Une conférence proposée par Thierry Deman et Jean-Sébastien Duchêne
Dans cette session, nous verrons les solutions disponibles pour gérer les privilèges des utilisateurs sur les machines. Au travers de démonstrations, nous passerons en revue tous les mécanismes tels que la gestion locale des utilisateurs et des groupes, Windows LAPS, Endpoint Privilege Management, etc.
Votre sécurité dépend de vos machines et des privilèges associés !
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
Présentation générale de MIM 2016
– Les licences MIM 2016
– Présentation de MIM 2016 Synchronization Services (inclus dans une licence Windows Server)
Vue d’ensemble du moteur de synchronisation.
– Les astuces pour démarrer avec MIM 2016 Synchronization Services
– Développer avec MIM 2016 Synchronization Services
Démo de 5 cas d’usage :
– Création, modification, suppression de l’objet identités (Metaverse rule) à partir d’un référentiel RH.
– Génération d’attributs à l’aide règles de transformations avancées (via les rules extensions)
– Réconciliation de plusieurs sources de données RH / paie.
– La mobilité inter-base RH.
– Le provisionning des autres systèmes cibles (Exchange, base de données…).
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...David RIBEROT
Découvre toutes les possibilités de la gestion moderne de vos postes de travail grâce aux outils à votre disposition dans Microsoft 365.
Du provisionnement des postes avec Autopilot, leur gestion avec Microsoft EndPoint Management et la sécurisation de l'accès à votre système d'information avec Azure AD Premium
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
Une conférence proposée par Benoit Mortier
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Gestion de la dette technique – Le tier legacy-2023.pptxIdentity Days
Une conférence proposée par Loïc Veirman, Guillaume Mathieu et Jean-François Fernandez.
Au programme :
Gestion de la dette technique dans un modèle à plusieurs Tiers Active Directory
– Contextualisation : qu’est-ce que la dette technique ? Pourquoi la gestion est inévitable ?
– Deepdive : présentation des tiers legacy, isolement des DC dédiés (mnémonique, etc)
– Analyse de risque : ca ne règle pas tout !
Quand la dette technique touche le Cloud : obsolescence à grande vitesse
– Dépréciation des méthodes d’authentification héritées : Legacy MFA, Legacy SSPR
– Dépréciation des modules PowerShell AzureAD et MsOnline : présentation du module MGGraph et des outils de conversion de scripts.
– Dépréciation des API : au revoir Azure AD Graph
– Il est venu le temps de nettoyer vos applications Azure AD et supprimer les permissions API à risque
Azure AD pod Identity et son remplaçant les Azure AD Workload Identity
MIM Synchronization Services 2016 -> une solution économique pour créer, modi...Identity Days
Présentation générale de MIM 2016
– Les licences MIM 2016
– Présentation de MIM 2016 Synchronization Services (inclus dans une licence Windows Server)
Vue d’ensemble du moteur de synchronisation.
– Les astuces pour démarrer avec MIM 2016 Synchronization Services
– Développer avec MIM 2016 Synchronization Services
Démo de 5 cas d’usage :
– Création, modification, suppression de l’objet identités (Metaverse rule) à partir d’un référentiel RH.
– Génération d’attributs à l’aide règles de transformations avancées (via les rules extensions)
– Réconciliation de plusieurs sources de données RH / paie.
– La mobilité inter-base RH.
– Le provisionning des autres systèmes cibles (Exchange, base de données…).
Maxime Rastello - La gestion des identités avec Azure - Global Azure Bootcamp...AZUG FR
La gestion des identités est primordiale dans tout projet cloud Microsoft. Tour d’horizon d’Azure Active Directory, comment gérer la synchronisation des identités avec votre annuaire local avec Azure Active Directory Connect. Les problématiques de fédération d’identité seront également abordées.
M365 Virtual Marathon - Une gestion de bout en bout de vos postes Windows 10 ...David RIBEROT
Découvre toutes les possibilités de la gestion moderne de vos postes de travail grâce aux outils à votre disposition dans Microsoft 365.
