Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
Nouvelle approche pour étendre le zéro trust à Active Directory
Gestion de la dette technique – Le tier legacy-2023.pptx
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
22/10/2023 1
2. Gestion de la dette
technique – Le tier legacy
Guillaume MATHIEU - Loic VEIRMAN - Seyfallah Tagrerout - Théo SEVEUR
24 octobre 2023 - PARIS
22/10/2023 2
3. • Présentation de la communauté Harden .
• Gestion de la dette technique dans Active Directory.
• Quand la dette technique touche le Cloud : obsolescence à
grande vitesse.
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
22/10/2023 3
4. 24 octobre 2023 - PARIS
4
ANDRÉ LÈGUASCI – Champion de Tetris !
André n’est pas tout jeune.
Il en a connu, des changements dans l’IT.
Avec l’avènement des cyber-risques,
André essaie de combiner production,
dettes techniques et sécurité.
André, aujourd’hui, est champion de
Tetris !
5. 24 octobre 2023 - PARIS
5
Qu’est-ce que le Legacy ?
Cas 1 : un OS non supporté par l’éditeur
• Windows XP, 7, 8, 8.1, Windows 10 1709, ..
• Windows Server 2003, 2008, 2008 R2, Windows 2012, Windows 2012 R2
Cas 2 : matériel non supporté par le constructeur
• Fortinet Fortigate 60D : micrologiciel non supporté
• ProLiant ML350 Gen 8 : micrologiciel non supporté
Cas 3 : protocoles à risque
• OS avec NTLM V1, SMB V1, LLMNR, Digest, NBT-NS, …
Cas 4 : application non supportée par l’éditeur
• Ne jamais oublier de mettre à jour vos applications métiers
Risques :
• Exploitation des vulnérabilités non corrigées avec un outil comme METASPLOIT.
• Le Legacy devient un bon patient 0 ou chemin pour escalader ses privilèges.
6. 24 octobre 2023 - PARIS
6
Pourquoi tant de Legacy ?
Environnement industriel :
• Exemple d’équipements : robots sur une chaîne de fabrication, automates, caisses, tracteurs, …
• Cycle de vie des produits en informatique industrielle : 10 ans à 30 ans.
• Géré par les responsables applicatifs, parfois hors périmètres de la DSI.
Environnement bureautique :
• Exemples d’applications : ERP / gestion de stocks.
• Cycle de vie des produits : 5 à 10 ans.
Documentations, compétences et risques :
• Coûts et risques de la migration très importants.
• Perte de la maîtrise de la solution : départs d’anciens collaborateurs.
7. 24 octobre 2023 - PARIS
7
La méthodologie pour gérer le Legacy
Etape 1 : Audit fonctionnel de chaque machine Legacy
• Déterminer ses rôles, son niveau de criticité et lister chaque application métier installée sur la machine.
• Déterminer si la machine peut bénéficier du support étendu Microsoft (pour Windows Server et SQL Server).
• L’hébergement d’une machine virtuelle dans les centres de données Microsoft Azure permet de bénéficier du support étendu.
Etape 2 : Audit technique de la machine Legacy
• Audit technique de la configuration du système (matrice des flux, maintenance machine, clé matérielle pour activer une licence, …).
• Lister les dépendances entre la machine Legacy et les autres éléments du SI (annuaire AD, …).
Etape 3 : Isolations réseau
• Création d’un VLAN dédié (changement de l’adressage IP du serveur) et / ou activation du pare-feu Windows.
Etape 4 : Durcissement de l’OS
• Mise en place du modèle de sécurité du SI pour réduire la surface d’attaque des machines Legacy :
• Désactivation ou blocage (pare-feu) des protocoles vulnérables comme SMB, RDP, RPC.
Etape 5 : Tiering
• Création de comptes d’administration dédiés pour les machines Legacy.
8. 24 octobre 2023 - PARIS
8
Quelques dates à connaître
Pour prolonger la durée de vie d’un produit :
• ESU (Extended Security Updates) : https://techcommunity.microsoft.com/t5/windows-it-pro-blog/archived-how-to-get-extended-
security-updates-for-eligible/ba-p/917807
• Héberger les machines virtuelles dans l’environnement Azure.
Produit Fin de support gratuit Support dans Azure Support avec ESU (payant)
Windows 2012 / 2012 R2 10 octobre 2023 13 octobre 2026 13 octobre 2026
Windows Server 2008 R2 14 janvier 2020 9 janvier 2024 10 janvier 2023
Windows Server 2003 14 juillet 2015
Windows 10 22H2 14 octobre 2025
Windows 10 LTSC 2021 12 janvier 2027
Windows 7 14 janvier 2020 10 janvier 2023 10 janvier 2023
Support d’Outlook 2016 / 2019 avec
Exchange Online
10 octobre 2023
Support de Microsoft Apps for Enterprise sur
Windows 7
10 janvier 2023
9. Gestion de la dette technique dans un
modèle à plusieurs Tiers Active Directory
24 octobre 2023 - PARIS
22/10/2023 9
10. 24 octobre 2023 - PARIS
10
Windows 2003 Server
Les certificats racines ne sont pas à jour.
http://woshub.com/updating-trusted-root-certificates-in-windows-10/
Utiliser la solution Windows Update Mini-Tool pour installer les derniers correctifs de Windows 2003 Server.
