Normalement t’es admins travaillent depuis des tiers, une machine par tier tier 0 = Active Directory, tu te connectes uniquement en power Shell à distance, pas de session interactive Tier 1 = t’es serveurs que tu administres à distance avec rsat powershell ou ssh Tier 2 = pr administrer ton parc (support)
Bien sûr aucune machine de tier n’a accès à internet C’est des machines individuelles blindées, dans un vlan et monitorées, un compte avec des droits à minima Pr tout ce qui est bureautique de tes admins, ben une autre machine :-) C’est les bonnes pratiques mais très compliqué à mettre en œuvre. Un tier isolé pr les manip d’admin c’est déjà une bonne 1 ère étape. Bon courage ---- Message d'origine ---- > De : Jérôme Quintard <jquint...@outlook.com> > À : frnog-m...@frnog.org <frnog-m...@frnog.org> > Sujet : [FRnOG] [MISC] Troll pas troll sur la sécurité de vos accès. > Date : 18/10/2023 16:43:52 Europe/Paris > > Bon, j'aurai pu attendre vendredi, parce que la question risque d'être > trollée à mort, mais allons y... > > Au niveau SSI, autorisez-vous l'accès à vos équipes, à des équipements > sensibles (réseaux comme systèmes) depuis une machine Windows ou > limitez-vous ces accès depuis d'autres OS... > > Prenons le cas d'un administrateur sous Windows (on va partir du principe > qu'il n'est pas administrateur local, qu'il n'y a pas de PAM). Via du > phishing, il se prend un mimikatz qui récupère dans la LSASS un token pour > faire une élévation de privilèges. De là, l'ensemble du système est > corruptible. > > Par nature l'exploitation d'info pour faire du pass the hash/ticket, n'est > pas exploitable sur d'autres OS même avec du realm... je ne trouve en tout > cas rien sur le sujet... > > Au delà, gérez-vous vos le AAA de vos équipements via un radius ou avec > des credentials communs (pas glop) ou distincts (via un gestionnaire de mot > de passe par exemple)... > > Jerome > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
