SlideShare une entreprise Scribd logo
Découvrez les bonnes pratiques de sécurité
en environnement Microsoft
Arnaud Jumelet
National Security Officer – Microsoft France
François Tachoires
Technical Sales Engineer – Microsoft France
Agenda Introduction
Bonnes pratiques de sécurité
• Active Directory
• Windows 10
• Microsoft 365 (Office 365) / Azure AD
Conclusion - Q&A
Cyber-Hygiène
93%
Des incidents de sécurité auraient pu
être évités si des mesures simples de
« Cyber-Hygiène » avaient été prises1
1. https://www.internetsociety.org/fr/news/communiques-de-presse/2018/online-trust-alliance-reports-doubling-cyber-incidents-2017/
Avez-vous trop de
Domain /Global admins?
Utilisez-vous des
protocoles obsolètes ?
(SSL3.0, SMB v1…)
Utilisez-vous l'authentification
multi-facteurs?
Avez-vous déployé les
derniers correctifs ?
Bonnes pratiques de sécurité
Identité forte Santé de l’appareil
Accès minimum Contrôle des défenses
Chaînes d’attaque récentes de ransomware
Un pirate cible les employés
par une campagne de phishing1
Les utilisateurs ouvrent les e-mails et
sont dirigés vers des sites malveillants
pour télécharger du code
2
Les utilisateurs exécutent du code
malveillant et le système
d'exploitation est compromis.
Any
Le pirate extrait des credentials4
3
Un pirate abuse d'un mot de passe volé
5
Le pirate propage l’attaque sur des
serveurs membres et les postes de
travail
6
Le pirate accède aux ressources
cloud de type (SaaS) avec les
identités d'utilisateurs volées
7
https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
Les attaquants doivent disposer...
Comptes utilisateurs (credentials)
Permissions (compte privilégié)
Accès (connectivité aux ressources)
• Mot de passe faible ou volé
• Mêmes mots de passe d’administrateur
local sur les serveurs et les postes de
travail
• Ouverture d’un e-mail
• Serveurs accessibles en RDP depuis
Internet (sans MFA)
• Administration depuis un postes de
travail sans configuration de sécurité
• Défaut de mise à jour
• Elévation de privilèges
Le vol d’information d’authentification est possible si
Les credentials sont disponibles (Available)
Possibilité d’extraire les credentials de l'appareil (Extractable)
Possibilité d'utiliser les credentials à partir d'un autre appareil
(Usable)
Limiter la disponibilité des credentials
Disponible
Extractible
Utilisable
• Capacité à gérer les appareils et les hôtes à l'aide du bureau
à distance sans exposer les credentials (RestrictedAdmin mode RDP)
• Protected users group
Réduction de l’empreinte mémoire des credentials dans
Windows
Limiter l’extractibilité des credentials
Disponible
Extractible
Utilisable
Windows 2000 et supérieur
• Cartes à puce physiques
Note: Les informations d’identification dérivées NTLM et Kerberos sont
toujours extractibles avec des droits administrateurs sans Credential Guard.
Windows 10
• Credential Guard (pour les comptes de domaine)
• Windows Hello For Business
• Certificat protégé par TPM
• Clés de sécurité FIDO2
Limiter le rejeu des credentials
Disponible
Extractible
Utilisable
Windows 7 and Windows Server 2008 R2 et supérieur
• Microsoft LAPS : génération d’un mot de passe complexe, fort et aléatoire pour le
compte local des postes de travail et serveurs afin de se protéger contre les mouvements
latéraux.
Windows 10
• Token Binding with (Hybrid) Azure AD Joined
Domaines Windows Server 2012 R2 et supérieur
• Restricting domain users to specific domain-joined devices with Authentication Policies
• Protected Users Group pour les comptes privilégiés
Windows Server 2016 DCs
• Renouvellement automatique du mot de passe lors de l’utilisation de WHFB, VSC
et carte à puces.
• PKInit Freshness Extension
Azure AD
• Authentification multi-facteurs
• Contrôles d’accès conditionnel
Limiter le rejeu des credentials
Disponible
Extractible
Utilisable
Protected Users Group
Prérequis sur les contrôleurs de domaine
• Windows Server 2012 R2 domain functional level account domain (for all features)
Prérequis Clients
• Windows 7 / Server 2008 R2 et supérieur
Les membres du groupe ne peuvent pas :
• Effectuer d'authentifications NTLM ;
• Wdigest et Credssp ne sont plus stockées dans LSASS.
• Se connecter hors ligne: aucun vérificateur mis en cache n'est créé lors de la connexion.
• Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification
Kerberos ;
• être délégués en utilisant la délégation kerberos non contrainte ou contrainte ;
• renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures. (configurable)
Protection contre le vol de credential
December 2012:
First release of document ”Mitigating Pass-the-Hash (PtH)
Attacks and Other Credential Theft Techniques.”
Focus on Protection
July 2014:
New Guidance ”Mitigating Pass-the-Hash and Other
Credential Theft, version 2.”
Update on Detection and Recovery
July 2014:
