Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [2/5]

Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, maintenant voyons comment réaliser une installation et comment réaliser une mise à jour avec des patchs ATA sur une version existante.

Installation de Microsoft ATA

Cet article est réalisé avec la version 1.8.6645 de Microsoft ATA disponible en téléchargement sur Microsoft MSDN. Nous réaliserons ensuite une mise à jour de la version disponible sur Microsoft MSDN.

Installation du centre ATA

La première étape consiste à installer l’ATA Center sur un serveur Windows Server dédié.

Copier le contenu de l’ISO dans un répertoire sur le disque dur local et ne pas exécuter l’installation directement depuis l’ISO monté dans le système.

Lancer l’installation en lançant l’application « Microsoft ATA Center Setup ».

Je vous conseille de réaliser l’installation en langue Anglaise et de réaliser une installation sur un OS en Anglais – Microsoft ATA est supporté sur les OS Français et propose une interface applicative en Français, mais comme d’habitude, il est au final plus simple de consulter les différentes documentation en langue Anglaise :

Lire la suite

Microsoft Advanced Threat Analytics (ATA) : La cybersécurité made-in Microsoft pour protéger Active Directory [1/5]

Je commence ici une série d’articles sur Microsoft ATA. Nous allons découvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, décrire l’installation et le paramétrage de base. Nous verrons ensuite comment paramétrer certaines fonctions plus avancées puis nous réaliserons des attaques de tests pour vérifier le bon fonctionnement.

Présentation de Microsoft Advanced Threat Analytics (ATA)

Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.

Microsoft ATA fournit des fonctionnalités de détection pour les différentes phases d’une attaque avancée : reconnaissance, compromission des informations d’authentification, mouvement latéral, élévation des privilèges, contrôle du domaine, etc. Les attaques avancées et les menaces internes peuvent ainsi être détectées avant de pouvoir causer des dommages dans l’organisation. Chaque type de détection correspond à un ensemble d’activités suspectes liées à la phase en question, chacune de ces activités correspondant elle-même à différents types d’attaques possibles. Les phases de la « kill-chain » où ATA fournit une détection sont mises en surbrillance dans l’image suivante :

Lire la suite

Active Directory : rajouter une fonction de création de containeur (container) dans l’interface graphique de la MMC

De base, lorsque l’on veut créer une arborescence depuis le snap-in « Utilisateur et ordinateurs Active Directory », il n’est possible que de créer des Unités d’Organisation (Organization Unit) :

Or, dans certains cas, il est souhaitable de pouvoir créer un objet de type containeur (container), notamment s’il n’est pas nécessaire d’avoir d’application de GPOs sur les objets contenus dans ce répertoire ou pour stocker des objets de types SCP par exemple.

Bien entendu, il est possible de passer par PowerShell pour créer un objet containeur, mais il est également possible d’activer une fonction graphique directement dans les consoles MMC.

Pour la manipulation, il faut utiliser un compte qui appartient au groupe « schema admins » – ouvrir ADSIEDIT et se connecter sur la partition du schéma : Lire la suite

Retrouvez mes présentations lors de l’évènement aOS Grenoble !

Le 22 mai 2017, de nombreux experts IT se sont réunis sur Grenoble afin de présenter différents concepts autour des nouvelles technologies et des tendances informatiques actuelles. Cet évènement était organisé par la communauté aOS. Les sessions couvraient des sujets aussi variés que le développement dans Azure, la téléphonie sur IP ou les infrastructures Cloud. Pour ma part, j’ai réalisé une première présentation sur la Digitalisation des environnements de travail (Workplace Digitalization) et une deuxième sur la gestion des identités dans le cloud.

Vous pouvez retrouvez ces deux présentations sur ce lien docs.com:

 

Azure Information Protection: ce n’est pas encore très clair pour tout le monde !

En début de semaine, j’ai longuement échangé avec un client à propos des solution de chiffrement de documents disponibles sur le marché. Il m’est apparu que les choses étaient très confuses dans son esprit (désolé Olivier 😉 ).

