Expert Cybersécurité & IA
Logo Ayi NEDJIMI Consultants
Guides Gratuits Livres Blancs Blog Formations News
Active Directory Infrastructure Cloud Kubernetes Microsoft 365 Virtualisation Forensics Solutions IA
Cybersécurité
Golden Ticket DCSync Kerberoasting AS-REP Roasting Pass-the-Hash Pass-the-Ticket Skeleton Key DCShadow Silver Ticket AD CS / Certificats AdminSDHolder ACL Abuse NTFS/MFT Tampering SIDHistory Injection RBCD Abuse GPO Abuse AD FS / SAML Forest Trust Abuse Password Filter DLL Computer Account Takeover
Articles IA
Guides Gratuits Livres Blancs Blog Formations News
Sommaire
Chapitre 4 / 5

Implémentation des Tiers 1 et 2

Architecture Complète des 3 Tiers avec Jump Servers TIER 0 DC PAW Admin TIER 1 - Serveurs et Applications Serveurs App Métier BDD Données Jump Server Tier 1 Admin Tier 1 TIER 2 - Postes de Travail PC User PC User Laptop Jump Tier 2 Utilisateurs Admin Admin Accès utilisateur Segmentation Réseau : VLAN Tier 0 VLAN Tier 1 VLAN Tier 2 FW FW Contrôles de Sécurité : Authentification MFA Tous les tiers Monitoring SIEM Centralisation logs EDR / Antivirus Protection endpoints Gestion des accès Principe moindre privilège © Ayi NEDJIMI Consultants www.ayinedjimi-consultants.fr

Vue d'Ensemble des Tiers 1 et 2

Après avoir sécurisé le Tier 0, qui constitue le cœur de confiance de l'infrastructure Active Directory, il est essentiel de porter son attention sur les Tiers 1 et 2. Ces niveaux, bien que moins critiques que le Tier 0 en termes de privilèges système, revêtent une importance capitale pour la protection des valeurs métier de l'organisation et la prévention des attaques latérales.

La distinction fondamentale entre ces deux tiers réside dans leur fonction et leur niveau d'exposition :

L'implémentation de ces deux tiers suit des principes similaires à ceux du Tier 0, mais avec des contraintes opérationnelles généralement plus souples pour maintenir un équilibre entre sécurité et productivité.

Implémentation du Tier 1

Identification des Ressources Tier 1

La première étape de l'implémentation du Tier 1 consiste à identifier précisément quelles ressources doivent être catégorisées à ce niveau. Cette identification doit être guidée par l'analyse des valeurs métiers de l'organisation effectuée lors de la phase d'étude.

Ressources typiquement catégorisées en Tier 1 :

Cas Particuliers et Décisions de Catégorisation

Certains systèmes peuvent présenter des caractéristiques mixtes nécessitant une analyse approfondie :

  • Serveurs de déploiement (SCCM, WSUS) : S'ils déploient uniquement sur le Tier 1, ils sont Tier 1. S'ils déploient également sur le Tier 0, ils doivent être catégorisés Tier 0 ou divisés en instances séparées.
  • Serveurs de monitoring : S'ils supervisent le Tier 0, ils doivent être Tier 0. Sinon, ils peuvent être Tier 1.
  • Serveurs de journalisation (SIEM) : S'ils collectent et stockent des logs Tier 0, ils doivent être catégorisés Tier 0.
  • Serveurs DNS secondaires : Si les contrôleurs de domaine hébergent DNS, tout serveur DNS secondaire doit être au minimum Tier 1, voire Tier 0 selon l'architecture.

Le principe directeur reste : un système doit être catégorisé au niveau du tier le plus élevé qu'il peut influencer ou compromettre.

