NIST: document décrivant la technologie émergente de gestion des identités par la BlockChain

Le NIST vient de mettre en ligne un document (en Draft) proposant une description des concepts de gestion de identités par la BlockChain. Au delà du document, les nombreuses références citées (que l’on retrouve à la fin du document) sont une mine d’or pour chaque personne voulant se documenter sur ces sujets.

La description de l’étude est disponible [ ICI ]

Le document est directement disponible [ ICI ]

 

Tout ce que vous avez voulu savoir sur Azure AD + MFA sans avoir jamais osé le demander !

Je suis tombé un peu par hasard sur une série d’articles faisant un focus sur la fonction MFA en liaison avec Azure AD. Ces articles abordent des thèmes avec une grosse profondeur technique sous la forme une question / une réponse.

Exemples de question:

=> Is there any equivalent feature in the Azure MFA Server for ” Allow users to remember multi-factor authentication on devices they trust ” that is available in Azure MFA?

=> Is there a way for us to migrate users [from our Azure MFA Server] to Azure MFA so there is no action required from the user’s perspective?

=> Can you/How do you secure on-prem OWA with MFA?

C’est franchement très riche et doit être lu par tous les spécialistes Azure AD + les personnes travaillant dans la sécurité en général et sur le MFA en particulier.

Ce qui est extrêmement intéressant avec le format, c’est que:

1/ cela permet de gagner en profondeur technique sur le sujet

2/ cela ouvre l’esprit sur des problématiques techniques auxquelles nous ne pensons pas

3/ cela permet de se projeter sur l’ensemble des usages possibles

 

La liste des liens vers les articles des Q&A disponibles pour l’instant :

Round 1: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-Mailbag-Q-amp-A-on-Azure-MFA/ba-p/244217

Round 2: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-Mailbag-MFA-Q-amp-A-Round-2/ba-p/244222

Round 3: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azure-AD-Mailbag-MFA-Q-amp-A-Round-3/ba-p/249683

Round 4: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azure-AD-Mailbag-MFA-Q-amp-A-Round-4/ba-p/249802

Round 5: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/AzureAD-Mailbag-MFA-Q-amp-A-Round-5/ba-p/245033

Round 6: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/AzureAD-Mailbag-MFA-Q-amp-A-Round-6/ba-p/250071

Round 7: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/AzureAD-Mailbag-MFA-Q-amp-A-Round-7/ba-p/250088

Round 8: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-Mailbag-MFA-Q-amp-A-Round-8/ba-p/390334

A consommer sans modération aucune !

 

Excellente vidéo sur la façon dont Microsoft gère les accès aux comptes privilégiés en interne

C’est une table ronde avec des experts de chez Microsoft, et c’est très instructif. D’habitude je ne regarde pas trop ce type de vidéo car je m’ennuie rapidement, mais là j’avoue que c’est assez passionnant et instructif. Vous vous voulez savoir comment Microsoft gère ses accès aux comptes privilégiés ? c’est ici:

Azure AD Connect – la version 1.2.67.0 est disponible

La version 1.2.67.0 est disponible en téléchargement. Cette nouvelle version de Azure AD Connect ne corrige qu’un seul bug, mais un bug majeur ! En effet l’avant dernière version de Azure AD Connect pouvait rencontrer un problème sur la fonction “Password Writeback” si l’on possède des contrôleurs de domaine en version 2008 ou 2008R2.

La dernière version de Azure AD Connect peut être téléchargée [ ICI ]

MIM 2016 SP1: Le nouveau hotifx 4.5.286.0 est disponible – enfin !!!

Bon, c’est un peu technique, mais les spécialistes de MIM 2016 vont comprendre de quoi il s’agit !

Il y a peu, Microsoft a mis en téléchargement les builds MIM 2016 4.5.26.0 et 4.5.202.0, mais il y avait un gros problème avec ces versions, dans certaines conditions les objets provenant des managements agents étaient supprimés ou non re-créés au niveau de FIM-service, ce qui avait pour conséquence d’obtenir des règles de synchronisation. Le hotfix 4.5.286.0 permet de corriger le problème, il s’agit donc d’un hotfix extrêmement important pour les administrateurs et architectes MIM. Pour plus d’informations sur ce problème, vous pouvez consulter cet article du Technet Microsoft.

Il est noter que les build 4.5.26.0 et 4.5.202.0 sont toujours listés par Microsoft comme des builds officielles mais ne sont plus disponibles au téléchargement – si vous avez déjà installé l’une de ces deux builds, il est hautement recommandé d’installer ce hotfix.

Mais bien sur, une correctif amène d’autres problèmes ou déconvenues… les problèmes connus avec ce hotfix sont listés ici: https://support.microsoft.com/en-gb/help/4469694/hotfixrolluppackagebuild452860isavailableformicrosoftidentitymanager20

En gros, les problèmes que vous pouvez rencontrer:

  • Problème avec l’installeur, à cause d’une DLL manquante (Microsoft recommande de contacter le support Microsoft si vous avez un tel problème)
  • Problème avec ECMA (synchronization service) , en gros si vous avez créer des MA custom avec votre propre développement- un workaround est décrit sur la page du hotfix, mais il s’agit globalement d’éditer les fichiers suivants: MIIServer.exe.config, Mmsscrpt.exe.config, Dllhost.exe.config avec les informations contenues sur la page de réference du hotfix
  • Problème avec l’installation du portail – Microsoft recommande de réinstaller le package 2013 x64 Visual C++ Redistributable Packages (vcresist_x64.exe) avant de de démarrer le MIM service et l’installation du portail
  • Problème d’affichage du portail dans le navigateur après l’installation du hotfix, il suffit alors de vide l’historique de navigation et les fichiers en cache puis de recharger l’interface du portail (Microsoft évoque le problème uniquement avec Internet Explorer mais à priori le problème peut aussi exister sous chrome)

