none
Securiser son parc informatique RRS feed

  • Question

  • Bonjour,

    Je souhaiterais savoir si vous avez des liens / idées à me fournir pour sécuriser un minimum les environnements de mes clients. Mes clients sont pour la plupart des environnements de moins de 5000 utilisateurs et pour lesquels la sécurité commence à devenir une préocupation. De mon côté, je ne suis pas du tout compétent la dedans et je ne souhaite pas être expert en sécurité mais simplement être en mesure de leur proposer quelque idées. Idéalement, j'aimerais bien être orienté plutôt sur des solutions on premise.

    Je ne souhaite pas faire de hardenning mais les sensibiliser aux risques et leur conseiller des solutions simples pour limiter les risques en cas de problèmes.

    Ce que je connais un peu : Bitlocker, applocker, laps,FSRM.

    Est ce que c'est utile de bitlocker une VM  ou seulement les postes physiques ?

    Applocker peut être intéressant sur les DC pour autoriser uniquement les process microsoft par exemple et ceux des applicatifs tiers qui seraient présent sur la machine.

    LAPS pour s'assurer que le mot de passe d'un compte admin local soit différent sur chaque machine.

    FSRM pour se protéger des cryptolocker sur les serveurs de fichier en autorisant uniquement les extentions que l'on souhaite.

    Avez vous d'autres idées à me soumettre ? 

    En gros, aujourd'hui quand on installe une nouvelle infra, quelles sont les actions à réaliser pour sécuriser un minimum ce nouvel environnement.

    Je n'ai pas l'impression qu'avoir des DCs en 2012R2/2016 ou 2019 apportent beaucoup de nouveautées d'un point de vue sécurité mais je me trompe peut être.

    Je vous remercie par avance


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 8 avril 2021 15:25

Toutes les réponses

  • Bonjour Mattheu31400

    FRSM pour la partie fileScreening (filtrage par extension) peut être contourné sans pb (mets un fichier vidéo dont l'extension est interdite par exemple dans un zip, ça passe). FRSM n'est pas réellement un élément de sécurité

    Une bon début commence par définir une bonne infra, mais au delà de ça, il faut mettre en place un certain nombre de mesures techniques et organisationnelles afin que les Best-Practices soient respectées (on n'utilise pas le compte administrateur (builtin), les comptes admin sont nominatifs, on ne doit pas pouvoir aller surfer sur le net avec un compte admin, ni depuis un serveur, respect du principe du moindre privilège, on n'accorde pas d'accès à un compte utilisateur mais à un groupe, on fait des audits réguliers des groupes à privilèges et on supervise les changements sur ces groupes, on peut mettre de la délégation sur l'AD, et sur certains outils d'administration, quand on peut le faire au niveau applicatif, on implémente du RBAC avec des groupes de domaine et pas des comptes locaux à l'applicatif, GPO groupes restreints, Comptes de services penser GMSA, Mettre en place ça ne prive pas de faire des audits de conformité et de la rémédiation si pas conforme régulièrement ... et ça n'en finit pas ... une liste à la Prévert.

    En dernier : Gardez toujours à l'esprit que si une chose ne doit pas être faite, il faut faire en sorte techniquement que cela ne soit pas possible de le faire.

    [...Je n'ai pas l'impression qu'avoir des DCs en 2012R2/2016 ou 2019 apportent beaucoup de nouveautées d'un point de vue sécurité mais je me trompe peut être....]

    Ce n'est pas l'OS qui compte puisque tu parles de DC, mais le niveau fonctionnel de l'AD. Le niveau max étant 2016.

    jeudi 8 avril 2021 17:36
  • Je ne souhaite pas faire de hardenning mais les sensibiliser aux risques et leur conseiller des solutions simples pour limiter les risques en cas de problèmes.

    Il faut les sensibiliser aux phishing et autres. Il ne faut pas croire que la techno remplace la vigilence et la formation. 

    FSRM pour se protéger des cryptolocker sur les serveurs de fichier en autorisant uniquement les extentions que l'on souhaite.

    Virer les vieux OS est désactiver SMB V1 ainsi que les vieux protocoles comme NTLM V1, antivirus , c'est un peu le minimum.

    Applocker peut être intéressant sur les DC pour autoriser uniquement les process microsoft par exemple et ceux des applicatifs tiers qui seraient présent sur la machine.

    Aucune raison de mettre applocker sur un DC, les utilisateurs n'ont aucune raison d'ouvrir une session sur ce DC et même pour la gestion au quotidien elle se fait depuis un compte spécifique qui n'a pas besoin d'être admin du domaine. Nombre limitée de rôle sur le contrôleur de domaine et pas d'exe superflus. Donc pas besoin de contrôler.  Privilégié des DCs en mode serveur core

    Je n'ai pas l'impression qu'avoir des DCs en 2012R2/2016 ou 2019 apportent beaucoup de nouveautés d'un point de vue sécurité mais je me trompe peut être.