Structure Organisationnelle Tier 1

Comme pour le Tier 0, une structure d'unités organisationnelles dédiée doit être créée pour le Tier 1 :

Structure OU Recommandée pour le Tier 1

domain.local
│
└── Tier 1
    ├── Accounts
    │   ├── Admins (administrateurs serveurs)
    │   ├── Service Accounts (comptes de service)
    │   └── Application Accounts (comptes applicatifs)
    │
    ├── Groups
    │   ├── Administrative
    │   ├── Application Access
    │   └── Service Management
    │
    ├── Servers
    │   ├── Database Servers
    │   ├── Application Servers
    │   ├── File Servers
    │   ├── Web Servers
    │   ├── Mail Servers
    │   └── Development Servers
    │
    └── Management
        ├── PAW (postes d'admin Tier 1)
        └── Jump Servers (bastions d'administration)

Configuration des OU Tier 1 :

Comptes d'Administration Tier 1

Les comptes d'administration Tier 1 nécessitent une gestion similaire à celle du Tier 0, mais avec quelques assouplissements pragmatiques :

Principes de gestion :

Exemple de Délégations Tier 1

Groupe Périmètre Droits Accordés
Tier1-ServerAdmins OU Tier 1\Servers Administrateur local sur tous les serveurs Tier 1
Tier1-DatabaseAdmins Serveurs de bases de données Administrateur local + droits sysadmin SQL
Tier1-ExchangeAdmins Serveurs Exchange Organization Management Exchange
Tier1-WebAdmins Serveurs Web Administrateur local + gestion IIS

Postes d'Administration Tier 1

Comme pour le Tier 0, l'administration du Tier 1 doit se faire depuis des postes dédiés. Cependant, les contraintes peuvent être légèrement assouplies pour faciliter les opérations :

Options pour l'administration Tier 1 :

  1. PAW Tier 1 dédiés : Postes durcis similaires aux PAW Tier 0, mais avec accès uniquement au Tier 1. Configuration recommandée pour les environnements les plus sensibles.
  2. Jump Servers / Bastions : Serveurs Windows Server d'administration centralisés accessibles en RDP depuis le Tier 2, mais d'où part l'administration vers le Tier 1. Solution plus souple que les PAW.
  3. Restricted Admin Workstations (RAW) : Postes de travail standard mais avec restrictions renforcées lorsque utilisés pour l'administration (Remote Credential Guard, restrictions applicatives).
    4. Architecture Credential Guard & Remote Credential Guard Sans Credential Guard LSASS.exe (Processus Windows) Secrets • Hash NTLM • Tickets Kerberos Attaquant peut extraire secrets Avec Credential Guard LSASS.exe (Processus Normal) Références chiffrées Isolation VSM (Virtual Secure Mode) Isolated User Mode (Trustlet) (Environnement virtualisé sécurisé) 🔒 Secrets Isolés • Hash NTLM • Tickets Kerberos Prérequis Hardware: • TPM 2.0 • UEFI Secure Boot • Virtualisation (VT-x/AMD-V) Attaque bloquée Secrets inaccessibles Remote Credential Guard Protection RDP/Remote Desktop: ✓ Secrets restent sur client ✓ Pas d'exposition sur serveur distant ✓ Idéal pour Jump Servers © Ayi NEDJIMI Consultants www.ayinedjimi-consultants.fr

    Configuration d'un Jump Server Tier 1

    Caractéristiques essentielles :

    • Windows Server 2019 ou ultérieur
    • Chiffrement BitLocker
    • Accès RDP uniquement depuis le Tier 2, avec MFA requise
    • Remote Credential Guard activé pour toutes les connexions sortantes
    • Aucun accès Internet direct
    • Restriction applicative : uniquement outils d'administration
    • Journalisation exhaustive de toutes les sessions
    • Session timeout après 30 minutes d'inactivité

    Avantages :

    • Centralisation de l'administration facilitant la surveillance
    • Isolation des secrets d'authentification Tier 1 grâce à Remote Credential Guard
    • Plus simple à gérer et déployer que des PAW individuels
    • Permet l'administration depuis n'importe quel poste Tier 2 avec authentification appropriée

