Sommaire

Protection des comptes privilégiés et bonnes pratiques

1. Principe de moindre privilège et JEA

Le principe de moindre privilège est, comme son nom l’indique, un principe qui consiste à lancer chaque tâche avec un compte utilisateur qui a exactement les permissions nécessaires à l’accomplissement de cette tâche.

Dans la pratique, cela n’est bien sûr pas toujours réalisable mais il convient de toujours faire au mieux afin d’être le plus proche du besoin tout en laissant exposée une surface d’attaque la plus réduite possible.

La surface d’attaque sera d’autant plus réduite si vous patchez régulièrement votre parc aussi bien au niveau du système d’exploitation, que des outils tiers et sans oublier les équipements réseau. Le chapitre Cycle de vie de votre infrastructure traite notamment de l’utilisation de WSUS (Windows Server Update Services) pour déployer des patchs sur vos systèmes Windows.

Une nouvelle technologie nommée JEA pour Just Enough Administration permet, comme son nom l’indique, de donner « juste les droits nécessaires à l’administration » de n’importe quel composant qui peut être administré via PowerShell.

Il est même possible d’accéder à des ressources du réseau via cette solution (contrairement à d’autres solutions qui utilisent le compte SYSTEM ...