SlideShare une entreprise Scribd logo

Webinar bonnes pratiques securite

J
jumeletArnaud

Découvrez les bonnes pratiques de sécurité en environnement Microsoft

Technologie
1  sur  32
Télécharger pour lire hors ligne
Découvrez les bonnes pratiques de sécurité en environnement Microsoft Arnaud Jumelet National Security Officer – Microsoft France François Tachoires Technical Sales Engineer – Microsoft France
Agenda Introduction Bonnes pratiques de sécurité • Active Directory • Windows 10 • Microsoft 365 (Office 365) / Azure AD Conclusion - Q&A
Cyber-Hygiène 93% Des incidents de sécurité auraient pu être évités si des mesures simples de « Cyber-Hygiène » avaient été prises1 1. https://www.internetsociety.org/fr/news/communiques-de-presse/2018/online-trust-alliance-reports-doubling-cyber-incidents-2017/ Avez-vous trop de Domain /Global admins? Utilisez-vous des protocoles obsolètes ? (SSL3.0, SMB v1…) Utilisez-vous l'authentification multi-facteurs? Avez-vous déployé les derniers correctifs ?
Bonnes pratiques de sécurité Identité forte Santé de l’appareil Accès minimum Contrôle des défenses
Chaînes d’attaque récentes de ransomware Un pirate cible les employés par une campagne de phishing1 Les utilisateurs ouvrent les e-mails et sont dirigés vers des sites malveillants pour télécharger du code 2 Les utilisateurs exécutent du code malveillant et le système d'exploitation est compromis. Any Le pirate extrait des credentials4 3 Un pirate abuse d'un mot de passe volé 5 Le pirate propage l’attaque sur des serveurs membres et les postes de travail 6 Le pirate accède aux ressources cloud de type (SaaS) avec les identités d'utilisateurs volées 7 https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
Les attaquants doivent disposer... Comptes utilisateurs (credentials) Permissions (compte privilégié) Accès (connectivité aux ressources) • Mot de passe faible ou volé • Mêmes mots de passe d’administrateur local sur les serveurs et les postes de travail • Ouverture d’un e-mail • Serveurs accessibles en RDP depuis Internet (sans MFA) • Administration depuis un postes de travail sans configuration de sécurité • Défaut de mise à jour • Elévation de privilèges
Le vol d’information d’authentification est possible si Les credentials sont disponibles (Available) Possibilité d’extraire les credentials de l'appareil (Extractable) Possibilité d'utiliser les credentials à partir d'un autre appareil (Usable)
Limiter la disponibilité des credentials Disponible Extractible Utilisable • Capacité à gérer les appareils et les hôtes à l'aide du bureau à distance sans exposer les credentials (RestrictedAdmin mode RDP) • Protected users group Réduction de l’empreinte mémoire des credentials dans Windows
Limiter l’extractibilité des credentials Disponible Extractible Utilisable Windows 2000 et supérieur • Cartes à puce physiques Note: Les informations d’identification dérivées NTLM et Kerberos sont toujours extractibles avec des droits administrateurs sans Credential Guard. Windows 10 • Credential Guard (pour les comptes de domaine) • Windows Hello For Business • Certificat protégé par TPM • Clés de sécurité FIDO2
Limiter le rejeu des credentials Disponible Extractible Utilisable Windows 7 and Windows Server 2008 R2 et supérieur • Microsoft LAPS : génération d’un mot de passe complexe, fort et aléatoire pour le compte local des postes de travail et serveurs afin de se protéger contre les mouvements latéraux. Windows 10 • Token Binding with (Hybrid) Azure AD Joined Domaines Windows Server 2012 R2 et supérieur • Restricting domain users to specific domain-joined devices with Authentication Policies • Protected Users Group pour les comptes privilégiés Windows Server 2016 DCs • Renouvellement automatique du mot de passe lors de l’utilisation de WHFB, VSC et carte à puces. • PKInit Freshness Extension Azure AD • Authentification multi-facteurs • Contrôles d’accès conditionnel
Limiter le rejeu des credentials Disponible Extractible Utilisable Protected Users Group Prérequis sur les contrôleurs de domaine • Windows Server 2012 R2 domain functional level account domain (for all features) Prérequis Clients • Windows 7 / Server 2008 R2 et supérieur Les membres du groupe ne peuvent pas : • Effectuer d'authentifications NTLM ; • Wdigest et Credssp ne sont plus stockées dans LSASS. • Se connecter hors ligne: aucun vérificateur mis en cache n'est créé lors de la connexion. • Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification Kerberos ; • être délégués en utilisant la délégation kerberos non contrainte ou contrainte ; • renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures. (configurable)
