Vous trouverez sur ce [ LIEN ] une page d’accueil des différents liens qui hébergent les différentes documentations techniques liées à Azure Active Directory. cette page est un excellent pour de départ pour les personnes souhaitant découvrir ou même approfondir la technologie Azure Active Directory.
Nouvelle version du client AIP. Il y a pas mal de nouvelles choses, de nombreux correctifs de bugs, de nouvelles commandes PS pour le scanner AIP (poru l’automatisation de la protection AIP) mais l’élément principal reste pour moi le support officiel du format ISO (format normalisé) des fichiers PDF.
En clair, cela veut dire quoi ? Et bien il n’est plus nécessaire de changer l’extension du fichier PDF en .ppdf, et l’ensemble des clients PDF supportant la norme ISO pour PDF pourront consommer un fichier protégé par AIP (le format PDF est normaliser selon un standard ISO depuis 2008 – voir https://www.iso.org/news/2008/07/Ref1141.html et http://wwwimages.adobe.com/www.adobe.com/content/dam/acom/en/devnet/pdf/pdfs/PDF32000_2008.pdf). Plus besoin donc d’utiliser la visionneuse AIP pour lire les fichiers PDF protégés.
Les nouvelles options de paramétrage liées au PDF se trouvent dans les fonctions avancées du paramétrage client AIP, voir: https://docs.microsoft.com/en-us/azure/information-protection/rms-client/client-admin-guide-customizations#protect-pdf-files-by-using-the-iso-standard-for-pdf-encryption
Si vous voulez la liste exhaustive des correctifs et nouvelles fonctions de cette version, voir: https://docs.microsoft.com/en-us/azure/information-protection/rms-client/client-version-release-history#version-137190
Bonne lecture !
A l’heure de la promesse du 100% cloud (bon, je sais, c’est pas encore pour demain…) beaucoup de client espèrent s’affranchir de leur annuaire local, Active Directory dans 99% des cas.
La méthode remplacement semble être Azure Active Directory, voir Azure Active Directory + Azure Active Directory Domain Services. C’est un début. On s’attend naturellement à ce que l’ensemble des services Azure soient capables de consommer ce type de source d’identification / authentification. Ce n’est pas le cas…
Microsoft propose sur ce lien, mis à jour régulièrement: https://docs.microsoft.com/en-us/azure/active-directory/managed-service-identity/services-support-msi#azure-services-that-support-managed-service-identity la liste des services Azure compatibles avec une authentification sur Azure Active Directory, un lien à conserver dans sa besace !
Pour finir, si les problématique de remplacement d’Active Directory par un service DIRaaS vous intéressent, je vous conseille de lire cet article: https://jumpcloud.com/solutions/replace-active-directory/
bonne lecture.
Chaque semaine, je discute avec des dizaines d’organisations, des très grandes, des moyennes, des gigantesques… c’est assez varié. Le point commun de l’ensemble de ces organisations, c’est leur certitude d’avoir un environnement Active Directory extrêmement sécurisé, c’est assez amusant.
J’insiste, mes contacts ne veulent pas « m’abuser » ou me « faire croire »… ils sont vraiment persuadés de maintenir un environnement Active Directory sécurisé… Quand je leur demande de fournir une note entre 1 et 10 sur l’estimation du niveau de sécurité de leur Active Directory, la plupart des réponses sont positionnées entre 7 et 9 – ils sont malheureusement très loin de la réalité…plus précisément de leur réalité…
Evidemment, le nouveau paradigme IT fait que la sécurité périmétrique disparait petit à petit au profit de la sécurité de la données et de la sécurité de l’identité – Même à l’heure du Cloud public, l’Active Directory se trouve au centre de cette stratégie Data+Identity – mais – ce qui est paradoxal, c’est que la plupart des designs et infrastructures Active Directory ont été implémentés il y a une dizaine d’années, à une époque où la sécurité périmétrique été reine et le Cloud public s’appelait encore ASP… Il y a donc beaucoup de chose à revoir, quitte à bousculer les certitudes…
Il est au final assez simple de mesurer le niveau de sécurité d’un environnement Active Directory, j’utilise généralement 10 questions assez simples me permettant d’évaluer le niveau de maturité du client sur la partie Active Directory :
Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, dans la deuxième partie nous avons parcouru toutes les étapes nécessaires à l’installation du produit, maintenant explorons les différents paramétrages et quelques fonctions de cette solution.
