1. Sécuriser tout type d’accès privilégié

Chaque utilisateur a des droits d'accès et des privilèges attribué et est une sorte d'utilisateur privilégié. (Pensez données financières, propriété intellectuelle…). Cependant, l'utilisation d'une solution PAM ne peut pas facilement être étendue à tous les comptes utilisateur «non privilégiés» - cela ajoute une charge supplémentaire pour l'utilisateur en tant qu’étape de sécurité supplémentaire, ainsi que pour le service informatique – étant donné que vous aurez besoin d'un compte de niveau inférieur pour les non-privilégiés pour s'authentifier à PAM.

La Gestion des Connexions élimine ce fardeau des deux groupes d'utilisateurs. Elle garantit qu’aucun compte ne peut être mal utilisé. Elle permet aux services informatiques de «sécuriser, gérer et surveiller» (en utilisant les mots de Gartner) un accès «non privilégié» sans surcharger l'utilisateur.

Améliorer la sécurité autour de l'accès «non privilégié»

PAM est évidemment utilisé par la plupart des organisations pour protéger notamment les comptes privilégiés, tels que les comptes de type administrateur de domaine et local. Et pourtant, en réalité, tout compte ayant accès à des données sensibles, privilégiées, protégées ou de toute autre manière devrait être surveillé de manière égale et, dans certains cas, l’accès devrait être refusé si certains critères ne sont pas remplis.

Par exemple, le compte d'utilisateur du responsable des ventes ne semble pas particulièrement «privilégié», mais il dispose d'un accès complet à la base de données de vos clients.

Ainsi, le fait d’avoir une couche de sécurité sur l’utilisation de ce compte - et des comptes tels que celui-là qui ne sont pas traditionnellement considérés comme «privilégiés» - s’aligne avec la volonté de la plupart des entreprises de protéger les comptes avec un accès aux données, applications et systèmes critiques.

Le rôle de la Gestion des Connexions

Bien que la Gestion des Connexions ne conserve pas les informations d’identification dans un coffre-fort, leur permettant d’y accéder lorsque cela est demandé, il fournit une couche de protection à la connexion, garantissant que le compte n’est pas mal utilisé ou compromis.

La Gestion des Connexions améliore la sécurité des accès non privilégiés en:

• Restreignant les ouvertures de session avec des stratégies d'accès – Des restrictions peuvent être établies pour limiter la connexion à un compte, à partir de machines, périphériques ou adresses IP, utilisant uniquement des types de sessions approuvés et sans sessions simultanées, etc. contribuant ainsi à réduire le risque d'utilisation inappropriée.
• Délivrant de la visibilité sur l’utilisation de comptes non privilégiés – PAM peut être configurée pour notifier le service informatique lorsque des comptes privilégiés sont utilisés. Le service informatique a besoin du même niveau de visibilité en temps réel pour l'utilisation de comptes tels que le compte de vente mentionné précédemment. Il est donc conscient du comportement anormal des comptes, comme se connecter à 21h45 un vendredi soir...
• Répondant à une mauvaise utilisation des informations d'identification – Réponse automatique ou basée sur des alertes à toute activité utilisateur jugée inappropriée en verrouillant à distance, en forçant une déconnexion ou en réinitialisant des sessions Windows.

2. Mieux protéger les utilisateurs les plus privilégiés (comptes système / admin)

Considérez les exigences de sécurité derrière PAM. Si nous utilisons la définition de Gartner comme notre ensemble d'exigences, il y a 3 points clairs:

1. «Fournir un accès privilégié» - Vous devez vous assurer que les bons utilisateurs disposent des droits d'accès appropriés pour effectuer leur travail.
2. «Satisfaire aux exigences de conformité» - Avoir un moyen vérifiable de prouver que seul un accès approuvé a été accordé.
3. «Sécuriser, gérer et surveiller les comptes et les accès privilégiés» - Conservez les comptes bloqués, définissez ceux qui peuvent y accéder, sachez quand ils sont utilisés et soyez capable de répondre lorsque les comptes sont mal utilisés.

Toutes ces exigences reposent sur un facteur unique qui se trouve en dehors de PAM - l'utilisateur doit d'abord s'authentifier. Mais de nombreuses solutions PAM s'appuient sur les informations d'identification de connexion Windows pour définir les stratégies applicables et les comptes accessibles à cet utilisateur.

Donc, pour que PAM soit efficace, vous devez d'abord sécuriser la connexion.

Connexion: la base d’une PAM sécurisée

Si votre solution PAM croit Microsoft coûte que coûte que vous êtes qui vous prétendez être, c’est un problème. Prenez les deux scénarios suivants dans lesquels un compte interne est mal utilisé:

1. Un initié malveillant utilisant les informations d'identification d'un autre utilisateur – Près de la moitié des employés partagent leurs informations d'identification avec leurs collègues (en anglais)¹. Et ce ne sont pas seulement les rôles de bas niveau dans l’organisation; les employés des principaux départements tels que juridique, RH, informatique, finances sont inclus. Si un employé interne décide de commettre un acte malveillant, il peut se connecter, être authentifié par une solution PAM et avoir accès à un ou plusieurs comptes privilégiés.
2. Un attaquant externe compromet les informations d'identification d'un utilisateur – Près de la moitié des violations de données impliquent un piratage. Et la tactique numéro un utilisée dans le piratage informatique est le vol d'informations d'identification², ce qui rend ce scénario bien réel. Les attaquants sont avisés du type de solutions de sécurité utilisées de nos jours, il n’est donc pas difficile de penser qu’ils peuvent rechercher l’accès à une solution PAM pour voir s’ils peuvent accéder à des comptes privilégiés.