Protection contre le vol de credential December 2012: First release of document ”Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques.” Focus on Protection July 2014: New Guidance ”Mitigating Pass-the-Hash and Other Credential Theft, version 2.” Update on Detection and Recovery July 2014: Document and scripts to renew KRBTGT. - aka.ms/reset-krbtgt July 2015: Release of Microsoft LAPS – aka.ms/laps General availability of Windows 10, Windows Hello and Credential Guard February 2020: Public Preview of FIDO2 for Hybrid environment
Bonnes pratiques de sécurité Active Directory Limiter et Protéger les comptes privilégiés Appliquer les correctifs sur l’ensemble de l’environnement (Applications et OS) Encadrer l'utilisation des mots de passe / Diversifier les mots de passe des comptes administrateurs locaux (LAPS) Mettre en œuvre le modèle de tiers / Silos d’authentification Utiliser des postes d’administration à sécurité renforcée / Secured-core PCs Protéger les contrôleurs de domaine (serveurs) ainsi que les serveurs de tiers-0 (Azure AD Connect, ADFS, ADCS…) Faire régulièrement et mettre à l’abris les sauvegardes Vérifier régulièrement la configuration Active Directory
ANSSI - Points de contrôle Active Directory • 57 points de contrôles pour le suivi du niveau de sécurité • Approche par pallier avec un niveau de 1 à 5 • Document qui sera enrichi régulièrement https://www.cert.ssi.gouv.fr/uploads/guide-ad.html - Juin 2020
Autres bonnes pratiques de sécurité Active Directory Utiliser des configurations de sécurité sur vos serveurs et postes de travail Assurez-vous que les comptes privilégiés ne disposent PAS de comptes de messagerie Filtrer la navigation sur Internet avec des comptes hautement privilégiés Maintenir les groupes Active Directory « Opérateurs » toujours vides.
Active Directory Password Protection* Moderniser sa politique de mots de passe pour bloquer les attaques « password spray » * Natif dans Azure AD, nécessite Azure AD Premium pour Windows Server AD
Azure ATP pour la protection de l’identité AD onprem
Azure ATP – Comment cela fonctionne
Azure ATP – Configurations à risque dans AD
Azure ATP – Intégration au Secure Score
Microsoft Security Baseline • 300 paramètres de sécurité pour Windows connues et testées • Contient les valeurs de sécurité recommandées pour les postes de travail, les serveurs membres et les contrôleurs de domaine AD • Couvre également Edge et Office 365 ProPlus • Version Draft pour Windows 10 & Windows Server 2004 https://aka.ms/sct
Modern Endpoint Security Management Moderniser l’administration de la sécurité du poste de travail et des terminaux mobile
Defender ATP – Gestion des vulnérabilités • Découverte en continu • Priorisation basée sur le contexte • Remédiation simplifiée
Microsoft Secure Score Disponible avec Office 365 Visualiser et améliorer votre posture de sécurité • Un aperçu de votre niveau de sécurité en une seule console • Des actions recommandées pour améliorer votre posture de sécurité Compatible avec les rôles en lecture seule de type Security Reader ou Global Reader Bonnes pratiques Cloud Microsoft – CIS Benchmark: https://www.cisecurity.org/benchmark/microsoft_office/ securescore.microsoft.com
Office 365 ATP Recommended Configuration Analyzer (ORCA) Auditer la configuration de vos paramètres Exchange Online Protection et Office ATP anti- spam, anti-phishing, et autres
Office Cloud Policy Service Compatible avec les rôles Global Administrator, Security Administrator et Office Apps Admin • Plus de 2097 paramètres utilisateurs disponibles • Dont 87 paramètres appartenant à la catégorie « Security Baseline » Disponible avec version 1808 ou supérieure • Il est toujours possible de déployer des GPO : Security baseline for Office 365 ProPlus config.office.com https://docs.microsoft.com/fr-fr/deployoffice/overview-office-cloud-policy-service
Security Policy Advisor for Office 365 ProPlus Les recommandations pour les stratégies de sécurité suivantes : • Paramètres de notification de macro VBA • Blocage des macros dans les fichiers Office provenant d’Internet • Désactiver tous les contrôles ActiveX • Vérifier les objets ActiveX Disponible avec version 1908 ou supérieure https://docs.microsoft.com/en-us/DeployOffice/overview-of-security-policy-advisor
Azure Active Directory – supervision de la configuration • « Security defaults » • Supervision de l’enregistrement au MFA • Supervision de l’accès conditionnel • Consentement utilisateur • Supervision des comptes à privilège https://aka.ms/securitysteps
Posture de sécurité en environnement Microsoft
Conclusion Appliquer les bonnes pratiques de sécurité Active Directory / Azure AD • Limiter et protéger les comptes à privilèges • Déployer LAPS Appliquer toutes les mises à jour Poste d’administration à sécurité renforcée Activer l’authentification multi-facteur (MFA) • Accès conditionnel via Azure Active Directory pour protéger les identités privilégiées. Suivre en continu votre posture de sécurité (points de contrôle AD) et tableau de bord, comme Microsoft Secure Score et ORCA
Questions ?
Merci !