Document and scripts to renew KRBTGT. - aka.ms/reset-krbtgt
July 2015:
Release of Microsoft LAPS – aka.ms/laps
General availability of Windows 10, Windows Hello and Credential
Guard
February 2020:
Public Preview of FIDO2 for Hybrid environment
Bonnes pratiques de sécurité Active Directory
Limiter et Protéger les comptes privilégiés
Appliquer les correctifs sur l’ensemble de l’environnement (Applications et OS)
Encadrer l'utilisation des mots de passe / Diversifier les mots de passe des comptes administrateurs locaux (LAPS)
Mettre en œuvre le modèle de tiers / Silos d’authentification
Utiliser des postes d’administration à sécurité renforcée / Secured-core PCs
Protéger les contrôleurs de domaine (serveurs) ainsi que les serveurs de tiers-0 (Azure AD Connect, ADFS, ADCS…)
Faire régulièrement et mettre à l’abris les sauvegardes
Vérifier régulièrement la configuration Active Directory
ANSSI - Points de contrôle Active Directory
• 57 points de contrôles pour le suivi du niveau de sécurité
• Approche par pallier avec un niveau de 1 à 5
• Document qui sera enrichi régulièrement
https://www.cert.ssi.gouv.fr/uploads/guide-ad.html - Juin 2020
Autres bonnes pratiques de sécurité Active Directory
Utiliser des configurations de sécurité sur vos serveurs et postes de travail
Assurez-vous que les comptes privilégiés ne disposent PAS de comptes de
messagerie
Filtrer la navigation sur Internet avec des comptes hautement privilégiés
Maintenir les groupes Active Directory « Opérateurs » toujours vides.
Active Directory Password Protection*
Moderniser sa politique de mots
de passe pour bloquer les
attaques « password spray »
* Natif dans Azure AD, nécessite Azure AD Premium pour Windows Server AD
Azure ATP pour la protection de l’identité AD onprem
Azure ATP – Comment cela fonctionne
Azure ATP – Configurations à risque dans AD
Azure ATP – Intégration au Secure Score
Microsoft Security Baseline
• 300 paramètres de sécurité pour Windows
connues et testées
• Contient les valeurs de sécurité
recommandées pour les postes de travail, les
serveurs membres et les contrôleurs de
domaine AD
• Couvre également Edge et Office 365 ProPlus
• Version Draft pour Windows 10 & Windows
Server 2004 https://aka.ms/sct
Modern Endpoint
Security
Management
Moderniser l’administration de la
sécurité du poste de travail et des
terminaux mobile
Defender ATP –
Gestion des
vulnérabilités
• Découverte en continu
• Priorisation basée sur le
contexte
• Remédiation simplifiée
Microsoft Secure Score
Disponible avec Office 365
Visualiser et améliorer votre posture de sécurité
• Un aperçu de votre niveau de sécurité en une seule console
• Des actions recommandées pour améliorer votre posture de
sécurité
Compatible avec les rôles en lecture seule de type
Security Reader ou Global Reader
Bonnes pratiques Cloud Microsoft – CIS Benchmark:
https://www.cisecurity.org/benchmark/microsoft_office/
securescore.microsoft.com
Office 365 ATP
Recommended
Configuration
Analyzer (ORCA)
Auditer la configuration de vos
paramètres Exchange Online
Protection et Office ATP anti-
spam, anti-phishing, et autres
Office Cloud Policy Service
Compatible avec les rôles Global
Administrator, Security Administrator et
Office Apps Admin
• Plus de 2097 paramètres utilisateurs disponibles
• Dont 87 paramètres appartenant à la catégorie
« Security Baseline »
Disponible avec version 1808 ou supérieure
• Il est toujours possible de déployer des GPO :
Security baseline for Office 365 ProPlus
config.office.com https://docs.microsoft.com/fr-fr/deployoffice/overview-office-cloud-policy-service
Security Policy Advisor for Office 365 ProPlus
Les recommandations pour les stratégies
de sécurité suivantes :
• Paramètres de notification de macro VBA
• Blocage des macros dans les fichiers
Office provenant d’Internet
• Désactiver tous les contrôles ActiveX
• Vérifier les objets ActiveX
Disponible avec version 1908 ou supérieure
https://docs.microsoft.com/en-us/DeployOffice/overview-of-security-policy-advisor
Azure Active
Directory –
supervision de la
configuration
• « Security defaults »
• Supervision de
l’enregistrement au MFA
• Supervision de l’accès
conditionnel
• Consentement utilisateur
• Supervision des comptes à
privilège
https://aka.ms/securitysteps
Posture de sécurité en environnement Microsoft
Conclusion
Appliquer les bonnes pratiques de sécurité
Active Directory / Azure AD
• Limiter et protéger les comptes à privilèges
• Déployer LAPS
Appliquer toutes les mises à jour
Poste d’administration à sécurité renforcée
Activer l’authentification multi-facteur (MFA)
• Accès conditionnel via Azure Active Directory pour
protéger les identités privilégiées.
Suivre en continu votre posture de sécurité (points
de contrôle AD) et tableau de bord, comme
Microsoft Secure Score et ORCA
Questions ?
Merci !

