La question d'autoriser ou non un OS est biaisée selon moi. C'est pas la que tu dois prendre tes mesures de sécurité (a conditions que tes machines soient bien à jour).. Il vaut mieux mettre en place des process sécuritaire, parmis ceux-ci: - Séparation du compte à privilèges du compte "qui lit des mails" avec stockage du mot de passe dans une voûte - Utilisation d'un bastion qui propose une rupture protocolaire, et idéalement qui gère l'accès au mot de passe (de cette manière, ton utilisateur s'authentifie sur ton bastion, et c'est le bastion qui lui connaît le mot de passe pour accéder à ta machine distante) - Utilisation d'un MFA obligatoire pour tout comptes à haut privilèges (au moins, les autres devraient aussi...) - Avoir une bonne protection périmètrique (NGFW) et t'assurer que ta zone users ne puisse pas accéder à ta zone à haut privilèges sans passer par un NGFW
Donc non, je n'interdit à aucun de mes admins d'accéder depuis un windows aux environnements sur lequel il doit travailler (pas le choix en plus, ils sont tous sous Windows...). Par contre je m'arrange pour qu'ils le fassent de manière sécurisée, en respectant autant que possible les modèles de type ZTNA, Least Privilges, etc... Le mer. 18 oct. 2023 à 10:44, Jérôme Quintard <jquint...@outlook.com> a écrit : > Bon, j'aurai pu attendre vendredi, parce que la question risque d'être > trollée à mort, mais allons y... > > Au niveau SSI, autorisez-vous l'accès à vos équipes, à des équipements > sensibles (réseaux comme systèmes) depuis une machine Windows ou > limitez-vous ces accès depuis d'autres OS... > > Prenons le cas d'un administrateur sous Windows (on va partir du principe > qu'il n'est pas administrateur local, qu'il n'y a pas de PAM). Via du > phishing, il se prend un mimikatz qui récupère dans la LSASS un token pour > faire une élévation de privilèges. De là, l'ensemble du système est > corruptible. > > Par nature l'exploitation d'info pour faire du pass the hash/ticket, n'est > pas exploitable sur d'autres OS même avec du realm... je ne trouve en tout > cas rien sur le sujet... > > Au delà, gérez-vous vos le AAA de vos équipements via un radius ou avec > des credentials communs (pas glop) ou distincts (via un gestionnaire de mot > de passe par exemple)... > > Jerome > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
