Radius as a Service (RaaS)

JumpCloud fait grandement évoluer son service Radius as a Service. Pour rappel, ce service permet d’utiliser un service radius rattaché à un annuaire de type DIRaaS – c’est à dire un genre d’annuaire LDAP en mode SaaS – cet annuaire peut automatiquement être alimenté par votre annuaire Active Directory, votre propre annuaire LDAP, un annuaire Azure AD ou même un annuaire Google Directory. Il suffit ensuite de configurer vos équipements réseau pour qu’ils utilisent le service RaaS rattaché à cet annuaire. cela permet de centraliser le service notamment dans le cadre d’entreprises avec un nombre d’agences disséminées en France ou dans le monde.

Si vous n’avez jamais utilisé ce type de service, vous pouvez consulter cette vidéo pour découvrir le fonctionnement basique:

De plus, voici un exemple de configuration avec du matériel Cisco Meraki: https://support.jumpcloud.com/customer/en/portal/articles/2406833-configuring-a-cisco-meraki-wap-to-jumpcloud-s-radius-as-a-service

Les détails des changements à venir sur le service Radius de JumpCloud au 1er Décembre 2018 sont listés ici: https://support.jumpcloud.com/customer/en/portal/articles/2406827

Le principal changement vient de la couverture géographique du service, avec la possibilité d’utiliser une IP différente en fonction de la localisation dans le monde:

Bonne lecture !

Azure AD Connect – la version 1.2.65.0 est disponible

La version 1.2.65.0 est disponible en téléchargement. Comme d’habitude, de nouvelles fonctions sont disponibles ainsi que des corrections des problèmes connus.

Plus de détails sur [cette page]

Informations de la page officielle:

Nouvelles fonctionnalités et améliorations:

  • Changed the functionality of attribute write-back to ensure hosted voice-mail is working as expected. Under certain scenarios, Azure AD was overwriting the msExchUcVoicemailSettings attribute during write-back with a null value. Azure AD will now no longer clear the on-premises value of this attribute if the cloud value is not set.
  • Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to Azure AD. These same diagnostics can also be run directly through Powershell using the Test- AdSyncAzureServiceConnectivity Cmdlet.
  • Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to AD. These same diagnostics can also be run directly through Powershell using the Start-ConnectivityValidation function in the ADConnectivityTools Powershell module. For more information see What is the ADConnectivityTool PowerShell Module?
  • Added an AD schema version pre-check for Hybrid Azure Active Directory Join and device write-back
  • Changed the Directory Extension page attribute search to be non-case sensitive.
  • Added full support for TLS 1.2. This release supports all other protocols being disabled and only TLS 1.2 being enabled on the machine where Azure AD Connect is installed. For more information see TLS 1.2 enforcement for Azure AD Connect

Correction de problèmes connus:

  • Fixed a bug where Azure AD Connect Upgrade would fail if SQL Always On was being used.
  • Fixed a bug to correctly parse OU names that contain a forward slash.
  • Fixed an issue where Pass-Through Authentication would be disabled for a clean install in staging mode.
  • Fixed a bug that prevented the PowerShell module to be loaded when running the Troubleshooting tools
  • Fixed a bug that would block customers from using numeric values in the first character of a host name.
  • Fixed a bug where Azure AD Connect would allow invalid partitions and container selection
  • Fixed the “Invalid Password” error message when Desktop SSO is enabled.
  • Various Bug fixes for AD FS Trust Management
  • When configuring Device Writeback – fixed the schema check to look for the msDs-DeviceContainer object class (introduced on WS2012 R2)

Vous pouvez télécharger la dernière version depuis [cette page]

The good old Arcade Games teach us about today CyberSecurity rules

CyberSecurity is a never-end journey. The good old games are the same, old, always here and never outdated. As an old arcade games fanboy and an actual CyberSecurity & IAM expert, it is amazing to see how the old rules serve the current war against malware, lack of systems configuration and black hats.

Let’s review the rules and remember the happy days.