Contenu connexe

Tendances

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
Alex Danvy
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
Patrick Leclerc
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Sylvain Cortes
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
Astoine.com "Gold Certified Microsoft Cloud Technology IT"​ Formation et Conseil - Maroc
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
Patrick Leclerc
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Décideurs IT
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
Patrick Leclerc
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Microsoft Décideurs IT
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Microsoft Technet France
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Microsoft Décideurs IT
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
Yann Riviere CCSK, CISSP, CRISC, CISM
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
Sylvain Maret
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
African Cyber Security Summit
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Afnic
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
PGSoftware
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Philippe Beraud
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
NBS System
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hostingrabah yahiaoui
 

Tendances (19)

Tour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solutionTour de France Azure PaaS 4/7 Sécuriser la solution
Tour de France Azure PaaS 4/7 Sécuriser la solution
 
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
OWASP Québec - Attaques et techniques de défense des sessions Web - par Louis...
 
Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...Comment securiser votre annuaire Active Directory contre les attaques de malw...
Comment securiser votre annuaire Active Directory contre les attaques de malw...
 
Sécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francaisSécurité informatique mobile cloud astoine maroc francais
Sécurité informatique mobile cloud astoine maroc francais
 
OWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume CroteauOWASP Quebec: "Security Stories" par Guillaume Croteau
OWASP Quebec: "Security Stories" par Guillaume Croteau
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
Retour d’expérience sur la mise en place de la délégation de ConfigMgr 2012 R2
 
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
Active Directory en 2012 : les meilleures pratiques en design, sécurité et ad...
 
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active DirectoryTout ce que vous avez toujours voulu savoir sur Azure Active Directory
Tout ce que vous avez toujours voulu savoir sur Azure Active Directory
 
Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)Les Outils de la CSA (Cloud Security Alliance)
Les Outils de la CSA (Cloud Security Alliance)
 
Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2Introduction à La Sécurité Informatique 2/2
Introduction à La Sécurité Informatique 2/2
 
Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018Atelier Technique WALLIX ACSS 2018
Atelier Technique WALLIX ACSS 2018
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)Etat des Lieux DANE (DNS Based Authentication of Named Entities)
Etat des Lieux DANE (DNS Based Authentication of Named Entities)
 
AD Audit Plus
AD Audit PlusAD Audit Plus
AD Audit Plus
 
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
Comment Microsoft IT a transféré certaines responsabilités liées à la sécurit...
 
