Découvrez l'élévation des privilèges dans Jamf Connect

Le système d’exploitation macOS d’Apple est l’un des plus avancés et des plus sûrs du marché actuel. Mais rien ne peut arrêter le rouleau compresseur de « l’erreur utilisateur ». Si vous donnez des droits d’administrateur à un utilisateur, vous risquez de gâcher la journée de votre service informatique.

Jamf Connect offre un moyen simple de donner à un utilisateur la possibilité de devenir administrateur sur demande pour réaliser une opération ponctuelle qui sort du cadre des tâches quotidiennes. Il reprendra ensuite son statut d’utilisateur standard. Contrairement à d’autres solutions du marché, Jamf Connect permet aux organisations de gérer cet aspect directement via leur fournisseur d’identité (IdP), en utilisant la puissance de l’identité sur macOS pour gérer les privilèges. En combinant cet outil à d’autres solutions comme Jamf Protect, les organisations peuvent consigner les comportements malveillants et enregistrer les demandes d’élévation dans leur SIEM en cas d’incident de sécurité.

Quel est l’intérêt de l’élévation des privilèges ?

Le système macOS, basé sur UNIX, définit des catégories d’autorisations assez larges pour les utilisateurs. Un utilisateur peut être :

• Standard : aucune autorisation d’installer des applications, de modifier les préférences du système ou de lire/écrire/exécuter des applications qui ne lui appartiennent pas.
• Administrateur : peut apporter des modifications à pratiquement tous les fichiers, changer tous les réglages, et exécuter/installer n’importe quelle application ; une seule exception : les fichiers et applications sous la protection de l’intégrité du système (SIP).

Un administrateur n’est pas l’utilisateur root d’un système UNIX traditionnel ; ce droit reste interdit et ce compte utilisateur est désactivé par défaut. Mais il est parfois nécessaire d’avoir le pouvoir d’un administrateur, que ce soit pour des choses très simples, comme installer un pilote pour une nouvelle imprimante, ou très complexes, comme développer de nouveaux logiciels et exécuter des builds dans Xcode.

macOS complique encore la situation en faisant du premier utilisateur créé sur un appareil un administrateur par défaut. Le seul moyen de contourner cela consiste à appliquer un profil MDM qui limite les droits de l’utilisateur à un compte standard. Une organisation équipée d’une solution MDM peut en effet apporter des modifications et installer des applications au nom de l’utilisateur.

Cette désignation d’administrateur par défaut va à l’encontre des bonnes pratiques du CIS Benchmark Level 1 et des directives NIST 800-53 Moderate. Ces directives recommandent plutôt de créer un compte administrateur séparé pour modifier les préférences qui touchent l’ensemble du système.

Comment les organisations ont-elles résolu cette question jusqu’ici ?

L’équipe de sécurité se trouve face à une poignée d’options qui semblent aussi mauvaises les unes que les autres :

Ne donner des droits d’administration à personne

• Les utilisateurs contactent le service d’assistance chaque fois qu’ils ont besoin d’installer une imprimante ou un pilote. C’est particulièrement difficile dans les environnements de télétravail : l’équipe informatique ne dispose pas forcément d’une règle pour le pilote de chaque modèle d’imprimante potentiellement utilisé au bureau ou à la maison.
• Bloquer les équipes lorsqu’elles ont simplement besoin d’un logiciel de réunion pour organiser une visioconférence ponctuelle avec un client.
• Empêcher les développeurs de remplir leur mission en créant des applications pour l’organisation.

Donner à tout le monde des droits d’administrateur

• L’administration de parc façon Far West : tout est permis !
• Les logiciels malveillants et les sites de phishing demandent leurs identifiants aux utilisateurs et installent tout ce sur quoi ils cliquent sans se méfier.

Il fallait trouver un équilibre entre ces deux extrêmes : autonomiser les utilisateurs, tout en évitant l’abus accidentel des droits d’administrateurs. Pour ce faire, les organisations ont misé sur des solutions tierces pour élever les permissions des utilisateurs à la demande. On trouve un large éventail de solutions sur le marché. Certaines sont très simples, et consistent à exécuter un script dans Jamf Self Service. D’autres, plus onéreuses, sont très granulaires ; c’est le cas des solutions de gestion des accès privilégiés (PAM).