Du provisionnement des postes avec Autopilot, leur gestion avec Microsoft EndPoint Management et la sécurisation de l'accès à votre système d'information avec Azure AD Premium
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
Construire un moteur de workflow modulaire et convivial dans une gestion des ...Identity Days
Une conférence proposée par Benoit Mortier
Les moteurs de workflow sont une partie importante de l’inscription, de l’accréditation, de l’habilitation et de la sécurité. Le problème courant est qu’il sont limités en fonctionnalités, trop complexes ou prévus pour certains usages seulement.
Un autre aspect est que cela doit rester utilisable par tout type d’utilisateur et donc être convivialNos recherches nous on donc amenés à implémenter un gestionnaire de workflow générique dans FusionDirectory. Ainsi, les utilisateurs peuvent créer leurs workflows et suivre leur exécution dans FusionDirectory de manière conviviale
Cette conférence montrera l’état de nos recherches actuelles et un cas d’usage concret du premier déploiement de cette solution
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
Présentation des nouveautés de Windows Server 2016 au MSCloudSummit à Paris. Session présentée par Romain SERRE (@RomSerre), Jean-François BERENGUER (@jfberenguer_pro) & Mickael LOPES (@lopesmick)
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
Cette session a pour but de vous présenter un certain nombre d’actions d’administration réalisables sur votre AD afin d’améliorer son fonctionnement et d’étendre son usage.
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Microsoft Technet France
L'environnement du poste de travail continue d'évoluer, et la tendance des 4A : AnyWhere, AnyOne, AnyTime et AnyDevice se confirme. La prise en compte par l'entreprise de l'équilibre vie professionnelle-vie personnelle ainsi que l'évolution de l'ère de l'information et le consumérisme, remodèle l'approche du poste de travail. La technologie brise désormais les frontières entre le «Bureau», «l'écosystème professionnel» et le «domicile», et a créé la possibilité de mixer les activités personnelles et professionnelle sans avoir à faire des compromis. Desktop, Laptop, Smartphone, Virtualisation, BYOD,... Sogeti vous présentera comment tous ces éléments permettent désormais de bâtir un nouvel environnement de travail répondant à ces besoins. A cette architecture il convient d’adresser aussi l’aspect application. Vous découvrirez comment les solutions de Backelite permettent de faciliter la conception et le développement d’applications sur ces nouveaux devices, illustré de cas clients
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...Microsoft Technet France
Suivez la piste de l’inventaire SCCM12, de la collecte de l’information à son exploitation dans la console, en passant par WMI, SQL et la réplication dans une architecture avec CAS: o WMI & providers, power, classes, policies, settings /collection, MOF est-il vraiment mort, Linux si on a des bits dispos o DDR, extensions d’inventaire o SQL, tables, vues, rapports, synchro, global/local datas
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics.
L'idée de cette session est de présenter les nouveautés de System Center 2012 Configuration Manager R2 avec notamment la prise en charges des fonctionnalités suivantes : - Déploiement et gestion des clients Windows 8.1 et Windows Server 2012 R2 - Nouveaux types de déploiement d'application (Apps Windows 8.1, Bundle d'application…) - Nouvelles configuration supportées (support SQL, OS, architectures supportées…) - Nouveaux rôles de serveur de site (Certificate Registration Point) - Nouveaux CmdLet pour les tâches d'administration - Améliorations dans la gestion et le déploiement des clients (Resultant Client Settings, Client Assignment) - Nouveautés dans la gestion des périphériques mobiles (Déploiement d'applications en mode requis, gestion des Android, Wipe selectif, personal et company-owned…) - Gestion des clients Max OS, Linux et UNIX servers - Gestion de la configuration de l'environnement utilisateur : Remote Connection Profiles, Certificat, VPN et Wifi Profiles - Nouveautés dans la gestion des applications, des déploiements de système d'exploitation ou de gestion des correctifs de sécurité - Améliorations du reporting Les scénarios / nouvelles fonctionnalités les plus importantes seront illustrées par des démonstrations.
Speakers : Mark Cochrane (Vnext), Aurélien Bonnin (Vnext)
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Contenu connexe
Similaire à Gérer les privilèges locaux en utilisant Intune
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
Présentation des nouveautés de Windows Server 2016 au MSCloudSummit à Paris. Session présentée par Romain SERRE (@RomSerre), Jean-François BERENGUER (@jfberenguer_pro) & Mickael LOPES (@lopesmick)
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Retour d'expérience : rendre votre IT agile grâce au cloud hybrideMicrosoft Décideurs IT
Cette session est destinée à vous présenter des retours d’expériences de solutions cloud pour rendre votre IT plus agile. Cette session animée et interactive vous permettra de découvrir plusieurs solutions que vous pourrez intégrer progressivement.