Rule 1 with Space Invaders: hide yourself behind a wall is not enough for a good defense strategy

In the Space Invaders game, you can stay behind the red wall, you will live for 5 minutes, but at the end you will die. Against the threats, is not enough to hide yourself and think the better days are coming. In an open world, you will need to build a defense strategy beyond an unique firewall strategy. The perimetric security is dead, you need to use other strategies. It doesn’t mean you don’t need a firewall or several, but you can’t think is enough to protect your network. Build a security data strategy, an encryption strategy, an authentication strategy and all the important strategies you need.

Rule 2 with Donkey Kong: The lateral movement will provide privileges escalation for the attacker

In the Donkey Kong game, you will learn to do horizontal movement or vertical movement at the exact instant you need to. This is very true, especially when we are talking about Active Directory Hardening. The attacker will not try to catch the top-level system first, he will first try to compromise one workstation, and then he will try to go horizontal and get access to the other workstations. He will look for some high-level account privilege traces on the workstations. As soon he finds it, he is ready and now it is time to go vertical, climb the systems and go to the holly Graal, the Domain Controller of Active Directory.

Rule 3 with Spy vs Spy: Using some HoneyPots is always a good strategy

In the Spy vs Spy game, the better way to defeat your adversary is to create and put some traps. When you want to detect the attacker, deploy some honeypots on your network will provide a good way to catch him. You can use honeypot in different manner: fake web site, fake DNS entries, fake admin accounts, etc. The only challenge will be to have a good understanding of the way the attacker acts to be sure you will put something interesting for him.

Rule 4 with 1942: Agility and movement are key if you want to succeed against the enemy

In the 1942 game, if you stay at the same place on the screen you are dead after 2 seconds. When you are in movement, it is difficult to catch you. You need to constantly move and get agility to improve your faculty against the attacker. Don’t be static, change the configurations, change the passwords, change the different tools you are using to implement you defense. Evaluate new solutions, invent new defense – in one word, be Agile.

Rule 5 with Double Dragon: Yes, you can beat a boss bigger than you

In the Double Dragon game, you will destroy a boss in every stage, each boss is bigger and more powerful than you. Even if the adversary seems to be huge: well-trained, large experience with good technical skills, you can beat it. It is matter for anticipation, pugnacity and strategy. You can defeat the beast, but you need to study the beast strategy, learn the way he moves, learn the way he acts, learn his characteristics and you will be able to succeed.

Rule 6 with Sorcery: Each system owns a specific weakness

In the Sorcery game, each object will kill a specific creature: The Strong Sword kills the monks, the Sharp Axe kills the ghosts, the ball & chain kills the Beholder, etc. Sometimes you are not responsible of the system or application choice, but you need to protect it. Here it is difficult, because you are not a specialist on every system, but you will need to study and learn about the different key weakness for each: Windows, Linux, Oracle, Tomcat, etc. have specific issues or weakness -So you will need to train yourself, speak with other specialist and define the correct strategy for each system. It is hard, time consuming but you will get a basic understanding on all the platforms you need to protect.

Rule 7 with Ghosts’N Goblins: Practice, practice and again practice

In the Ghosts’N Goblins game, the first 50 times you will play the game, you will die very quickly, after a while you will start to succeed in the game. You need to train & practice – again, train & practice – again, train & practice – etc. As you understand, this is again a never end story, you always have new technologies, new type of attack, new discovered vulnerability – the only way to make a good job for you in terms of security is practice and practice again. Your self-training capabilities will be key in your success. Again it is time consuming, but you will get a very good ROI from your tests and labs.

Rule 8 with Golden Axe: Different people, different skills, you need to build a strong team for defense

In the Golden Axe game, you must use different type of characters which have different skills considering the situation and your enemy. You can’t perform everything by yourself, you can’t be a top specialist on every technology or system. So, you need a team, a strong defend team with various people who have different technology knowledges. With a good mix of folks, which complete each other, you be able to succeed against the threat.

