Oui, non, ça dépends. Par exemple, pourquoi empêcher l'accès à ADDS depuis une machine Windows à part le masochisme ?
Par contre, la machine en question est dédiée à ça et il n'y a pas trace d'un navigateur ou client courriel dessus… Ton administrateur sous Windows n'est pas supposé utiliser un compte admin pour ouvrir ses courriels, donc il ne cliquera pas sur le lien d'hameçonnage depuis un compte à privilège. D'ailleurs, puisqu'il utilise une machine dédiée pour les tâches administratives sans navigateurs/clients courriel, il n'a jamais connecté son compte admin sur la machine qui a servi à ouvrir cet hameçonnage, donc les identifiants du compte admin n'ont jamais été mis en cache sur ce système. Même pour joindre la machine au domaine, un compte à usage unique a été utilisé, ou tout autre moyen. Pour ce qui est de la validité du ticket kerberos, tu peux en fonction du comportement le révoquer (voir silverfort par exemple) Belle journée, Jules > > Le mercredi 18 octobre 2023 à 14:43 +0000, Jérôme Quintard a écrit : > > Bon, j'aurai pu attendre vendredi, parce que la question risque > > d'être trollée à mort, mais allons y... > > > > Au niveau SSI, autorisez-vous l'accès à vos équipes, à des > > équipements sensibles (réseaux comme systèmes) depuis une machine > > Windows ou limitez-vous ces accès depuis d'autres OS... > > > > Prenons le cas d'un administrateur sous Windows (on va partir du > > principe qu'il n'est pas administrateur local, qu'il n'y a pas de > > PAM). Via du phishing, il se prend un mimikatz qui récupère dans la > > LSASS un token pour faire une élévation de privilèges. De là, > > l'ensemble du système est corruptible. > > > > Par nature l'exploitation d'info pour faire du pass the > > hash/ticket, > > n'est pas exploitable sur d'autres OS même avec du realm... je ne > > trouve en tout cas rien sur le sujet... > > > > Au delà, gérez-vous vos le AAA de vos équipements via un radius ou > > avec des credentials communs (pas glop) ou distincts (via un > > gestionnaire de mot de passe par exemple)... > > > > Jerome > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