Optimisation et administration avancée d’Active Directory - Par Thierry DemanIdentity Days
Cette session a pour but de vous présenter un certain nombre d’actions d’administration réalisables sur votre AD afin d’améliorer son fonctionnement et d’étendre son usage.
Quelle approche préventive adopter pour empêcher les mouvements latéraux au s...Identity Days
Une conférence proposée par Anne-Sophie Goeldner & Matthieu Masson
Pour gagner du temps dans l’exécution de leurs attaques, les adversaires utilisent des comptes valides depuis quelques années. Pour s’en emparer, ils exploitent notamment des mécanismes et des failles propres à l’AD. Une fois en possession d’identifiants compromis, leur objectif est toujours le même : réaliser des mouvements latéraux, obtenir plus de privilèges si nécessaire et compromettre un domaine pour en exfiltrer ses données.
Il est utopique de penser qu’on peut empêcher un adversaire avec des identifiants valides de s’introduire au sein d’un environnement. Et bien souvent, il est trop tard lorsqu’on arrive à détecter une attaque basée sur l’identité. Alors quelle approche adopter ? Nous pensons que la seule approche efficace consiste à entraver sa capacité à se déplacer latéralement dans l’environnement cible.
Flexible Workstyle : Comment réussir l'évolution du poste de travail vers les...Microsoft Technet France
L'environnement du poste de travail continue d'évoluer, et la tendance des 4A : AnyWhere, AnyOne, AnyTime et AnyDevice se confirme. La prise en compte par l'entreprise de l'équilibre vie professionnelle-vie personnelle ainsi que l'évolution de l'ère de l'information et le consumérisme, remodèle l'approche du poste de travail. La technologie brise désormais les frontières entre le «Bureau», «l'écosystème professionnel» et le «domicile», et a créé la possibilité de mixer les activités personnelles et professionnelle sans avoir à faire des compromis. Desktop, Laptop, Smartphone, Virtualisation, BYOD,... Sogeti vous présentera comment tous ces éléments permettent désormais de bâtir un nouvel environnement de travail répondant à ces besoins. A cette architecture il convient d’adresser aussi l’aspect application. Vous découvrirez comment les solutions de Backelite permettent de faciliter la conception et le développement d’applications sur ces nouveaux devices, illustré de cas clients
Démos d’attaques par rebond en environnement hybride Active Directory-Azure ADIdentity Days
Une conférence proposée par Clément Notin
Mon Azure AD est-il à risque si mon Active Directory est piraté ? Ou l’inverse ?
De nombreuses organisations ont désormais un environnement d’identité hybride avec leur annuaire Active Directory historique, on-prem, et plus récemment Azure AD, dans le cloud. Les attaquants connaissent et savent exploiter plusieurs failles pour compromettre Active Directory (intrusion initiale, latéralisation, élévation de privilèges, persistance…), idem côté Azure AD.
Mais quid de l’isolation de ces environnements ? Un attaquant peut-il rebondir de l’un vers l’autre ?
Le piratage de SolarWinds en 2020 a confirmé que cela était possible de plusieurs manières.
Dans cette session, nous verrons :
– un éventail des techniques permettant à un attaquant de rebondir vers Azure AD depuis un Active Directory compromis
– mais aussi l’inverse !
– des démonstrations de plusieurs de ces techniques avec des outils de piratage publics
– et bien sûr des recommandations pour s’en prémunir
System Center 2012 | SCCM : L'inventaire de A à Z avec System Center Configur...Microsoft Technet France
Suivez la piste de l’inventaire SCCM12, de la collecte de l’information à son exploitation dans la console, en passant par WMI, SQL et la réplication dans une architecture avec CAS: o WMI & providers, power, classes, policies, settings /collection, MOF est-il vraiment mort, Linux si on a des bits dispos o DDR, extensions d’inventaire o SQL, tables, vues, rapports, synchro, global/local datas
GAB 2017 PARIS - La santé de votre environnement Azure par Manon Pernin et Ma...AZUG FR
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics
La santé de votre environnement Azure, entre Monitor, AppInsights et Log Anal...Marius Zaharia
Après des chemins sinueux, les différents services Azure s’harmonisent enfin leurs stratégies de monitoring. Focus sur Azure Monitor et ses fonctionnalités, ainsi que les modalités d'intégration entre un service, Azure Monitor, et des briques analytiques en aval: Application Insights, ou Log Analytics.
