SlideShare une entreprise Scribd logo

Mise en oeuvre du passwordless AD dans un environnement Hybride

Télécharger en tant que PPTX, PDF
Identity Days
Identity Days

Retrouvez le support de la conférence donnée par Loïc Verman & Guillaume Mathieu lors des Identity Days 2022.

Technologie
1  sur  36
27 octobre 2022 - PARIS @IdentityDays #identitydays2022
27 octobre 2022 - PARIS Mise en œuvre du passwordless dans un environnement hybride AD / Azure AD Loïc VEIRMAN Guillaume MATHIEU Identity Days 2022
27 octobre 2022 - PARIS AGENDA DE LA CONFÉRENCE Loïc VEIRMAN Guillaume MATHIEU • Présentation de la communauté Harden • AD : mécanisme d’authentification • AD : authentification par certificat • AD : peut-on faire du passwordless ? • Azure AD : mécanismes d’authentification • Azure AD : 2FA et MFA • Passwordless en environnement hybride • Authentification Hybride : les risques • Recommandation sur l’hybridation et le passwordless
27 octobre 2022 - PARIS La communauté Harden Identity Days 2022 27 octobre 2022 - PARIS
27 octobre 2022 - PARIS L’authentification sur Active Directory Identity Days 2022 27 octobre 2022 - PARIS
27 octobre 2022 - PARIS Identity Days 2022 LES MÉCANISMES SUPPORTÉS NTLM KERBEROS Cryptographie Symétrique Symétrique et/ou asymétrique Tiers de confiance Contrôleur de domaine Contrôleur de domaine avec KDC Contrôleur de domaine CA d’entreprise Clients pris en charge Windows 9x Windows Millenium Windows NT4 Windows 2000 et ultérieur Windows 2000 et ultérieur Caractéristiques Authentification lente (pass thru) Pas d’authentification mutuel Pas de délégation Protocole propriétaire Microsoft Lamer Data Protection Tickets Authentification mutuelle Délégationmais Standard ouvert Protection des données cryptographiques Deux mécanismes entrent en jeux lors d’une authentification sur Active Directory. Kerberos est le protocole par défaut depuis Windows 2000. Les deux protocoles nécessitent l’utilisation du mot de passe de l’utilisateur pour valider les échanges :  Kerberos crypte le premier échange avec un hash spécifique à l’utilisateur depuis le KDC (username+password)  NTLM utilise le mot de passe pour créer un challenge entre le client et le serveur. Le challenge pourra être déchiffré par le contrôleur de domaine qui utilisera le hash du mot de passe stocké en base. Identity Days 2022 27 octobre 2022 - PARIS Note à l’attention des bretons : non, Ker Beros n’est pas de chez vous !
27 octobre 2022 - PARIS Identity Days 2022 RISQUE LIÉ À L’UTILISATION DU MOT DE PASSE L’aspect technologique • Le mot de passe est l’unique contrôle de sécurité pour valider un accès • Le choix du mot de passe n’est pas « contrôler » par défaut • Un mot de passe ne vérifie pas qui l’utilise (uniquement que la personne connait le secret) • Stockage du mot de passe en mémoire (empreinte / hash pour SSO) L’aspect humain • Réutilisation de mot de passe par l’utilisateur, souvent entre plusieurs applications • Carrousel de mot de passe, car à court d’idée (« on verra bien plus tard ») • Post-it, clavier et cahier sont de la partie…
27 octobre 2022 - PARIS Identity Days 2022 SURFACE D’ATTAQUE Interception • Le MdP est capturé au travers des échanges réseaux Brute Force • Le MdP est deviné au travers de millions de combinaison testées Searching • Le mot de passe est trouvé dans un fichier ou une base accessible Stealing Passwords • Le mot de passe a été volé, que ce soit un format papier ou un hack numérique Manual Guessing • Utilisation de son nom, de date connue ou d’un produit de l’entreprise, … Shoulder Surfing • Mot de passe obtenu en regardant quelqu’un le saisir Social Engineering • Les réseaux sociaux sont utilisés pour abuser de la confiance de l’utilisateur et récupérer le mot de passe Key Logging • Un élément installé sur le système permet de capturer le mot de passe lors de sa capture
27 octobre 2022 - PARIS AD : authentification par certificat (smartcard logon)
27 octobre 2022 - PARIS Identity Days 2022 COMMENT CELA FONCTIONNE 01 02 03 04 05 06 07 08 09 11 10 • Le certificat remplace le mot de passe. • Le code PIN protège l’accès au certificat • Le code PIN requiert une présence physique devant la machine • Le certificat est une identité que l’on peut partager Découvre du lecteur de carteà puce 01 Affiche les certificats sur l écran (LogonUI) 02 Saisidu code PIN par l utilisateur 03 Windows utilisele code PIN pour déverrouiller la carte 04 Un lien sécurisé est établit entre le client et le DC avec le certificat d authentification du DC 05 Le certificat d authentification de l utilisateur est transmis au DC 06 Le DC retrouve le compte utilisateur dans la base de compte (MAPPING) 07 Le certificat est vérifiépar leservice CAPI (chemin et validité pour toutela chaine) 08 Le DC vérifie que la source d émission est validepour l authentification par smartcard (NTAuth) 09 Le DC envoieau client les permissions de l utilisateur et un jeton d autorisation d ouverture de session 10 Le client enregistre dans son cacheletoken de l utilisateur pour unefuture connexion hors-réseau 11
27 octobre 2022 - PARIS Identity Days 2022 RÉDUCTION DE LA SURFACE D’ATTAQUE Interception • Le MdP est capturé au travers des échanges réseaux Brute Force • Le MdP est deviné au travers de millions de combinaison testées Searching • Le mot de passe est trouvé dans un fichier ou une base accessible Stealing Passwords • Le mot de passe a été volé, que ce soit un format papier ou un hack numérique Manual Guessing • Utilisation de son nom, de date connue ou d’un produit de l’entreprise, … Shoulder Surfing • Mot de passe obtenu en regardant quelqu’un le saisir Social Engineering • Les réseaux sociaux sont utilisés pour abuser de la confiance de l’utilisateur et récupérer le mot de passe Key Logging • Un élément installé sur le système permet de capturer le mot de passe lors de sa capture
