Méthodes conseillées pour la sécurisation des déploiements de User-ID
Resolution
Vue d’ensemble
ID utilisateur services permet de mappage des adresses IP pour les utilisateurs et lorsque activé permet aux administrateurs réseau des contrôles granulaires sur ce que différents utilisateurs sont autorisés à faire lorsque filtrée par un pare-feu de nouvelle génération de réseaux de Palo Alto. Comme pour l’activation des services de réseau, après les meilleures pratiques et les directives de configuration lorsque déploiement ID utilisateur peut aider à réduire et éliminer l’exposition au risque potentiel. Cet article est destiné à aider le réseau et les administrateurs de sécurité éviter une mauvaise configuration et activer sans risque des services ID utilisateur dans des environnements de réseau.
Détails
Activer uniquement l’ID utilisateur sur les zones de confiance
En activant seulement le User-ID sur les zones internes et de confiance, il n’y a pas d’exposition de ces services à l’Internet, qui permet de conserver ce service protégé contre toute attaque potentielle. Si User-ID et sondant de WMI sont activées sur une zone externe non fiable (comme l’Internet), les sondes pourraient être envoyées à l’extérieur de votre réseau protégé, ce qui entraîne une divulgation d’informations du hachage de mot de passe crypté, nom de domaine et nom de compte de service Agent User-ID. Cette information a le potentiel d’être fendu et exploitées par un attaquant d’obtenir un accès non autorisé à des ressources protégées. Pour cette raison importante, User-ID ne doit jamais être activé sur une zone non fiable.
.
Spécifier les réseaux inclus et exclus lors de la configuration des ID utilisateur
Les listes include et exclude disponibles sur l’Agent d’ID utilisateur ainsi que sans agent User-ID sur PAN pare-feux peuvent être utilisés pour limiter le champ d’ID utilisateur. En règle générale, les administrateurs ne sont concernés avec la portion d’espace d’adressage IP utilisée dans leur organisation. En spécifiant explicitement les réseaux pour être accompagnant ou exclus de l’ID utilisateur, nous pouvons contribuer à faire en sorte que les actifs uniquement confiance et appartenant à l’entreprise sont détectés, et qu’aucun mappages indésirables ne seront créés inopinément.
.
Désactiver le WMI sonder dans les réseaux haute sécurité
WMI ou Windows Management Instrumentation, est un mécanisme qui peut être utilisé pour sonder activement géré les systèmes Windows pour apprendre les mappages utilisateur IP. Parce que WMI sonder les approbations données porte‑parole du point de terminaison, il n’est pas une méthode recommandée pour obtenir des informations utilisateur dans un réseau de haute sécurité. Il est aussi généralement pas nécessaire. Dans des environnements contenant les mappages IP utilisateur relativement statiques, telles que celles trouvées en commun des environnements de bureau avec des postes de travail fixes, l’actif de palpage de WMI n’est pas nécessaire. D’itinérance ou autres clients mobiles peuvent être facilement identifiés même lorsque se déplaçant entre les adresses en intégrant l’ID utilisateur à l’aide de Syslog ou l’API XML et peut capturer des mappages utilisateur IP des plates-formes autres que Windows aussi bien. Sur les réseaux sensibles et de haute sécurité, WMI sonder augmente la surface d’attaque globale et les administrateurs sont recommandés pour désactiver la détection WMI et reposent plutôt sur mappages utilisateur provenant de sources plus isolées et de confiance, tels que les contrôleurs de domaine. Si vous utilisez l’Agent de l’ID utilisateur pour analyser les journaux des événements sécurité AD, messages syslog ou l’API XML pour obtenir des mappages de nom d’utilisateur, puis détection WMI doit être désactivé. Portail captif peut servir comme un mécanisme de secours à se ré-authentifier des utilisateurs où les données de journal des événements de sécurité peuvent être viciées.
Si détection WMI est utilisé, il ne doit pas être activée sur des interfaces externes non fiables, car cela provoquerait des sondes WMI à envoyer à l’extérieur de votre réseau qui contiennent des informations sensibles telles que le nom d’utilisateur, nom de domaine et hachage de mot de passe du compte de service configuré pour être utilisé par l’agent utilisateur. Cette information pourrait potentiellement être exploitée par un attaquant qui pourrait alors pénétrer le réseau afin d’avoir davantage accès.
.
Utilisez un compte de service dédié pour les services de l’ID utilisateur avec les autorisations minimales nécessaires
Déploiements de l’ID utilisateur peuvent être durcies en incluant uniquement l’ensemble minimal d’autorisations nécessaires au service fonctionner correctement. Cela inclut les utilisateurs DCOM, les lecteurs du journal des événements et opérateurs de serveur. Si le compte de service de User-ID devait être compromise par un attaquant, vu administratifs et autres privilèges inutiles exposerait l’entreprise à des risques de destruction ou de vol de données sensibles. Les droits d'administrateur de domaine et d'administrateur d'entreprise ne sont pas requis pour lire les journaux des événements de sécurité et ne doivent donc pas être accordés.
.
Refuser l’ouverture de session interactive pour le compte de service de User-ID
Alors que le compte de service de User-ID n’exige certaines autorisations pour lire et analyser les journaux des événements sécurité Active Directory, il n’exige pas la capacité de se connecter à des serveurs ou systèmes de domaine interactivement. Ce privilège peut être restreint à l’aide de stratégies de groupe, ou en utilisant un compte de Service géré avec l’ID de l’utilisateur (voir Microsoft Technet pour plus d’informations sur la configuration des stratégies de groupe et géré des comptes de Service.) Si le compte de service de User-ID devait être compromise par un utilisateur malintentionné, la surface d’attaque potentielle serait grandement réduite en refusant l’ouverture de session interactive.
.
Refuser l’accès à distance pour le compte de service de User-ID
En règle générale, les comptes de service ne doivent pas être membres de tout groupe de sécurité qui servent à accorder l’accès distant. Si les informations d’identification du compte de service identifiant devaient être compromise, cela empêcherait l’attaquant d’utiliser le compte d’accéder à votre réseau depuis l’extérieur via un VPN.
.
Configurer la sortie de filtrage sur le trafic interne sortant
Empêcher tout trafic indésirable (y compris le trafic de User-ID Agent potentiellement indésirable) de quitter vos réseaux protégés Internet en mettant en œuvre sortie de filtrage sur les pare-feu de périmètre. Dans les environnements sensibles, liste blanche confiance et applications d’entreprise essentielles diminue la possibilité d’autoriser le trafic indésirable et permet également de réduire les vecteurs possibles qui pourraient servir à exfiltrer des données.
.
Voir aussi
Pour plus d’informations sur l’installation et la configuration des ID utilisateur, consultez ce qui suit :
- Section d'ID utilisateur de la référence de L'Interface Web Pan-OS 7,1
- ID utilisateur conseillées
- Comment faire pour configurer l’ID utilisateur sans agent
.
propriétaire : ggarrison