L'idée de cette session est de présenter les nouveautés de System Center 2012 Configuration Manager R2 avec notamment la prise en charges des fonctionnalités suivantes : - Déploiement et gestion des clients Windows 8.1 et Windows Server 2012 R2 - Nouveaux types de déploiement d'application (Apps Windows 8.1, Bundle d'application…) - Nouvelles configuration supportées (support SQL, OS, architectures supportées…) - Nouveaux rôles de serveur de site (Certificate Registration Point) - Nouveaux CmdLet pour les tâches d'administration - Améliorations dans la gestion et le déploiement des clients (Resultant Client Settings, Client Assignment) - Nouveautés dans la gestion des périphériques mobiles (Déploiement d'applications en mode requis, gestion des Android, Wipe selectif, personal et company-owned…) - Gestion des clients Max OS, Linux et UNIX servers - Gestion de la configuration de l'environnement utilisateur : Remote Connection Profiles, Certificat, VPN et Wifi Profiles - Nouveautés dans la gestion des applications, des déploiements de système d'exploitation ou de gestion des correctifs de sécurité - Améliorations du reporting Les scénarios / nouvelles fonctionnalités les plus importantes seront illustrées par des démonstrations.
Speakers : Mark Cochrane (Vnext), Aurélien Bonnin (Vnext)
Live Action : assistez à la récupération d’un AD compromisIdentity Days
Une conférence proposée par Matthieu Trivier & Pierre Normand
La remise en route d’une infrastructure saine n’est que la première étape dans la récupération après compromission d’un Active Directory.
Le traitement de l’identité en elle-même, reste le défi le plus important.
Rejoignez Matthieu et Pierre dans le cadre de cette session Live pour découvrir comment les solutions et les services Semperis peuvent vous aider dans cette situation.
Une conférence proposée par Hervé Thibault & Sylvain Cortès
Votée en novembre 2022, la directive européenne NIS2 entrera en vigueur en France au 2ème semestre 2024, avec pour objectif d’apporter davantage de protection face à des acteurs malveillants toujours plus performants et mieux outillés. Beaucoup d’entreprises (grandes, moyennes, petites) ou d’organismes publics se posent les questions suivantes : A qui s’adresse cette directive ? Quelles sont les obligations qui en résultent ? Comment satisfaire à ces obligations ? Quel impact pour mes clients, mes fournisseurs, mes partenaires ?
Dans cette session, nous décrypterons dans un premier temps le jargon de la directive et parlerons des enjeux, des critères d’application et des moyens d’accompagnement afin de se préparer à l’échéance si proche de 2024.
Dans un deuxième temps, nous vous donnerons des pistes sur les actions à entreprendre pour assurer la conformité avec la directive NIS2 sous un angle identité : Nous parlerons feuille de route, gestion des vulnérabilités, sécurisation des identités internes/externes et on-prem/Cloud.
Passwordless – de la théorie à la pratiqueIdentity Days
Une conférence proposée par Fabrice de Vésian & Renato Antunes
Les mots de passe sont sur le déclin, car synonymes de faille de sécurité et de complexité. Pourtant, les entreprises craignent la conduite du changement et continuent à en souffrir avec le rallongement du nombre de caractères et les changements de mots de passe incessants.
Alors que le passwordless fait de plus en plus de bruit, il est important de le démystifier pour les équipes techniques et les utilisateurs, afin d’assurer l’adoption la plus efficace.
Au travers de quelques démonstrations, découvrez comment vous pouvez dès à présent proposer à vos utilisateurs une expérience passwordless disruptive, quelle que soit votre architecture en place, avec efficacité et simplicité.