27 octobre 2022 - PARIS Identity Days 2022 AVANTAGE ET INCONVÉNIENT FORCE • Code PIN : facile à retenir • nombre d’essai du PIN limité • Possibilité de forcer l’utilisation du certificat (par machine ou par utilisateur) • Possibilité de partager une identité avec plusieurs personne sans risque (no more shared account/password) FAIBLESSE • Nécessite une PKI et les compétences associées • Utilisateurs nomades : que faire en cas de panne ? • Investissement en cartes à puces nécessaire
27 octobre 2022 - PARIS AD : peut-on faire du passwordless ?
27 octobre 2022 - PARIS Identity Days 2022
27 octobre 2022 - PARIS Identity Days 2022 DÉFINIR LE PASSWORDLESS Objectif : remplacer le mot de passe par d’autres facteurs d’identification considérés comme intrinsèquement plus sécurisé. • Système OTP (authenticator) • Email et code unique (OTP, …) • Téléphone : • Appel téléphonique • SMS • Notification application (Azure MFA, Google Authenticator, Okta Verify) • Authentification biométrique • Caméra • Détecteur d’empreinte • Authentification avec un accès limité dans le temps via un lien unique (reçu par mail, …)
27 octobre 2022 - PARIS Identity Days 2022 IT CAN HAPPENS… OR NOT. Oui, si… Vous utilisez un OS récent (Windows 10+, Windows Server 2016+) Vous disposez d’un capteur biométrique (empreinte, visage, …) Vous avez un bon budget pour ajouter une solution tier Non, si… Vous utilisez des OS obsolètes Vous cherchez une solution « gratuite » ou native Vous disposez d’application qui impose la saisie d’un mot de passe Méthode Disponible nativement OTP – Tokens OTP – SMS OTP – Mail Solutions tierces (Inwebo, RSA Secure ID, Okta MFA, Multi OTP, …) Clé de Sécurité Solutions tierces (Yubikey, Google Titan, Inwebo …) Cartes à Puce (SCL) Oui Lien unique – Mail Non Notification Push Solution tier Biométrie Oui
27 octobre 2022 - PARIS Identity Days 2022 SOLUTION DE PASSWORDLESS ON-PREMISE Windows Hello For Business TOKEN SMARTCARD PIN CODE BIOMÉTRIE User Station Non-User Station SMARTCARD BIOMÉTRIE PIN CODE PASSWORD FALLBACK PASSWORD FALLBACK TOKEN PASSWORD FALLBACK
27 octobre 2022 - PARIS Identity Days 2022 Démonstrations Démo 1 : Windows Hello for Business avec code PIN Démo 2 : Windows Hello avec reconnaissance faciale
27 octobre 2022 - PARIS L’authentification sur Azure AD
27 octobre 2022 - PARIS Identity Days 2022 Authentification par login / mot de passe Authentification Legacy vs Modern Login mot de passe + Azure MFA sans règle d’accès conditionnelle (MFA activité sur le compte Azure AD) Login mot de passe + Azure MFA via règle d’accès conditionnelle Authentification avec clé de sécurité Yubikey (FIDO 2)
27 octobre 2022 - PARIS Identity Days 2022 MFA sans règle d’accès conditionnelle
27 octobre 2022 - PARIS Identity Days 2022 Démonstration MFA sans accès conditionnelle (notification Microsoft Authenticator)
27 octobre 2022 - PARIS Identity Days 2022 MFA avec les règles d’accès conditionnelles
27 octobre 2022 - PARIS Identity Days 2022 Démonstration MFA avec accès conditionnelle (Microsoft Authenticator) Pas de MFA si accès à SharePoint / Exchange Online MFA si accès au portail d’administration
27 octobre 2022 - PARIS Identity Days 2022 Authentification avec clé de sécurité (FIDO 2)
27 octobre 2022 - PARIS Identity Days 2022 Démonstration Authentification par clé de sécurité (Yubikey)
27 octobre 2022 - PARIS Passwordless en environnement hybride AD / AAD
27 octobre 2022 - PARIS Identity Days 2022 Jusqu’à présent...  Configuration de PKI complexe :  Déploiement de certificat pour les DCs  Déploiement de certificats pour les utilisateurs  Déploiement d’une CRL accessible sur le Web  Temps de synchronisation AADC :  Synchronisation des clés publiques entre AD et AAD
27 octobre 2022 - PARIS Identity Days 2022 Et depuis octobre 2022…  Utilisation de WhfB  DC en 2016 minimum  Supprime le besoin d’un KeyTrust entre AD et AAD  Ne requiert plus la distribution de certificat pour les utilisateurs finaux  Ne requiert plus ADCS Nouvelle méthode recommandée par Microsoft
27 octobre 2022 - PARIS Identity Days 2022 Implémentation Prérequis • MFA activé sur AAD • Windows 10 21H2 + • KB5010415 installé (Win10) • KB5010414 installé (Win11) • Windows Server 2016 + • KB3534307 installé (WinSrv16) • KB4534321 installé (WinSrv19) • Module PowerShell AzureAD Kerberos • Device Management activé (par GPO ou par MDM) Scénario non-supporté Déploiement en mode AD uniquement Scénarios RDP/VDI utilisant les informations d'identification fournies Scénarios nécessitant un certificat pour l'authentification Utilisation de Kerberos Trust avec la fonction "Exécuter en tant que" Connexion avec Kerberos Trust Cloud sur un appareil joint Azure AD hybride sans connexion préalable avec un DC
27 octobre 2022 - PARIS Authentification Hybride : les risques
27 octobre 2022 - PARIS Identity Days 2022 Démonstration Démonstration : Récupération du mot de passe des comptes de services d’Azure AD Connect avec AADINternals (ou script PowerShell) + attaques DCSYNC Remédiation : Azure AD Connect est une machine Tier 0 (aussi critique qu’un DC)
27 octobre 2022 - PARIS Le Passwordless : vraiment infaillible ?
27 octobre 2022 - PARIS Identity Days 2022 Démonstration finale Récupération des logins / mot de passe + code unique via phishing / Man in the middle avec EVILGINX
27 octobre 2022 - PARIS Identity Days 2022 Nos recommandations • Implémenter les modèles de sécurité (standards de sécurité) de la communauté Harden : • AD • AD CS • Microsoft 365 • RDS • Veeam Backup & Replication • Sensibiliser les utilisateurs • Activer un modèle Zéro Trust (pare-feu NextGen, EDR, XDR, Web filter …)
27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Recommandé

Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 

Recommandé

Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...
Identity Days 2022 - Authentification multi-facteurs et gestion du risque ave...Identity Days
 
L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! L’authentification sans mot de passe, la meilleure façon de se protéger !
L’authentification sans mot de passe, la meilleure façon de se protéger ! Identity Days
 
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...
Identity Days 2020 - Gestion des identités au sein du Modern Workplace Cas d...Identity Days
 
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...
Réussir son projet de sécurisation des Identités en 5 commandements (parce qu...Identity Days
 
Nouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryNouvelle approche pour étendre le zéro trust à Active Directory
Nouvelle approche pour étendre le zéro trust à Active DirectoryIdentity Days
 
Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Provisionnement et gestion d’identité : Où en est-on ?
Provisionnement et gestion d’identité : Où en est-on ?Identity Days
 
[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a Service[Identity Days 2021] W'IDaaS - Identity as a Service
[Identity Days 2021] W'IDaaS - Identity as a ServiceWorteks
 
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...
Nouvelles expériences d'authentification avec Windows 8.1 pour vos applicatio...Microsoft
 
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)Alice and Bob
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Identity Days
 
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...Microsoft
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSylvain Maret
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
 
Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 

Contenu connexe

Similaire à Mise en oeuvre du passwordless AD dans un environnement Hybride

La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)Alice and Bob
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Identity Days
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Benoit Mortier
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Microsoft Décideurs IT
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Identity Days
 
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...Microsoft
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Microsoft Technet France
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiqueIdentity Days
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleSylvain Maret
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardSylvain Maret
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSylvain Maret
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO Technology
 
PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretOCTO Technology
 

Similaire à Mise en oeuvre du passwordless AD dans un environnement Hybride (20)

La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
La fin du mot de passe pour accèder au cloud exemple de wikimedia (wikipedia)
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory Identity Days 2020 - Protection des identités dans azure active directory
Identity Days 2020 - Protection des identités dans azure active directory
 
Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?Gestion des identités : par où commencer ?
Gestion des identités : par où commencer ?
 
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGSSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NG
 
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
Batir des Workflow Complexe De Gestion Des-Identités en 2022 évolution retour...
 
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
Batir des wokflow complexe de gestion des identités en 2022 : Évolution et re...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
Pensez Zéro Trust pour sécuriser votre infrastructure cloud hybride dans Azure !
 
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
BYOD demo Extravaganza : un exemple de mise en œuvre de bout-en-bout avec les...
 
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero TrustIdentity Days 2020 - L’identité au coeur du modèle Zero Trust
Identity Days 2020 - L’identité au coeur du modèle Zero Trust
 
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
Retour d’expérience sur la prise en charge des cartes à puce dans Windows 7
 
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
Identity Days 2020 - Authentification : Pourquoi dois-je me débarrasser des m...
 
Passwordless – de la théorie à la pratique
Passwordless – de la théorie à la pratiquePasswordless – de la théorie à la pratique
Passwordless – de la théorie à la pratique
 
Retour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelleRetour d'expérience sur le déploiement de biométrie à grande échelle
Retour d'expérience sur le déploiement de biométrie à grande échelle
 
Protection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On CardProtection Des Données avec la Biométrie Match On Card
Protection Des Données avec la Biométrie Match On Card
 
Smart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on CardSmart Card Logon / Biométrie / PKINIT / Match on Card
Smart Card Logon / Biométrie / PKINIT / Match on Card
 
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
OCTO - DroidCon - PKI Android : Installer, gérer, sécuriser et utiliser un se...
 
PKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secretPKI Android : Installer, gérer, sécuriser et utiliser un secret
PKI Android : Installer, gérer, sécuriser et utiliser un secret
 

Plus de Identity Days

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisIdentity Days
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Identity Days
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneIdentity Days
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Identity Days
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGIdentity Days
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Identity Days
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPIdentity Days
 
IdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentity Days
 

Plus de Identity Days (20)

Live Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromisLive Action : assistez à la récupération d’un AD compromis
Live Action : assistez à la récupération d’un AD compromis
 
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
Directive européenne NIS2 : Etes-vous concerné ? Comment s’y préparer ?
 
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...
 
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...
 
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...
 
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...
 
Gérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant IntuneGérer les privilèges locaux en utilisant Intune
Gérer les privilèges locaux en utilisant Intune
 
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...
 
Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...Les angles morts de la protection des identités : Les comptes de services et ...
Les angles morts de la protection des identités : Les comptes de services et ...
 
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Construire un moteur de workflow modulaire et convivial dans une gestion des ...
Construire un moteur de workflow modulaire et convivial dans une gestion des ...
 
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADDémos d’attaques par rebond en environnement hybride Active Directory-Azure AD
Démos d’attaques par rebond en environnement hybride Active Directory-Azure AD
 
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...
 
Gestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptxGestion de la dette technique – Le tier legacy-2023.pptx
Gestion de la dette technique – Le tier legacy-2023.pptx
 
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...
 
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
Appliquez le modèle Zero Trust pour le Hardening de votre Azure AD !
 
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NGModes de raccordement SSO et utilisations avancées de LemonLDAP::NG
Modes de raccordement SSO et utilisations avancées de LemonLDAP::NG
 
Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...Récupération d’un Active Directory: comment repartir en confiance après une c...
Récupération d’un Active Directory: comment repartir en confiance après une c...
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAPLa politique de mots de passe : de la théorie à la pratique avec OpenLDAP
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
 
IdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identitéIdentityDays2022 - Se préparer au futur de l’identité
IdentityDays2022 - Se préparer au futur de l’identité
 

