9. #aMSStrasbourg – Clément Serafin - @SP_twit
Arnaque au president / Phishing
• En diminution pour les grandes entreprises, en augmentation pour les
TPE/PME
• Pour se protéger :
◦ Sensibilisation
◦ Ne pas laisser d’informations sur Internet
◦ ACTION : Prévenir l’usurpation (spoofing) de mail en implémentant
SPF, DKIM, DMARC
10. #aMSStrasbourg – Clément Serafin - @SP_twit
• Fonctionnalités incluses dans O365. Add-on pour Exchange On-Premise
• Mails entrants:
◦ Filtre de connexion
◦ Antivirus
◦ Règles de filtrage
◦ Anti Spam (SCL, BCL)
◦ [EMS]Si MDI, MDI
◦ Delivery
Livraison de mail par Exchange Online Protection (EOP)
11. #aMSStrasbourg – Clément Serafin - @SP_twit
• Audit Logging (EOP)
• Antiphishing protection (EOP)
• Advanced Antiphishing protection (MDI)
• Anti-Spam (EOP)
• Anti-Malware (EOP)
• Analyse des pièces-jointes (EOP/MDI)
• Safe Links (EOP/MDI)
EOP / Microsoft Defender for Identity
EOP est inclus dans Exchange par défaut
MDI fait partie d'EMS E5 (AzureAD P2)
12. #aMSStrasbourg – Clément Serafin - @SP_twit
M365 Defender > Attack simulator training
Inclus dans MDI
Fait partie d'EMS E5 (AzureAD P2)
14. #aMSStrasbourg – Clément Serafin - @SP_twit
Casser un mot de passe
• Password Spraying
• Brute force
• Achat d'ancienne base de mot passe (73% des utilisateurs réutilise des mdp)
• Phishing
• Enregistreur de frappe
• Mot de passe "post-it"
• Extorsion
16. #aMSStrasbourg – Clément Serafin - @SP_twit
Vérification des données de connexion par l’utilisateur
• Voir: https://mysignins.microsoft.com
17. #aMSStrasbourg – Clément Serafin - @SP_twit
AD Smart Lock / IP Smart Lock
• Si AD OnPrem : Fonctionne seulement si l’authentification est gérée coté Cloud
• Par défaut : Verrou de 60s après
10 tentatives KO
• Activation sur
https://aad.portal.azure.com/
> Security
Azure AD P1 requis pour mettre à jour
les paramètres
18. #aMSStrasbourg – Clément Serafin - @SP_twit
MFA classique
• Inclus dans Office 365
• Paramètrage de la méthode
authentication / du cache.
• [EMS]Conditional Access
• Garder un compte admin sans MFA
(Glass breaker) avec un mot de passe
aléatoire de 20+ caractères
19. #aMSStrasbourg – Clément Serafin - @SP_twit
Désactivation des protocoles hérités
• Microsoft va désactiver les
protocoles basiques Octobre 2022
Protocole / service Paramètre (pour la stratégie)
Exchange Active Sync (EAS) AllowBasicAuthActiveSync
Autodiscover AllowBasicAuthAutodiscover
IMAP4 AllowBasicAuthImap
MAPI over HTTP (MAPI/HTTP) AllowBasicAuthMapi
Offline Address Book (OAB) AllowBasicAuthOfflineAddressBook
Outlook Service AllowBasicAuthOutlookService
POP3 AllowBasicAuthPop
Reporting Web Services AllowBasicAuthReportingWebServices
Outlook Anywhere (RPC over HTTP) AllowBasicAuthRpc
Authenticated SMTP AllowBasicAuthSmtp
Exchange Web Services (EWS) AllowBasicAuthWebServices
PowerShell AllowBasicAuthPowerShell
20. #aMSStrasbourg – Clément Serafin - @SP_twit
Désactivation de l’autoforward vers les comptes externes
• Création d’un règle de transport
25. #aMSStrasbourg – Clément Serafin - @SP_twit
Passwordless avec Authenticator
• Pour l’utilisateur, aller sur https://aka.ms/mysecurityinfo pour paramètrer
Authenticator (nécessite d’enregistrer le téléphone)
• Ne protège pas des attaques MitM
29. #aMSStrasbourg – Clément Serafin - @SP_twit
Etiquettes de confidentialité
• Application manuelle ou auto (règle ou IA *)
• Chiffrement des fichiers à la volée
◦ Impossible à ouvrir si pas authentifié/ pas
autorisé
• Restriction des permissions
◦ Disabling copy and paste, printing,
screenshot, email transfer, etc.
