Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne
Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc.
Votre sécurité dépend de vos machines et des privilèges associés !
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
Gérer les privilèges locaux en utilisant Intune
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. Gérer les privilèges locaux
en utilisant Intune
Jean-Sébastien DUCHÊNE
Thierry DEMAN-BARCELO
24 octobre 2023 - PARIS
Identity Days 2023
3. • Concepts
• Gestion de l’appartenance aux groupes locaux
• Gestion des administrateurs locaux
• Gestion de l’élévation de privilèges
• Conclusion
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
Thierry DEMAN-BARCELO
Architect @ALT-UP by ARTEMYS
M365 Apps & Services
MVE sur Experts-Exchange
Expertise : Microsoft 365, Teams, etc.
@t_deman
Jean-Sébastien DUCHÊNE
CTO @EXAKIS-NELITE
Enterprise Mobility
Security
Blogguer (www.windowstouch.fr), Ecrire,
Partager, etc.
Expertise : Modern Workplace, Cloud et Sécurité
@microsofttouch
5. Identity Days 2023
24 octobre 2023 - PARIS
Le monde idéal La réalité
Utilisateurs
Standards
(sans privilèges)
J’ai besoin de
telle app ou
configuration
Outils de gestion
Support
Utilisateurs
Standards
J’ai besoin d’installer
mon imprimante ou
de mettre à jour un
composant de mon
app
Support
Outils de gestion
(sans privilèges)
Attends ! Voici le compte admin local
Ou
Laisse-moi me connecter et prendre la
main
Sécurité
Verrouillons !
Les attaques sur les
utilisateurs admin
amène à des incidents à
plus grand impacts
7. Gestion de l’appartenance aux groupes
Identity Days 2023
24 octobre 2023 - PARIS
Une gestion via un Configuration Service Provider (CSP) inclut dans Windows
Des améliorations depuis Windows 10 20H2
Attention ! Vous ne devez pas déployer plus d’une stratégie LocalUserAndGroups au même périphérique
Intégration native dans Microsoft Intune
Les noms de groupe ou les SID non valides seront ignorés. Les parties valides de la
politique s'appliqueront et une erreur sera renvoyée à la fin du traitement.
Si vous spécifiez à la fois R et U dans le même XML, l'action R (Remplace) est
prioritaire sur U (Mise à jour). Par conséquent, si un groupe apparaît deux fois
dans le XML, une fois avec U et une autre fois avec R, c'est l'action R qui l'emporte.
Démo
9. Windows LAPS
Identity Days 2023
24 octobre 2023 - PARIS
Local Administrator Password Solution (LAPS), ancienne solution créée en 2015 par des PFEs puis mis à
disposition par Microsoft pour la gestion des comptes administrateurs locaux.
N’a jamais évoluée avec les nouveaux concepts
Intégration native à Windows avec la mise à jour d’Avril 2023 (toutes éditions)
(uniquement Win 10 20H2, 21H2, 22H2 ; 11 21H2, 22H2 ; Server 2019 et 2022)
Gestion avec Microsoft Intune ou par GPO
Génère des mots de passe aléatoires et sauvegarde dans Active Directory ou
Microsoft Entra ID (Azure AD)
Support de DSRM pour les serveurs Active Directory
(si niveau fonctionnel de domaine 2016 et DC WS 2019+)
Des Cmdlets PowerShell, des journaux d’évènements, pages dans AD Users &
Computers Snap In
Bénéfices : Protection contre les attaques pass the hash ou mouvements latéraux, amélioration des scénarios
d’assistance à distance, récupération d’un périphérique bloqué
Intégration au modèle RBAC lors de la sauvegarde à Microsoft Entra ID
10. Windows LAPS : Les scénarios
Identity Days 2023
24 octobre 2023 - PARIS
Active
Directory*
Microsoft Entra Join
(AAD join)
Microsoft Entra
Hybrid Join (Azure
AD Join)