Rule 9 with OutRun: Speed is your best friend and speed is your best enemy

In the OutRun game, if you go too slow you will lose the race, if you go too fast, you will break your car in a wall. For sure, when you are under attack, you will need to react very fast to get the systems back and be safe again – BUT – sometimes if you react too fast you will make the wrong choices, in fact you need to find the good tempo. You are under attack ? take a good breathe, a strong coffee, a fine whisky and think about it, you will need to investigate the situation before to react and find the prefect planning to fix the breach. Be fast, don’t be too fast.

Rule 10 with Tetris: Build your own pattern

Tetris is my FAVORITE game. I played during hours, days, weeks, months when I was younger. The very important teaching with Tetris is you will have different way to win the game. Depending your personality, you will play a different way. It is not existing a good or a bad way to play, the good way is only the way which permits you to win the game. It will be the same with your defense strategy, depending who you are, depending your skills or your personality, you will elaborate a different strategy. Know your systems, know yourself and build your own pattern.

Remember the rules:

Rule 1 with Space Invaders: hide yourself behind a wall is not enough for a good defense strategy

Rule 2 with Donkey Kong: The lateral movement will provide privileges escalation for the attacker

Rule 3 with Spy vs Spy: Using some Honey Pot is always a good strategy

Rule 4 with 1942: Agility and movement are key if you want to succeed against the enemy

Rule 5 with Double Dragon: Yes, you can beat a boss bigger than you

Rule 6 with Sorcery: Each system owns a specific weakness

Rule 7 with Ghosts’N Goblins: Practice, practice and again practice

Rule 8 with Golden Axe: Different people, different skills, you need to build a strong team for defense

Rule 9 with OutRun: Speed is your best friend and speed is your best enemy

Rule 10 with Tetris: Build your own pattern

, and thanks to the old arcade games !

Comment gérer l’authentification sur Samba ou des NAS depuis un annuaire LDAP Cloud

 Une très bonne vidéo et article expliquant comment gérer les authentifications sur Samba ou plus généralement sur un NAS (Synology ou QNAP par exemple) depuis un annuaire LDAP hébergé dans le Cloud public. En effet, l’accès aux fichiers on-prem pour les utilisateurs restent un des problèmes majeurs pour la migration vers des architectures DIRaaS ou LDAP Cloud.

La vidéo:

Le lien vers l’article: [ ICI ]

DCShadow attack, comprendre les bases

 

 

Encore un modèle d’attaque mis en évidence par les fameux Benjamin DELPY et Vincent LE TOUX – et oui, ce sont des Français !

Je vous conseille vivement de consulter cette page pour comprendre les bases de l’attaque:  https://www.dcshadow.com/

Microsoft a réagi, en implémentant dans Azure Advanced Threat Protection une détection de l’attaque, plus d’informations ici: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/How-Azure-Advanced-Threat-Protection-detects-the-DCShadow-attack/ba-p/265740

Comme tout le monde est concerné… bonne lecture !

 

Une URL à conserver ! Tous les liens principaux de la documentation Azure AD

Vous trouverez sur ce [ LIEN ] une page d’accueil des différents liens qui hébergent les différentes documentations techniques liées à Azure Active Directory. cette page est un excellent pour de départ pour les personnes souhaitant découvrir ou même approfondir la technologie Azure Active Directory.

Nouvelle version du client Azure Information protection (AIP) – Version 1.37.19.0 – Support de PDF ISO

 Nouvelle version du client AIP. Il y a pas mal de nouvelles choses, de nombreux correctifs de bugs, de nouvelles commandes PS pour le scanner AIP (poru l’automatisation de la protection AIP)  mais l’élément principal reste pour moi le support officiel du format ISO (format normalisé) des fichiers PDF.