Recommandé

Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 

Recommandé

Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des donnéesMicrosoft Technet France
 
Sécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielSécurité Active Directory: Etablir un référentiel
Sécurité Active Directory: Etablir un référentielMicrosoft Décideurs IT
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Microsoft Technet France
 
Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Sécurité Active Directory : détecter l’indétectable !
Sécurité Active Directory : détecter l’indétectable !Microsoft Décideurs IT
 
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...
Microsoft Azure : Tout ce que vous devez savoir sur la sécurité et la confor...jumeletArnaud
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsMicrosoft Technet France
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Décideurs IT
 
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...
Tester la sécurité de votre annuaire Active Directory : top 10 des menaces et...Microsoft Décideurs IT
 
Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisAstoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Microsoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryMicrosoft Décideurs IT
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Yann Riviere CCSK, CISSP, CRISC, CISM
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018African Cyber Security Summit
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit PlusPGSoftware
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorNBS System
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hostingrabah yahiaoui
 
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 

Contenu connexe

Tendances

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionAlex Danvy
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...Patrick Leclerc
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Sylvain Cortes
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauPatrick Leclerc
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Décideurs IT
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Microsoft Décideurs IT
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Microsoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryMicrosoft Décideurs IT
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Sylvain Maret
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Afnic
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Philippe Beraud
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorNBS System
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hostingrabah yahiaoui
 

Tendances (19)

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hosting
 

Similaire à Webinar bonnes pratiques securite

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Microsoft Technet France
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMickaelLOPES91
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Philippe Beraud
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Philippe Beraud
 
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...Microsoft Technet France
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Sylvain Cortes
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureNis
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...☁️Seyfallah Tagrerout☁ [MVP]
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?Identity Days
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...CERTyou Formation
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Microsoft Technet France
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008Patrick Guimonet
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà Microsoft Technet France
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Denodo
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsMicrosoft
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...aOS Community
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...aOS Community
 

Similaire à Webinar bonnes pratiques securite (20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta Systems
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
 

Dernier

Slides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IASlides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IAInfopole1
 
cours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdfcours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdfHajer Boujezza
 
Protéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numériqueProtéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numériquePaperjam_redaction
 
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...Hajer Boujezza
 
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdfModèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdfHajer Boujezza
 
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...OsharaInc
 

Dernier (6)

Slides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IASlides du webinaire de l'Infopole sur l'IA
Slides du webinaire de l'Infopole sur l'IA
 
cours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdfcours Systèmes de Gestion des Identités.pdf
cours Systèmes de Gestion des Identités.pdf
 
Protéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numériqueProtéger l'intégrité de son environnement numérique
Protéger l'intégrité de son environnement numérique
 
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
Contrôle d’accès et Gestion des identités: Terminologies et Protocoles d’auth...
 
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdfModèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
Modèles de contrôle d accès_ RBAC (Role Based Access Control).pdf
 
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
Augmentez vos conversions en ligne : les techniques et outils qui marchent vr...
 

