Présentation des principales menaces de sécurité sur un tenant O365 et les techniques pour se protéger avec ou sans EMS.
Slidedeck utilisé pour l'aOS Noumea le 28/02/2020 par Sébastien Paulet.
5. aOS Noumea
28 Février 2020
Enterprise Mobility + Security
@SP_twit #aOSNoumea
•Azure Active Directory Premium
•Azure MFA
•Azure Advanced Protection
•Microsoft Cloud App Security
•Azure Information Protection Premium
•Azure Right Management Premium
•Intune
6. aOS Noumea
28 Février 2020
Au programme aujourd’hui
@SP_twit #aOSNoumea
• Arnaque au président / Phishing
• Attaque par brute force
• Contournement du MFA
• Fuite de données des utilisateurs
• Fuite de données des admins
• Vol / perte de terminal
• Cryptolocker
8. aOS Noumea
28 Février 2020
Arnaque au président
@SP_Twit #aOSNoumea
• Aka FOVI (Faux Ordres de Virements)
• En baisse pour les grandes entreprises, en augmentation pour les
TPE/PME
• Pour se protéger :
• Sensibilisation
• Ne pas laisser trainer d’information sur Internet
• Prévenir l’email spoofing (SPF, DMARC, DKIM) -> voir session Vincent Choy
9. aOS Noumea
28 Février 2020
Exchange Online Protection (EOP)
• Fonctionnalité inclue dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
• Filtre
• Antivirus
• Policies check
• Anti Spam
• [EMS]Si ATP, ATP
• Delivery
@SP_twit #aOSNoumea
10. aOS Noumea
28 Février 2020
[EMS]Office 365 ATP
@SP_twit #aOSNoumea
• Safe Links
• Protection antiphishing des boîtes à risque
• Analyse des PJ
12. aOS Noumea
28 Février 2020
Attaquer un mot de passe
• Password spray
• Brute force
• Achat de base utilisateurs (62% des utilisateurs réutilisent)
• Phishing
• Keylog
• Mdp écrits
• Extorsion
@SP_twit #aOSNoumea
13. aOS Noumea
28 Février 2020
Simuler une attaque Spray/Brute Force
(O365 E5)
Top 10 des mots de passe:
• 123456
• password
• 000000
• 1qaz2wsx
• a123456
• abc123
• abcd1234
• 1234qwer
• qwe123
• 123qwe
@SP_twit #aOSNoumea
14. aOS Noumea
28 Février 2020
AD Smart Lock / IP Smart Lock
• Si AD : Fonctionne uniquement si les Hash sont synchronisés dans le Cloud
• Par défaut: verrouillage de 60 secondes après 10 tentatives KO
• Activation par https://aad.portal.azure.com/ > Sécurité
@SP_twit #aOSNoumea
15. aOS Noumea
28 Février 2020
Preview : l’utilisateur vérifie lui-même ses données de
connexion
@SP_twit #aOSNoumea
Via le portail : https://mysignins.microsoft.com ou https://myprofile.microsoft.com/
16. aOS Noumea
28 Février 2020
MFA « simple »
• Inclus avec Office 365
• Configurer le cache de
session / méthode
d’authentification.
• [EMS]Conditional
Access
• Garder un compte
admin sans MFA (Glass
breaker) avec mot de
passe aléatoire de 20
caractères minimum.
