MSSEC

Réaliser un Bastion de Tier 0 abordable – 5/5

Dernier article de la série concernant la mise en œuvre d’un bastion de Tier 0 avec cette fois-ci les différents gestes techniques que vous serez amené à réaliser une fois le bastion en place. Bonne lecture !

Présentation

Royal TS, Royal Server et Yubikey

Bastion avec Royal TS et Royal Server

Mise en œuvre

Scénario d’utilisation

Télécharger les cinq articles en PDF !


Scénario d’utilisation

L’article fera référence à l’utilisateur Jetro ANVIDYALER avec les informations suivantes :

Compte UtilisateurJetro.Anvidyaler
Compte AdministrateurAdm001.T0-ope
Serveur Royal Server et Secure GatewaySRV016.LAB.MSSEC.FR

Configuration du MFA avec Yubikey

La configuration du MFA avec une Yubikey nécessite de créer au préalable une clé de connexion à l’API public de Yubico. Cette clé est nécessaire pour le service TOTP et vous génèrera un secret symétrique à échanger avec le service SaaS.

Configuration d’une Yubikey

  • Récupérer l’une de vos clés Yubikey (n’importe laquelle)
  • Lancez le Yubikey Manager puis sélectionnez Applications | OTP
  • Sélectionnez Configure sous Short Touch (Slot 1)
  • Sélectionnez Yubico OTP puis cliquez sur next
  • Cochez la case Use Serial pour le champ Public ID – sauvez la valeur dans coffre-fort numérique (elle sera nécessaire pour la configuration de l’utilisateur)
  • Cliquez sur le bouton Generate pour le champ Private ID
  • Cliquez sur le bouton Generate pour le champ Secret Key
  • Cochez la case Upload puis cliquez sur Finish

Configuration du serveur SaaS Yubico

  • Rendez-vous sur le site web https://upgrade.yubico.com/getapikey/
  • Dans le champ email address, saisissez une adresse mail servant de référence
  • Positionnez votre curseur dans le champ Yubico OTP, puis appuyer brièvement sur le capteur de la Yubikey
  • Cochez la case I have read the term and condition
  • Cliquez sur Get API
  • Sauvegarder dans un coffre-fort numérique le client ID et la Secret Key qui s’affiche (vous en aurez besoin pour configurez le service Yubikey sur le serveur RS)

Configuration du service Yubikey

  • Lancez la console Royal Server
  • Sélectionnez la section royal Server en bas à gauche puis Multi-Factor Authentication
  • Sélectionnez Providers puis Cochez l’option option Yubikey
  • Cliquez sur le bouton Configure… en face de Yubikey
  • En face de Client ID, saisir le Client ID obtenu précédemment
  • En face de Secret Key, saisir la Secret Key générée précédemment
  • Cliquez sur OK
  • Sauvez la configuration puis redémarrer le service Royal Server

Récupérer le Public ID d’une Yubikey

  • Connectez la clé à votre système
  • Lancez notepad, positionnez le curseur dans la zone de saisie puis appuyez brièvement sur le capteur de la Yubikey
  • Récupérer les 12 premiers caractères de la chaine – ils sont identiques au Public ID configuré précédemment lors de la configuration de la Yubikey.

Configuration d’un utilisateur avec le MFA Yubikey

  • Lancez la console Royal Server
  • Sélectionnez la section royal Server en bas à gauche puis Multi-Factor Authentication
  • Cliquez sur Add… pour ajouter un nouvel utilisateur
  • Configurer l’utilisateur à associer à un code MFA depuis l’annuaire AD
  • En face de Provider, sélectionnez Yubikey
  • Sélectionnez l’accès à protéger (Document Store)
  • Ajouter un commentaire si nécessaire dans le champ Comment
  • Positionner le Caching Time à 1 minute
  • Saisissez le Public ID de la clé associée à l’utilisateur dans le champ Token ID
  • Cliquez sur OK

Créer un modèle de document Royal TS

Le modèle de document vous permettra de gagner du temps dans la création d’un nouvel utilisateur : en effet, pour protéger l’identifiant de Tier 0 utilisé par l’opérateur, ce dernier doit être déclaré dans un objet de connexion (Royal Server Object) et dans les paramètres de configuration du document – une fois fait, le document peut être verrouillé et le compte ainsi protégé.