| Vous pouvez lancer la console web de gestion de Microsoft ATA en utilisant l’icône sur le bureau : |  |
La console web se lance sur la page principale de la solution ATA qui est une espèce de tableau de bord des différentes alertes :
L’équipe Samba a découvert une vulnérabilité critique (CVE-2018-1057) sur Samba 4 en mode Active Directory Domain Controller. Cette vulnérabilité n’impacte pas Samba en mode NT ou mode serveur de fichier.
Cette vulnérabilité permet à n’importe quel utilisateur authentifié de modifier le mot de passe de tous les autres utilisateurs, ceci incluant les mots de passe des comptes d’administration de l’annuaire ! Tout cela au travers d’une simple connexion LDAP.
Voir ce lien: https://wiki.samba.org/index.php/CVE-2018-1057 pour l’explication liée à cette vulnérabilité et comment corriger le problème.
A corriger immédiatement !
Une vidéo courte présentant les capacités d’Azure Information Protection, notamment l’intégration des environnements on-prem et l’intégration des fonctions dans le portail Azure.
Dans le premier article de notre série consacrée à ATA nous avons évoqué les fonctions globales du produit, maintenant voyons comment réaliser une installation et comment réaliser une mise à jour avec des patchs ATA sur une version existante.
Cet article est réalisé avec la version 1.8.6645 de Microsoft ATA disponible en téléchargement sur Microsoft MSDN. Nous réaliserons ensuite une mise à jour de la version disponible sur Microsoft MSDN.
La première étape consiste à installer l’ATA Center sur un serveur Windows Server dédié.
Copier le contenu de l’ISO dans un répertoire sur le disque dur local et ne pas exécuter l’installation directement depuis l’ISO monté dans le système.
Lancer l’installation en lançant l’application « Microsoft ATA Center Setup ».
Je vous conseille de réaliser l’installation en langue Anglaise et de réaliser une installation sur un OS en Anglais – Microsoft ATA est supporté sur les OS Français et propose une interface applicative en Français, mais comme d’habitude, il est au final plus simple de consulter les différentes documentation en langue Anglaise :
Je commence ici une série d’articles sur Microsoft ATA. Nous allons découvrir ensemble rapidement quels sont les objectifs de Microsoft ATA, décrire l’installation et le paramétrage de base. Nous verrons ensuite comment paramétrer certaines fonctions plus avancées puis nous réaliserons des attaques de tests pour vérifier le bon fonctionnement.
Microsoft Advanced Threat Analytics (ATA) est une plateforme locale qui aide à protéger votre entreprise contre plusieurs types d’attaques informatiques ciblées et de menaces internes avancées.
Microsoft ATA fournit des fonctionnalités de détection pour les différentes phases d’une attaque avancée : reconnaissance, compromission des informations d’authentification, mouvement latéral, élévation des privilèges, contrôle du domaine, etc. Les attaques avancées et les menaces internes peuvent ainsi être détectées avant de pouvoir causer des dommages dans l’organisation. Chaque type de détection correspond à un ensemble d’activités suspectes liées à la phase en question, chacune de ces activités correspondant elle-même à différents types d’attaques possibles. Les phases de la « kill-chain » où ATA fournit une détection sont mises en surbrillance dans l’image suivante :
De base, lorsque l’on veut créer une arborescence depuis le snap-in « Utilisateur et ordinateurs Active Directory », il n’est possible que de créer des Unités d’Organisation (Organization Unit) :
Or, dans certains cas, il est souhaitable de pouvoir créer un objet de type containeur (container), notamment s’il n’est pas nécessaire d’avoir d’application de GPOs sur les objets contenus dans ce répertoire ou pour stocker des objets de types SCP par exemple.
Bien entendu, il est possible de passer par PowerShell pour créer un objet containeur, mais il est également possible d’activer une fonction graphique directement dans les consoles MMC.
Pour la manipulation, il faut utiliser un compte qui appartient au groupe « schema admins » – ouvrir ADSIEDIT et se connecter sur la partition du schéma : Lire la suite