En clair, cela veut dire quoi ? Et bien il n’est plus nécessaire de changer l’extension du fichier PDF en .ppdf, et l’ensemble des clients PDF supportant la norme ISO pour PDF pourront consommer un fichier protégé par AIP (le format PDF est normaliser selon un standard ISO depuis 2008 – voir https://www.iso.org/news/2008/07/Ref1141.html et http://wwwimages.adobe.com/www.adobe.com/content/dam/acom/en/devnet/pdf/pdfs/PDF32000_2008.pdf). Plus besoin donc d’utiliser la visionneuse AIP pour lire les fichiers PDF protégés.

Les nouvelles options de paramétrage liées au PDF se trouvent dans les fonctions avancées du paramétrage client AIP, voir: https://docs.microsoft.com/en-us/azure/information-protection/rms-client/client-admin-guide-customizations#protect-pdf-files-by-using-the-iso-standard-for-pdf-encryption

Si vous voulez la liste exhaustive des correctifs et nouvelles fonctions de cette version, voir: https://docs.microsoft.com/en-us/azure/information-protection/rms-client/client-version-release-history#version-137190

Bonne lecture !

Une URL à conserver ! La liste des services Azure qui supportent une authentification sur Azure Active Directory

A l’heure de la promesse du 100% cloud (bon, je sais, c’est pas encore pour demain…) beaucoup de client espèrent s’affranchir de leur annuaire local, Active Directory dans 99% des cas.

La méthode remplacement semble être Azure Active Directory, voir Azure Active Directory + Azure Active Directory Domain Services. C’est un début. On s’attend naturellement à ce que l’ensemble des services Azure soient capables de consommer ce type de source d’identification / authentification. Ce n’est pas le cas…

Microsoft propose sur ce lien, mis à jour régulièrement: https://docs.microsoft.com/en-us/azure/active-directory/managed-service-identity/services-support-msi#azure-services-that-support-managed-service-identity la liste des services Azure compatibles avec une authentification sur Azure Active Directory, un lien à conserver dans sa besace !

Pour finir, si les problématique de remplacement d’Active Directory par un service DIRaaS vous intéressent, je vous conseille de lire cet article: https://jumpcloud.com/solutions/replace-active-directory/

bonne lecture.

Sécurité Active Directory, les 10 questions à se poser immédiatement : Toutes les organisations pensent avoir un très bon niveau de sécurité de leur Active Directory…avant…de discuter avec moi !

 Chaque semaine, je discute avec des dizaines d’organisations, des très grandes, des moyennes, des gigantesques… c’est assez varié. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extrêmement sécurisé, c’est assez amusant.

J’insiste, mes contacts ne veulent pas « m’abuser » ou me « faire croire »… ils sont vraiment persuadés de maintenir un environnement Active Directory sécurisé… Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de sécurité de leur Active Directory, la plupart des réponses sont positionnées entre 7 et 9 – ils sont malheureusement très loin de la réalité…plus précisément de leur réalité…

Evidemment, le nouveau paradigme IT fait que la sécurité périmétrique disparait petit à petit au profit de la sécurité de la données et de la sécurité de l’identité – Même à l’heure du Cloud public, l’Active Directory se trouve au centre de cette stratégie Data+Identity – mais – ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont été implémentés il y a une dizaine d’années, à une époque où la sécurité périmétrique été reine et le Cloud public s’appelait encore ASP… Il y a donc beaucoup de chose à revoir, quitte à bousculer les certitudes…

Il est au final assez simple de mesurer le niveau de sécurité d’un environnement Active Directory, j’utilise généralement 10 questions assez simples me permettant d’évaluer le niveau de maturité du client sur la partie Active Directory :

Lire la suite

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [3/5]

Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, dans la deuxième partie nous avons parcouru toutes les étapes nécessaires à l’installation du produit, maintenant explorons les différents paramétrages et quelques fonctions de cette solution.

Paramétrage de Microsoft ATA

Tableau de bord et menu rapide vers les fonctions principales

Vous pouvez lancer la console web de gestion de Microsoft ATA en utilisant l’icône sur le bureau :

La console web se lance sur la page principale de la solution ATA qui est une espèce de tableau de bord des différentes alertes :

Lire la suite