L’authentification à l’Ère des grandes ruptures technologiques, un Virage à p...Identity Days
Une conférence proposée par Emilie Bonnefoy & Xavier Domecq
L’accélération de la transformation digitale et l’augmentation et la complexification des attaques ont conduit à des changements de doctrine profond. Le concept de 0 trust s’est désormais imposé.
Sera-t-il suffisant pour faire face aux grandes ruptures technologiques auxquelles nous faisons déjà face ?
Intelligence artificielle, quantique, comment mieux les anticiper dans sa politique de gestion des identités ?
Est-il possible de combiner sécurité physique, cybersécurité et biométrie déc...Identity Days
Une conférence proposée par Hervé-François Le Devehat
Dans un monde hyper-connecté, cible de cyberattaques de plus en plus industrialisées, il est essentiel de trouver des approches holistiques, qui intègrent la sécurité physique et la cybersécurité, tout en préservant la confidentialité des données et la protection de la vie privée, en renforçant l’authentification grâce à la biométrie décentralisée.
Cette conférence explorera les synergies et les opportunités offertes par cette combinaison alliée au MFA, dans le but de renforcer la protection des individus, des organisations et des infrastructures critiques. Des études de cas seront présentées pour illustrer comment la convergence de ces domaines peut améliorer la résilience des systèmes de sécurité, notamment face aux attaques de phishing, d’ingénierie sociale et d’usurpation d’identité.
SSO as a Service ou comment mettre en oeuvre une architecture SSO DevOps avec...Identity Days
Une conférence proposée par Christophe Maudoux
Je commencerai par présenter comment protéger des applications avec LemonLDAP::NG en mode reverse proxy, principal mode de raccordement utilisé pour protéger les applications des FSI.
J’expliquerai ensuite le principe de fonctionnement des handlers LL::NG en général et le handler DevOps en particuliers.
Enfin, je détaillerai comment mettre en œuvre une infrastructure DevOps complète basée sur le serveur Web Nginx et comment le STSISI a déployé le « SSO as a Service » pour offrir de nouvelles fonctionnalités aux équipes de développement.
Comment et pourquoi maîtriser les privilèges d’administrateur local sur Windo...Identity Days
Une conférence proposée par Xuan Ahehehinnou, Nicolas Bonnet & Hakim Taoussi
Sur les ordinateurs et les serveurs, tout compte utilisateur/ système / de service, avec privilège d’administrateur local présente un très haut niveau de risque.
Ces risques de sécurité pouvant ouvrir la porte à des attaques pass-the-hash et autres vols d’informations d’identification, exécution de malware, mouvement latéral, désactivation des mécanismes de défense comme l’antivirus ou l’EDR, impersonation, chiffrement des données, etc.
Dans cette session, nous vous détaillerons donc les bonnes pratiques ainsi que des outils et fonctionnalités Microsoft comme : LAPS, Endpoint Privilege Management, Account protection
Les angles morts de la protection des identités : Les comptes de services et ...Identity Days
Une conférence proposée par Romaric Fayol
Le MFA, l’accès conditionnel et d’autres contrôles sur les identités sont très efficaces pour stopper les attaques. Ils sont largement utilisés dans des applications et infrastructures modernisées.
Cependant jusqu’à peu, ils ne pouvaient pas être facilement appliqués aux vielles applications, comptes de service, outils en ligne de commande, systèmes industriels et autres ressources reposant sur Active Directory. Ces angles morts sont ciblés dans presque toutes les attaques, et selon un nombre croissant de cyber assurances et régulations nécessitent des mesures de protections.
Rejoignez cette session et découvrez comment les solutions d’identités modernes et MFA peuvent être étendus aux assets connectés à l’Active Directory.
Des outils 100% Open Source pour gérer votre annuaire LDAP et votre Active Di...Identity Days
Une conférence proposée par Clément Oudot
Le projet LDAP Tool Box (LTB project) est un ensemble d’outils Open Source simplifiant la gestion de son annuaire (LDAP standard ou AD) et offrant de multiples services aux utilisateurs.
Nous présenterons quelques-uns de ces outils :
* Self Service Password : interface de changement et réinitialisation de son mot de passe
* White Pages : annuaire d’entreprise avec répertoire, carte géographique, export vCard et CSV
* Service Desk : outil pour le support permettant de débloquer des compte et forcer des mots de passe, tableaux de bord
Plusieurs exemples de projets seront mis en avant.