Les documents présents dans le Document Store ne peuvent pas être modifié directement sur le serveur, ni exporté ; seul un administrateur du document sera alors en mesure de le modifier, depuis une station de travail (idéalement, depuis le serveur bastion lui-même). Le document est protégé contre la modification par un mot de passe que seul l’administrateur devra connaitre (l’utilisation de KeePass est recommandée).

Pour que l’authentification soit possible, vous devrez configurer la chaine de dossier jusqu’à la racine avec les mêmes paramètres d’authentification (Use Credential From the Parent Folder) de sorte que l’arborescence aboutisse à la racine du document, qui contient le login.

Note : le principe de connexion retenu ici implique que l’utilisateur ne soit pas obligé de se réauthentifier sur le serveur cible. Si vous souhaitez activer cette sécurité, il ne sera pas nécessaire d’enregistrer le login de l’utilisateur à la racine. Toutefois, dans ce contexte, une telle option exposerait l’authentification à un vol de mot de passe, ce dernier étant en présent en mémoire sur la station de connexion Tier 2 pendant un laps de temps donné, à moins d’utiliser la connexion par certificat (Smart Card Logon).

Pour créer un modèle, qui contiendra toutes les connexions qu’un utilisateur devrait avoir, procédez comme indiqué ci-après.

Création du modèle

  • Connectez sur le serveur d’administration de Tier 0, sur lequel le client Royal TS est installé (aucune licence n’est nécessaire)
  • Lancez le client Royal TS
  • Sélectionnez New en haut à droite
  • Nommez le document selon vos souhaits et laissez le type de document sur Shared
  • Sélectionnez Security et cochez l’option Enable Encryption
  • Définissez un mot de passe pour l’accès au document – ce mot de passe sera saisie par l’utilisateur qui voudra modifier le document (ce mode ne donnera pas accès au mot de passe des comptes).
  • Cliquez sur OK
  • Faites un clic-droit sur le document nouvellement créé et sélectionnez Properties
  • Saisissez le mot de passe précédemment créés
  • Dans la section Common, cliquez sur Credentials
  • Dans le menu déroulant, sélectionnez Spécify Username and Password
  • Dans le champ Username, saisir le nom du compte de tier 0 sous la forme NetBIOS (MSSEC\ADM001.T0-OPE)
  • Saisissez le mot de passe du compte dans le champ Password
  • Cliquez sur OK

Une fois le fichier préparer, deux actions restent à faire : configurer un objet de connexion Secure Gateway et ajouter toutes les connexions de votre environnement (dans cet exemple, nous n’ajouterons qu’une connexion RDP).

Ajouter l’objet de connexion Secure Gateway

  • Positionnez-vous à la racine du document
  • Sélectionnez Add puis Secure Gateway (par clic-droit ou via le bandeau supérieur)
  • Dans le champ Display Name, indiquer un nom décrivant le serveur de passerelle (SG Tier 0 par exemple)
  • Dans le champ Computer Name, indiquer le nom pleinement qualifié du serveur de passerelle (srv016.LAB.MSSEC.FR)
  • Si besoin, adaptez le Port SSH à vote configuration et indiquez une description
  • Dans la section Common, sélectionnez Credentials
  • Modifiez le champ Configuration pour la valeur Specify Username and Password
  • Dans le champ Username, saisir le nom du compte de tier 0 sous la forme NetBIOS (MSSEC\ADM001.T0-OPE)
  • Saisissez le mot de passe du compte dans le champ Password
  • Cliquez sur OK