Mise en oeuvre du passwordless AD dans un environnement Hybride

  • 1. 27 octobre 2022 - PARIS @IdentityDays #identitydays2022
  • 2. 27 octobre 2022 - PARIS Mise en œuvre du passwordless dans un environnement hybride AD / Azure AD Loïc VEIRMAN Guillaume MATHIEU Identity Days 2022
  • 3. 27 octobre 2022 - PARIS AGENDA DE LA CONFÉRENCE Loïc VEIRMAN Guillaume MATHIEU • Présentation de la communauté Harden • AD : mécanisme d’authentification • AD : authentification par certificat • AD : peut-on faire du passwordless ? • Azure AD : mécanismes d’authentification • Azure AD : 2FA et MFA • Passwordless en environnement hybride • Authentification Hybride : les risques • Recommandation sur l’hybridation et le passwordless
  • 4. 27 octobre 2022 - PARIS La communauté Harden Identity Days 2022 27 octobre 2022 - PARIS
  • 5. 27 octobre 2022 - PARIS L’authentification sur Active Directory Identity Days 2022 27 octobre 2022 - PARIS
  • 6. 27 octobre 2022 - PARIS Identity Days 2022 LES MÉCANISMES SUPPORTÉS NTLM KERBEROS Cryptographie Symétrique Symétrique et/ou asymétrique Tiers de confiance Contrôleur de domaine Contrôleur de domaine avec KDC Contrôleur de domaine CA d’entreprise Clients pris en charge Windows 9x Windows Millenium Windows NT4 Windows 2000 et ultérieur Windows 2000 et ultérieur Caractéristiques Authentification lente (pass thru) Pas d’authentification mutuel Pas de délégation Protocole propriétaire Microsoft Lamer Data Protection Tickets Authentification mutuelle Délégationmais Standard ouvert Protection des données cryptographiques Deux mécanismes entrent en jeux lors d’une authentification sur Active Directory. Kerberos est le protocole par défaut depuis Windows 2000. Les deux protocoles nécessitent l’utilisation du mot de passe de l’utilisateur pour valider les échanges :  Kerberos crypte le premier échange avec un hash spécifique à l’utilisateur depuis le KDC (username+password)  NTLM utilise le mot de passe pour créer un challenge entre le client et le serveur. Le challenge pourra être déchiffré par le contrôleur de domaine qui utilisera le hash du mot de passe stocké en base. Identity Days 2022 27 octobre 2022 - PARIS Note à l’attention des bretons : non, Ker Beros n’est pas de chez vous !
  • 7. 27 octobre 2022 - PARIS Identity Days 2022 RISQUE LIÉ À L’UTILISATION DU MOT DE PASSE L’aspect technologique • Le mot de passe est l’unique contrôle de sécurité pour valider un accès • Le choix du mot de passe n’est pas « contrôler » par défaut • Un mot de passe ne vérifie pas qui l’utilise (uniquement que la personne connait le secret) • Stockage du mot de passe en mémoire (empreinte / hash pour SSO) L’aspect humain • Réutilisation de mot de passe par l’utilisateur, souvent entre plusieurs applications • Carrousel de mot de passe, car à court d’idée (« on verra bien plus tard ») • Post-it, clavier et cahier sont de la partie…
  • 8. 27 octobre 2022 - PARIS Identity Days 2022 SURFACE D’ATTAQUE Interception • Le MdP est capturé au travers des échanges réseaux Brute Force • Le MdP est deviné au travers de millions de combinaison testées Searching • Le mot de passe est trouvé dans un fichier ou une base accessible Stealing Passwords • Le mot de passe a été volé, que ce soit un format papier ou un hack numérique Manual Guessing • Utilisation de son nom, de date connue ou d’un produit de l’entreprise, … Shoulder Surfing • Mot de passe obtenu en regardant quelqu’un le saisir Social Engineering • Les réseaux sociaux sont utilisés pour abuser de la confiance de l’utilisateur et récupérer le mot de passe Key Logging • Un élément installé sur le système permet de capturer le mot de passe lors de sa capture
  • 9. 27 octobre 2022 - PARIS AD : authentification par certificat (smartcard logon)
