Salut à tous, Merci pour vos réponses.
Alors l'idée n'est pas d'être masochiste (@Jules) 🙂. Très honnêtement hors OIV, je ne connais personne qui fasse réellement une isolation complète d'internet de leurs admins. La raison est simple : il y a de plus en plus d'administration d'équipements locaux ou d'applications qui se font sur l'internet. Les serveurs on premise devienne on cloud et souvent publique (Azure, GCP, AWS, etc.). Les admins utilisent des ITSM ou des gestionnaires de mots de passe sur l'internet. Avoir deux machines ou un bastion est peu exploitable dans les faits. Dès lors pourquoi se priver de mails... S'isoler complètement d'internet (votre point de vue commun qui est effectivement un idéal... ou une utopie) est une gageure en soit que peu respecte scrupuleusement... je connais un OIV dans la défense dont les admins n'ont aucune difficulté à se balader sur internet tout en étant connecté en SSH sur un serveur de prod. Et j'en connais un autre qui respecte cette règle... mais pas entre 12 et 14h pendant la pause (chercher l'erreur). Alors oui on peut mettre une ribambelle d'outil de détection de sécurisation (faut-il pouvoir se les payer ce que j'ai la chance de pouvoir faire dans notre groupe)... mais il n'empêche, sans cette isolation dont vous parlez et sans à minima un PAM (et le principe du PoLP) ou de techno type Microsoft Credential Guards, une machine sous Windows reste pour moi plus à risques avec le risque qu'un token soit ré-exploité. Personnellement, je suis pratiquement certain de pouvoir entrer dans une grande partie des systèmes que je connais (ou pas) sur ce principe car une grande partie des admins sont sous Windows, ont accès à l'internet et on peu ou pas de MFA. Combien dans la liste sont dans ce cas précis... on le sera pas :) Jérôme ________________________________ De : Olivier Lange <olang...@gmail.com> Envoyé : mercredi 18 octobre 2023 17:02 À : Jérôme Quintard <jquint...@outlook.com> Cc : frnog-m...@frnog.org <frnog-m...@frnog.org> Objet : Re: [FRnOG] [MISC] Troll pas troll sur la sécurité de vos accès. La question d'autoriser ou non un OS est biaisée selon moi. C'est pas la que tu dois prendre tes mesures de sécurité (a conditions que tes machines soient bien à jour).. Il vaut mieux mettre en place des process sécuritaire, parmis ceux-ci: - Séparation du compte à privilèges du compte "qui lit des mails" avec stockage du mot de passe dans une voûte - Utilisation d'un bastion qui propose une rupture protocolaire, et idéalement qui gère l'accès au mot de passe (de cette manière, ton utilisateur s'authentifie sur ton bastion, et c'est le bastion qui lui connaît le mot de passe pour accéder à ta machine distante) - Utilisation d'un MFA obligatoire pour tout comptes à haut privilèges (au moins, les autres devraient aussi...) - Avoir une bonne protection périmètrique (NGFW) et t'assurer que ta zone users ne puisse pas accéder à ta zone à haut privilèges sans passer par un NGFW Donc non, je n'interdit à aucun de mes admins d'accéder depuis un windows aux environnements sur lequel il doit travailler (pas le choix en plus, ils sont tous sous Windows...). Par contre je m'arrange pour qu'ils le fassent de manière sécurisée, en respectant autant que possible les modèles de type ZTNA, Least Privilges, etc... Le mer. 18 oct. 2023 à 10:44, Jérôme Quintard <jquint...@outlook.com<mailto:jquint...@outlook.com>> a écrit : Bon, j'aurai pu attendre vendredi, parce que la question risque d'être trollée à mort, mais allons y... Au niveau SSI, autorisez-vous l'accès à vos équipes, à des équipements sensibles (réseaux comme systèmes) depuis une machine Windows ou limitez-vous ces accès depuis d'autres OS... Prenons le cas d'un administrateur sous Windows (on va partir du principe qu'il n'est pas administrateur local, qu'il n'y a pas de PAM). Via du phishing, il se prend un mimikatz qui récupère dans la LSASS un token pour faire une élévation de privilèges. De là, l'ensemble du système est corruptible. Par nature l'exploitation d'info pour faire du pass the hash/ticket, n'est pas exploitable sur d'autres OS même avec du realm... je ne trouve en tout cas rien sur le sujet... Au delà, gérez-vous vos le AAA de vos équipements via un radius ou avec des credentials communs (pas glop) ou distincts (via un gestionnaire de mot de passe par exemple)... Jerome --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
