aMS Strasbourg Cybersec et M365 en action 14102021

1
aMS Strasbourg
14/10/2021
CyberSec et Microsoft
365 en action
Clément Serafin & Sébastien Paulet

#aMSStrasbourg – Clément Serafin - @SP_twit 3
Enterprise Solutions
Architect
Blog
sppublish.wordpress.com
M365 Architect Blog
@SP_twit

#aMSStrasbourg – Clément Serafin - @SP_twit
Microsoft 365
Windows Office 365 EM+S

Enterprise Mobility + Security
• Azure Active Directory Premium
• Azure MFA
• Azure Advanced Protection
• Microsoft Cloud App Security
• Azure Information Protection Premium
• Azure Right Management Premium
• Intune

Programme de la session
• Arnaque au président / Phishing
• Brute force / spray attack
• Contournement MFA
• Fuite de données utilisateurs
• Fuite de données administrateur
• Perte/vol de terminaux
• Cryptolockers / ransongiciel

Arnaque au president / Phishing
• En diminution pour les grandes entreprises, en augmentation pour les
TPE/PME
• Pour se protéger :
◦ Sensibilisation
◦ Ne pas laisser d’informations sur Internet
◦ ACTION : Prévenir l’usurpation (spoofing) de mail en implémentant
SPF, DKIM, DMARC

• Fonctionnalités incluses dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
◦ Filtre de connexion
◦ Antivirus
◦ Règles de filtrage
◦ Anti Spam (SCL, BCL)
◦ [EMS]Si MDI, MDI
◦ Delivery
Livraison de mail par Exchange Online Protection (EOP)

• Audit Logging (EOP)
• Antiphishing protection (EOP)
• Advanced Antiphishing protection (MDI)
• Anti-Spam (EOP)
• Anti-Malware (EOP)
• Analyse des pièces-jointes (EOP/MDI)
• Safe Links (EOP/MDI)
EOP / Microsoft Defender for Identity
EOP est inclus dans Exchange par défaut
MDI fait partie d'EMS E5 (AzureAD P2)

M365 Defender > Attack simulator training
Inclus dans MDI
Fait partie d'EMS E5 (AzureAD P2)

13
Brute force /
spray attack
CSN

Casser un mot de passe
• Password Spraying
• Brute force
• Achat d'ancienne base de mot passe (73% des utilisateurs réutilise des mdp)
• Phishing
• Enregistreur de frappe
• Mot de passe "post-it"
• Extorsion

Extrait des connections d'une société française

Vérification des données de connexion par l’utilisateur
• Voir: https://mysignins.microsoft.com

AD Smart Lock / IP Smart Lock
• Si AD OnPrem : Fonctionne seulement si l’authentification est gérée coté Cloud
• Par défaut : Verrou de 60s après
10 tentatives KO
• Activation sur
https://aad.portal.azure.com/
> Security
Azure AD P1 requis pour mettre à jour
les paramètres

MFA classique
• Inclus dans Office 365
• Paramètrage de la méthode
authentication / du cache.
• [EMS]Conditional Access
• Garder un compte admin sans MFA
(Glass breaker) avec un mot de passe
aléatoire de 20+ caractères

Désactivation des protocoles hérités
• Microsoft va désactiver les
protocoles basiques Octobre 2022
Protocole / service Paramètre (pour la stratégie)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell

Désactivation de l’autoforward vers les comptes externes
• Création d’un règle de transport

Contourner un 2FA
Jack Dorsey, Twitter CEO. Piraté par SIM SWAP fin 2019

Outil MitM MFA : EvilGinx

Demo MitM MFA : EvilGinx

Passwordless avec Authenticator
• Pour l’utilisateur, aller sur https://aka.ms/mysecurityinfo pour paramètrer
Authenticator (nécessite d’enregistrer le téléphone)
• Ne protège pas des attaques MitM