Webinar bonnes pratiques securite

  • 1. Découvrez les bonnes pratiques de sécurité en environnement Microsoft Arnaud Jumelet National Security Officer – Microsoft France François Tachoires Technical Sales Engineer – Microsoft France
  • 2. Agenda Introduction Bonnes pratiques de sécurité • Active Directory • Windows 10 • Microsoft 365 (Office 365) / Azure AD Conclusion - Q&A
  • 3. Cyber-Hygiène 93% Des incidents de sécurité auraient pu être évités si des mesures simples de « Cyber-Hygiène » avaient été prises1 1. https://www.internetsociety.org/fr/news/communiques-de-presse/2018/online-trust-alliance-reports-doubling-cyber-incidents-2017/ Avez-vous trop de Domain /Global admins? Utilisez-vous des protocoles obsolètes ? (SSL3.0, SMB v1…) Utilisez-vous l'authentification multi-facteurs? Avez-vous déployé les derniers correctifs ?
  • 4. Bonnes pratiques de sécurité Identité forte Santé de l’appareil Accès minimum Contrôle des défenses
  • 5. Chaînes d’attaque récentes de ransomware Un pirate cible les employés par une campagne de phishing1 Les utilisateurs ouvrent les e-mails et sont dirigés vers des sites malveillants pour télécharger du code 2 Les utilisateurs exécutent du code malveillant et le système d'exploitation est compromis. Any Le pirate extrait des credentials4 3 Un pirate abuse d'un mot de passe volé 5 Le pirate propage l’attaque sur des serveurs membres et les postes de travail 6 Le pirate accède aux ressources cloud de type (SaaS) avec les identités d'utilisateurs volées 7 https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
  • 6. Les attaquants doivent disposer... Comptes utilisateurs (credentials) Permissions (compte privilégié) Accès (connectivité aux ressources) • Mot de passe faible ou volé • Mêmes mots de passe d’administrateur local sur les serveurs et les postes de travail • Ouverture d’un e-mail • Serveurs accessibles en RDP depuis Internet (sans MFA) • Administration depuis un postes de travail sans configuration de sécurité • Défaut de mise à jour • Elévation de privilèges
  • 7. Le vol d’information d’authentification est possible si Les credentials sont disponibles (Available) Possibilité d’extraire les credentials de l'appareil (Extractable) Possibilité d'utiliser les credentials à partir d'un autre appareil (Usable)
  • 8. Limiter la disponibilité des credentials Disponible Extractible Utilisable • Capacité à gérer les appareils et les hôtes à l'aide du bureau à distance sans exposer les credentials (RestrictedAdmin mode RDP) • Protected users group Réduction de l’empreinte mémoire des credentials dans Windows
  • 9. Limiter l’extractibilité des credentials Disponible Extractible Utilisable Windows 2000 et supérieur • Cartes à puce physiques Note: Les informations d’identification dérivées NTLM et Kerberos sont toujours extractibles avec des droits administrateurs sans Credential Guard. Windows 10 • Credential Guard (pour les comptes de domaine) • Windows Hello For Business • Certificat protégé par TPM • Clés de sécurité FIDO2
  • 10. Limiter le rejeu des credentials Disponible Extractible Utilisable Windows 7 and Windows Server 2008 R2 et supérieur • Microsoft LAPS : génération d’un mot de passe complexe, fort et aléatoire pour le compte local des postes de travail et serveurs afin de se protéger contre les mouvements latéraux. Windows 10 • Token Binding with (Hybrid) Azure AD Joined Domaines Windows Server 2012 R2 et supérieur • Restricting domain users to specific domain-joined devices with Authentication Policies • Protected Users Group pour les comptes privilégiés Windows Server 2016 DCs • Renouvellement automatique du mot de passe lors de l’utilisation de WHFB, VSC et carte à puces. • PKInit Freshness Extension Azure AD • Authentification multi-facteurs • Contrôles d’accès conditionnel
  • 11. Limiter le rejeu des credentials Disponible Extractible Utilisable Protected Users Group Prérequis sur les contrôleurs de domaine • Windows Server 2012 R2 domain functional level account domain (for all features) Prérequis Clients • Windows 7 / Server 2008 R2 et supérieur Les membres du groupe ne peuvent pas : • Effectuer d'authentifications NTLM ; • Wdigest et Credssp ne sont plus stockées dans LSASS. • Se connecter hors ligne: aucun vérificateur mis en cache n'est créé lors de la connexion. • Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification Kerberos ; • être délégués en utilisant la délégation kerberos non contrainte ou contrainte ; • renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures. (configurable)
  • 12. Protection contre le vol de credential December 2012: First release of document ”Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques.” Focus on Protection July 2014: New Guidance ”Mitigating Pass-the-Hash and Other Credential Theft, version 2.” Update on Detection and Recovery July 2014: Document and scripts to renew KRBTGT. - aka.ms/reset-krbtgt July 2015: Release of Microsoft LAPS – aka.ms/laps General availability of Windows 10, Windows Hello and Credential Guard February 2020: Public Preview of FIDO2 for Hybrid environment