@SP_twit #aOSNoumea
17. aOS Noumea
28 Février 2020
Désactivation des protocoles « Legacy »
@SP_twit #aOSNoumea
Microsoft désactivera les
protocoles d’authentification
basiques (sauf SMTP) dés
Octobre 2020
Protocol / service Paramètre (pour les Policies)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell
18. aOS Noumea
28 Février 2020
Désactivation du transfert automatique de
mails
• Dans Exchange Online Powershell Module
@SP_twit #aOSNoumea
<# Efface les forward existants #>
PS > $AllForwards = Get-Mailbox -ResultSize Unlimited -Filter
{(RecipientTypeDetails -ne "DiscoveryMailbox") -and
((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne
$null))} | Select Identity
PS > $AllForwards | % {Set-Mailbox -Identity $_.Identity -
ForwardingSmtpAddress $null -ForwardingAddress $null}
<# Desactive la possibilité de créer des forwards #>
PS > Set-RemoteDomain Default -AutoForwardEnabled $false
23. aOS Noumea
28 Février 2020
PasswordLess avec Authenticator
• Coté utilisateur, aller sur https://aka.ms/mysecurityinfo pour
paramétrer Authenticator (nécessite l’enregistrement du téléphone)
• Ne résoud pas les attaques MitM
@SP_twit #aOSNoumea
26. aOS Noumea
28 Février 2020
La menace intérieure
Source : Haystax Insider threat report 2019
@SP_twit #aOSNoumea
27. aOS Noumea
28 Février 2020
Protection des données / RMS
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signatures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
• Système cassable dés lors qu’on a les droits en View Only https://github.com/RUB-NDS/MS-RMS-
Attacks
@SP_twit #aOSNoumea
28. aOS Noumea
28 Février 2020
Etiquettes de confidentialités
• Office 365 E3 requis
• Disponible in Outlook, SharePoint, OWA and O365 Pro Plus clients
@SP_twit #aOSNoumea
29. aOS Noumea
28 Février 2020
Etiquettes de confidentialités - Effets
• Chiffrement des fichiers
-> Impossible à ouvrir pour les utilisateurs non autorisés
/ non authentifiés
• Restriction des permissions
-> Désactivation du copier-coller, impression, capture
d’écran, transfert de mails , etc.
• Watermarking
-> sur les fichiers Word
• [EMS]Bloquage de la copie sur clef USB / PJ sur services
non O365
-> RequiereWIP (Windows Information Protection) et
Intune
@SP_twit #aOSNoumea
30. aOS Noumea
28 Février 2020
[EMS]Le CASB avec Cloud App Security
• Licence EMS E5 requise
• Permet l’analyse des logs pare feu / proxy pour détecter les
applications SaaS non autorisées.
• Portail : https://portal.cloudappsecurity.com/
@SP_twit #aOSNoumea
33. aOS Noumea
28 Février 2020
POLP – Principe de moindre privilèges appliqué à
l’admin M365
Meilleures sécurité (Snowden n’avait besoin que de faire
des backups)
Minimisation de la surface d’attaques extérieures
Limitation de la propagation des virus
@SP_twit #aOSNoumea
34. aOS Noumea
28 Février 2020
Recommandations générales
@SP_twit #aOSNoumea
• Comptes administration nominatifs.
• De 2 à 4 comptes d’admin généraux MAX
• Compte(s) brise-glace (20+ chars mdp, renouvellement de MDP après
usage et sur base périodique).
• Machines dédiées pour utiliser les comptes admin
• MFA/Passwordless obligatoire
• Délégation de droits selon le principe du moindre privilège.
38. aOS Noumea
28 Février 2020
Recommandations générales
@SP_twit #aOSNoumea
• Chiffrage (Bitlocker) des disques durs
(possibilité de devenir admin local sinon)
• Mise en place de solutions de MDM / MAM
39. aOS Noumea
28 Février 2020
MDM / MAM
• System Center Configuration Manager
(SCCM)
• « vieux »
• Pour Windows
• Part de la suite System Center
• Intégrable dans Intune
• MDM pour O365
• Inclue dans souscriptions O365
• Compatible iOS, Andoid, Windows
• Security policies (password requirement)
• Remote wipe
@SP_twit #aOSNoumea
•[EMS]Microsoft Intune
• MDM complet
• Inclue dans EMS ou à part
• Fait MDM pour O365
• + Mac OS
• + Déploiement d’Apps
• + In App policies (retrict copie
/coller)
40. aOS Noumea
28 Février 2020
[EMS]Suppression de terminal à distance
depuis EndPoint Manager
• https://devicemanagement.microsoft.com/
45. aOS Noumea
28 Février 2020
[EMS]Bloquer les machines non sûres avec
Intune
• Créer une stratégie Intune
https://devicemanagement.microsoft.com/
• Sécurité du point de terminaison > Conformité de l’appareil >
Stratégie > Créer une stratégie
@SP_twit #aOSNoumea
47. aOS Noumea
28 Février 2020
Sécurité si vous démarrez de zero un tenant
@SP_twit #aOSNoumea
• Admin MFA
• Users MFA
• Désactivation des
protocole legacy
• MFA pour actions à
privilège
• C’est le futur des
paramètres par
défaut Microsoft
sous 5 ans