Il y a beaucoup de confusion entre les différentes possibilités offertes par les multiples fournisseurs qui se sont positionnés sur ce marché. Bien évidemment, l’utilisation de plus en plus massive des solutions Cloud, que ce soit au niveau de l’email, des intranets ou du stockage de documents rend cette approche quasi obligatoire, car la sécurité périmétrique ne sert plus à rien en terme de protection de la donnée ou de protection de la propriété intellectuelle.

Dans l’ancien monde, le monde “on-premises”, Microsoft fournissait déjà une solution nommée “Active Directory RMS”, permettant de protéger (chiffrer) les documents Office et les emails Outlook produits par l’entreprise. Cette solution était assez efficace techniquement mais rendait les échanges inter-entreprises (avec un partenaire commercial par exemple) assez complexes à réaliser.

L’arrivée de Azure Information Protection (ex Azure RMS) a ouvert de nouveaux horizons en termes de protection des données et de l’information, mais il s’avère que nombre de clients ne comprennent pas bien certains aspects. L’objectif de ce post est de rapidement fournir quelques pistes afin de mieux comprendre les aspects AIP côté client (=device).

Petit rappel, la fonction AIP peut s’acquérir via les plans EMS 3 & 5 de Microsoft:

Le plan EMS E3 propose globalement (je fais simple…) les fonctions qui étaient anciennement portées par Azure RMS, à savoir la technologie de chiffrement elle-même – le plan EMS E5 rajoute globalement (je fais simple à nouveau…) les fonctions de classification – Ici, le challenge de Microsoft sera de lier au maximum ces deux technologies, permettant à l’utilisateur de choisir une classification, qui protégera automatiquement (en fonction de cette classification) les documents ou emails.

Rappelons également que la technologies AIP/RMS permet de protéger du contenu produit dans des technologies Microsoft (docx, pptx, email, etc.) mais aussi de protéger des documents qui ne sont pas produits avec des outils Microsoft (txt, PDF ou Autocad par exemple). Ce lien très utile décrit les différents formats pris en compte par AIP, que ce soit au niveau du module de protection ou au niveau du module de classification.

Lorsque d’un destinataire va recevoir un contenu protégé par AIP, il devra utiliser un “client” AIP/RMS lui permettant de faire le lien entre une authentification (=son identité) et l’application des règles d’accès au contenu décidées par le créateur du contenu (accès en lecture, en écriture, possibilité de copier/coller ou pas, etc.).

La technologie AIP/RMS nécessite donc un “client” côté device afin de déchiffrer un contenu. A ce niveau il y a globalement deux cas possibles pour déchiffrer et accéder au contenu selon les règles d’accès décidées par l’auteur du contenu:

Ce lien décrit les différentes possibilités en croisant les différents formats de fichiers avec la plateforme du device (=son OS) – ici par exemple, les différents clients AIP/RMS utilisables sur sur plateforme Windows en fonction des formats de fichiers:

De plus, vous retrouverez sur ce lien, la possibilité de télécharger Microsoft Azure Information Protection Viewer ( AZInfoProtectionViewer.exe ) pour Windows qui permettra a un client de consommer (=ouvrir) un contenu protégé par AIP/RMS même si il ne possède pas lui même une application intégrant un client AIP/RMS natif:

En conclusion, il faut bien assimiler plusieurs éléments:

  • AIP permet de protéger du contenu “Microsoft” mais aussi des documents hors format Microsoft (PDF, txt, etc.)
  • AIP fonctionne sur Windows, Mac, Android & iOS (avec quelque différences subtiles entre ces différents OS) – à noter aucun fournisseur tiers ne s’est lancé dans une aventure AIP sur Blackberry, mais il exite des possibilité pour supporter des clients AD RMS sur Blackberry
  • AIP intègre des fonctions de chiffrement & classification mais aussi d’autres fonctions extrêmement intéressantes comme le tracking des documents protégés par exemple
  • AIP permet d’échanger assez simplement du contenu protégé avec des personnes en dehors de l’organisation (au contraire de AD RMS)
  • La personne qui consomme le contenu, c’est à dire la personne qui accède au document/email protégé n’a pas besoin de licence AIP ni besoin d’avoir une application native AIP/RMS, elle peut télécharger le client AIP Viewer pour accéder au contenu protégé

Enfin, cette technologie évolue très très rapidement côté Microsoft, en effet, il s’agit d’une technologie clé pour permettre l’adoption des solutions Cloud tout en protégeant l’accès à l’information de l’organisation.