SSO et fédération d’identités avec le logiciel libre LemonLDAP::NGIdentity Days
Une conférence proposée par David Coutadeur
La gestion d’identité est de plus en plus présente aujourd’hui, et les offres de SSO sont multiples.
Au coeur de ce marché, LemonLDAP::NG est une implémentation open-source robuste, complète, et adaptable de WebSSO.
Il répond aux besoins de sociétés privées et d’administrations de toutes tailles.
L’objectif de cette session est d’expliquer les concepts liés au SSO, de présenter le logiciel LemonLDAP::NG, de faire un point sur ses nouveautés, et de présenter un retour d’expérience client concret : architecture, état des lieux, difficultés rencontrées et bilan. Vous saurez tout !
L’iam : au-delà des idées reçues, les clés de la gestion des identités et des...Identity Days
Avec l’évolution des usages et la migration vers le cloud, les systèmes d’information des entreprises sont de plus complexes et ouverts, ce qui augmente la surface d’attaque. Dans ce contexte, la gestion des identités et des accès (IAM) est essentielle pour assurer la sécurité et la conformité. En adoptant une approche Zero Trust, centrée sur les utilisateurs, les actifs et les ressources, l’IAM joue un rôle crucial en maîtrisant les identités et les autorisations pour protéger le système d’information. Dans cette présentation nous allons explorer les idées reçues, les pièges à éviter et les bonnes pratiques pour assurer le succès d’un projet IAM.
La politique de mots de passe : de la théorie à la pratique avec OpenLDAP
Gérer les privilèges locaux en utilisant Intune
1. 24 octobre 2023 - PARIS
5ème édition
@IdentityDays
#identitydays2023
2. Gérer les privilèges locaux
en utilisant Intune
Jean-Sébastien DUCHÊNE
Thierry DEMAN-BARCELO
24 octobre 2023 - PARIS
Identity Days 2023
3. • Concepts
• Gestion de l’appartenance aux groupes locaux
• Gestion des administrateurs locaux
• Gestion de l’élévation de privilèges
• Conclusion
AGENDA DE LA CONFÉRENCE
24 octobre 2023 - PARIS
Identity Days 2023
Thierry DEMAN-BARCELO
Architect @ALT-UP by ARTEMYS
M365 Apps & Services
MVE sur Experts-Exchange
Expertise : Microsoft 365, Teams, etc.
@t_deman
Jean-Sébastien DUCHÊNE
CTO @EXAKIS-NELITE
Enterprise Mobility
Security
Blogguer (www.windowstouch.fr), Ecrire,
Partager, etc.
Expertise : Modern Workplace, Cloud et Sécurité
@microsofttouch
5. Identity Days 2023
24 octobre 2023 - PARIS
Le monde idéal La réalité
Utilisateurs
Standards
(sans privilèges)
J’ai besoin de
telle app ou
configuration
Outils de gestion
Support
Utilisateurs
Standards
J’ai besoin d’installer
mon imprimante ou
de mettre à jour un
composant de mon
app
Support
Outils de gestion
(sans privilèges)
Attends ! Voici le compte admin local
Ou
Laisse-moi me connecter et prendre la
main
Sécurité
Verrouillons !
Les attaques sur les
utilisateurs admin
amène à des incidents à
plus grand impacts
7. Gestion de l’appartenance aux groupes
Identity Days 2023
24 octobre 2023 - PARIS
Une gestion via un Configuration Service Provider (CSP) inclut dans Windows
Des améliorations depuis Windows 10 20H2
Attention ! Vous ne devez pas déployer plus d’une stratégie LocalUserAndGroups au même périphérique
Intégration native dans Microsoft Intune
Les noms de groupe ou les SID non valides seront ignorés. Les parties valides de la
politique s'appliqueront et une erreur sera renvoyée à la fin du traitement.
Si vous spécifiez à la fois R et U dans le même XML, l'action R (Remplace) est
prioritaire sur U (Mise à jour). Par conséquent, si un groupe apparaît deux fois
dans le XML, une fois avec U et une autre fois avec R, c'est l'action R qui l'emporte.
Démo
9. Windows LAPS
Identity Days 2023
24 octobre 2023 - PARIS
Local Administrator Password Solution (LAPS), ancienne solution créée en 2015 par des PFEs puis mis à
disposition par Microsoft pour la gestion des comptes administrateurs locaux.
