1. Découvrez les bonnes pratiques de sécurité
en environnement Microsoft
Arnaud Jumelet
National Security Officer – Microsoft France
François Tachoires
Technical Sales Engineer – Microsoft France

2. Agenda Introduction
Bonnes pratiques de sécurité
• Active Directory
• Windows 10
• Microsoft 365 (Office 365) / Azure AD
Conclusion - Q&A

3. Cyber-Hygiène
93%
Des incidents de sécurité auraient pu
être évités si des mesures simples de
« Cyber-Hygiène » avaient été prises1
1. https://www.internetsociety.org/fr/news/communiques-de-presse/2018/online-trust-alliance-reports-doubling-cyber-incidents-2017/
Avez-vous trop de
Domain /Global admins?
Utilisez-vous des
protocoles obsolètes ?
(SSL3.0, SMB v1…)
Utilisez-vous l'authentification
multi-facteurs?
Avez-vous déployé les
derniers correctifs ?

4. Bonnes pratiques de sécurité
Identité forte Santé de l’appareil
Accès minimum Contrôle des défenses

5. Chaînes d’attaque récentes de ransomware
Un pirate cible les employés
par une campagne de phishing1
Les utilisateurs ouvrent les e-mails et
sont dirigés vers des sites malveillants
pour télécharger du code
2
Les utilisateurs exécutent du code
malveillant et le système
d'exploitation est compromis.
Any
Le pirate extrait des credentials4
3
Un pirate abuse d'un mot de passe volé
5
Le pirate propage l’attaque sur des
serveurs membres et les postes de
travail
6
Le pirate accède aux ressources
cloud de type (SaaS) avec les
identités d'utilisateurs volées
7
https://www.microsoft.com/security/blog/2020/04/28/ransomware-groups-continue-to-target-healthcare-critical-services-heres-how-to-reduce-risk/

6. Les attaquants doivent disposer...
Comptes utilisateurs (credentials)
Permissions (compte privilégié)
Accès (connectivité aux ressources)
• Mot de passe faible ou volé
• Mêmes mots de passe d’administrateur
local sur les serveurs et les postes de
travail
• Ouverture d’un e-mail
• Serveurs accessibles en RDP depuis
Internet (sans MFA)
• Administration depuis un postes de
travail sans configuration de sécurité
• Défaut de mise à jour
• Elévation de privilèges

7. Le vol d’information d’authentification est possible si
Les credentials sont disponibles (Available)
Possibilité d’extraire les credentials de l'appareil (Extractable)
Possibilité d'utiliser les credentials à partir d'un autre appareil
(Usable)

8. Limiter la disponibilité des credentials
Disponible
Extractible
Utilisable
• Capacité à gérer les appareils et les hôtes à l'aide du bureau
à distance sans exposer les credentials (RestrictedAdmin mode RDP)
• Protected users group
Réduction de l’empreinte mémoire des credentials dans
Windows

9. Limiter l’extractibilité des credentials
Disponible
Extractible
Utilisable
Windows 2000 et supérieur
• Cartes à puce physiques
Note: Les informations d’identification dérivées NTLM et Kerberos sont
toujours extractibles avec des droits administrateurs sans Credential Guard.
Windows 10
• Credential Guard (pour les comptes de domaine)
• Windows Hello For Business
• Certificat protégé par TPM
• Clés de sécurité FIDO2

10. Limiter le rejeu des credentials
Disponible
Extractible
Utilisable
Windows 7 and Windows Server 2008 R2 et supérieur
• Microsoft LAPS : génération d’un mot de passe complexe, fort et aléatoire pour le
compte local des postes de travail et serveurs afin de se protéger contre les mouvements
latéraux.
Windows 10
• Token Binding with (Hybrid) Azure AD Joined
Domaines Windows Server 2012 R2 et supérieur
• Restricting domain users to specific domain-joined devices with Authentication Policies
• Protected Users Group pour les comptes privilégiés
Windows Server 2016 DCs
• Renouvellement automatique du mot de passe lors de l’utilisation de WHFB, VSC
et carte à puces.
• PKInit Freshness Extension
Azure AD
• Authentification multi-facteurs
• Contrôles d’accès conditionnel

11. Limiter le rejeu des credentials
Disponible
Extractible
Utilisable
Protected Users Group
Prérequis sur les contrôleurs de domaine
• Windows Server 2012 R2 domain functional level account domain (for all features)
Prérequis Clients
• Windows 7 / Server 2008 R2 et supérieur
Les membres du groupe ne peuvent pas :
• Effectuer d'authentifications NTLM ;
• Wdigest et Credssp ne sont plus stockées dans LSASS.
• Se connecter hors ligne: aucun vérificateur mis en cache n'est créé lors de la connexion.
• Utiliser les suites de chiffrement DES (Data Encryption Standard) ou RC4 dans la pré-authentification
Kerberos ;
• être délégués en utilisant la délégation kerberos non contrainte ou contrainte ;
• renouveler les tickets TGT utilisateur au-delà de la durée de vie initiale de 4 heures. (configurable)

