Sécuriser Active Directory : comprendre le Tiering Model

Florian BURNEL - ITConnect - 20/03

Sur un domaine Active Directory, c'est quoi le Tiering Model ? Comment fonctionne ce modèle en couches ? Voici l'essentiel à savoir pour débuter sur le sujet.

Sommaire

I. Présentation
II. L'administration traditionnelle d'un domaine Active Directory
III. Privileged Access Management
IV. Active Directory : qu'est-ce que le modèle en couches ?
V. Les 3 niveaux du Tiering Model pour l'AD
- A. Le Tier 0
- B. Le Tier 1
- C. Le Tier 2
- D. Les interactions entre les niveaux du Tiering Model
VI. Le Tiering Model n'est pas la solution à tous les problèmes
VII. Conclusion

I. Présentation

Dans un environnement Active Directory, la sécurité des comptes à privilèges et leur cloisonnement représente un enjeu majeur. La compromission d'un seul compte administrateur membre du groupe "Admins du domaine" peut avoir d'énormes conséquences sur l'ensemble du système d'information d'une entreprise. En effet, comme nous le verrons, l'attaquant détient alors les clés du royaume...

Pour répondre à cette problématique, le modèle en couches, que l'on appelle aussi Tiering Model, propose une segmentation stricte des comptes afin de limiter l'impact d'une intrusion ou d'une compromission de compte. Ce modèle, recommandé par Microsoft, l'ANSSI et de nombreux experts en Active Directory, repose sur un découpage en plusieurs niveaux (couches).

Note : ce concept s'inscrit dans une approche plus large de la gestion des accès à privilèges, appelée Privileged Access Management (PAM).

II. L'administration traditionnelle d'un domaine Active Directory

Commençons par évoquer l'administration dite traditionnelle d'un domaine Active Directory, c'est-à-dire sans aucun cloisonnement des privilèges. Nous pouvons constater la situation suivante : chaque administrateur système dispose d'un compte membre du groupe "Admins du domaine" (ou tous les admins utilisent le même compte, cela existe aussi...). L'administrateur utilise ce compte pour accomplir diverses actions, telles que :

Administrer l'Active Directory
Effectuer la maintenance sur les serveurs métiers
Dépanner les utilisateurs dans le cadre de missions de support

Dans le meilleur des mondes, quand tout se passe bien, il dispose donc d'un seul compte pour administrer le système d'information. C'est diablement pratique, mais tout aussi dangereux...

Être membre du groupe "Admins du domaine" dans un environnement sans cloisonnement des privilèges, cela revient à ...
[Courte citation de 8% de l'article original]

Tags : active directory - cybersécurité -

Source et Copyright images et textes : Florian BURNEL - ITConnect
Lien original, consulter l'article dans son intégralité ici : https://www.it-connect.fr/active-directory-tiering-model-les-fondamentaux/
Lien direct sur notre site : http://www.newsexplorer.fr/article/25469530/S%C3%A9curiser-Active-Directory---comprendre-le-Tiering-Model
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.