N’a jamais évoluée avec les nouveaux concepts
Intégration native à Windows avec la mise à jour d’Avril 2023 (toutes éditions)
(uniquement Win 10 20H2, 21H2, 22H2 ; 11 21H2, 22H2 ; Server 2019 et 2022)
Gestion avec Microsoft Intune ou par GPO
Génère des mots de passe aléatoires et sauvegarde dans Active Directory ou
Microsoft Entra ID (Azure AD)
Support de DSRM pour les serveurs Active Directory
(si niveau fonctionnel de domaine 2016 et DC WS 2019+)
Des Cmdlets PowerShell, des journaux d’évènements, pages dans AD Users &
Computers Snap In
Bénéfices : Protection contre les attaques pass the hash ou mouvements latéraux, amélioration des scénarios
d’assistance à distance, récupération d’un périphérique bloqué
Intégration au modèle RBAC lors de la sauvegarde à Microsoft Entra ID
10. Windows LAPS : Les scénarios
Identity Days 2023
24 octobre 2023 - PARIS
Active
Directory*
Microsoft Entra Join
(AAD join)
Microsoft Entra
Hybrid Join (Azure
AD Join)
AD Join
Domain
Controllers
Sauvegarde du mot
de passe DSRM
Sauvegarde du
mot de passe des
comptes admin
locaux
Sauvegarde du
mot de passe des
comptes admin
locaux
Ou
Sauvegarde du
mot de passe
des comptes
admin locaux
*Niveau fonctionnel de domaine inférieur à 2016 => mot de passe en clair
11. Windows LAPS : Fonctionnement
Identity Days 2023
24 octobre 2023 - PARIS
Toutes les heures
12. Windows LAPS : Comment déployer ?
Identity Days 2023
24 octobre 2023 - PARIS
S’assurer des prérequis sur les clients
AAD : Activer la fonctionnalité dans le tenant Entra ID
AD* :
• Mise à jour du schéma avec DC 2019/2022 et la cmdlet Update-LapsADSchema
• Délégation des permissions nécessaires aux objets à mettre à jour leur mot de passe via
Set-LapsADComputerSelfPermission -Identity <OU des devices>
Créer et déployer la stratégie cliente dans Intune (ou par GPO 😐)
• BackupDirectory : AAD = 1, AD=2
• AdministratorAccountName : Défaut=Administrator ou un autre nom spécifié
• PasswordAgeDays : Défaut = 30 jours ; 1 à 365 jours ; AAD requiert 7 jours
• PostAuthenticationActions : Défaut (3) Reset Pwd & Logoff sinon 1=Reset Pwd ou 5=Reset Pwd & Reboot
• PostAuthenticationResetDelay : Défaut 24 heures ; De 0 à 24 heures ; 0 désactive
• PasswordLength : Défaut : 14 caractères ; de 8 à 64 caractères
• Password Complexity : 1=lettres maj, 2=lettres maj + non maj, 3= 2+nombres, 4=3+caractères spéciaux (défaut)
Plus d’infos sur : Configure policy settings for Windows LAPS | Microsoft Learn
* Attention ! Le changement du compte admin local peut bloquer le déploiement de nouvelles machines. Déplacez les machines dans une OU sans LAPS pendant le déploiement
13. Windows LAPS : Qui a accès dans Entra ID
Identity Days 2023
24 octobre 2023 - PARIS
Rôles AAD par défaut Accès au méta données
uniquement
(microsoft.directory/deviceLocalCredentials/standard/read)
Lecture du mot de passe en
texte clair
(microsoft.directory/deviceLocalCredentials/password/read)
