Question sur le modèle HardenAD #166
-
|
Bonjour, Je suis en train d'implémenter HardenAD et j'ai une question sur le placement de certains comptes. Certains de mes utilisateurs ont accès à une VM d'administration pour interagir avec des ressources T1. J'ai donc placé ces VMs dans T12 > Servers en les considérant comme des ressources T1, ce qui veut dire qu'ils doivent s'y connecter avec un compte T1. Le problème que j'ai c'est que je ne sais pas où placer ces comptes. L'OU T12 > Users est réservée aux utilisateurs T2, et l'OU _Administration > UsersT1 ne me semble pas adaptée non plus, car ces comptes ne sont pas des comptes d'administration, ils doivent uniquement permettre à ces utilisateur de se connecter à leur propre VM, rien de plus. La solution qui me semble la plus logique serait de créer une OU Users dans T12 > Services pour y placer ces comptes, mais ça me paraît un peu bizarre et je ne suis pas sûr que ce soit la bonne solution. Est-ce que vous auriez une recommandation pour ce cas de figure ? |
Beta Was this translation helpful? Give feedback.
Replies: 1 comment 2 replies
-
|
Bonjour, Les VM d'administration sont des asset protégés (si on parle d'administration système). Positionné de tels assets dans l'OU de production n'est pas recommandé, à priori. Ma vision des choses : seuls les comptes admins (ope, manager, admin) sont restreint au login par les GPO. En positionnant les objets dans l'OU server ou workstation du Tier 0, vous placez les assets sous maintenance du compte Tier 0 operator. vous créez des comptes dédiés dans l'OU users du tier 0. Vous positionnez ces consoles dans un VLAN dédié. fonctionnement : login avec le comtpe T0 dédié, rebond sur les serveurs du tier 1 avec le compte T1 Ope, etc. La VM ne sert que de passerelle avec des outils qui requiert une authentification (forte, de préférence). Le risque dépend ensuite de comment la VM est accéder : si il s'agit d'un bastion, cette méthode est safe. Si il s'agit d'un accès RDP direct depuis un poste bureautique, c'est accès est dangereux. Cdt, |
Beta Was this translation helpful? Give feedback.
Bonjour,
Les VM d'administration sont des asset protégés (si on parle d'administration système). Positionné de tels assets dans l'OU de production n'est pas recommandé, à priori.
Ma vision des choses : seuls les comptes admins (ope, manager, admin) sont restreint au login par les GPO. En positionnant les objets dans l'OU server ou workstation du Tier 0, vous placez les assets sous maintenance du compte Tier 0 operator. vous créez des comptes dédiés dans l'OU users du tier 0. Vous positionnez ces consoles dans un VLAN dédié. fonctionnement : login avec le comtpe T0 dédié, rebond sur les serveurs du tier 1 avec le compte T1 Ope, etc. La VM ne sert que de passerelle avec des outils qui requi…