AD Join
Domain
Controllers
Sauvegarde du mot
de passe DSRM
Sauvegarde du
mot de passe des
comptes admin
locaux
Sauvegarde du
mot de passe des
comptes admin
locaux
Ou
Sauvegarde du
mot de passe
des comptes
admin locaux
*Niveau fonctionnel de domaine inférieur à 2016 => mot de passe en clair
11. Windows LAPS : Fonctionnement
Identity Days 2023
24 octobre 2023 - PARIS
Toutes les heures
12. Windows LAPS : Comment déployer ?
Identity Days 2023
24 octobre 2023 - PARIS
S’assurer des prérequis sur les clients
AAD : Activer la fonctionnalité dans le tenant Entra ID
AD* :
• Mise à jour du schéma avec DC 2019/2022 et la cmdlet Update-LapsADSchema
• Délégation des permissions nécessaires aux objets à mettre à jour leur mot de passe via
Set-LapsADComputerSelfPermission -Identity <OU des devices>
Créer et déployer la stratégie cliente dans Intune (ou par GPO 😐)
• BackupDirectory : AAD = 1, AD=2
• AdministratorAccountName : Défaut=Administrator ou un autre nom spécifié
• PasswordAgeDays : Défaut = 30 jours ; 1 à 365 jours ; AAD requiert 7 jours
• PostAuthenticationActions : Défaut (3) Reset Pwd & Logoff sinon 1=Reset Pwd ou 5=Reset Pwd & Reboot
• PostAuthenticationResetDelay : Défaut 24 heures ; De 0 à 24 heures ; 0 désactive
• PasswordLength : Défaut : 14 caractères ; de 8 à 64 caractères
• Password Complexity : 1=lettres maj, 2=lettres maj + non maj, 3= 2+nombres, 4=3+caractères spéciaux (défaut)
Plus d’infos sur : Configure policy settings for Windows LAPS | Microsoft Learn
* Attention ! Le changement du compte admin local peut bloquer le déploiement de nouvelles machines. Déplacez les machines dans une OU sans LAPS pendant le déploiement
13. Windows LAPS : Qui a accès dans Entra ID
Identity Days 2023
24 octobre 2023 - PARIS
Rôles AAD par défaut Accès au méta données
uniquement
(microsoft.directory/deviceLocalCredentials/standard/read)
Lecture du mot de passe en
texte clair
(microsoft.directory/deviceLocalCredentials/password/read)
Global Administrator X X
Cloud Device Administrator X X
Intune Administrator X X
Global Reader X
Helpdesk Administrator X
Security Administrator X
Security Reader X
15. Windows LAPS et Microsoft LAPS, que faire ?
Identity Days 2023
24 octobre 2023 - PARIS
Avoir à la fois Windows LAPS et Microsoft LAPS (hérité) configurant le même compte, n’est pas supporté
Migrer
1. Supprimerlesanciennesstratégies
2. CréeretappliquerlesstratégiesWindowsLAPS
3. Surveillerlesjournaux d’événementsetutiliser
PowerShellpourvoirsilesmachinesontbienremonté
unmotdepasse
4. Supprimerl’ancienlogicielLAPS
msiexec.exe/q/uninstall{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
Coexistence
1. Créerunsecondcomptelocal.
2. CréeretappliquerlesstratégiesWindowsLAPSau
nouveau compte
3. Surveillerlaremontéedesinformations
4. SupprimerlesanciennesstratégiesLAPSlegacy
5. Supprimerl’ancienlogicielLAPS
6. Retirerl’anciencompte
17. Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
Gestion transparente de l'élévation "intégrée" et optimisée par Intune en
fournissant une approche d’accès « juste assez »
Proposé au travers d’Intune Suite ou d’un achat autonome (pas dans les M365 Ex)
Un ensemble riche d'informations sur les expériences des utilisateurs nécessitant
une élévation
Prérequis
Windows 10/11 20H2, 21H2, 22H2 avec la mise à jour d’Avril 2023
Microsoft Entra joined ou Microsoft Entra hybrid joined
Accès direct à direct (sans inspection SSL) vers les URLs requis
Pas de Workplace Join & Azure Virtual Desktop
Machines jointes à Intune ou cogérées (Les workloads n’ont aucune incidence)
18. Endpoint Privilege Management : Comment déployer ?
24 octobre 2023 - PARIS
Vérifier que vous ayez le bon niveau de licences
S’assurer des prérequis sur les clients
Création de règles d’élévation (similaire à AppLocker identifiant les exécutables, etc.)
Déployer la stratégie d’activation de l’élévation EPM sur le périphérique
Activer EPM sur votre tenant Intune
Les limitations (à date)
Les exécutables sont supportés (les MSIs et autres fichiers arrivent prochainement)
Les actions du système Windows sont supportées mais l’écriture des règles est impossible
Pas de support des utilisateurs locaux (uniquement utilisateurs EID/AAD)
19. Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
EPM identifie un
processus
Un utilisateur sélectionne
‘Run with elevated access’
Automatique
Confirmé par utilisateur
Approuvé par le support*
Actions
Déclencheur
20. Gestion avec Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
Rôles RBAC Lecture et Rapports Gestion des stratégies
Endpoint Privilege Manager X X
Endpoint Privilege Reader X
Endpoint Security Manager X X
Read Only Operator X
Présence d’une nouvelle classe Endpoint Privilege Management Policy Authoring
22. Identity Days 2023
24 octobre 2023 - PARIS
Sécurisation
Gestion de l’appartenance
aux groupes locaux
Gestion des
administrateurs locaux
Première étape permettant de s’assurer
qu’un utilisateur non autorisé n’est pas
dans les groupes à privilèges
Seconde étape permettant de s’assurer
que les comptes administrateurs sont
mieux sécurisés
Troisième étape visant à réaliser
l’élévation des privilèges à la demande et
de manière sécurisée
Gestion
de l’élévation de
privilèges
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
THD:
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
THD
THD:
JSD
THD:
JSD
JSD
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
JSD
Get started with Windows LAPS in legacy Microsoft LAPS emulation mode | Microsoft Learn
THD
JSD
JSD
JSD
JSD
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)