Si vous avez des questions ou des besoins sur AIP, n’hésitez pas à me contacter. J’ai créé dernièrement un nouveau Workshop d’une demi-journée ou une journée dédié à AIP et qui permet de comprendre comment fonctionne cette technologie et les différentes possibilités offertes pour une organisation.

Le National Institute of Standards and Technology (NIST) met à jour ses recommandations sur “Digital Identity Guidelines”

Le National Institute of Standards and Technology (NIST) est un institut américain délivrant régulièrement des documents de spécifications et des recommandations à l’attention de l’ensemble des autres organisations gouvernementales américaines. Même si les documents publiés ne sont pas exclusivement orientés sur les aspects sécurité (comme par l’exemple l’ANSSI en France) de nombreuses recommandations traitent de ces sujets, et de nombreux documents sont publiés pour aider les organismes américains à l’implémentation de solutions fiables et standardisées.

Le NIST a récemment publié un brouillon (Draft) de trois documents importants traitant de Digital Identity:

Document SP 800-63A: Digital Identity Guidelines – Enrollment and Identity Proofing Requirements

 

 

Document SP 800-63B: Digital Identity Guidelines – Authentication and Lifecycle Management

 

 

Document SP 800-63C: Digital Identity Guidelines – Federation and Assertions

 

 

Ces trois documents, même à l’état de brouillon, sont une véritable mine d’or (et je pèse mes mots…) pour toute personne travaillant dans la sécurité informatique et dans le domaine de la gestion des identités. Le premier document donne par exemple les grandes lignes en ce qui concerne la gestion des identités de façon globale, le deuxième réalise un focus sur les méthodologies d’authentification et fournit des conseils sur les règles de sécurité liées aux mots de passe alors que le troisième traite particulièrement des technologies de Fédération d’Identité.

Ce que j’apprécie particulièrement dans ces documents, c’est qu’ils ne sont pas uniquement un recueil bête et méchant de bonnes pratiques mais liste de façon exhaustives les technologies associées et les standards du moment – par exemple le document traitant de la fédération d’identité ne se contente pas de recenser les bonnes pratiques à suivre autour de la fédération mais liste l’intégralité des termes à connaître et à utiliser – le grand intérêt est que du coup on peut choisir de considérer le document du NIST comme document de référence sur les termes à employer, et dans un monde aussi confus que la Fédération d’Identité par exemple, cela ne fait pas de mal de s’appuyer sur un lexique de référence…

Bref, c’est un peu long, mais c’est à lire absolument…

Quel avenir pour One Identity ? (ex Quest)

 

Les plus vieux d’entre vous connaissent vraisemblablement l’historique truculent et les tribulations sans fin des actifs de la société Quest Software.

A l’origine cette société a racheté et vendu le produit Toad pour les DBA Oracle dans le monde entier. Toad, véritable vache à lait de la société, a permis à Quest Software de constituer un véritable trésor de guerre, très conséquent (voir très très très conséquent…), permettant à Quest Software de réaliser massivement des acquisitions de sociétés IT et de produits tiers sur le marché des startup américaines, constituant au fil du temps un portfolio impressionnant de produits technologiques destinés aux entreprises. Cette démarche d’acquisition fut à la fois la force et la faiblesse de Quest Software car il n’y avait aucun ciment technologique commun entre les différentes acquisitions aboutissant à un éventail de produits totalement désynchronisés d’un point de vue stratégique et technique.

La solution ActiveRoles a fait partie de ces acquisitions, permettant ainsi à la société de rentrer dans le domaine de la gestion des identités et des accès, notamment en environnement Microsoft. Ensuite, Quest Software a essayé de rationaliser sa stratégie liée à la gestion de l’identité en constituant une “marque” One Identity sensée représenter l’ensemble de la gamme gestion des identités au sein de Quest Software.