  • 10. 27 octobre 2022 - PARIS Identity Days 2022 COMMENT CELA FONCTIONNE 01 02 03 04 05 06 07 08 09 11 10 • Le certificat remplace le mot de passe. • Le code PIN protège l’accès au certificat • Le code PIN requiert une présence physique devant la machine • Le certificat est une identité que l’on peut partager Découvre du lecteur de carteà puce 01 Affiche les certificats sur l écran (LogonUI) 02 Saisidu code PIN par l utilisateur 03 Windows utilisele code PIN pour déverrouiller la carte 04 Un lien sécurisé est établit entre le client et le DC avec le certificat d authentification du DC 05 Le certificat d authentification de l utilisateur est transmis au DC 06 Le DC retrouve le compte utilisateur dans la base de compte (MAPPING) 07 Le certificat est vérifiépar leservice CAPI (chemin et validité pour toutela chaine) 08 Le DC vérifie que la source d émission est validepour l authentification par smartcard (NTAuth) 09 Le DC envoieau client les permissions de l utilisateur et un jeton d autorisation d ouverture de session 10 Le client enregistre dans son cacheletoken de l utilisateur pour unefuture connexion hors-réseau 11
  • 11. 27 octobre 2022 - PARIS Identity Days 2022 RÉDUCTION DE LA SURFACE D’ATTAQUE Interception • Le MdP est capturé au travers des échanges réseaux Brute Force • Le MdP est deviné au travers de millions de combinaison testées Searching • Le mot de passe est trouvé dans un fichier ou une base accessible Stealing Passwords • Le mot de passe a été volé, que ce soit un format papier ou un hack numérique Manual Guessing • Utilisation de son nom, de date connue ou d’un produit de l’entreprise, … Shoulder Surfing • Mot de passe obtenu en regardant quelqu’un le saisir Social Engineering • Les réseaux sociaux sont utilisés pour abuser de la confiance de l’utilisateur et récupérer le mot de passe Key Logging • Un élément installé sur le système permet de capturer le mot de passe lors de sa capture
  • 12. 27 octobre 2022 - PARIS Identity Days 2022 AVANTAGE ET INCONVÉNIENT FORCE • Code PIN : facile à retenir • nombre d’essai du PIN limité • Possibilité de forcer l’utilisation du certificat (par machine ou par utilisateur) • Possibilité de partager une identité avec plusieurs personne sans risque (no more shared account/password) FAIBLESSE • Nécessite une PKI et les compétences associées • Utilisateurs nomades : que faire en cas de panne ? • Investissement en cartes à puces nécessaire
  • 13. 27 octobre 2022 - PARIS AD : peut-on faire du passwordless ?
  • 14. 27 octobre 2022 - PARIS Identity Days 2022
  • 15. 27 octobre 2022 - PARIS Identity Days 2022 DÉFINIR LE PASSWORDLESS Objectif : remplacer le mot de passe par d’autres facteurs d’identification considérés comme intrinsèquement plus sécurisé. • Système OTP (authenticator) • Email et code unique (OTP, …) • Téléphone : • Appel téléphonique • SMS • Notification application (Azure MFA, Google Authenticator, Okta Verify) • Authentification biométrique • Caméra • Détecteur d’empreinte • Authentification avec un accès limité dans le temps via un lien unique (reçu par mail, …)
  • 16. 27 octobre 2022 - PARIS Identity Days 2022 IT CAN HAPPENS… OR NOT. Oui, si… Vous utilisez un OS récent (Windows 10+, Windows Server 2016+) Vous disposez d’un capteur biométrique (empreinte, visage, …) Vous avez un bon budget pour ajouter une solution tier Non, si… Vous utilisez des OS obsolètes Vous cherchez une solution « gratuite » ou native Vous disposez d’application qui impose la saisie d’un mot de passe Méthode Disponible nativement OTP – Tokens OTP – SMS OTP – Mail Solutions tierces (Inwebo, RSA Secure ID, Okta MFA, Multi OTP, …) Clé de Sécurité Solutions tierces (Yubikey, Google Titan, Inwebo …) Cartes à Puce (SCL) Oui Lien unique – Mail Non Notification Push Solution tier Biométrie Oui
  • 17. 27 octobre 2022 - PARIS Identity Days 2022 SOLUTION DE PASSWORDLESS ON-PREMISE Windows Hello For Business TOKEN SMARTCARD PIN CODE BIOMÉTRIE User Station Non-User Station SMARTCARD BIOMÉTRIE PIN CODE PASSWORD FALLBACK PASSWORD FALLBACK TOKEN PASSWORD FALLBACK
