C'est un mercredi ordinaire à l'entreprise XYZ Inc. où vous êtes ingénieur système depuis 2007. La journée commence par une multitude de problèmes, petits ou grands. Un groupe de postes de travail du service juridique a manqué le dernier cycle de correctifs, votre amie du service financier n'arrive pas à faire fonctionner son plug-in IE et l'équipe d'administration SQL a des problèmes pour se connecter au cluster SQL qui fait tourner les applications de l'entreprise XYZ.
Vous résolvez les problèmes en temps voulu, en vous connectant à chaque système problématique à l'aide de vos identifiants d'administrateur de domaine. Les problèmes urgents de la journée ont été résolus, mais une situation de sécurité plus importante et plus sinistre est peut-être en train de se développer.
L'utilisation d'un compte à haut privilège, par exemple Admin de domaine, sur des systèmes multiples et variés augmente la possibilité qu'une attaque de type Pass-the-Hash (PtH) ou une autre technique de vol d'informations d'identification puisse être utilisée pour prendre le contrôle de comptes ayant un accès de niveau administrateur à pratiquement tous les systèmes de grande valeur d'une organisation. Le principe de ces techniques de vol de données d'identification consiste à s'emparer du plus grand nombre possible de données d'identification de domaine stockées sur un système compromis. Une fois qu'un poste de travail ou un serveur est compromis, il faut généralement 24 à 48 heures pour obtenir les identifiants d'un administrateur de domaine. Le risque est d'autant plus grand que la découverte de la compromission initiale prend généralement des mois, ce qui laisse aux intrus plus de temps qu'il n'en faut pour s'emparer des systèmes et des données essentiels à la mission de l'entreprise. Le calcul est simple : moins vous vous connectez à des systèmes à l'aide de ces comptes privilégiés, plus vous réduisez le risque de compromission.
Microsoft a publié des mises à jour de sécurité ainsi que des mesures d'atténuation dans les systèmes d'exploitation les plus récents afin de répondre à certaines de ces attaques. Ces correctifs et ces mesures d'atténuation devraient faire partie d'une stratégie plus large qui met également en œuvre des contrôles autour de vos comptes à privilèges élevés. Ces contrôles devraient comprendre, entre autres, la restriction et la protection des comptes de domaines privilégiés, la limitation du nombre de comptes de domaines privilégiés et la séparation des comptes administratifs en fonction de l'action ou de la fonction. L'un des principaux investissements de Microsoft Identity Manager 2015 (MIM) est la gestion des accès privilégiés (PAM). PAM dans MIM 2015 exploite de nouvelles fonctionnalités dans Windows Server 10 Active Directory Domain Services (ADDS) et PAM PowerShell CMDLETS qui aident à atténuer le risque de mouvement latéral et d'escalade des privilèges en isolant et en limitant l'utilisation des comptes de domaine hautement privilégiés.
L'approche MIM de la PAM est l'accès administrateur juste à temps (JIT). Il s'agit de la possibilité pour les administrateurs de "renforcer" l'accès en fonction des besoins, tout en bénéficiant de droits spécifiquement adaptés à la tâche à accomplir. Le cycle de vie de ce processus est le suivant :
- Préparer: Déterminer quels utilisateurs détiennent actuellement un accès privilégié. Il est également nécessaire d'isoler et de délimiter ces privilèges.
- Protéger: Mettre en œuvre le processus Step-up et la protection AuthN de ces comptes privilégiés.
- Opérer: Les utilisateurs demandent un accès administratif à l'ECE avant d'effectuer des tâches nécessitant des informations d'identification privilégiées. L'accès progressif est placé dans une "boîte de temps" finie, généralement pour la durée de la tâche en question.
- Contrôler: Un "filet de sécurité" d'audit, de rapport et d'alerte sur ces demandes est mis en place.
Sur le plan architectural, comment cela se passe-t-il ?
La solution comporte plusieurs éléments mobiles :
Une forêt séparée construite sur Windows Server 10 ADDS et héberge l'infrastructure MIM 2015 ainsi que des duplicatas des groupes privilégiés et des comptes d'utilisateurs de votre forêt CORP. Ces objets et groupes d'utilisateurs sont ceux qui gèrent l'accès progressif et l'élévation des droits. L'empreinte du serveur pour cette forêt comprendrait 2 contrôleurs de domaine pour la haute disponibilité.
Une confiance bidirectionnelle au niveau de la forêt, avec filtrage SID désactivé, est alors établie entre la forêt PAM et la forêt CORP. L'historique des SID est exploité pour permettre aux objets utilisateur et groupe dupliqués dans la forêt PAM d'accéder à la forêt CORP. L'accès élevé se produit lorsque les utilisateurs AuthN à CORP avec leur compte PAM qui a reçu un accès temporaire par MIM dans l'un des groupes Admin dupliqués. Ces concepts ne sont pas nouveaux pour les administrateurs familiers avec AD et SID History - le plus intéressant est ce que MIM, PowerShell et Server 10 apportent à l'équation.
Windows Server 10 permet d'ajouter un TTL à l'appartenance à un groupe. C'est ce TTL qui est utilisé pour "temporiser" l'accès progressif. La MIM gère le provisionnement des objets dans ces groupes ainsi que l'application de la valeur TTL. Le serveur 10 ADDS DE-provisionne les utilisateurs lorsque la valeur TTL est atteinte.
Le flux de travail pour l'ensemble de ce processus peut être géré via une interface graphique développée à l'aide de l'API REST de PAM dans MIM et/ou des CMDLETS PowerShell de PAM.
Cette solution résout-elle complètement le problème du vol de données d'identification dans l'entreprise ?
Non, mais dans le cadre d'un effort plus large pour renforcer la posture de sécurité, PAM s'appuyant sur MIM 2015 et Server 10 ADDS peut grandement aider les administrateurs et les RSSI à mieux dormir la nuit.
Dans la section des références ci-dessous, vous trouverez de nombreux liens avec des informations supplémentaires sur PAM, MIM 2015 et les techniques de vol de données d'identification.
Références :
https://technet.microsoft.com/en-us/security/dn785092
https://pentestmonkey.net/uncategorized/from-local-admin-to-domain-admin
https://blog.kloud.com.au/2014/11/26/mim-and-privileged-access-management/
https://en.wikipedia.org/wiki/Pass_the_hash
https://en.wikipedia.org/wiki/Privileged_Identity_Management