Global Administrator X X
Cloud Device Administrator X X
Intune Administrator X X
Global Reader X
Helpdesk Administrator X
Security Administrator X
Security Reader X
15. Windows LAPS et Microsoft LAPS, que faire ?
Identity Days 2023
24 octobre 2023 - PARIS
Avoir à la fois Windows LAPS et Microsoft LAPS (hérité) configurant le même compte, n’est pas supporté
Migrer
1. Supprimerlesanciennesstratégies
2. CréeretappliquerlesstratégiesWindowsLAPS
3. Surveillerlesjournaux d’événementsetutiliser
PowerShellpourvoirsilesmachinesontbienremonté
unmotdepasse
4. Supprimerl’ancienlogicielLAPS
msiexec.exe/q/uninstall{97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
Coexistence
1. Créerunsecondcomptelocal.
2. CréeretappliquerlesstratégiesWindowsLAPSau
nouveau compte
3. Surveillerlaremontéedesinformations
4. SupprimerlesanciennesstratégiesLAPSlegacy
5. Supprimerl’ancienlogicielLAPS
6. Retirerl’anciencompte
17. Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
Gestion transparente de l'élévation "intégrée" et optimisée par Intune en
fournissant une approche d’accès « juste assez »
Proposé au travers d’Intune Suite ou d’un achat autonome (pas dans les M365 Ex)
Un ensemble riche d'informations sur les expériences des utilisateurs nécessitant
une élévation
Prérequis
Windows 10/11 20H2, 21H2, 22H2 avec la mise à jour d’Avril 2023
Microsoft Entra joined ou Microsoft Entra hybrid joined
Accès direct à direct (sans inspection SSL) vers les URLs requis
Pas de Workplace Join & Azure Virtual Desktop
Machines jointes à Intune ou cogérées (Les workloads n’ont aucune incidence)
18. Endpoint Privilege Management : Comment déployer ?
24 octobre 2023 - PARIS
Vérifier que vous ayez le bon niveau de licences
S’assurer des prérequis sur les clients
Création de règles d’élévation (similaire à AppLocker identifiant les exécutables, etc.)
Déployer la stratégie d’activation de l’élévation EPM sur le périphérique
Activer EPM sur votre tenant Intune
Les limitations (à date)
Les exécutables sont supportés (les MSIs et autres fichiers arrivent prochainement)
Les actions du système Windows sont supportées mais l’écriture des règles est impossible
Pas de support des utilisateurs locaux (uniquement utilisateurs EID/AAD)
19. Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
EPM identifie un
processus
Un utilisateur sélectionne
‘Run with elevated access’
Automatique
Confirmé par utilisateur
Approuvé par le support*
Actions
Déclencheur
20. Gestion avec Endpoint Privilege Management (EPM)
Identity Days 2023
24 octobre 2023 - PARIS
Rôles RBAC Lecture et Rapports Gestion des stratégies
Endpoint Privilege Manager X X
Endpoint Privilege Reader X
Endpoint Security Manager X X
Read Only Operator X
Présence d’une nouvelle classe Endpoint Privilege Management Policy Authoring
22. Identity Days 2023
24 octobre 2023 - PARIS
Sécurisation
Gestion de l’appartenance
aux groupes locaux
Gestion des
administrateurs locaux
Première étape permettant de s’assurer
qu’un utilisateur non autorisé n’est pas
dans les groupes à privilèges
Seconde étape permettant de s’assurer
que les comptes administrateurs sont
mieux sécurisés
Troisième étape visant à réaliser
l’élévation des privilèges à la demande et
de manière sécurisée
Gestion
de l’élévation de
privilèges
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
THD:
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
Gérer les groupes locaux sur les appareils Windows avec Microsoft Intune (mathieuleroy.fr)
New settings available to configure local user group membership in endpoint security - Microsoft Community Hub
Scripts/conversions de GPOs ?
Connexion avec sballmer@microsofttouch.fr sur WT-CLIENT10
Montrer la stratégie avec les assignations de membres aux groupes AdminsMontrer le groupe Administrators. Lancer le script de conversion avec l’ojbectID pour montrer que c’est bien le SID du groupe
THD
THD:
JSD
THD:
JSD
JSD
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
Montrer la stratégie et la configuration
Montrer le résultat sur un périphérique dans le portail
JSD
Get started with Windows LAPS in legacy Microsoft LAPS emulation mode | Microsoft Learn
THD
JSD
JSD
JSD
JSD
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)
Montrer la stratégie de déploiement du client EPM
Montrer la stratégie de configuration de la règle
Montrer le clique droit d’un exécutable avec la business justification
Montrer le résultat de la règle sur WT-CLIENT10 (user non autorisé) et WT-CLIENT11 (avec bgates qui n’est pas bloqué)