    Inconvénients :

    • Point de défaillance unique si mal configuré
    • Nécessite une haute disponibilité (déployer au moins 2 jump servers)
    • Ressource partagée nécessitant une gestion rigoureuse des sessions

    Sécurisation des Serveurs Tier 1

    Les serveurs Tier 1 doivent être sécurisés selon des standards élevés, bien que généralement moins contraignants que le Tier 0 :

    Durcissement système :

    • Application des baselines de sécurité Microsoft ou CIS (Center for Internet Security)
    • Désactivation des services et protocoles non nécessaires
    • Restriction des ports ouverts au strict nécessaire
    • Configuration du pare-feu Windows avec règles strictes
    • Activation de l'audit de sécurité avancé
    • Déploiement d'un EDR (Endpoint Detection and Response)

    Gestion des comptes locaux :

    • Déploiement de LAPS sur tous les serveurs Tier 1
    • Désactivation du compte administrateur local intégré (si possible selon les applications)
    • Pas de partage de mots de passe administrateurs locaux entre serveurs
    • Droits de lecture LAPS accordés uniquement aux administrateurs Tier 1

    Gestion des comptes de service :

    • Utilisation systématique de gMSA (Group Managed Service Accounts) pour les services Windows
    • Pour les applications ne supportant pas gMSA : mots de passe ultra-complexes, rotation régulière
    • Aucun compte de service ne doit être membre de groupes privilégiés Tier 0
    • Délégations SPN appropriées pour permettre l'authentification Kerberos

    Restriction des authentifications :

    • Les comptes Tier 1 peuvent s'authentifier sur les serveurs Tier 1 et les PAW/Jump Servers Tier 1
    • Les comptes Tier 1 ne peuvent PAS s'authentifier sur le Tier 0 ou le Tier 2
    • Les comptes Tier 2 ne peuvent PAS s'authentifier sur les serveurs Tier 1 (sauf utilisateurs applicatifs pour accès aux services, pas administration)
    • Configuration via silos d'authentification ou restrictions de connexion dans les propriétés des comptes

    Segmentation Réseau du Tier 1

    La segmentation réseau joue un rôle important dans la protection du Tier 1, bien qu'elle ne soit pas suffisante à elle seule :

    Segmentation Réseau par Tiers TIER 0 - VLAN 10 10.0.10.0/24 DC1 10.0.10.5 AD, DNS DC2 10.0.10.6 PAW T0 TIER 1 VLAN 20 Serveurs App 10.0.20.0/24 SQL, Exchange VLAN 21 Serveurs BDD 10.0.21.0/24 Jump Server VLAN 22 10.0.22.10 DMZ VLAN 30 Web Public TIER 2 - VLAN 40 10.0.40.0/24 PC1 .101 PC2 .102 ... FIREWALL Règles de filtrage • Contrôle inter-VLAN • Journalisation Admin RDP Apps Auth AD RDP bloqué T2→T0 Règles de Filtrage Clés : ✓ Autorisés : • T0 → tous : Auth AD (Kerberos, LDAP, DNS) • T0 Admin → T1 : RDP, WinRM, PowerShell • T2 → T1 : Ports applicatifs (HTTP/S, SQL) • Jump Server T1 → Serveurs T1 : RDP/Admin ✗ Bloqués : • T2 → T0 : RDP, WinRM (sauf auth AD) • T1 → T0 : Accès admin direct • Internet → T0/T1 : Tout trafic entrant • T2 PC → T1 serveurs : RDP direct © Ayi NEDJIMI Consultants www.ayinedjimi-consultants.fr

    Architecture réseau recommandée :

