Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Guide des gMSA : sécurité et déploiement des comptes de service administrés de groupe

Découvrez comment vous pouvez configurer les gMSA pour sécuriser vos appareils sur site via des comptes de services gérés.
Josue Ledesma
6 minute de lecture
Dernière mise à jour 30 juin 2023

Contenu

    Au sein de chaque organisation, diverses tâches ou applications automatisées s’exécutent en arrière-plan sur les appareils du réseau. Pour gérer et sécuriser ces processus automatisés de manière optimale, vous pouvez vous appuyer sur des comptes de service administrés de groupe, aussi appelés gMSA. Dans cet article, nous expliquons ce qu’est un gMSA, en quoi son rôle est important et comment en créer un pour votre réseau et votre organisation.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    Qu’est-ce qu’un gMSA ?

    Blog_Design_GMSA_20211004_V1_fr-FR

    Les comptes de service administrés de groupe, ou gMSA, sont un type de compte de service administrés offrant une sécurité supérieure aux comptes de service administrés classiques pour les applications, services, processus et tâches automatisés et non interactifs nécessitant des identifiants. Disponibles sur les ordinateurs équipés de Windows Server 2012 et versions supérieures, les gMSA ont largement remplacé les sMSA (comptes de service administrés autonomes) aussi appelés MSA (comptes de service administrés), car ils peuvent être utilisés sur plusieurs serveurs et exécuter plusieurs tâches automatisées.

    Pourquoi les comptes de service et les gMSA sont-ils importants ?

    Ces comptes non personnels jouent souvent un rôle essentiel, car ils offrent un contexte de sécurité à de multiples services en arrière-plan s’exécutant sur des appareils Windows. Sans sécurité adaptée, ces services d’arrière-plan sont ciblés et exploités par des hackers cherchant à s’infiltrer sur votre réseau par le biais de vos appareils. Les comptes de service administrés constituent ainsi un maillon de la chaîne de gestion de la sécurité de votre organisation.

    Blog_Design_GMSA_20211004_V1_fr-FR2 

    Avantages de l’utilisation des gMSA

    Les gMSA offrent plusieurs avantages en matière de sécurité et vous permettent de contrôler plus facilement vos comptes de service.
    • Ils prennent en charge plusieurs serveurs : à la différence des MSA ou des sMSA classiques, les gMSA permettent de configurer et d’exécuter les services et tâches sur plusieurs serveurs, un point crucial avec la modernisation des infrastructures des organisations.
    • La gestion des mots de passe est automatisée : pour faire bref, les gMSA simplifient la gestion des mots de passe en éliminant l’intermédiaire, à savoir vous. En effet, les mots de passe sont générés automatiquement, gérés par le système d’exploitation et modifiés régulièrement.
    • Les mots de passe sont gérés par le système d’exploitation : lorsque des applications ont besoin d’un mot de passe, elles interrogent Active Directory. Ainsi, vous n’avez même pas besoin de connaître ce mot de passe, ce qui rend bien plus difficile sa compromission.
    • Vous pouvez déléguer la gestion à d’autres administrateurs : la possibilité de déléguer la gestion peut s’avérer très utile pour s’assurer que la responsabilité de la sécurité de votre compte de service ne se retrouve pas entre les mains d’une seule personne.

    Comment localiser et gérer des comptes de service administrés de groupe ?

    Votre organisation a peut-être déjà créé des gMSA, auquel cas vous pourrez démarrer plus rapidement la gestion des comptes de service. La localisation des MSA ne présente pas de difficulté particulière.

    Comment localiser des gMSA ?

    Exécutez les commandes PowerShell suivantes : Get-ADServiceAccount  Install-ADServiceAccount  New-ADServiceAccount  Remove-ADServiceAccount  Set-ADServiceAccount  Test-ADServiceAccount  Uninstall-ADServiceAccount Vous devriez voir l’ensemble des gMSA dans l’arborescence Utilisateurs et ordinateurs Active Directory, au sein du dossier ou de l’unité organisationnelle Comptes de service administrés. Voici ce qui devrait s’afficher :

    unnamed-png 

    Comment configurer des gMSA ?

    Il existe différentes façons de configurer un gMSA, ainsi que plusieurs prérequis. Nous vous présentons dans cet article la méthode  mise en avant par Microsoft. Comme nous l’avons mentionné précédemment, les gMSA ne sont disponibles qu’à partir de Windows Server 2012. Leur administration implique l’exécution de commandes PowerShell nécessitant une architecture 64 bits. Les MSA dépendent des types de chiffrement pris en charge par Kerberos et tout protocole de chiffrement, AES par exemple, doit être configuré pour les MSA. Avant de commencer :
    • Assurez-vous que le schéma de la forêt a été mis à jour vers Windows Server 2012.
    • Vérifiez que vous avez bien déployé une clé racine principale pour Active Directory.
    • Confirmez que vous disposez d’au moins un contrôleur de domaine Windows Server 2012 dans le domaine dans lequel vous allez créer le gMSA.
    Consultez cette  page de la documentation Microsoft pour prendre connaissance de la liste exhaustive des exigences, prérequis et étapes supplémentaires. Vous pouvez créer des gMSA via le cmdlet New-ADServiceAccount. Si AD PowerShell n’est pas installé, ouvrez Ajouter des rôles et des fonctionnalités dans le gestionnaire de serveur, rendez-vous dans Fonctionnalités, localisez RSAT, puis sélectionnez le module Active Directory pour Windows PowerShell. Étape 1 : exécutez Windows PowerShell depuis la barre des tâches de votre contrôleur de domaine Windows Server 2012 Étape 2 : dans l’invite de commande, saisissez ce qui suit : 
    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
     
