Bonjour,

Nous sommes une petite équipe (3 admins) et équipe support de 3 personnes. Nous souhaitons apporter de la sécurité sans nons plus monter une usine à gaz.
C'est donc pour la vie de tous les jours sur des actions d'admin : gestion des droits sur serveur de fichier, active directory, ssh, rdp sur certains serveurs, mise à jour.

Et des actions de support : déverrouiller un compte, changer de mot de passe, réinitialiser une session tse.

Donc on est pas une PME (1500 ordi) et on est pas une armée de mexicain (3 admins et 3 personnes au support tournante).

Cdt

De : Cécile Martron <cecile@martron.me>
À : elpablodelcasata@netcourrier.com;
frsag@frsag.org
Sujet : Re: [FRsAG] sécu :bonnes pratiques poste administrateur renforcé
Date : 27/05/2021 17:39:34 Europe/Paris

Hello,

Ça dépend de la taille de ta structure, et de l'objectif de ces postes "renforcés".

Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels types d'opérations ?
Un accès sur site ou potentiellement à distance ? Combien d'admins, de techs ?

Ce n'est pas la même chose de concevoir une archi d'administration pour une PME de 10 personnes dont l'administration sys/net s'effectue tous les 32 du mois, que pour une grosse boîte avec 20 admins full time ;)

Bonne journée,

Cécile Martron
Ingénieure Systéme Réseaux et Télécommunication
+33 (0) 6 85 44 33 38

Le 26/05/2021 à 11:26, elpablodelcasata@netcourrier.com a écrit :
Bonjour la communauté,

Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en place des postes administrateurs "renforcés" pour les admins sys & réseau / le support.

Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans contraintes extremes.

Il s'agit de machines virtuelles

Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)

1 poste par admin sys et tech réseau

1 poste commun au support (multi utilisateurs)

Des règles de FW par machine

Les outils nécéssaires (putty / rdp ...)

Les admins ne sont pas admin de la vm.

Un antivirus est installé

Pare Windows en mode bloque tout sauf RDP

App locker

OTP pour l'ouverture de la machine

J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, pas le support. L'ANSSI préconise que l'authentification soit faite par l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. (P18 https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf ) Qu'en pensez vous ?

Voyez vous d'autres point intéressantes ?

Merci pour votre avis.
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/