Laisser le client Automatic Update effectuer son travail d’installation des correctifs Windows.
https://www.malekal.com/windows-update-minitool/
https://archive.org/details/server-2003-au-repair-kit
https://www.youtube.com/watch?v=L7vvx1GPkTk&ab_channel=AdventuresinNostalgia
11. 24 octobre 2023 - PARIS
11
Windows 2003 Server
Télécharger les correctifs suivants depuis le Microsoft Update Catalog :
Group Policy Preference : https://catalog.update.microsoft.com/Search.aspx?q=Group%20Policy%20preferences
Windows PowerShell 2.0 and WinRM 2.0 for Windows Server 2003 (KB968930) :
https://www.catalog.update.microsoft.com/Search.aspx?q=KB968930
Prise en charge RODC par
Windows XP / 2003 : le patch
est difficilement trouvable donc
éviter les RODC si vous disposez
de Windows 2003 Server /
Windows XP.
12. 24 octobre 2023 - PARIS
12
Windows 7, Windows 2008 R2, Windows 2012 R2
Les certificats racines ne sont pas à jour.
http://woshub.com/updating-trusted-root-certificates-in-windows-10/
Correctif pour permettre à Windows Update de fonctionner avec Windows 7 et Windows 2008 R2 :
https://support.microsoft.com/en-us/topic/windows-update-client-for-windows-7-and-windows-server-2008-r2-july-2015-
67ab9c2b-e158-cc9c-e1ce-62f8e6f7b450
Avec Windows 2012 R2, Windows Update affiche que vous êtes à jour alors qu’aucun correctif de sécurité mensuel n’est
déployé. Il faut installer dans l’ordre suivant :
• KB2969339
• KB2919442
• Clearcompressionflag.exe
• KB2919355
• KB2932046
• KB2959977
• KB2937592
• KB2938439
• KB2934018
13. 24 octobre 2023 - PARIS
13
Windows 10
Version Date de début Date de fin
Version 22H2 18/10/2022 14/10/2025
Version 21H2 16/11/2021 13/06/2023
Version 21H1 18/05/2021 13/12/2022
Version 20H2 20/10/2020 10/05/2022
Version 2004 27/05/2020 14/12/2021
Version 1909 12/11/2019 11/05/2021
Version 1903 21/05/2019 08/12/2020
Version 1809 13/11/2018 10/11/2020
Version 1803 30/04/2018 12/11/2019
Version 1709 17/10/2017 09/04/2019
Version 1703 11/04/2017 09/10/2018
Version 1607 02/08/2016 10/04/2018
Version 1511 10/11/2015 10/10/2017
Version 1507 29/07/2015 09/05/2017
Votre OS Windows 10 est peut être « bloqué » sur une version qui n’est plus supportée :
• Pas assez d’espace disque libre.
• Incompatibilité d’un logiciel.
Vous ne disposez alors plus de mises à jour de sécurité !
14. 24 octobre 2023 - PARIS
14
Comment sécuriser les OS Legacy
Les mesures de sécurité :
• Tiering : utiliser un compte d’administration dédié pour le Tier 1 Legacy
et le Tier 2 Legacy. Bloquer l’ouverture de session pour tous les autres
comptes avec privilège.
• Désactiver les services BROWER, RDP, LANMANSERVER : utiliser une
solution tierce qui supporte le MFA pour la prise en main à distance.
• Désactiver le cache d’ouverture de session.
• Tout bloquer au niveau du pare-feu en entrée et tout particulièrement
le protocole RPC.
• Utiliser un antivirus avec capacité EDR qui prend en charge les OS non
supporté : CYBEREASON, TRELLIX (MCAFEE – FIREEYE).
TIER 2
TIER 1
TIER 0
TIER 2
LEGACY
TIER 1
LEGACY
15. 24 octobre 2023 - PARIS
15
Démonstration 1 : configuration
des machines Legacy
16. 24 octobre 2023 - PARIS
16
Les contrôleurs de domaine Legacy
17. 24 octobre 2023 - PARIS
17
Démonstration 2 : les
contrôleurs de domaine Legacy
18. Quand la dette technique touche le Cloud :
obsolescence à grande vitesse
24 octobre 2023 - PARIS
18
19. 24 octobre 2023 - PARIS
19
Authentification Legacy avec Microsoft 365
Certains protocoles n’ont pas été conçus pour supporter l’authentification à plusieurs facteurs (MFA)
• Exchange Web Services (EWS)
• Exchange Active Sync (EAS)
• Remote PowerShell
• MAPI
• POP3
• IMAP4
• SMTP
Solutions ne supportant pas l’authentification moderne :
• La majorité des imprimantes / copieurs présents dans les parcs informatiques.
• Office 2010
• Office 2013 sans correctifs
Penser à désactiver le MFA via les règles d’accès conditionnelles pour les comptes de service utilisés par vos copieurs.
20. 24 octobre 2023 - PARIS
20
Comment détecter l’usage des protocoles Legacy
21. 24 octobre 2023 - PARIS
21
Blocage authentification Legacy
Solution 1 : désactivation via des
règles d’accès conditionnelles
Solution 2 : les Authentication Policies
Solution 3 (pour le SMTP Basique) :
Set-CasMailbox –
SmtpClientAuthenticationDisabled
$True
https://learn.microsoft.com/en-
us/exchange/troubleshoot/email-
delivery/fix-issues-with-printers-
scanners-and-lob-applications-that-
send-email-using-off
23. 24 octobre 2023 - PARIS
23
Legacy MFA et Legacy SSPR
Les anciennes méthodes Azure MFA et Azure SSPR sont désactivées.
24. 24 octobre 2023 - PARIS
24
Dépréciation des modules PowerShell et API
Date de fin de vie :
• Azure AD Graph : 30 juin 2023
• Module PowerShell Azure AD : 30 mars 2024
• Module PowerShell MsOnline : 30 mars 2024
Impacts : les formulaires Azure AD et Exchange Online
Properties ne fonctionnait plus sous One Identity Active
Roles 7.4 et 7.5.
Outil pour apprendre le module PowerShell Graph :
https://graphxray.merill.net/