Dans l'administration traditionnelle d'un environnement Active Directory, il n'est pas rare de croiser une hérésie sécuritaire : un administrateur système qui utilise son compte "Admins du domaine" (Domain Admin) pour absolument toutes ses tâches. Qu'il s'agisse de créer un utilisateur, de redémarrer un serveur de base de données ou de dépanner le PC de la comptabilité, ce compte hyper-privilégié laisse des traces partout.
Le problème ? Si le poste de la comptabilité est infecté par un malware, l'attaquant peut capturer les identifiants de l'administrateur (en mémoire ou dans le registre via des techniques comme le Pass-the-Hash). En un instant, l'attaquant obtient les clés du royaume et compromet l'intégralité du système d'information.
Pour endiguer ce fléau de l'escalade de privilèges, Microsoft et l'ANSSI recommandent une approche stricte de Privileged Access Management (PAM) : le Tiering Model (ou modèle en couches).
1. Deep Dive : Anatomie des 3 Tiers (Silos d'Identité)
Le Tiering Model vise à segmenter les comptes et les ressources en silos étanches. L'objectif est mathématique : empêcher qu'une compromission de bas niveau (un poste de travail) ne se propage vers les serveurs critiques.
Le modèle standard se découpe en trois couches :
Le Tier 0 : Le cœur du réacteur (Contrôle des Identités)
C'est le sommet de la pyramide. Les actifs du Tier 0 peuvent contrôler l'ensemble de la forêt AD. Si le Tier 0 tombe, l'entreprise tombe.
-
Que contient-il ? Les Contrôleurs de domaine, les serveurs PKI (AD CS), les serveurs d'authentification (NPS/RADIUS), les serveurs de fédération et synchronisation (ADFS, Entra Connect), les hyperviseurs qui hébergent ces VM, et l'infrastructure de sauvegarde (car qui contrôle la sauvegarde contrôle la donnée).
Les switchs et routeurs core doivent idéalement être isolés dans un VLAN de management hors-AD. S'ils sont intégrés à l'AD, ils tombent dans le Tier 0.
Le Tier 1 : Les serveurs métiers
C'est la couche intermédiaire, le moteur de la production.
-
Que contient-il ? Les serveurs applicatifs, les bases de données (SQL), les serveurs de fichiers, les serveurs web (IIS).
-
Règle : Un administrateur Tier 1 a tous les droits sur ces serveurs, mais n'a aucun droit de modifier l'AD ou de se connecter sur un contrôleur de domaine.
Le Tier 2 : Les utilisateurs et les terminaux
C'est la couche la plus exposée aux cyberattaques (Phishing, Ransomware).
-
Que contient-il ? Les postes de travail, les PC portables, les smartphones, les imprimantes.
-
Règle : Les techniciens support disposent de droits d'administration locale sur ces machines, mais ne peuvent en aucun cas administrer un serveur applicatif (Tier 1).
2. La Matrice des Interactions et la règle des 4 comptes
Pour que le cloisonnement fonctionne, l'étanchéité doit être bidirectionnelle. Un attaquant sur le Tier 2 ne doit pas pouvoir monter, et un compte du Tier 0 ne doit jamais descendre (pour ne pas laisser ses identifiants en mémoire sur une machine non fiable).
En pratique, un ingénieur système complet ne possède plus un seul compte, mais quatre comptes distincts :
-
Un compte standard : (Ex:
j.dupont) Pour lire ses mails et surfer sur le web. -
Un compte Tier 2 : (Ex:
adm_t2_j.dupont) Pour installer un logiciel sur le poste d'un utilisateur. -
Un compte Tier 1 : (Ex:
adm_t1_j.dupont) Pour redémarrer un serveur SQL. -
Un compte Tier 0 : (Ex:
adm_t0_j.dupont) Pour modifier une GPO ou gérer les DNS du domaine.
Le Tiering est appliqué de force via les Stratégies de groupe (GPO) (droits d'ouverture de session locale, par le réseau, via RDP, etc.). Un compte
adm_t0qui tente de faire du RDP sur un PC utilisateur (Tier 2) recevra un message d'erreur natif de Windows lui refusant l'accès. C'est ce blocage qui neutralise les mouvements latéraux.
3. Les limites du Tiering et l'hygiène de l'AD
Le Tiering n'est pas une balle en argent. Si vos serveurs ne sont pas patchés (vulnérabilités de type ZeroLogon ou PrintNightmare) ou si des protocoles obsolètes sont actifs (SMBv1, NTLMv1, LLMNR), l'attaquant contournera vos silos de mots de passe.
Avant de scinder vos administrateurs, vous devez nettoyer l'existant.
Scripts et Audits
Commencez par auditer votre environnement avec des outils reconnus comme Ping Castle, Purple Knight ou BloodHound (pour cartographier les chemins d'attaque).
Script 1 : Auditer les membres des groupes critiques (Cibles Tier 0)
Ce script PowerShell liste les membres de vos groupes les plus sensibles pour identifier qui possède déjà les clés du infrastructure.
Write-Host "Audit des groupes critiques du Tier 0..." -ForegroundColor Cyan
$CriticalGroups = @("Admins du domaine", "Administrateurs de l'entreprise", "Administrateurs du schéma", "Administrateurs")
foreach ($Group in $CriticalGroups) {
Write-Host "`nMembres du groupe : $Group" -ForegroundColor Yellow
try {
$Members = Get-ADGroupMember -Identity $Group -ErrorAction Stop
if ($Members) {
$Members | Select-Object SamAccountName, objectClass, name | Format-Table -AutoSize
} else {
Write-Host " -> Aucun membre ou groupe vide." -ForegroundColor DarkGray
}
} catch {
Write-Warning "Impossible de lire le groupe '$Group' (vérifiez le nom localisé)."
}
}
Des solutions comme HardenAD permettent d'automatiser la création de cette architecture (OU, groupes, GPO de restrictions) et même d'introduire un "Tier Legacy" pour les vieux systèmes industriels impossibles à patcher.
Conclusion et prochaines étapes
La mise en place du Tiering Model est l'un des projets les plus structurants (et parfois douloureux culturellement) pour une équipe IT, car il met fin au confort de l'administration "open bar".
L'étape suivante consistera à déployer des PAW (Privileged Access Workstations) ou des bastions d'administration (comme Apache Guacamole, Wallix ou Teleport). En effet, utiliser un compte Tier 0 depuis un PC de tous les jours compromis par un malware (qui enregistre les frappes clavier) annule tous vos efforts de cloisonnement. L'administration du Tier 0 doit se faire depuis une machine vierge et dédiée.