    • VLAN dédiés : Les serveurs Tier 1 dans des VLAN séparés du Tier 2
    • Zones DMZ : Les serveurs accessibles depuis Internet (serveurs web publics) dans une DMZ avec filtrage strict
    • Micro-segmentation : Séparation des différents types de serveurs (bases de données, applications, web) dans des sous-réseaux distincts
    • Règles de pare-feu :
      • Autoriser uniquement les flux nécessaires entre Tier 2 et Tier 1 (accès applicatifs, pas RDP)
      • Autoriser les flux d'administration depuis les PAW/Jump Servers Tier 1
      • Bloquer tout flux direct entre Tier 1 et Tier 0 (à l'exception des flux AD nécessaires : Kerberos, LDAP, DNS)
      • Journaliser toutes les tentatives de connexion bloquées

    Implémentation du Tier 2

    Caractéristiques du Tier 2

    Le Tier 2 présente des caractéristiques particulières qui influencent son implémentation :

    • Volume important : Généralement le tier contenant le plus de ressources (tous les postes utilisateurs)
    • Exposition maximale : Surface d'attaque la plus large (Internet, email, périphériques USB, ingénierie sociale)
    • Hétérogénéité : Grande variété de matériels, systèmes d'exploitation, et usages
    • Contraintes de productivité : Les restrictions de sécurité ne doivent pas entraver excessivement le travail des utilisateurs
    • Point d'entrée principal des attaques : C'est souvent par le Tier 2 que commencent les compromissions

    Structure Organisationnelle Tier 2

    Structure OU Tier 2

    domain.local
│
└── Tier 2
    ├── Users
    │   ├── Standard Users
    │   ├── VIP Users (dirigeants, RH, finance)
    │   └── External Contractors
    │
    ├── Workstations
    │   ├── Desktops
    │   ├── Laptops
    │   └── Kiosks
    │
    ├── Mobile Devices
    │   ├── Smartphones
    │   └── Tablets
    │
    ├── Groups
    │   ├── Access Control
    │   └── Software Deployment
    │
    └── Service Accounts
        └── Tier2 Support Services

    Sécurisation des Postes de Travail

    La sécurisation des postes de travail Tier 2 vise à réduire le risque de compromission initiale et à limiter les possibilités de mouvement latéral en cas d'infection :

    Configuration de sécurité de base :

    • Chiffrement des disques : BitLocker activé sur tous les postes, particulièrement les portables
    • Antivirus / EDR : Déploiement d'une solution de protection moderne avec détection comportementale
    • Pare-feu activé : Configuration du pare-feu Windows avec règles appropriées
    • Mises à jour automatiques : Windows Update configuré pour installer automatiquement les mises à jour critiques et de sécurité
    • Désactivation des comptes administrateurs locaux : Les utilisateurs ne doivent PAS avoir de droits administrateurs locaux
    • LAPS : Déploiement de LAPS pour gérer les mots de passe administrateurs locaux
    • AppLocker ou WDAC : Restriction applicative pour bloquer l'exécution de logiciels non autorisés

    Protection contre les vecteurs d'attaque courants :

    • Protection email :
      • Filtrage anti-spam et anti-malware
      • Blocage des types de pièces jointes dangereuses (.exe, .scr, .vbs, .js, macros Office)
      • Formation régulière des utilisateurs au phishing
      • Simulations de phishing pour maintenir la vigilance
    • Protection web :
      • Proxy web avec filtrage de contenu
      • Blocage des sites malveillants connus
      • Scan des téléchargements
      • Isolation des navigateurs (sandbox) pour les sites non approuvés
    • Contrôle USB :
      • Blocage par défaut des périphériques USB non autorisés
      • Liste blanche de périphériques approuvés si nécessaire
      • Scan automatique de tout périphérique USB connecté
    • Protection contre les macros :
      • Désactivation par défaut des macros Office
      • Si macros nécessaires : restriction aux fichiers signés de sources approuvées

    Gestion des Accès Privilégiés Locaux

    Un défi majeur du Tier 2 est la gestion des besoins ponctuels en privilèges administratifs locaux :

    Problématique :

    Certaines actions légitimes nécessitent temporairement des droits administratifs locaux (installation de logiciels spécifiques, modification de configuration, dépannage). Accorder de manière permanente ces droits créerait un risque de sécurité majeur.

