[FRsAG] sécu :bonnes pratiques poste administrateur renforcé

Cécile Martron cecile+frsag at martron.me
Jeu 27 Mai 17:40:30 CEST 2021


Hello,

Ça dépend de la taille de ta structure, et de l'objectif de ces postes 
"renforcés".

Pour la vie de tous les jours ? Afin d'avoir un OOB ? Pour quels types 
d'opérations ?
Un accès sur site ou potentiellement à distance ? Combien d'admins, de 
techs ?

Ce n'est pas la même chose de concevoir une archi d'administration pour 
une PME de 10 personnes dont l'administration sys/net s'effectue tous 
les 32 du mois, que pour une grosse boîte avec 20 admins full time ;)

Bonne journée,

Cécile Martron
Ingénieure Systéme Réseaux et Télécommunication
+33 (0) 6 85 44 33 38

Le 26/05/2021 à 11:26, elpablodelcasata at netcourrier.com a écrit :
> Bonjour la communauté,
>
> Dans le cadre de l'amélioration de la sécurité du SI je vais mettre en 
> place des postes administrateurs "renforcés" pour les admins sys & 
> réseau / le support.
> Je voulais votre point de vue sur ce type de poste. Je ne souhaite pas 
> rentrer dans la parano extrême mais je voudrais un bon équilibre sécu 
> sans contraintes extremes.
>
> Il s'agit de machines virtuelles
> Les postes seront dans un VLAN dédié et commun (non pas un vlan par poste)
> 1 poste par admin sys et tech réseau
> 1 poste commun au support (multi utilisateurs)
> Des règles de FW par machine
> Les outils nécéssaires (putty / rdp ...)
> Les admins ne sont pas admin de la vm.
> Un antivirus est installé
> Pare Windows en mode bloque tout sauf RDP
> App locker
> OTP pour l'ouverture de la machine
>
> J'hésite a mettre les machines au domaine, en tout cas celle des admin 
> sys, pas le support. L'ANSSI préconise que l'authentification soit 
> faite par l'annuaire du SI d'administration ... une AD ? la je trouve 
> que c'est trop. (P18 
> https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf 
> <https://www.ssi.gouv.fr/uploads/2015/02/guide_admin_securisee_si_anssi_pa_022_v2.pdf> 
> ) Qu'en pensez vous ?
> Voyez vous d'autres point intéressantes ?
>
> Merci pour votre avis.
>
> _______________________________________________
> Liste de diffusion du FRsAG
> http://www.frsag.org/
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://www.frsag.org/pipermail/frsag/attachments/20210527/edb9d3ff/attachment.htm>


Plus d'informations sur la liste de diffusion FRsAG