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile HeitorAWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
AWS et NBS System présentent la Très Haute Sécurité - Emile Heitor
 
Présentation e bs hosting
Présentation e bs hostingPrésentation e bs hosting
Présentation e bs hosting
 

Similaire à Webinar bonnes pratiques securite

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Microsoft Technet France
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MickaelLOPES91
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
Philippe Beraud
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Philippe Beraud
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
Microsoft Technet France
 
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Microsoft Technet France
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Sylvain Cortes
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
Nis
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
☁️Seyfallah Tagrerout☁ [MVP]
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
☁️Seyfallah Tagrerout☁ [MVP]
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
Identity Days
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...CERTyou Formation
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Microsoft Technet France
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
Patrick Guimonet
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
Microsoft Technet France
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Denodo
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Microsoft
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
aOS Community
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9   Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9   Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
aOS Community
 

Similaire à Webinar bonnes pratiques securite (20)

Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
Azure IaaS : concevoir en architecture sécurisée en tirant bénéfice des nouve...
 
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenterMSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
MSCS : Windows Server 2016 Quoi de neuf pour votre datacenter
 
Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?Quoi de neuf pour les identités dans Office 365 ?
Quoi de neuf pour les identités dans Office 365 ?
 
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
Protéger vos données à demeure avec le nouveau service Microsoft RMS et les b...
 
La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012La sécurité avec SQL Server 2012
La sécurité avec SQL Server 2012
 
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
Contrôler les usages de vos informations dans le Cloud avec Windows Azure AD ...
 
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
Comment securiser votre usage ou migration vers Office 365 [2018 12-04]
 
Sécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans AzureSécuriser votre chaîne d'information dans Azure
Sécuriser votre chaîne d'information dans Azure
 
Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)Présentation AzureAD ( Identité hybrides et securité)
Présentation AzureAD ( Identité hybrides et securité)
 
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
Comment sécuriser son environnement Microsoft 365 avec Microsft Threat Protec...
 
CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?CIEM, tiens une nouvelle catégorie de produits identité?
CIEM, tiens une nouvelle catégorie de produits identité?
 
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
M6425 formation-configurer-les-domaines-services-active-directory-dans-window...
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
2008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 20082008-09-30 Présentation Générale SQL Server 2008
2008-09-30 Présentation Générale SQL Server 2008
 
En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà En route vers Active Directory 2012 R2 et au-delà
En route vers Active Directory 2012 R2 et au-delà
 
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
Démonstration : Comment la plateforme Denodo permet d'accélérer l'analyse de ...
 
DCI Beta Systems
DCI Beta SystemsDCI Beta Systems
DCI Beta Systems
 
Administration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs AnalyticsAdministration et supervision depuis le Cloud avec Azure Logs Analytics
Administration et supervision depuis le Cloud avec Azure Logs Analytics
 
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
2019-06-12 aOS Aix Marseille - B4 - Gestion des comptes à privilèges - Jean-P...
 
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9   Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...9   Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
9 Sécurisez vos services Office 365 avec Azure AD et Advanced Security Mana...
 

Dernier

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
OCTO Technology
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO Technology
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 

Dernier (6)

De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
Le Comptoir OCTO - Équipes infra et prod, ne ratez pas l'embarquement pour l'...
 
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdfOCTO TALKS : 4 Tech Trends du Software Engineering.pdf
OCTO TALKS : 4 Tech Trends du Software Engineering.pdf
 