    Solutions :

    1. Élévation juste-à-temps : Utilisation de solutions permettant l'élévation temporaire et contrôlée des privilèges (Microsoft Application Virtualization, solutions tierces comme CyberArk Endpoint Privilege Manager).
    2. Comptes d'administration locale dédiés : Pour le support technique, utilisation de comptes d'administration locale gérés par LAPS, utilisés uniquement par le personnel autorisé.
    3. Groupes restreints : Configuration de groupes Active Directory dont l'appartenance accorde des droits administratifs locaux, mais avec surveillance stricte.
    4. Catalogue applicatif : Mise à disposition d'un catalogue d'applications pré-approuvées installables en self-service sans privilèges.

    Segmentation des Postes Utilisateurs

    Tous les postes Tier 2 n'ont pas le même niveau de risque. Une segmentation peut être pertinente :

    Catégories de postes Tier 2 :

    • Postes VIP : Postes des dirigeants, du département financier, des RH. Nécessitent une protection renforcée (surveillance accrue, restrictions plus strictes).
    • Postes standards : Postes de bureautique classiques. Configuration de sécurité standard.
    • Postes de développement : Nécessitent souvent plus de souplesse (installation d'outils, accès à des ressources variées). Peuvent justifier une isolation dans un sous-réseau spécifique avec surveillance accrue.
    • Kiosques et postes partagés : Postes utilisés par plusieurs personnes (salles de réunion, espaces communs). Configuration verrouillée, session invité, nettoyage automatique.
    • Postes de prestataires externes : Isolation maximale, accès restreint au strict nécessaire, surveillance intensive.

    Gestion des Dispositifs Mobiles

    Les smartphones et tablettes professionnels constituent une catégorie particulière au sein du Tier 2 :

    Solution MDM (Mobile Device Management) :

    • Déploiement d'une solution MDM (Microsoft Intune, VMware Workspace ONE, etc.)
    • Politiques de conformité : chiffrement obligatoire, code PIN, mise à jour système
    • Conteneurisation des applications et données professionnelles
    • Effacement à distance en cas de perte ou vol
    • Blocage de l'appareil si non conforme (jailbreak détecté, etc.)

    Principes de sécurité :

    • Séparation des données personnelles et professionnelles
    • Accès email professionnel uniquement via conteneur sécurisé
    • Restriction des applications autorisées à accéder aux données professionnelles
    • Pas de stockage de documents sensibles hors conteneur professionnel

    Relations entre les Tiers

    Flux Autorisés et Interdits

    Le cloisonnement entre les tiers repose sur un contrôle strict des flux d'authentification et d'administration :

    Matrice des Flux d'Administration Autorisés

    De \ Vers Tier 0 Tier 1 Tier 2
    Tier 0 ✓ Administration Tier 0 ✓ Administration Tier 1 possible mais déconseillée ✗ Interdit
    Tier 1 ✗ Strictement interdit ✓ Administration Tier 1 ✗ Interdit (sauf via Jump Server avec Remote Credential Guard)
    Tier 2 ✗ Strictement interdit ✗ Strictement interdit ✓ Support Tier 2

    Légende :

    • ✓ : Flux autorisé
    • ✗ : Flux interdit et bloqué techniquement

    Flux applicatifs (distinct de l'administration) :

    • Tier 2 → Tier 1 : ✓ Accès aux applications métier depuis les postes utilisateurs (HTTP, bases de données, etc.)
    • Tier 1 → Tier 0 : ✓ Authentification AD, requêtes DNS, mise à jour via WSUS hébergé sur DC
    • Tier 2 → Tier 0 : ✓ Authentification AD, requêtes DNS (flux strictement nécessaires)

    Gestion des Exceptions

    Dans les environnements complexes, des exceptions peuvent être nécessaires. Leur gestion doit être rigoureuse :

    1. Documentation : Toute exception doit être documentée avec justification métier/technique
    2. Validation : Approbation formelle par l'équipe sécurité et le management
    3. Compensation : Mise en place de contrôles compensatoires (surveillance accrue, restrictions additionnelles)
    4. Revue régulière : Réévaluation trimestrielle pour vérifier si l'exception est toujours nécessaire
    5. Plan de sortie : Définition d'un plan pour éliminer l'exception à terme

    Surveillance et Détection

    La surveillance continue des Tiers 1 et 2 est essentielle pour détecter les tentatives de compromission et les violations de cloisonnement :

    Événements critiques à surveiller :

    • Tentatives d'authentification de comptes Tier 0 depuis Tier 1 ou Tier 2
    • Tentatives d'authentification de comptes Tier 1 depuis Tier 2
    • Modifications des appartenances aux groupes privilégiés
    • Créations de comptes de service avec privilèges élevés
    • Échecs d'authentification répétés (attaques par force brute)
    • Utilisation d'outils d'administration depuis des postes non autorisés
    • Activations de comptes break-glass
    • Modifications de GPO
    • Installation de logiciels non approuvés
    • Communications vers des IP ou domaines suspects

    Infrastructure de surveillance :

    • Centralisation des logs dans un SIEM
    • Rétention des logs : minimum 1 an pour Tier 0, 6 mois pour Tiers 1 et 2
    • Corrélation automatique pour détecter les chaînes d'attaque
    • Alertes en temps réel pour les événements critiques
    • Tableaux de bord pour la supervision
    • Rapports hebdomadaires et mensuels sur les événements de sécurité

    Formation et Sensibilisation

    Le facteur humain reste le maillon le plus faible de la chaîne de sécurité. La formation est cruciale pour tous les niveaux :

    Formation des administrateurs :

    • Formation initiale approfondie sur le modèle de tiering et les procédures
    • Formation spécifique aux outils (PAW, Jump Servers, LAPS, etc.)
    • Sensibilisation aux techniques d'attaque (Pass-the-Hash, Golden Ticket, etc.)
    • Recyclage annuel obligatoire
    • Simulation d'incidents pour tester la préparation

    Sensibilisation des utilisateurs Tier 2 :

    • Formation sécurité initiale lors de l'intégration
    • Campagnes de sensibilisation régulières (email, affiches, intranet)
    • Simulations de phishing trimestrielles
    • Formation spécifique pour les utilisateurs VIP (ciblés prioritairement par les attaquants)
    • Procédures claires pour signaler les incidents suspects

    Conclusion du Chapitre

    L'implémentation des Tiers 1 et 2 complète le modèle de tiering en protégeant les valeurs métiers de l'organisation (Tier 1) et en réduisant les risques d'entrée par les postes utilisateurs (Tier 2). Bien que moins critiques que le Tier 0, ces deux niveaux nécessitent une attention soutenue et des contrôles de sécurité appropriés pour assurer l'efficacité globale du cloisonnement.

    Le chapitre suivant abordera les aspects de gestion, de maintenance et les bonnes pratiques pour assurer la pérennité et l'efficacité du modèle de tiering dans la durée.

Besoin d'accompagnement pour votre tiering model ?

Nos experts vous accompagnent dans la mise en place d'un modèle de tiering adapté à votre infrastructure Active Directory.

Demander un audit
Chapitre précédent
Sommaire
Chapitre suivant

Articles similaires

Sécurité Active Directory

Guide complet de sécurisation AD

Techniques de Hacking AD

20 techniques d'attaque et défenses

Golden Ticket

Attaque et défense Golden Ticket

Questions sur le tiering model ?

Échangez avec nos experts pour discuter de votre projet de sécurisation Active Directory.

Nous contacter