Ajouter un nouveau dossier d’organisation

  • Positionnez-vous à la racine du document
  • Cliquez sur Add puis sélectionnez Folder
  • Dans le champ Display Name, indiquez le nom du dossier (DEMO)
  • Dans le champ Description, indiquez un commentaire explication
  • Dans la section Common, sélectionnez Credentials
  • Dans le champ Configuration, sélectionnez Use Credential From the Parent Folder

Configurer un dossier préexistant

  • Faites un clic-droit sur le dossier existant et sélectionnez Properties
  • Dans la section Common, sélectionnez Credentials
  • Dans le champ Configuration, sélectionnez Use Credential From the Parent Folder

Ajouter une connexion RDP

  • Cliquez sur Add puis sélectionnez Remote Desktop Protocole Connection
  • Dans le champ Display Name, saisir le nom NetBIOS de la cible (SRV001 – Demo Server)
  • Dans le champ Computer Name, saisir le nom pleinement qualifié de la cible (SRV001.LAB.MSSEC.FR)
  • Ajouter une description pour aider à identifier le rôle du serveur
  • Dans la section Common, sélectionnez Credentials
  • Dans le champ Configuration, sélectionnez Use Credential From the Parent Folder

Note : puisque le document contient un compte utilisateur unique, chaque utilisateur devra avoir son document propre et aura la charge de son évolution (hors mot de passe, qui est sous la responsabilité de l’administrateur en cas de changement).

Une fois le document terminé, vous devez protéger les secrets de connexion contre l’exfiltration : cela est possible en activant les options de verrouillage du fichier. Une fois activé, la lecture ou la modification du compte passeront nécessairement par ce mot de passe (il est donc important de le conserver dans un coffre-fort numérique). Notez également que ce mot de passe ne peut pas être changé plus tard (il faudra créer un nouveau document).

Verrouillage des informations sensibles

  • Faites un clic-droit sur le nom du document et sélectionnez Properties
  • Saisissez le mot de passe de protection du document
  • Sélectionnez Security dans le menu de gauche
  • Sélectionnez l’onglet Lockdown
  • Cochez l’option Encrypt Complete File
  • Appuez sur le bouton Set Lockdown Password…
  • Définissez un mot de passe fort et complexe puis cliquez sur Apply
  • Cochez l’option Do not allow to reveal passwords in this document
  • Cliquez sur OK
  • Faites un clic-droit sur le nom du document et sélectionnez Merge and Save
  • Enregistrer le fichier dans un endroit protégé (il ne doit être accessible qu’aux administrateurs)
  • Fermez le document et Royal TS

Modifier un modèle de document

Avant d’importer un modèle de document dans le Document Store, vous pourriez avoir besoin de modifier une ou plusieurs données de celui-ci (par exemple, le nom de l’utilisateur de Tier 0 et son mot de passe).

Modification d’un modèle de document

  • Allez à l’emplacement sécurisé où son enregistrés les fichiers modèles
  • Copier le modèle de document à modifier et donnez-lui un nouveau nom
  • Editez le fichier avec Royal TS

Modifier une connexion (utilisateur et administrateur)

  • Sélectionnez la connexion à modifier
  • Faites-un clic-droit dessus et sélectionnez Properties
  • Modifiez les informations souhaitez
  • Cliquez sur OK.

Modifier le compte de Tier 0 (administrateur uniquement)

  • Faites un clic-droit sur le document et sélectionnez Unlock Document
  • Saisissez le mot de passe de lockdown du document
  • Pour modifier le compte pour toutes les connexions, modifier les informations directement dans les propriétés du fichier après avoir saisie le mot de passe de protection
  • Pour modifier le compte de connexion à la Secure Gateway, modifiez l’objet Secure Gateway directement
  • Cliquez sur OK
  • Faites ensuite un clic-droit sur le document et sélectionnez Merge and Save puis Lock

Modifier le mot de passe de LockDown (administrateur uniquement)