  • 18. 27 octobre 2022 - PARIS Identity Days 2022 Démonstrations Démo 1 : Windows Hello for Business avec code PIN Démo 2 : Windows Hello avec reconnaissance faciale
  • 19. 27 octobre 2022 - PARIS L’authentification sur Azure AD
  • 20. 27 octobre 2022 - PARIS Identity Days 2022 Authentification par login / mot de passe Authentification Legacy vs Modern Login mot de passe + Azure MFA sans règle d’accès conditionnelle (MFA activité sur le compte Azure AD) Login mot de passe + Azure MFA via règle d’accès conditionnelle Authentification avec clé de sécurité Yubikey (FIDO 2)
  • 21. 27 octobre 2022 - PARIS Identity Days 2022 MFA sans règle d’accès conditionnelle
  • 22. 27 octobre 2022 - PARIS Identity Days 2022 Démonstration MFA sans accès conditionnelle (notification Microsoft Authenticator)
  • 23. 27 octobre 2022 - PARIS Identity Days 2022 MFA avec les règles d’accès conditionnelles
  • 24. 27 octobre 2022 - PARIS Identity Days 2022 Démonstration MFA avec accès conditionnelle (Microsoft Authenticator) Pas de MFA si accès à SharePoint / Exchange Online MFA si accès au portail d’administration
  • 25. 27 octobre 2022 - PARIS Identity Days 2022 Authentification avec clé de sécurité (FIDO 2)
  • 26. 27 octobre 2022 - PARIS Identity Days 2022 Démonstration Authentification par clé de sécurité (Yubikey)
  • 27. 27 octobre 2022 - PARIS Passwordless en environnement hybride AD / AAD
  • 28. 27 octobre 2022 - PARIS Identity Days 2022 Jusqu’à présent...  Configuration de PKI complexe :  Déploiement de certificat pour les DCs  Déploiement de certificats pour les utilisateurs  Déploiement d’une CRL accessible sur le Web  Temps de synchronisation AADC :  Synchronisation des clés publiques entre AD et AAD
  • 29. 27 octobre 2022 - PARIS Identity Days 2022 Et depuis octobre 2022…  Utilisation de WhfB  DC en 2016 minimum  Supprime le besoin d’un KeyTrust entre AD et AAD  Ne requiert plus la distribution de certificat pour les utilisateurs finaux  Ne requiert plus ADCS Nouvelle méthode recommandée par Microsoft
  • 30. 27 octobre 2022 - PARIS Identity Days 2022 Implémentation Prérequis • MFA activé sur AAD • Windows 10 21H2 + • KB5010415 installé (Win10) • KB5010414 installé (Win11) • Windows Server 2016 + • KB3534307 installé (WinSrv16) • KB4534321 installé (WinSrv19) • Module PowerShell AzureAD Kerberos • Device Management activé (par GPO ou par MDM) Scénario non-supporté Déploiement en mode AD uniquement Scénarios RDP/VDI utilisant les informations d'identification fournies Scénarios nécessitant un certificat pour l'authentification Utilisation de Kerberos Trust avec la fonction "Exécuter en tant que" Connexion avec Kerberos Trust Cloud sur un appareil joint Azure AD hybride sans connexion préalable avec un DC
  • 31. 27 octobre 2022 - PARIS Authentification Hybride : les risques
  • 32. 27 octobre 2022 - PARIS Identity Days 2022 Démonstration Démonstration : Récupération du mot de passe des comptes de services d’Azure AD Connect avec AADINternals (ou script PowerShell) + attaques DCSYNC Remédiation : Azure AD Connect est une machine Tier 0 (aussi critique qu’un DC)
  • 33. 27 octobre 2022 - PARIS Le Passwordless : vraiment infaillible ?
  • 34. 27 octobre 2022 - PARIS Identity Days 2022 Démonstration finale Récupération des logins / mot de passe + code unique via phishing / Man in the middle avec EVILGINX
  • 35. 27 octobre 2022 - PARIS Identity Days 2022 Nos recommandations • Implémenter les modèles de sécurité (standards de sécurité) de la communauté Harden : • AD • AD CS • Microsoft 365 • RDS • Veeam Backup & Replication • Sensibiliser les utilisateurs • Activer un modèle Zéro Trust (pare-feu NextGen, EDR, XDR, Web filter …)
  • 36. 27 octobre 2022 - PARIS @IdentityDays #identitydays2022