S’en est suivi le rachat de Quest Software par DELL, et là, franchement, cela a été un jeu de massacre, les produits non rentables commercialement ont plus ou moins été abandonnés, de nombreuses ressources tant techniques que commerciales sont aller voir ailleurs, et l’activité de la division DELL Software a petit à petit périclité… L’exemple typique est l’abandon d’investissement dans la gamme ex-Vintela, laissant à Centrify le champs libre sur le marché du bridge AD et de la gestion des privilèges sur Unix et Linux. Le nombre de migration ex-Vintela vers Centrify a alors été impressionnant…

DELL a ensuite décidé de rendre sa “liberté” à Quest afin de reprendre du poil de la bête. Désirant certainement modifier sa stratégie, la nouvelle société Quest a ensuite  décidé de se séparer de la division Gestion des Identités, appelée One Identity, afin de constituer une structure juridique indépendante de Quest. Tout ceci est assez surprenant, mais je ne connais pas tous les détails de la “transaction” ni les objectifs cachés de cette décision.

Un nouveau site est en ligne afin de présenter cette nouvelle entité juridique et les activité de One Identity: https://www.oneidentity.com/

 

Ce site web présente les produits historiques de la gamme de Quest Software en ce qui concerne la gestion des identités:

J’avoue que je ne sais plus trop quoi penser de ces produits…ni de leur avenir à moyen terme. De sources sures, les développeurs originels de ces différentes solutions se sont majoritairement fait la malle… Donc…

Quelle est la stratégie globale à moyen et long terme de cette nouvelle entité ?

Quel support technique pour les clients ?

Quel support commercial & technique pour les partenaires ? (abominable à l’époque de Quest Software)

Tout ceci est encore un peu nébuleux pour moi… et je n’ose imaginé ce qu’il en est pour les clients…

Pourtant certains produits, si ils sont véritablement repris en main, modifiés et adaptés aux nouvelles contraintes en terme d’IAM, possèdent un énorme potentiel, je pense notamment au couple Identity Manager +  Active Roles qui pourraient devenir une alternative crédible à MIM dans des grosses PME ou des ETI.

Si cette nouvelle entité possède les moyens de ses ambitions, cela mérite véritablement de garder un œil sur les futures mises à jour de ces produits et de suivre l’évolution de tout ceci dans les prochains mois.

A suivre donc, pour le meilleur ou pour le pire, nous verrons bien  😉

 

40 minutes pour tout comprendre de Microsoft EMS

Microsoft Cloud Platform vient de poster une vidéo de présentation de Microsoft EMS (Enterprise Mobility & Security) extrêmement bien réalisée. La vidéo mêle la présentation globale de chaque module EMS et les enjeux rattachés en termes de productivité ou de sécurité ainsi que des démonstrations techniques extrêmement bien ciblées.

En 40 minutes, cette vidéo permet à chacun de comprendre le positionnement d’EMS et les fonctionnalités principales des différents modules. cette vidéo est tellement simple qu’elle peut même être envoyée à un manager, c’est dire !  😉

L’ensemble des modules est passé en revue, Azure AD Premium, AIP, Conditional Access, etc.

La vidéo est accessible ici:

 

 

RegTechLab délivre un panorama des startups qui comptent dans l’IAM

Le cabinet RegTechLab a réalisé une étude très intéressante, en identifiant 187 startups qui comptent dans le domaine de la gestion des Identités et des Accès sur la scène internationale.

Ils ont catégorisé ces 187 startups en 7 segments:

  • Gestion des attributs

  • Authentification/Autorisation

  • Identity Access Management (IAM)

  • Identité Digitale

  • Identité pour l’Internet des Objets
  • Solution de monitoring
  • Technology Providers

Honnêtement, je trouve la segmentation pas très bien choisie, mais bon, c’est une erreur de jeunesse.

Au final, c’est un travail assez minutieux, il faudrait maintenant que RegTechLab puisse réaliser une étude plus en profondeur de chaque segment, puis de chaque startup.

Vous retrouverez l’intégralité de l’article sur ce lien: https://www.regtechlab.io/the-identity-startup-landscape

 

Le coussin FreeBSD – je suis Fan !

Bon, le sérieux et le professionnalisme n’empêchent pas de devenir dingue avec des petites choses de la vie… En faisant deux/trois vérifications/recherches sur des éléments de sécurité liés à FreeBSD, je suis tombé par hasard sur le coussin FreeBSD… Franchement, c’est trop fort ! Il m’en faut un absolument.

Il y a même un tuto pour faire le votre – En plus, c’est presque WAF: