Blog Sécurité des données

Guide des gMSA : sécurité et déploiement des comptes de service administrés de groupe

Découvrez comment vous pouvez configurer les gMSA pour sécuriser vos appareils sur site via des comptes de services gérés.
Josue Ledesma
6 minute de lecture
Dernière mise à jour 30 juin 2023

Contents

    Au sein de chaque organisation, diverses tâches ou applications automatisées s’exécutent en arrière-plan sur les appareils du réseau. Pour gérer et sécuriser ces processus automatisés de manière optimale, vous pouvez vous appuyer sur des comptes de service administrés de groupe, aussi appelés gMSA. Dans cet article, nous expliquons ce qu’est un gMSA, en quoi son rôle est important et comment en créer un pour votre réseau et votre organisation.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    Qu’est-ce qu’un gMSA ?

    Blog_Design_GMSA_20211004_V1_fr-FR

    Les comptes de service administrés de groupe, ou gMSA, sont un type de compte de service administrés offrant une sécurité supérieure aux comptes de service administrés classiques pour les applications, services, processus et tâches automatisés et non interactifs nécessitant des identifiants. Disponibles sur les ordinateurs équipés de Windows Server 2012 et versions supérieures, les gMSA ont largement remplacé les sMSA (comptes de service administrés autonomes) aussi appelés MSA (comptes de service administrés), car ils peuvent être utilisés sur plusieurs serveurs et exécuter plusieurs tâches automatisées.

    Pourquoi les comptes de service et les gMSA sont-ils importants ?

    Ces comptes non personnels jouent souvent un rôle essentiel, car ils offrent un contexte de sécurité à de multiples services en arrière-plan s’exécutant sur des appareils Windows. Sans sécurité adaptée, ces services d’arrière-plan sont ciblés et exploités par des hackers cherchant à s’infiltrer sur votre réseau par le biais de vos appareils. Les comptes de service administrés constituent ainsi un maillon de la chaîne de gestion de la sécurité de votre organisation.

    Blog_Design_GMSA_20211004_V1_fr-FR2 

    Avantages de l’utilisation des gMSA

    Les gMSA offrent plusieurs avantages en matière de sécurité et vous permettent de contrôler plus facilement vos comptes de service.
    • Ils prennent en charge plusieurs serveurs : à la différence des MSA ou des sMSA classiques, les gMSA permettent de configurer et d’exécuter les services et tâches sur plusieurs serveurs, un point crucial avec la modernisation des infrastructures des organisations.
    • La gestion des mots de passe est automatisée : pour faire bref, les gMSA simplifient la gestion des mots de passe en éliminant l’intermédiaire, à savoir vous. En effet, les mots de passe sont générés automatiquement, gérés par le système d’exploitation et modifiés régulièrement.
    • Les mots de passe sont gérés par le système d’exploitation : lorsque des applications ont besoin d’un mot de passe, elles interrogent Active Directory. Ainsi, vous n’avez même pas besoin de connaître ce mot de passe, ce qui rend bien plus difficile sa compromission.
    • Vous pouvez déléguer la gestion à d’autres administrateurs : la possibilité de déléguer la gestion peut s’avérer très utile pour s’assurer que la responsabilité de la sécurité de votre compte de service ne se retrouve pas entre les mains d’une seule personne.

    Comment localiser et gérer des comptes de service administrés de groupe ?

    Votre organisation a peut-être déjà créé des gMSA, auquel cas vous pourrez démarrer plus rapidement la gestion des comptes de service. La localisation des MSA ne présente pas de difficulté particulière.

    Comment localiser des gMSA ?

    Exécutez les commandes PowerShell suivantes : Get-ADServiceAccount  Install-ADServiceAccount  New-ADServiceAccount  Remove-ADServiceAccount  Set-ADServiceAccount  Test-ADServiceAccount  Uninstall-ADServiceAccount Vous devriez voir l’ensemble des gMSA dans l’arborescence Utilisateurs et ordinateurs Active Directory, au sein du dossier ou de l’unité organisationnelle Comptes de service administrés. Voici ce qui devrait s’afficher :

    unnamed-png 

    Comment configurer des gMSA ?

    Il existe différentes façons de configurer un gMSA, ainsi que plusieurs prérequis. Nous vous présentons dans cet article la méthode  mise en avant par Microsoft. Comme nous l’avons mentionné précédemment, les gMSA ne sont disponibles qu’à partir de Windows Server 2012. Leur administration implique l’exécution de commandes PowerShell nécessitant une architecture 64 bits. Les MSA dépendent des types de chiffrement pris en charge par Kerberos et tout protocole de chiffrement, AES par exemple, doit être configuré pour les MSA. Avant de commencer :
    • Assurez-vous que le schéma de la forêt a été mis à jour vers Windows Server 2012.
    • Vérifiez que vous avez bien déployé une clé racine principale pour Active Directory.
    • Confirmez que vous disposez d’au moins un contrôleur de domaine Windows Server 2012 dans le domaine dans lequel vous allez créer le gMSA.
    Consultez cette  page de la documentation Microsoft pour prendre connaissance de la liste exhaustive des exigences, prérequis et étapes supplémentaires. Vous pouvez créer des gMSA via le cmdlet New-ADServiceAccount. Si AD PowerShell n’est pas installé, ouvrez Ajouter des rôles et des fonctionnalités dans le gestionnaire de serveur, rendez-vous dans Fonctionnalités, localisez RSAT, puis sélectionnez le module Active Directory pour Windows PowerShell. Étape 1 : exécutez Windows PowerShell depuis la barre des tâches de votre contrôleur de domaine Windows Server 2012 Étape 2 : dans l’invite de commande, saisissez ce qui suit : 
    New-ADServiceAccount [-Name] <string> -DNSHostName <string> [-KerberosEncryptionType <ADKerberosEncryptionType>] [-ManagedPasswordIntervalInDays <Nullable[Int32]>] [-PrincipalsAllowedToRetrieveManagedPassword <ADPrincipal[]>] [-SamAccountName <string>] [-ServicePrincipalNames <string[]>]
     
    Explication des valeurs par lesquelles remplacer les mentions entre chevrons qui suivent les paramètres ci-dessous : Name : nom de votre compte DNSHostName : nom d’hôte DNS du service KerberosEncryptionType : type de chiffrement pris en charge par les serveurs hôtes ManagedPasswordIntervalInDays : fréquence à laquelle vous souhaitez modifier le mot de passe (30 jours par défaut, gardez à l’esprit que la modification du mot de passe est gérée par Windows) * Remarque : ce paramètre ne peut plus être modifié une fois le gMSA créé. Pour modifier l’intervalle, vous devez créer un nouveau gMSA. PrincipalsAllowedToRetrieveManagedPassword : il peut s’agir des comptes des hôtes membres ou des hôtes membres d’un éventuel groupe de sécurité SamAccountName : nom NetBIOS du service s’il est différent du nom du compte ServicePrincipalNames : liste des noms principaux de services (PSN) Si vous avez créé une nouvelle batterie de serveurs jouant le rôle de groupe de sécurité pour le gMSA configuré ou si vous avez configuré le gMSA sur une batterie de serveurs existante, vous devez ajouter les comptes d’ordinateur de chaque nouvel hôte membre qui sera géré par le gMSA. Pour ajouter des membres à cet objet de sécurité, différentes possibilités s’offrent à vous selon les accès dont vous disposez. Ces méthodes ne sont pas spécifiques aux gMSA. Active Directory : vous pouvez ouvrir Active Directory via les outils d’administration du panneau de configuration ou, si vous utilisez Windows Server 2012, en cliquant sur  Démarrer, puis en saisissant  dsa.mcc. Dans l’arborescence de la console, cherchez  Ordinateurs, localisez le compte que vous souhaitez ajouter à un groupe, sélectionnez  Propriétés, puis cliquez sur  Ajouter dans l’onglet  Membre de. Saisissez le nom du groupe de sécurité géré par le gMSA et cliquez sur  Ok pour ajouter le compte au groupe. Ligne de commande : pour ajouter un compte à un groupe via la ligne de commande, ouvrez l’invite de commande et saisissez ce qui suit : 
    dsmod group <GroupDN> -addmbr <ComputerDN>
    Voici les valeurs à utiliser : GroupDN : désigne le groupe auquel vous souhaitez ajouter des comptes. Addmbr : définit le nom de domaine de l’ordinateur <Computer DN> ComputerDN : nom du compte d’ordinateur ajouté, identifié par le nom figurant dans l’annuaire Windows PowerShell Active Directory : exécutez Windows PowerShell et saisissez la commande suivante :
    1. Get-ADServiceAccount [-Identity] <string> -Properties PrincipalsAllowedToRetrieveManagedPassword
     
    <string> : fait référence au nom du groupe auquel vous souhaitez que les membres appartiennent PrincipalsAllowedToRetrieveManagedPassword : nom des comptes que vous souhaitez ajouter au groupe Pour vous assurer que vous avez bien créé un gMSA, recherchez-le dans l’unité organisationnelle Comptes de service administrés à l’aide de la méthode décrite précédemment.