En bref, si l’accès à un compte privilégié est uniquement basé sur le fait qu’il s’agit du compte utilisateur correct, votre PAM est non sécurisée. Ce qu’il faut, c’est une couche de sécurité supplémentaire pour arrêter ce genre d’utilisation abusive des identifiants avant que PAM n’intervienne.

Sécurisation de PAM avec la Gestion des Connexions

Les solutions de Gestion des Connexions offrent une protection supplémentaire en surveillant les connexions Windows, en optimisant les stratégies, les flux de travail, les alertes et les actions réactives pour garder le service informatique informé des anomalies de connexion et en contrôle des connexions au cas où ils devraient répondre à un problème.

Essentiellement, en superposant PAM avec la Gestion des Connexions, vous fournissez au service informatique une couche de visibilité nécessaire pour déterminer si une connexion est appropriée ou non avant de pouvoir accéder aux comptes privilégiés.

Il existe deux manières pour la Gestion des Connexions d’aider PAM:

1) La Gestion des Connexions implémente une restriction qui ne se trouve pas nécessairement dans PAM

Les solutions PAM ont leurs propres restrictions concernant l'accès aux comptes privilégiés et leur utilisation. Par exemple, un utilisateur particulier peut uniquement accéder à un compte privilégié spécifique pendant les heures de bureau. De plus, alors que les solutions PAM peuvent avoir leur propre ensemble de restrictions, la plupart concernent l'emplacement et le moment où un compte privilégié peut être utilisé, et n'imposent aucune restriction au compte de bas niveau.

Le rôle de la Gestion des Connexions

Les restrictions permettent de réduire les risques et la menace. Plus on se rapproche d'un véritable état de privilège minimum, plus on se rapproche d’éliminer le risque de mauvaise utilisation des comptes privilégiés.

La Gestion des Connexions peut être utilisée pour améliorer la sécurité autour de l'utilisation des comptes privilégiés en:

• Limitant l'utilisation des comptes de bas niveau – en limitant les ordinateurs, les adresses IP et les types de session auxquels un compte peut se connecter, ainsi qu’en restreignant le nombre de sessions simultanées les organisations peuvent mieux s'assurer que l'utilisateur de bas niveau est connecté depuis un poste de travail approuvé et réduit la probabilité que le compte de bas niveau soit utilisé par une personne autre que le propriétaire du compte.
• Restreignant l'utilisation du compte privilégié – les connexions par des comptes privilégiés sur des machines Windows peuvent être soumises à leur propre ensemble de restrictions qui s'ajoutent aux restrictions imposées par PAM. Par exemple : Restriction stricte des comptes d'administrateur de domaine pour dépanner les postes de travail.

2) La Gestion des Connexions protège contre les identifiants compromis

Si une solution PAM ne prend pas en charge ou n'est pas configurée pour faire tourner les mots de passe privilégiés après chaque utilisation et qu'un utilisateur privilégié se connecte à un point de terminaison, les informations d'identification du compte privilégié sont stockées dans la mémoire du point de terminaison. Les attaquants externes qui obtiennent un compte avec des droits d'administrateur local peuvent extraire les informations d'identification de la mémoire du terminal et l'utiliser pour se déplacer latéralement au sein de l'organisation.

Le rôle de la Gestion des Connexions

La surveillance de l'activité de connexion peut être utile pour identifier une activité de compte privilégiée anormale en dehors de celle d'une solution PAM et, éventuellement, prendre des mesures si une mauvaise utilisation est détectée.

La Gestion des Connexions peut protéger contre les informations d'identification compromises en:

• Surveillant toutes les activités de connexion – La Gestion des Connexions peut identifier les ouvertures de session inhabituelles d’un compte privilégié et peut être configuré pour avertir le personnel informatique.
• Répondant à l'utilisation abusive des identifiants privilégiées – Si un module PAM ne comprend pas la gestion des sessions (pour que les comptes privilégiés soient utilisés directement sur les points de terminaison sans passer par un proxy), le service informatique peut utiliser la Gestion des Connexions pour examiner l'activité des utilisateurs, verrouiller la session, fermer le compte et même désactiver la capacité du compte à se connecter à quoi que ce soit.

Utilisation de UserLock pour rendre PAM plus sécurisé

Avec les attaques externes, les escroqueries par phishing et les infections de logiciels malveillants, les entreprises recherchent des moyens de protéger l’accès privilégié – la passerelle vers les données les plus précieuses d’une entreprise.

La Gestion des Connexions avec UserLock facilite la tâche du service informatique pour «sécuriser, gérer et surveiller» les accès non privilégiés sans surcharger l'utilisateur. Il améliore simultanément la sécurité mise en place par PAM en augmentant la capacité du service informatique à restreindre l'utilisation du compte privilégié et à y répondre.

Ainsi, que vous soyez en train de planifier une future implémentation de PAM, ou chercher des moyens d’améliorer la sécurité de la solution PAM que vous possédez - et vous souhaitez étendre la sécurité aussi loin que possible dans le chemin «non privilégié», envisagez de sécuriser la connexion en utilisant la Gestion des Connexions.

¹ IS Decisions, Insider Threat Persona Study (2017)
² Verizon, Data Breach Investigations Report (2018)