  • 13. Bonnes pratiques de sécurité Active Directory Limiter et Protéger les comptes privilégiés Appliquer les correctifs sur l’ensemble de l’environnement (Applications et OS) Encadrer l'utilisation des mots de passe / Diversifier les mots de passe des comptes administrateurs locaux (LAPS) Mettre en œuvre le modèle de tiers / Silos d’authentification Utiliser des postes d’administration à sécurité renforcée / Secured-core PCs Protéger les contrôleurs de domaine (serveurs) ainsi que les serveurs de tiers-0 (Azure AD Connect, ADFS, ADCS…) Faire régulièrement et mettre à l’abris les sauvegardes Vérifier régulièrement la configuration Active Directory
  • 14. ANSSI - Points de contrôle Active Directory • 57 points de contrôles pour le suivi du niveau de sécurité • Approche par pallier avec un niveau de 1 à 5 • Document qui sera enrichi régulièrement https://www.cert.ssi.gouv.fr/uploads/guide-ad.html - Juin 2020
  • 15. Autres bonnes pratiques de sécurité Active Directory Utiliser des configurations de sécurité sur vos serveurs et postes de travail Assurez-vous que les comptes privilégiés ne disposent PAS de comptes de messagerie Filtrer la navigation sur Internet avec des comptes hautement privilégiés Maintenir les groupes Active Directory « Opérateurs » toujours vides.
  • 16. Active Directory Password Protection* Moderniser sa politique de mots de passe pour bloquer les attaques « password spray » * Natif dans Azure AD, nécessite Azure AD Premium pour Windows Server AD
  • 17. Azure ATP pour la protection de l’identité AD onprem
  • 18. Azure ATP – Comment cela fonctionne
  • 19. Azure ATP – Configurations à risque dans AD
  • 20. Azure ATP – Intégration au Secure Score
  • 21. Microsoft Security Baseline • 300 paramètres de sécurité pour Windows connues et testées • Contient les valeurs de sécurité recommandées pour les postes de travail, les serveurs membres et les contrôleurs de domaine AD • Couvre également Edge et Office 365 ProPlus • Version Draft pour Windows 10 & Windows Server 2004 https://aka.ms/sct
  • 22. Modern Endpoint Security Management Moderniser l’administration de la sécurité du poste de travail et des terminaux mobile
  • 23. Defender ATP – Gestion des vulnérabilités • Découverte en continu • Priorisation basée sur le contexte • Remédiation simplifiée
  • 24. Microsoft Secure Score Disponible avec Office 365 Visualiser et améliorer votre posture de sécurité • Un aperçu de votre niveau de sécurité en une seule console • Des actions recommandées pour améliorer votre posture de sécurité Compatible avec les rôles en lecture seule de type Security Reader ou Global Reader Bonnes pratiques Cloud Microsoft – CIS Benchmark: https://www.cisecurity.org/benchmark/microsoft_office/ securescore.microsoft.com
  • 25. Office 365 ATP Recommended Configuration Analyzer (ORCA) Auditer la configuration de vos paramètres Exchange Online Protection et Office ATP anti- spam, anti-phishing, et autres
  • 26. Office Cloud Policy Service Compatible avec les rôles Global Administrator, Security Administrator et Office Apps Admin • Plus de 2097 paramètres utilisateurs disponibles • Dont 87 paramètres appartenant à la catégorie « Security Baseline » Disponible avec version 1808 ou supérieure • Il est toujours possible de déployer des GPO : Security baseline for Office 365 ProPlus config.office.com https://docs.microsoft.com/fr-fr/deployoffice/overview-office-cloud-policy-service
  • 27. Security Policy Advisor for Office 365 ProPlus Les recommandations pour les stratégies de sécurité suivantes : • Paramètres de notification de macro VBA • Blocage des macros dans les fichiers Office provenant d’Internet • Désactiver tous les contrôles ActiveX • Vérifier les objets ActiveX Disponible avec version 1908 ou supérieure https://docs.microsoft.com/en-us/DeployOffice/overview-of-security-policy-advisor
  • 28. Azure Active Directory – supervision de la configuration • « Security defaults » • Supervision de l’enregistrement au MFA • Supervision de l’accès conditionnel • Consentement utilisateur • Supervision des comptes à privilège https://aka.ms/securitysteps
  • 29. Posture de sécurité en environnement Microsoft
  • 30. Conclusion Appliquer les bonnes pratiques de sécurité Active Directory / Azure AD • Limiter et protéger les comptes à privilèges • Déployer LAPS Appliquer toutes les mises à jour Poste d’administration à sécurité renforcée Activer l’authentification multi-facteur (MFA) • Accès conditionnel via Azure Active Directory pour protéger les identités privilégiées. Suivre en continu votre posture de sécurité (points de contrôle AD) et tableau de bord, comme Microsoft Secure Score et ORCA