Pour télécharger le hotfix, rendez-vous [ ICI ]

Radius as a Service (RaaS)

JumpCloud fait grandement évoluer son service Radius as a Service. Pour rappel, ce service permet d’utiliser un service radius rattaché à un annuaire de type DIRaaS – c’est à dire un genre d’annuaire LDAP en mode SaaS – cet annuaire peut automatiquement être alimenté par votre annuaire Active Directory, votre propre annuaire LDAP, un annuaire Azure AD ou même un annuaire Google Directory. Il suffit ensuite de configurer vos équipements réseau pour qu’ils utilisent le service RaaS rattaché à cet annuaire. cela permet de centraliser le service notamment dans le cadre d’entreprises avec un nombre d’agences disséminées en France ou dans le monde.

Si vous n’avez jamais utilisé ce type de service, vous pouvez consulter cette vidéo pour découvrir le fonctionnement basique:

De plus, voici un exemple de configuration avec du matériel Cisco Meraki: https://support.jumpcloud.com/customer/en/portal/articles/2406833-configuring-a-cisco-meraki-wap-to-jumpcloud-s-radius-as-a-service

Les détails des changements à venir sur le service Radius de JumpCloud au 1er Décembre 2018 sont listés ici: https://support.jumpcloud.com/customer/en/portal/articles/2406827

Le principal changement vient de la couverture géographique du service, avec la possibilité d’utiliser une IP différente en fonction de la localisation dans le monde:

Bonne lecture !

Azure AD Connect – la version 1.2.65.0 est disponible

La version 1.2.65.0 est disponible en téléchargement. Comme d’habitude, de nouvelles fonctions sont disponibles ainsi que des corrections des problèmes connus.

Plus de détails sur [cette page]

Informations de la page officielle:

Nouvelles fonctionnalités et améliorations:

  • Changed the functionality of attribute write-back to ensure hosted voice-mail is working as expected. Under certain scenarios, Azure AD was overwriting the msExchUcVoicemailSettings attribute during write-back with a null value. Azure AD will now no longer clear the on-premises value of this attribute if the cloud value is not set.
  • Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to Azure AD. These same diagnostics can also be run directly through Powershell using the Test- AdSyncAzureServiceConnectivity Cmdlet.
  • Added diagnostics in the Azure AD Connect wizard to investigate and identify Connectivity issues to AD. These same diagnostics can also be run directly through Powershell using the Start-ConnectivityValidation function in the ADConnectivityTools Powershell module. For more information see What is the ADConnectivityTool PowerShell Module?
  • Added an AD schema version pre-check for Hybrid Azure Active Directory Join and device write-back
  • Changed the Directory Extension page attribute search to be non-case sensitive.
  • Added full support for TLS 1.2. This release supports all other protocols being disabled and only TLS 1.2 being enabled on the machine where Azure AD Connect is installed. For more information see TLS 1.2 enforcement for Azure AD Connect

Correction de problèmes connus:

  • Fixed a bug where Azure AD Connect Upgrade would fail if SQL Always On was being used.
  • Fixed a bug to correctly parse OU names that contain a forward slash.
  • Fixed an issue where Pass-Through Authentication would be disabled for a clean install in staging mode.
  • Fixed a bug that prevented the PowerShell module to be loaded when running the Troubleshooting tools
  • Fixed a bug that would block customers from using numeric values in the first character of a host name.
  • Fixed a bug where Azure AD Connect would allow invalid partitions and container selection
  • Fixed the “Invalid Password” error message when Desktop SSO is enabled.
  • Various Bug fixes for AD FS Trust Management
  • When configuring Device Writeback – fixed the schema check to look for the msDs-DeviceContainer object class (introduced on WS2012 R2)

Vous pouvez télécharger la dernière version depuis [cette page]

Comment gérer l’authentification sur Samba ou des NAS depuis un annuaire LDAP Cloud

 Une très bonne vidéo et article expliquant comment gérer les authentifications sur Samba ou plus généralement sur un NAS (Synology ou QNAP par exemple) depuis un annuaire LDAP hébergé dans le Cloud public. En effet, l’accès aux fichiers on-prem pour les utilisateurs restent un des problèmes majeurs pour la migration vers des architectures DIRaaS ou LDAP Cloud.

La vidéo:

Le lien vers l’article: [ ICI ]

DCShadow attack, comprendre les bases

 

 

Encore un modèle d’attaque mis en évidence par les fameux Benjamin DELPY et Vincent LE TOUX – et oui, ce sont des Français !

Je vous conseille vivement de consulter cette page pour comprendre les bases de l’attaque:  https://www.dcshadow.com/

Microsoft a réagi, en implémentant dans Azure Advanced Threat Protection une détection de l’attaque, plus d’informations ici: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/How-Azure-Advanced-Threat-Protection-detects-the-DCShadow-attack/ba-p/265740

Comme tout le monde est concerné… bonne lecture !