Quelle est la nouveauté de l’élévation des privilèges avec Jamf Connect ?

Jamf Connect offre un moyen simple de gérer les utilisateurs standards du parc d’ordinateurs Apple de votre entreprise. En plus de la gestion des droits standard et d’administration à l’écran de connexion de macOS, la fonction Élévation de privilèges, accessible dans la barre de menu de Jamf Connect, permet à un utilisateur classique de demander des droits administratifs. Il reçoit alors ce droit pour une durée limitée (définie par l’administrateur) et redevient automatiquement un utilisateur standard ensuite.

Jamf Connect autorise les administrateurs à

• Définir la durée de l’élévation, qui peut être réduite à une minute seulement.
• Limiter l’élévation des privilèges à un groupe spécifique d’utilisateurs, déterminé dans votre IdP.
• Limiter le nombre de fois qu’un utilisateur peut demander l’élévation de ses privilèges au cours d’un mois calendaire.
• Exiger des utilisateurs qu’ils s’authentifient auprès de votre IdP avant de procéder à l’élévation.
• Demander aux utilisateurs de fournir un motif pour la demande d’élévation, motif qui sera enregistré dans les journaux du système.
• Afficher un compte à rebours dans la barre de menu pour l’expiration de l’élévation.
• Élever et rétrograder les privilèges des utilisateurs à l’aide d’une interface en ligne de commande (dans le cadre d’un script ou d’une règle intégrée de Jamf Pro).

En combinant l’identité et de l’élévation des privilèges, on peut mettre en place des fonctionnalités de sécurité renforcées, notamment en interdisant l’accès à certains groupes spécifiques ou en exigeant une authentification avant d’accorder l’élévation des privilèges.

En quoi est-ce que Jamf Connect renforce les permissions de sécurité ?

Application des contrôles d’accès basés sur le rôle (RBAC)

Un utilisateur demande au service d’assistance le droit d’installer un pilote. Le service l’ajoute à un groupe de sécurité appelé « privilèges élevés » pendant une journée, puis les retire du groupe afin de révoquer l’élévation.

Octroi de durées variables à différents groupes

Les développeurs vont avoir besoin d’autorisations élevées sur une période plus longue, pour des tâches complexes liées à la création de produits. Mais pour un utilisateur standard, cinq minutes peuvent suffire à modifier un réglage protégé.

Empêcher les utilisateurs dont les identifiants ne sont pas valides d’obtenir des autorisations plus élevées

En cas de compromission des identifiants locaux d’un utilisateur, un administrateur peut réinitialiser son mot de passe ou désactiver temporairement son compte afin d’empêcher le pirate d’exploiter la faille.

Jamf Connect + Jamf Protect

La fonction d’élévation de privilèges de Jamf Connect consigne les événements d’élévation et de rétrogradation dans les journaux unifiés de macOS. Les équipes informatiques et de sécurité ont ainsi une visibilité sur les événements d’élévation en consultant les journaux des appareils à l’aide de la fonctionnalité de filtrage unifié des journaux de Jamf Protect. Ils peuvent également envoyer ces événements critiques dans le SIEM de leur choix. Cet outil gagne à être associé à la télémétrie de Jamf Protect. Les utilisateurs capables de gérer les droits d’administration reçoivent au moment voulu les autorisations dont ils ont besoin pour travailler. Quant aux équipes informatiques et de sécurité, elles pourront réaliser une analyse forensique a posteriori en cas d’incident.

Aucun utilisateur n’est infaillible.

Les bonnes pratiques conseillent de ne pas donner aux utilisateurs moins expérimentés l’accès aux outils et services protégés par les privilèges d’administration.

Grâce à Jamf Protect, il devient très simple de signaler les comportements malveillants relevant du cadre MITRE ATT&CK. Il est même possible d’éviter les comportements connus, par exemple si un utilisateur clique accidentellement sur un installeur de logiciel malveillant, ce qui permet aux administrateurs d’atténuer les risques sur l’ensemble de votre flotte Apple.