    Quelles sont les bonnes pratiques de gestion des gMSA ?

    Pour vous assurer que les gMSA sécurisent votre organisation, vous devez en assurer une gestion appropriée. Voici quelques conseils pour y parvenir.

    Organisez-les de manière adéquate

    Tous les gMSA doivent se trouver dans le dossier ou dans l’unité organisationnelle Comptes de service administrés. Toutefois, si vous disposez de plusieurs types de MSA au sein de cette unité, vous pouvez créer une sous-unité afin d’y placer tous vos gMSA et pouvoir y accéder facilement. Suivez une convention de dénomination cohérente pour faciliter l’organisation de vos gMSA.

    Tenez l’inventaire de vos comptes de service

    Votre organisation peut disposer de nombreux comptes de service actifs. Il peut être difficile de s’assurer qu’ils sont encore valides et pertinents, ainsi que de savoir quels ordinateurs et stations de travail appartiennent à chacun, mais cette vérification est essentielle pour appliquer le principe du moindre privilège et éviter tout problème de droit ou d’authentification. Vous pouvez utiliser le cmdlet Get-ADService Account PowerShell ou des  outils et solutions d’analyse ou automatisés de fournisseurs et partenaires de cybersécurité pour faciliter la gestion et la visibilité des comptes de service.

    Gardez des habitudes de sécurité suffisantes

    Vous devez toujours minimiser le risque auquel sont exposés les comptes de service. Vous devez donc éviter que les administrateurs utilisent leurs comptes personnels en tant que comptes de service et limiter au maximum les connexions interactives pour les services. Un des avantages clés des gMSA réside dans l’automatisation de la gestion des mots de passe et le fait que l’authentification se déroule au sein du système d’exploitation. L’ajout d’une interaction humaine ne fait qu’introduire un facteur de risque supplémentaire.

    Pourquoi utiliser des gMSA ?

    Les gMSA permettent de gérer en toute simplicité et de manière sécurisée vos appareils sur site connectés à votre réseau. Ils facilitent aussi l’organisation de vos serveurs et hôtes, tout en minimisant l’exposition aux hackers tentés de vouloir s’attaquer à votre organisation par force brute. Si vous avez mis en place plusieurs comptes de service administrés, nous vous recommandons de vous mettre en quête d’une solution ou d’un service en optimisant la  visibilité et la gestion.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    Josue Ledesma
    Josue Ledesma JJosue Ledesma est un écrivain, cinéaste et spécialiste du marketing de contenu qui vit à New York. Il couvre la sécurité de l'information, la technologie et la finance, la protection de la vie privée des consommateurs et le marketing numérique B2B. Vous pouvez consulter son portfolio sur https://josueledesma.com/Writing-Portfolio

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Guide de l’Éditeur de stratégie de groupe locale : options d’accès et utilisation
    guide-de-l’éditeur-de-stratégie-de-groupe-locale-:-options-d’accès-et-utilisation
    Michael Buckbee
    22 mai 2021
    L’Éditeur de stratégie de groupe locale (gpedit) est un outil essentiel des administrateurs système Active Directory. Consultez cet article de blog pour en savoir plus sur gpedit.
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Utilisateurs et ordinateurs de l’Active Directory (ADUC) : installation et utilisations
    utilisateurs-et-ordinateurs-de-l’active-directory-(aduc)-:-installation-et-utilisations
    Michael Buckbee
    12 août 2019
    ADUC (Active Directory Users and Computers) est un module de console d’administration Microsoft (snap-in) qui est utilisée pour administrer Active Directory (AD). Vous pouvez gérer des objets (utilisateurs, ordinateurs), des...
    connexion-à-microsoft-365-à-l’aide-de-powershell-:-modules-azure-ad
    Connexion à Microsoft 365 à l’aide de PowerShell : modules Azure AD
    connexion-à-microsoft-365-à-l’aide-de-powershell-:-modules-azure-ad
    Jeff Brown
    28 mai 2021
    La connexion PowerShell à Microsoft 365 simplifie la gestion, améliore la productivité et permet d’accéder à des fonctionnalités cachées. Nous allons vous montrer comment procéder dans ce guide.
    windows-defender-désactivé-par-les-stratégies-de-groupe-[résolu]
    Windows Defender désactivé par les stratégies de groupe [Résolu]
    windows-defender-désactivé-par-les-stratégies-de-groupe-[résolu]
    Michael Buckbee
    24 mai 2019
    Imaginez ce scénario : un beau jour, vous ouvrez une session sur votre ordinateur et Windows Defender ne démarre pas. Vous le démarrez manuellement et vous obtenez le message « Cette application...