Notes de l'éditeur

  1. Le mot de passe est donc indispensable pour établir une authentification sur un domaine Active Directory.
  2. Préciser qu’il existe des moyens pour minimiser le risque dans l’utilisation d’un mot de passe (logiciel, azure password protection). Question : comment s’affranchir du mot de passe ou le renforcer avec un second facteur d’authentification ?
  3. https://playbooks.idmanagement.gov/piv/network/troubleshooting/
  4. L’utilisation de certificat réduit drastiquement le risque de vol d’identification. Toutefois, il ne l’annule pas complètement et reste donc exposé aux dump du hash et au rejeu de jeton lorsqu’une machine est compromise.
  5. SCL : Smart Card Logon
  6. Dans tous les cas de figure, vous ne pourrez pas avoir un AD 100% Passwordless : il existera toujours un cas de figure ou le mot de passe sera nécessaire ! Les solutions tier : RSA SecurID, Okta MFA, … La carte à puce est considérée comme passwordless dès lors qu’elle implique un support physique unique (clé de sécurité ou média).
  7. Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
  8. Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
  9. Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
  10. Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
  11. https://techcommunity.microsoft.com/t5/windows-it-pro-blog/windows-hello-for-business-hybrid-cloud-kerberos-trust-is-now/ba-p/3651049
  12. https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-hybrid-cloud-kerberos-trust?tabs=intune