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 

Webinar bonnes pratiques securite

  • 1. Découvrez les bonnes pratiques de sécurité en environnement Microsoft Arnaud Jumelet National Security Officer – Microsoft France François Tachoires Technical Sales Engineer – Microsoft France
  • 2. Agenda Introduction Bonnes pratiques de sécurité • Active Directory • Windows 10 • Microsoft 365 (Office 365) / Azure AD Conclusion - Q&A
  • 3. Cyber-Hygiène 93% Des incidents de sécurité auraient pu être évités si des mesures simples de « Cyber-Hygiène » avaient été prises1 1. https://www.internetsociety.org/fr/news/communiques-de-presse/2018/online-trust-alliance-reports-doubling-cyber-incidents-2017/ Avez-vous trop de Domain /Global admins? Utilisez-vous des protocoles obsolètes ? (SSL3.0, SMB v1…) Utilisez-vous l'authentification multi-facteurs? Avez-vous déployé les derniers correctifs ?
  • 4. Bonnes pratiques de sécurité Identité forte Santé de l’appareil Accès minimum Contrôle des défenses
  • 5. Chaînes d’attaque récentes de ransomware Un pirate cible les employés par une campagne de phishing1 Les utilisateurs ouvrent les e-mails et sont dirigés vers des sites malveillants pour télécharger du code 2 Les utilisateurs exécutent du code malveillant et le système d'exploitation est compromis. Any Le pirate extrait des credentials4 3 Un pirate abuse d'un mot de passe volé 5 Le pirate propage l’attaque sur des serveurs membres et les postes de travail 6 Le pirate accède aux ressources cloud de type (SaaS) avec les identités d'utilisateurs volées 7 https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/
  • 6. Les attaquants doivent disposer... Comptes utilisateurs (credentials) Permissions (compte privilégié) Accès (connectivité aux ressources) • Mot de passe faible ou volé • Mêmes mots de passe d’administrateur local sur les serveurs et les postes de travail • Ouverture d’un e-mail • Serveurs accessibles en RDP depuis Internet (sans MFA) • Administration depuis un postes de travail sans configuration de sécurité • Défaut de mise à jour • Elévation de privilèges
  • 7. Le vol d’information d’authentification est possible si Les credentials sont disponibles (Available) Possibilité d’extraire les credentials de l'appareil (Extractable) Possibilité d'utiliser les credentials à partir d'un autre appareil (Usable)
  • 8. Limiter la disponibilité des credentials Disponible Extractible Utilisable • Capacité à gérer les appareils et les hôtes à l'aide du bureau à distance sans exposer les credentials (RestrictedAdmin mode RDP) • Protected users group Réduction de l’empreinte mémoire des credentials dans Windows
  • 9. Limiter l’extractibilité des credentials Disponible Extractible Utilisable Windows 2000 et supérieur • Cartes à puce physiques Note: Les informations d’identification dérivées NTLM et Kerberos sont toujours extractibles avec des droits administrateurs sans Credential Guard. Windows 10 • Credential Guard (pour les comptes de domaine) • Windows Hello For Business • Certificat protégé par TPM • Clés de sécurité FIDO2
  • 10. Limiter le rejeu des credentials Disponible Extractible Utilisable Windows 7 and Windows Server 2008 R2 et supérieur • Microsoft LAPS : génération d’un mot de passe complexe, fort et aléatoire pour le compte local des postes de travail et serveurs afin de se protéger contre les mouvements latéraux. Windows 10 • Token Binding with (Hybrid) Azure AD Joined Domaines Windows Server 2012 R2 et supérieur • Restricting domain users to specific domain-joined devices with Authentication Policies • Protected Users Group pour les comptes privilégiés Windows Server 2016 DCs • Renouvellement automatique du mot de passe lors de l’utilisation de WHFB, VSC et carte à puces. • PKInit Freshness Extension Azure AD • Authentification multi-facteurs • Contrôles d’accès conditionnel
  • 11. Limiter le rejeu des credentials Disponible Extractible Utilisable Protected Users Group Prérequis sur les contrôleurs de domaine • Windows Server 2012 R2 domain functional level account domain (for all features) Prérequis Clients • Windows 7 / Server 2008 R2 et supérieur Les membres du groupe ne peuvent pas : • Effectuer d'authentifications NTLM ; • Wdigest et Credssp ne sont plus stockées dans LSASS. • Se connecter hors ligne: aucun vérificateur mis en cache n'est créé lors de la connexion. • Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification Kerberos ; • être délégués en utilisant la délégation kerberos non contrainte ou contrainte ; • renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures. (configurable)
  • 12. Protection contre le vol de credential December 2012: First release of document ”Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques.” Focus on Protection July 2014: New Guidance ”Mitigating Pass-the-Hash and Other Credential Theft, version 2.” Update on Detection and Recovery July 2014: Document and scripts to renew KRBTGT. - aka.ms/reset-krbtgt July 2015: Release of Microsoft LAPS – aka.ms/laps General availability of Windows 10, Windows Hello and Credential Guard February 2020: Public Preview of FIDO2 for Hybrid environment