FIDO2
• Protège des attaques MiitM telles EvilGinx

28
Fuite de données
utilisateurs
SPT

La menace interne
Source : Haystax Insider threat report 2019

Etiquettes de confidentialité
• Application manuelle ou auto (règle ou IA *)
• Chiffrement des fichiers à la volée
◦ Impossible à ouvrir si pas authentifié/ pas
autorisé
• Restriction des permissions
◦ Disabling copy and paste, printing,
screenshot, email transfer, etc.
• Watermarking
◦ on Word files
• Blocking copy on USB key
/ Attachments on non
O365 services
Dès O365 E3
O365 E5 pour application auto
Nécessite Intune
et WIP (M365 E3)

Etiquettes de confidentialité
• Amène les permissions au niveau fichier
• Peuvent être organisées en étiquettes / sous
étiquettes
• Système clé Publique/privée
(clé publique RSA 2048 bits, et SHA-256 pour les signatures)
Voir https://docs.microsoft.com/fr-fr/information-protection/
understand-explore/how-does-it-work
• Pour les documents les plus sensibles
◦ Utiliser DKE (Double Key Encryption)
◦ Utilise un système tier pour gérer la second clé -> Microsoft est incapable de déchiffrer le fichier
◦ Limitation sur les services (antimalware, eDiscovery, recherche, Office Web Apps)
Nécessite O365 E5 /
M365 E5 Compliance / Info. Protect. And Gov.

33
Fuite de données
administrateurs
SPT

Il était administrateur SharePoint

POLP – Principe of LEAST privilèges appliqués aux admins
M365
• Meilleure Sécurité (Snowden n’avait besoin que de faire des backups)
• Minimise la surface d’attaque
• Limite la diffusion de virus

Recommandations générales
• Comptes administrateurs nominaux
• 2 à 4 comptes administrateurs de domaine MAX
• 1 ou 2 comptes icebreaker (20+ chars pwd, renouvelé périodiquementet après
usage).
• Machines dédiées pour les comptes admins
• MFA/Passwordless obligatoire
• Délégation des droits sur le principe de moindre privilèges
• PIM (pour les grandes sociétés)

37
Pertes/vols de
terminaux
SPT

Recommandations générales
• Chiffrement Bitlocker encryption des disques durs (possibilité de passer admin
local sinon) et du BIOS
• Implementation de solution MDM/MAM

MDM / MAM
• System Center Configuration Manager (SCCM)
◦ « vieux »
◦ Pour Windows
◦ Fait partie de System Center
◦ Intégrable dans Intune
• MDM pour O365
◦ Inclus dans O365
◦ Compatible iOS, Andoid, Windows
◦ Security policies (ex : prérequis password)
◦ Effacement à distance
• Microsoft Intune
◦ MDM complet
◦ Inclu dans EMS ou à part
◦ Fait la même chose que MDM pour O365
◦ + Mac OS
◦ + Déploiement d’Apps
◦ + In App policies (ex : restriction du copier-coller)
EMS E3

Effacement à distance du terminal
• https://devicemanagement.microsoft.com/
EMS E3

41
Cryptolockers et
ransongiciels
SPT

Sécuriser l’Active Directory
• L’Ad reste la première source de brèches

Restaurer les documents d’un O4B, SPO ou Teams
• En cas de ransomware / erreur de manipulation, l’utilisateur peut restaurer l’ensemble de la
bibliothèque de documents à un état antérieur (1 à 30 jours avant).
• M365 Antimalware et ransomware protection dans Defender 365 (M365 E5) bloque la
synchronization de tout ransomware.

Bloquer une machine avec Intune
• Créer une stratégie Intune
EMS E3

45
Et si vous n’avez
pas le temps

Pour la creation d’un tenant de zero pour TPE
• Admin MFA
• Users MFA
• Deactivation of
legacy protocols
• MFA for actions with
privilege
• This is the future of
Microsoft default
settings within 5
years
46

Au delà
• Identity Days https://identitydays.com/ le 28/10 pour la presentation de Harden365
• Solution communautaire Open Source pour durcir un tenant M365 en quelques minutes
47

aMS Strasbourg Cybersec et M365 en action 14102021

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a aMS Strasbourg Cybersec et M365 en action 14102021

Semelhante a aMS Strasbourg Cybersec et M365 en action 14102021 (20)

Mais de Sébastien Paulet

Mais de Sébastien Paulet (20)

aMS Strasbourg Cybersec et M365 en action 14102021