[FRsAG] sécu :bonnes pratiques poste administrateur renforcé

Erik Le Vacon erik at levacon.net
Mer 26 Mai 22:15:56 CEST 2021


Bonjour,

Il te faut effectivement un annuaire dédié administration. Toute auth 
backend sur l'annuaire de "prod métier" est à proscrire.
J'ajouterais une CMDB de conformité des postes/VM au modèle, avec logging 
verbeux de toute modification. Snapshot regulier des VM admin et revert si pb.
Si le template VM admin/support est générisque et standard, un revert 2 
snapshot  automatique sur extinction/reboot est un plus.
Enfin, un bastion + fw en coupure du réseau OOB admin vs le reste du SI est 
impératif. Si le budget le permet, des diodes H/W existent pour 
environnement sensibles (overkill dans ton cas?)
Prévoir une station blanche pour sanitizer les échanges via supports amovibles.
Enfin, une boite à logs pour surveiller et tracer tout ce bel écosysteme 
admin, et tu devrais t'en sortir.

Bon courage

#mytwo

Le 26 mai 2021 21:21:23 elpablodelcasata at netcourrier.com a écrit :
> Bonjour la communauté,
>
> Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en 
> place des postes administrateurs "renforcés" pour les admins sys & réseau / 
> le support.
> Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas 
> rentrer dans la parano extrême mais je voudrais un bon équilibre sécu sans 
> contraintes extremes.
>
> Il s'agit de machines virtuelles
> Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
> 1 poste par admin sys et tech réseau
> 1 poste commun au support (multi utilisateurs)
> Des règles de FW par machine
> Les outils nécéssaires (putty / rdp ...)
> Les admins ne sont pas admin de la vm.
> Un antivirus est installé
> Pare Windows en mode bloque tout sauf RDP
> App locker
> OTP pour l'ouverture de la machine
>
> J'hésite a mettre les machines au domaine, en tout cas celle des admin sys, 
> pas le support. L'ANSSI préconise que l'authentification soit faite par 
> l'annuaire du SI d'administration ... une AD ? la je trouve que c'est trop. 
> (P18 
> https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf 
> ) Qu'en pensez vous ?
> Voyez vous d'autres point intéressantes ?
>
> Merci pour votre avis.
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/

-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20210526/169f0295/attachment.htm>


Plus d'informations sur la liste de diffusion FRsAG