  • 13. Bonnes pratiques de sécurité Active Directory Limiter et Protéger les comptes privilégiés Appliquer les correctifs sur l’ensemble de l’environnement (Applications et OS) Encadrer l'utilisation des mots de passe / Diversifier les mots de passe des comptes administrateurs locaux (LAPS) Mettre en œuvre le modèle de tiers / Silos d’authentification Utiliser des postes d’administration à sécurité renforcée / Secured-core PCs Protéger les contrôleurs de domaine (serveurs) ainsi que les serveurs de tiers-0 (Azure AD Connect, ADFS, ADCS…) Faire régulièrement et mettre à l’abris les sauvegardes Vérifier régulièrement la configuration Active Directory
  • 14. ANSSI - Points de contrôle Active Directory • 57 points de contrôles pour le suivi du niveau de sécurité • Approche par pallier avec un niveau de 1 à 5 • Document qui sera enrichi régulièrement https://www.cert.ssi.gouv.fr/uploads/guide-ad.html - Juin 2020
  • 15. Autres bonnes pratiques de sécurité Active Directory Utiliser des configurations de sécurité sur vos serveurs et postes de travail Assurez-vous que les comptes privilégiés ne disposent PAS de comptes de messagerie Filtrer la navigation sur Internet avec des comptes hautement privilégiés Maintenir les groupes Active Directory « Opérateurs » toujours vides.
  • 16. Active Directory Password Protection* Moderniser sa politique de mots de passe pour bloquer les attaques « password spray » * Natif dans Azure AD, nécessite Azure AD Premium pour Windows Server AD
  • 17. Azure ATP pour la protection de l’identité AD onprem
  • 18. Azure ATP – Comment cela fonctionne
  • 19. Azure ATP – Configurations à risque dans AD
  • 20. Azure ATP – Intégration au Secure Score
  • 21. Microsoft Security Baseline • 300 paramètres de sécurité pour Windows connues et testées • Contient les valeurs de sécurité recommandées pour les postes de travail, les serveurs membres et les contrôleurs de domaine AD • Couvre également Edge et Office 365 ProPlus • Version Draft pour Windows 10 & Windows Server 2004 https://aka.ms/sct
  • 22. Modern Endpoint Security Management Moderniser l’administration de la sécurité du poste de travail et des terminaux mobile
  • 23. Defender ATP – Gestion des vulnérabilités • Découverte en continu • Priorisation basée sur le contexte • Remédiation simplifiée
  • 24. Microsoft Secure Score Disponible avec Office 365 Visualiser et améliorer votre posture de sécurité • Un aperçu de votre niveau de sécurité en une seule console • Des actions recommandées pour améliorer votre posture de sécurité Compatible avec les rôles en lecture seule de type Security Reader ou Global Reader Bonnes pratiques Cloud Microsoft – CIS Benchmark: https://www.cisecurity.org/benchmark/microsoft_office/ securescore.microsoft.com
  • 25. Office 365 ATP Recommended Configuration Analyzer (ORCA) Auditer la configuration de vos paramètres Exchange Online Protection et Office ATP anti- spam, anti-phishing, et autres
  • 26. Office Cloud Policy Service Compatible avec les rôles Global Administrator, Security Administrator et Office Apps Admin • Plus de 2097 paramètres utilisateurs disponibles • Dont 87 paramètres appartenant à la catégorie « Security Baseline » Disponible avec version 1808 ou supérieure • Il est toujours possible de déployer des GPO : Security baseline for Office 365 ProPlus config.office.com https://docs.microsoft.com/fr-fr/deployoffice/overview-office-cloud-policy-service
  • 27. Security Policy Advisor for Office 365 ProPlus Les recommandations pour les stratégies de sécurité suivantes : • Paramètres de notification de macro VBA • Blocage des macros dans les fichiers Office provenant d’Internet • Désactiver tous les contrôles ActiveX • Vérifier les objets ActiveX Disponible avec version 1908 ou supérieure https://docs.microsoft.com/en-us/DeployOffice/overview-of-security-policy-advisor
  • 28. Azure Active Directory – supervision de la configuration • « Security defaults » • Supervision de l’enregistrement au MFA • Supervision de l’accès conditionnel • Consentement utilisateur • Supervision des comptes à privilège https://aka.ms/securitysteps
  • 29. Posture de sécurité en environnement Microsoft
  • 30. Conclusion Appliquer les bonnes pratiques de sécurité Active Directory / Azure AD • Limiter et protéger les comptes à privilèges • Déployer LAPS Appliquer toutes les mises à jour Poste d’administration à sécurité renforcée Activer l’authentification multi-facteur (MFA) • Accès conditionnel via Azure Active Directory pour protéger les identités privilégiées. Suivre en continu votre posture de sécurité (points de contrôle AD) et tableau de bord, comme Microsoft Secure Score et ORCA