  • Faites-un clic-droit sur le document et sélectionnez Unlock Document
  • Saisissez le mot de passe de lockdown du document
  • Faites-un clic-droit sur le document et sélectionnez Properties
  • Saisissez le mot de passe de protection du document
  • Sélectionnez Security dans le menu de gauche
  • Sélectionnez l’onglet Lockdown
  • Appuez sur le bouton Set Lockdown Password…
  • Définissez un mot de passe fort et complexe puis cliquez sur Apply
  • Cliquez sur OK
  • Faites ensuite un clic-droit sur le document et sélectionnez Merge and Save puis Lock

Importer un modèle dans le Document Store

Une fois le document prêt, vous devrez le mettre à disposition des utilisateurs dans le Document Store. Cette étape permet de publier le document et d’attribuer des droits d’accès à ce dernier.

Import d’un document

  • Lancez la console Royal Server
  • Sélectionnez la section document Store en bas à gauche de la fenêtre
  • Sélectionnez Document dans la partie supérieur du menu de gauche
  • Cliquez sur le bouton Add… et sélectionnez Existing…
  • Dans le champ File to import, Indiquez le chemin vers le fichier modèle à utiliser (ou utilisez l’assistant en cliquant sur à droite du champ de saisie)
  • Au besoin, renommez le document : ce nom sera affiché dans la liste des documents que verra l’utilisateur
  • Ajouter un commentaire si besoin
  • Spécifier le mot de passe de protection du document pour que Royal Server puisse l’accéder
  • Cochez l’option Document can only be opened via Royal Server (l’option va chiffrer tous les éléments du fichier et les stockés dans sa base documentaire)
  • Cliquez sur OK

Une fois importer, le document doit être sécurisé pour l’accès.

Autorisation d’accès sur un document

  • Lancez la console Royal Server
  • Sélectionnez la section document Store en bas à gauche de la fenêtre
  • Sélectionnez Document dans la partie supérieur du menu de gauche
  • Sélectionnez le document à protéger
  • Cliquez sur le bouton Edit… à droite de la fenêtre et sélectionnez Edit Access Rules…
  • Cliquez sur Add… en bas de la fenêtre
  • Définissez le niveau d’accès sur Modify et Grant
  • Cliquez sur Add…
  • Ajouter l’utilisateur Tier (Jetro.Envidyaler)
  • Cliquez sur Close

Ajout d’un utilisateur

Les opérations décrites ci-dessous doivent être réalisées dans cet ordre pour ajouter un nouvel utilisateur au bastion. Le document Royal TS, hébergé dans le Document Store, doit avoir été créé au préalable.

Autoriser la connexion au Bastion

Pour permettre à l’utilisateur de se connecter au bastion, ajouter le compte Jetro.Anvidyaler au groupe Active Directory suivant :

  • G-S-T0-RoyalServer-Users

L’accès octroyé permet également de parcourir le Document Store.

Autoriser la connexion à la Secure Gateway

La connexion au Secure Gateway n’est permise qu’au compte de Tier 0.

Pour autoriser adm001.T0-ope à accéder à la Secure Gateway et ainsi se connecter aux systèmes cibles, ajoutez le compte dans le groupe Active Directory suivant :

  • G-S-T0-RoyalServer-Users
  • G-S-T0-RoyalServer-GwayUsers

Configurer l’accès MFA

L’accès MFA doit être activé pour l’accès au Document Store et la connexion à un système.

Pour sécuriser l’accès, connectez-vous sur le serveur Royal Server puis, Dans le menu de gauche, sélectionnez Royal Server et Multi-Factor Authentication. Positionnez-vous sur l’onglet Users.