    Explication des valeurs par lesquelles remplacer les mentions entre chevrons qui suivent les paramètres ci-dessous : Name : nom de votre compte DNSHostName : nom d’hôte DNS du service KerberosEncryptionType : type de chiffrement pris en charge par les serveurs hôtes ManagedPasswordIntervalInDays : fréquence à laquelle vous souhaitez modifier le mot de passe (30 jours par défaut, gardez à l’esprit que la modification du mot de passe est gérée par Windows) * Remarque : ce paramètre ne peut plus être modifié une fois le gMSA créé. Pour modifier l’intervalle, vous devez créer un nouveau gMSA. PrincipalsAllowedToRetrieveManagedPassword : il peut s’agir des comptes des hôtes membres ou des hôtes membres d’un éventuel groupe de sécurité SamAccountName : nom NetBIOS du service s’il est différent du nom du compte ServicePrincipalNames : liste des noms principaux de services (PSN) Si vous avez créé une nouvelle batterie de serveurs jouant le rôle de groupe de sécurité pour le gMSA configuré ou si vous avez configuré le gMSA sur une batterie de serveurs existante, vous devez ajouter les comptes d’ordinateur de chaque nouvel hôte membre qui sera géré par le gMSA. Pour ajouter des membres à cet objet de sécurité, différentes possibilités s’offrent à vous selon les accès dont vous disposez. Ces méthodes ne sont pas spécifiques aux gMSA. Active Directory : vous pouvez ouvrir Active Directory via les outils d’administration du panneau de configuration ou, si vous utilisez Windows Server 2012, en cliquant sur  Démarrer, puis en saisissant  dsa.mcc. Dans l’arborescence de la console, cherchez  Ordinateurs, localisez le compte que vous souhaitez ajouter à un groupe, sélectionnez  Propriétés, puis cliquez sur  Ajouter dans l’onglet  Membre de. Saisissez le nom du groupe de sécurité géré par le gMSA et cliquez sur  Ok pour ajouter le compte au groupe. Ligne de commande : pour ajouter un compte à un groupe via la ligne de commande, ouvrez l’invite de commande et saisissez ce qui suit : 
    dsmod group <GroupDN> -addmbr <ComputerDN>
    Voici les valeurs à utiliser : GroupDN : désigne le groupe auquel vous souhaitez ajouter des comptes. Addmbr : définit le nom de domaine de l’ordinateur <Computer DN> ComputerDN : nom du compte d’ordinateur ajouté, identifié par le nom figurant dans l’annuaire Windows PowerShell Active Directory : exécutez Windows PowerShell et saisissez la commande suivante :
    1. Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
     
    <string> : fait référence au nom du groupe auquel vous souhaitez que les membres appartiennent PrincipalsAllowedToRetrieveManagedPassword : nom des comptes que vous souhaitez ajouter au groupe Pour vous assurer que vous avez bien créé un gMSA, recherchez-le dans l’unité organisationnelle Comptes de service administrés à l’aide de la méthode décrite précédemment.

    Quelles sont les bonnes pratiques de gestion des gMSA ?

    Pour vous assurer que les gMSA sécurisent votre organisation, vous devez en assurer une gestion appropriée. Voici quelques conseils pour y parvenir.

    Organisez-les de manière adéquate

    Tous les gMSA doivent se trouver dans le dossier ou dans l’unité organisationnelle Comptes de service administrés. Toutefois, si vous disposez de plusieurs types de MSA au sein de cette unité, vous pouvez créer une sous-unité afin d’y placer tous vos gMSA et pouvoir y accéder facilement. Suivez une convention de dénomination cohérente pour faciliter l’organisation de vos gMSA.

    Tenez l’inventaire de vos comptes de service

    Votre organisation peut disposer de nombreux comptes de service actifs. Il peut être difficile de s’assurer qu’ils sont encore valides et pertinents, ainsi que de savoir quels ordinateurs et stations de travail appartiennent à chacun, mais cette vérification est essentielle pour appliquer le principe du moindre privilège et éviter tout problème de droit ou d’authentification. Vous pouvez utiliser le cmdlet Get-ADService Account PowerShell ou des  outils et solutions d’analyse ou automatisés de fournisseurs et partenaires de cybersécurité pour faciliter la gestion et la visibilité des comptes de service.

    Gardez des habitudes de sécurité suffisantes

    Vous devez toujours minimiser le risque auquel sont exposés les comptes de service. Vous devez donc éviter que les administrateurs utilisent leurs comptes personnels en tant que comptes de service et limiter au maximum les connexions interactives pour les services. Un des avantages clés des gMSA réside dans l’automatisation de la gestion des mots de passe et le fait que l’authentification se déroule au sein du système d’exploitation. L’ajout d’une interaction humaine ne fait qu’introduire un facteur de risque supplémentaire.

    Pourquoi utiliser des gMSA ?

    Les gMSA permettent de gérer en toute simplicité et de manière sécurisée vos appareils sur site connectés à votre réseau. Ils facilitent aussi l’organisation de vos serveurs et hôtes, tout en minimisant l’exposition aux hackers tentés de vouloir s’attaquer à votre organisation par force brute. Si vous avez mis en place plusieurs comptes de service administrés, nous vous recommandons de vous mettre en quête d’une solution ou d’un service en optimisant la  visibilité et la gestion.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Josue Ledesma
    Josue Ledesma

    JJosue Ledesma est un écrivain, cinéaste et spécialiste du marketing de contenu qui vit à New York. Il couvre la sécurité de l'information, la technologie et la finance, la protection de la vie privée des consommateurs et le marketing numérique B2B. Vous pouvez consulter son portfolio sur https://josueledesma.com/Writing-Portfolio

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).