    Avoir un OS récent et maintenu apporte beaucoup. Sinon les versions récentes améliorent la sécurité des DC. Il ne devrait plus y avoir de DC plus vieux que 2012.

    Le fait de monter le niveau fonctionnel permet en effet de profiter des avantages récents qui ne sont pas supporté par des OS anciens.

    A lire :https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-active-directory/ 
    jeudi 8 avril 2021 18:47
  • 1) Merci énormément à tous les 2 pour vos retours.

    C'est Exactement le genre de discutions et de points que je souhaitais avoir pour les recenser et les mettre un peu plus en forme.

    Pour FSRM, je n'étais pas au courant, mais dans tous les cas, c'est comme pour toutes les technos, ca permet de réduire les menaces, même si ca ne permet pas de les annuler.

    Je suis entièrement d'accord sur le fait que le problème numéro 1 c'est le travail de sensibilisation du personnel et ne pas ouvrir les PJ de mails suspicieux etc... 

    J'ai quelque points sur lesquels je souhaiterais avoir un peu plus d'infos :

    -Comment se protéger des cryptolockers d'un point de vue technique?

    -Pour la partie SMB v1 / ntlm en principe je mets en place Azure sentinel sur les DC pendant 15 jours pour récolter ensuite les informations a partir du journal de sécurité. Ensuite, il est possible de voir si le smb v1 est utilisé ainsi que le ntlm et quelque informations supplémentaires (ancien protocole par exemple). Je trouve assez pratique cette fonctionnalité d'ailleurs. C'est faisable aussi on premise vu que c'est que de l'analyse de journaux, mais ca doit être un peu plus laborieux.

    -Donc applocker ne serait à mettre en place que sur les postes clients mais dans l'idée d'avoir une liste blance d'application, ca doit pas être évident à mettre en place.... Faut faire une machine de référence qui contiendrait toutes les applications du parc et se baser sur ca je suppose.

    -Quand tu dis que la gestion au quotidien se fait depuis un compte spécifique qui n'a pas besoin d'être admin du domaine, tu me parle d'avoir les outils RSAT sur une machine / admin center c'est bien ça ?

    -Les DCs en mode core c'est encore compliqué d'arriver à l'intégrer chez la plus part de nos clients qui ne sont pas rassurés à l'idée de ne pas avoir d'interface graphique mais je comprends entièrement que ce soit plus sécurisé. Toujours pour la même raison, très souvent ils se connectent sur les serveurs en RDP pour faire leur administration. La encore, il faut arriver à faire changer les comportements.

    Est ce que tu aurais quelques éléments concret qui améliorent la sécurités des DCs récents sur les plus anciens justement ? Je n'arrive pas à argumenter quand on me demande est ce que 2019 est plus sécurisé que 2012r2 par exemple pour un controleur de domaine. Pour moi, il y a quelque roles en plus disponible et surtout orienté cloud / hyperconvergence et le reste je n'en ai pas connaissance.

    Merci pour ce lien très intéressant :)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    jeudi 8 avril 2021 21:29
  • Bonjour Matte31400

    [...-Quand tu dis que la gestion au quotidien se fait depuis un compte spécifique qui n'a pas besoin d'être admin du domaine, tu me parle d'avoir les outils RSAT sur une machine / admin center c'est bien ça ?

    -Les DCs en mode core c'est encore compliqué d'arriver à l'intégrer chez la plus part de nos clients qui ne sont pas rassurés à l'idée de ne pas avoir d'interface graphique mais je comprends entièrement que ce soit plus sécurisé. Toujours pour la même raison, très souvent ils se connectent sur les serveurs en RDP pour faire leur administration. La encore, il faut arriver à faire changer les comportements...]

    Pour le 1er point évoqué par Philippe, on peut le traduire autrement : Administration avec un compte nominatif dédié à cet usage et qui respecte le principe du moindre privilège (a-t-on besoin, par ex, d'être administrateur du schéma au quotidien ?).

    Pour opérer ce compte n'a absolument pas besoin de se connecter en RDP sur un DC. tout peut-être fait depuis un serveur ou un poste de travail dédié administration sur lequel sont installés tous les outils nécessaires. Effectivement les RSAT en font partie, mais pas seulement. Il pourrait y avoir d'autres outils comme WAC (Windows Admin Center - C'est juste une tuerie ce truc), une console Exchange, SQL, Outils de sauvegarde, .... Ces points d'administration, j'insiste sur ce mot, dédiés, en anglais ils appellent ça des PAW (Privilegied Access Workstation). On peut même les durcir si nécessaire.Naturellement, pas d'accès à Internet, et pas de messagerie sur ces postes et pas possibilité de se connecter avec un compte de simple utilisateur.

    Si tu te demandes pourquoi ces restrictions ? Pas de net et de messagerie, sécurité afin d'éviter les 1ères sources de compromission. Et le dédié, c'est pour éviter PTh (Pass-The-Hash), méthode utilisée encore trop facilement par les méchants pour faire leur sale boulot.