Enrôlement du compte Tier 0 (Secure Gateway + Authenticator)

  • Cliquez sur Add…
  • Depuis la fenêtre Enroll User for MFA, cliquez sur Select User…
  • Saisir le compte de Tier 0 adm001.T0-ope et cliquez sur OK
  • Dans le champ Provider, sélectionnez Generic TOTP
  • Cochez l’option Secure Gateway
  • Ajouter un commentaire dans le champ description (MFA for Jetro ANVIDYALER (Tier 0 Opérateur) par exemple)
  • Définissez le temps de cache de session à 1 minute, afin d’obliger l’utilisateur à se connecter au MFA pour chaque connexion (une session en cache pouvant être exploitée par n’importe-qui sans plus de contrôle)
  • Dans le champ Issuer, indiquez Royal Server Tier 0
  • Dans le champ Label, indiquez le login de connexion ADM001.T0-OPE
  • Cliquez sur OK
  • Le QR-Code s’affiche à l’écran : scannez-le avec votre application d’authentification
  • Cliquez sur close

Enrôlement du compte Tier 2 (Document Store + Yubikey)

  • Cliquez à nouveau sur Add…
  • Depuis la fenêtre Enroll User for MFA, cliquez sur Select User…
  • Saisir le compte de Tier 2 Jetro.Anvidyaler et cliquez sur OK
  • Dans le champ Provider, sélectionnez Yubikey
  • Cochez l’option Document Store
  • Ajouter un commentaire dans le champ description (MFA for Jetro ANVIDYALER (Tier 2) par exemple)
  • Définissez le temps de cache de session à 1 minute, afin d’obliger l’utilisateur à se connecter au MFA pour chaque connexion (une session en cache pouvant être exploitée par n’importe-qui sans plus de contrôle)
  • Dans le champ Yubikey ID, indiquez le numéro de série de la Yubikey
  • Cliquez sur OK
  • Le QR-Code s’affiche à l’écran : scannez-le avec votre application d’authentification
  • Cliquez sur close

Configurer le poste client

Le client doit être équipé de Royal TS et pouvoir accéder aux serveurs Royal Server et Secure Gateway. La configuration est ensuite limitée à l’ajout d’un objet Royal Server dans un document Royal TS.

Création du document

  • Lancez le client Royal TS
  • Sélectionnez New en haut à droite
  • Nommez le document selon vos souhaits et laissez le type de document sur Personal (Overwrite File)
  • Sélectionnez Security et cochez l’option Enable Encryption
  • Définissez un mot de passe pour l’accès au document
  • Cliquez sur OK
  • Positionnez-vous à l’endroit ou vous souhaitez stocker l’objet
  • Faites Add… puis sélectionnez Royal Server
  • Donnez un nom d’affichage (par exemple Bastion Tier 0)
  • Saisissez le nom pleinement qualifié dur serveur RS (Srv016.LAB.MSSEC.FR)
  • Sélectionnez Royal Server Credentials dans le menu de gauche
  • Saisissez votre nom d’utilisateur (Jetro.Anvidyaler) et votre mot de passe
  • Cliquez sur OK
  • Faites ensuite un clic-droit sur le document et sélectionnez Merge and Save puis Lock

Accéder au Document Store

L’accès au Document Store permet à l’utilisateur de se connecter aux ressources anonymement.

Accès à Document du Document Store

  • Lancez le client Royal TS
  • Ouvrez le document contenant votre objet Royal Server pour la connexion au Tier 0
  • Saisissez le mot de passe de protection du fichier Royal TS
  • Depuis le bandeau supérieur, cliquez sur Open puis sélectionnez votre objet Royal Server
  • Une fenêtre s’affiche avec les documents contenus dans le Document Store pour lequel vous disposez d’un droit d’accès : sélectionnez le document à ouvrir et cliquez sur OK
  • Saisissez le code TOTP demandé en appuyant brièvement sur le capteur de la Yubikey

Seules les informations sensibles et les propriétés du document sont protégées par le mot de passe du document : l’utilisateur peut librement modifier le document pour ajouter des dossiers, des connexions, … Pour déverrouiller le document, vous devrez saisir d’abord le mot de passe de lockdown puis le mot de passe du document.

Le mot de la fin…

Nous espérons sincèrement que cette documentation vous sera utile et aidera à mieux protéger les identités sensibles de vos annuaires Active Directory.

Nos équipes se tiennent à votre disposition pour vous aider à implémenter le modèle, n’hésitez pas à nous contacter :