12. Protection contre le vol de credential
December 2012:
First release of document ”Mitigating Pass-the-Hash (PtH)
Attacks and Other Credential Theft Techniques.”
Focus on Protection
July 2014:
New Guidance ”Mitigating Pass-the-Hash and Other
Credential Theft, version 2.”
Update on Detection and Recovery
July 2014:
Document and scripts to renew KRBTGT. - aka.ms/reset-krbtgt
July 2015:
Release of Microsoft LAPS – aka.ms/laps
General availability of Windows 10, Windows Hello and Credential
Guard
February 2020:
Public Preview of FIDO2 for Hybrid environment

13. Bonnes pratiques de sécurité Active Directory
Limiter et Protéger les comptes privilégiés
Appliquer les correctifs sur l’ensemble de l’environnement (Applications et OS)
Encadrer l'utilisation des mots de passe / Diversifier les mots de passe des comptes administrateurs locaux (LAPS)
Mettre en œuvre le modèle de tiers / Silos d’authentification
Utiliser des postes d’administration à sécurité renforcée / Secured-core PCs
Protéger les contrôleurs de domaine (serveurs) ainsi que les serveurs de tiers-0 (Azure AD Connect, ADFS, ADCS…)
Faire régulièrement et mettre à l’abris les sauvegardes
Vérifier régulièrement la configuration Active Directory

14. ANSSI - Points de contrôle Active Directory
• 57 points de contrôles pour le suivi du niveau de sécurité
• Approche par pallier avec un niveau de 1 à 5
• Document qui sera enrichi régulièrement
https://www.cert.ssi.gouv.fr/uploads/guide-ad.html - Juin 2020

15. Autres bonnes pratiques de sécurité Active Directory
Utiliser des configurations de sécurité sur vos serveurs et postes de travail
Assurez-vous que les comptes privilégiés ne disposent PAS de comptes de
messagerie
Filtrer la navigation sur Internet avec des comptes hautement privilégiés
Maintenir les groupes Active Directory « Opérateurs » toujours vides.

16. Active Directory Password Protection*
Moderniser sa politique de mots
de passe pour bloquer les
attaques « password spray »
* Natif dans Azure AD, nécessite Azure AD Premium pour Windows Server AD

17. Azure ATP pour la protection de l’identité AD onprem

18. Azure ATP – Comment cela fonctionne

19. Azure ATP – Configurations à risque dans AD

20. Azure ATP – Intégration au Secure Score

21. Microsoft Security Baseline
• 300 paramètres de sécurité pour Windows
connues et testées
• Contient les valeurs de sécurité
recommandées pour les postes de travail, les
serveurs membres et les contrôleurs de
domaine AD
• Couvre également Edge et Office 365 ProPlus
• Version Draft pour Windows 10 & Windows
Server 2004 https://aka.ms/sct

22. Modern Endpoint
Security
Management
Moderniser l’administration de la
sécurité du poste de travail et des
terminaux mobile

23. Defender ATP –
Gestion des
vulnérabilités
• Découverte en continu
• Priorisation basée sur le
contexte
• Remédiation simplifiée

24. Microsoft Secure Score
Disponible avec Office 365
Visualiser et améliorer votre posture de sécurité
• Un aperçu de votre niveau de sécurité en une seule console
• Des actions recommandées pour améliorer votre posture de
sécurité
Compatible avec les rôles en lecture seule de type
Security Reader ou Global Reader
Bonnes pratiques Cloud Microsoft – CIS Benchmark:
https://www.cisecurity.org/benchmark/microsoft_office/
securescore.microsoft.com

25. Office 365 ATP
Recommended
Configuration
Analyzer (ORCA)
Auditer la configuration de vos
paramètres Exchange Online
Protection et Office ATP anti-
spam, anti-phishing, et autres

26. Office Cloud Policy Service
Compatible avec les rôles Global
Administrator, Security Administrator et
Office Apps Admin
• Plus de 2097 paramètres utilisateurs disponibles
• Dont 87 paramètres appartenant à la catégorie
« Security Baseline »
Disponible avec version 1808 ou supérieure
• Il est toujours possible de déployer des GPO :
Security baseline for Office 365 ProPlus
config.office.com https://docs.microsoft.com/fr-fr/deployoffice/overview-office-cloud-policy-service

27. Security Policy Advisor for Office 365 ProPlus
Les recommandations pour les stratégies
de sécurité suivantes :
• Paramètres de notification de macro VBA
• Blocage des macros dans les fichiers
Office provenant d’Internet
• Désactiver tous les contrôles ActiveX
• Vérifier les objets ActiveX
Disponible avec version 1908 ou supérieure
https://docs.microsoft.com/en-us/DeployOffice/overview-of-security-policy-advisor

28. Azure Active
Directory –
supervision de la
configuration
• « Security defaults »
• Supervision de
l’enregistrement au MFA
• Supervision de l’accès
conditionnel
• Consentement utilisateur
• Supervision des comptes à
privilège
https://aka.ms/securitysteps

29. Posture de sécurité en environnement Microsoft

30. Conclusion
Appliquer les bonnes pratiques de sécurité
Active Directory / Azure AD
• Limiter et protéger les comptes à privilèges
• Déployer LAPS
Appliquer toutes les mises à jour
Poste d’administration à sécurité renforcée
Activer l’authentification multi-facteur (MFA)
• Accès conditionnel via Azure Active Directory pour
protéger les identités privilégiées.
Suivre en continu votre posture de sécurité (points
de contrôle AD) et tableau de bord, comme
Microsoft Secure Score et ORCA

31. Questions ?

32. Merci !