    Après, au niveau infra, on peut aller plus loin bien entendu. Le firewall périmétrique est de rigueur bien entendu, une solution anti-malware/anti-spam/fisching en amont de la messagerie également. Mais on peut également envisage de faire du compartimentage du réseau en Zones (le passage d'une zone à l'autre se faisant via un firewall dédié avec une administraiton spécifique restreinte. Un peu à l'instar de ce qui se fait sur Azure avec les NSG). On peut également envisager de mettre en place des UEBA, comme Sentinell (Un UEBA, c'est comme un SIEM mais avec en plus des fonctionnalités d'auto-apprentissage basées sur de l'IA). Pas oublier d'avoir une équipe ou mieux un SOC (Security Office Center) pour administrer tout ça au quotidien, car mettre en place des outils de surveillance et n'avoir personne pour gérer les alertes, c'est juste gaspiller de l'argent en vain.

    Sur les postes : AV de rigueur of course, mais surtout les utilisateurs ne devraient jamais avoir les droits administrateur de leur machine. Oui, gérer le compte administrateur (local) avec LAPS, peut aider à ce que ce dernier ne soit pas compromis (ex. Je vois passer un tech 2 fois sur ma machine, j'ai repéré les touches quand il se connecte avec le compte admin local, je suis le roi du pétrole sur ma machine .... et toutes les autres. Avec LAPS, on limite ceci et on peut changer le mot de passe après intervention). User admin de sa machine ? Ben oui, et la marmotte elle emballe du chocolat dans du papier alu ... c'est le meilleur moyen de pourrir une infra ... de l'intérieur. Je ne parle pas seulement d'introduction de malwares, et autres cochonnerie, mais également de logiciels et autres qui vont venir mettre la grouille sur le poste (il y a fort longtemps j'ai vu un mec connecter son clavier/souris USB perso sur sa machine pro (un poste NT4), et comme cela ne fonctionnait pas (NT4 ne supportait pas USB), télécharger des soit-disant "pilotes" permettant à l'OS de supporter l'USB. Bilan machine qui part en BSOD à répétition. Et pourquoi a-t-il fait ça ? ... parce qu'il pouvait le faire, il était admin de sa machine. Fin de l'histoire).

    Olivier

    vendredi 9 avril 2021 05:17
  • Merci encore pour ces points que tu apportes et qui sont très intéressant.

    C'est exactement le genre d'analyse que je recherchais en écrivant ici. Il faut que je fasse un choix ensuite sur ce que je peux mettre en place sur 100% de mes clients et ce qui risque d'être un peu plus complexe.

    Ce que je souhaiterais par exemple c'est bien respecter les T0,T1,T2 en terme d'administration. Donc interdire un compte admin du domaine de se connecter à un poste de travail par exemple :).

    Mais avant ca, il faut que je lise un peu les bonnes façons de faire, les groupes à créer et les GPOs à mettre en place. 

    L'inconvénient c'est qu'en effet, pour la majorité de mes clients, beaucoup de choses ne seront pas suivies par manque de temps donc comme tu le fais si bien remarqué, c'est inutile de mettre en place des solutions si elles ne sont pas suivi au quotidien...

    Ex : J'ai encore beaucoup de client qui ont des solutions de supervisions mais ca ne les emêche pas d'avoir une dizaine de serveur avec un espace disque inférieur a 2Go sur certaines machine et ne pas les traiter... Ce qui veut dire que ce sera la même chose ici. 

    Je vais donc prendre tous les éléments qui permettent d'augmenter la sécurité d'un environnement, faire ma petite analyse dessus pour voir ce qui est adapté au petites entreprise et ce qui l'est pour les plus grosses et ensuite indiquer au client que tel point et tel points sont important à prendre en compte alors que tel ou tel autre l'est un peu moins.

    Ex : Certains clients ont tous les utilisateurs qui sont admin local de leur machine donc c'est pareil, c'est une des étapes à modifier. Cela avait été fait car à une époque une application nécessitait des droits d'administrateur et maintenant il faut retester pour savoir si c'est toujours le cas. 


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 9 avril 2021 06:54
  • Mattheu31400

    tu peux lire aussi ce qu'il y a la dedans : https://github.coma/unassassinable/PAW

    même si cela date de quelques années maintenant, de nombreuses info sont encore valables.

    Olivier

    vendredi 9 avril 2021 07:14
  • Parfait, je vais essayer de mettre ca un peu au propre et je reviens ici pour des idées supplémentaires éventuellement :)

    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 9 avril 2021 11:54
  • Salut,

    Juste pour le vérifier, la réponse ci-dessus pourrait être utile, si oui, veuillez aider à marquer la réponse utile comme réponse.

    Merci de votre coopération.

    Meilleures salutations,
    Anne

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    vendredi 16 avril 2021 06:50
  • Bonjour,

    Je dois remettre au propre tout ca pour discuter de certains point encore, c'est pour cela que je n'avais rien marqué comme réponse encore :)


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    vendredi 16 avril 2021 06:53