• Watermarking
◦ on Word files
• Blocking copy on USB key
/ Attachments on non
O365 services
Dès O365 E3
O365 E5 pour application auto
Nécessite Intune
et WIP (M365 E3)
31. #aMSStrasbourg – Clément Serafin - @SP_twit
Etiquettes de confidentialité
• Amène les permissions au niveau fichier
• Peuvent être organisées en étiquettes / sous
étiquettes
• Système clé Publique/privée
(clé publique RSA 2048 bits, et SHA-256 pour les signatures)
Voir https://docs.microsoft.com/fr-fr/information-protection/
understand-explore/how-does-it-work
• Pour les documents les plus sensibles
◦ Utiliser DKE (Double Key Encryption)
◦ Utilise un système tier pour gérer la second clé -> Microsoft est incapable de déchiffrer le fichier
◦ Limitation sur les services (antimalware, eDiscovery, recherche, Office Web Apps)
Nécessite O365 E5 /
M365 E5 Compliance / Info. Protect. And Gov.
34. #aMSStrasbourg – Clément Serafin - @SP_twit
POLP – Principe of LEAST privilèges appliqués aux admins
M365
• Meilleure Sécurité (Snowden n’avait besoin que de faire des backups)
• Minimise la surface d’attaque
• Limite la diffusion de virus
35. #aMSStrasbourg – Clément Serafin - @SP_twit
Recommandations générales
• Comptes administrateurs nominaux
• 2 à 4 comptes administrateurs de domaine MAX
• 1 ou 2 comptes icebreaker (20+ chars pwd, renouvelé périodiquementet après
usage).
• Machines dédiées pour les comptes admins
• MFA/Passwordless obligatoire
• Délégation des droits sur le principe de moindre privilèges
• PIM (pour les grandes sociétés)
37. #aMSStrasbourg – Clément Serafin - @SP_twit
Recommandations générales
• Chiffrement Bitlocker encryption des disques durs (possibilité de passer admin
local sinon) et du BIOS
• Implementation de solution MDM/MAM
38. #aMSStrasbourg – Clément Serafin - @SP_twit
MDM / MAM
• System Center Configuration Manager (SCCM)
◦ « vieux »
◦ Pour Windows
◦ Fait partie de System Center
◦ Intégrable dans Intune
• MDM pour O365
◦ Inclus dans O365
◦ Compatible iOS, Andoid, Windows
◦ Security policies (ex : prérequis password)
◦ Effacement à distance
• Microsoft Intune
◦ MDM complet
◦ Inclu dans EMS ou à part
◦ Fait la même chose que MDM pour O365
◦ + Mac OS
◦ + Déploiement d’Apps
◦ + In App policies (ex : restriction du copier-coller)
EMS E3
39. #aMSStrasbourg – Clément Serafin - @SP_twit
Effacement à distance du terminal
• https://devicemanagement.microsoft.com/
EMS E3
41. #aMSStrasbourg – Clément Serafin - @SP_twit
Sécuriser l’Active Directory
• L’Ad reste la première source de brèches
42. #aMSStrasbourg – Clément Serafin - @SP_twit
Restaurer les documents d’un O4B, SPO ou Teams
• En cas de ransomware / erreur de manipulation, l’utilisateur peut restaurer l’ensemble de la
bibliothèque de documents à un état antérieur (1 à 30 jours avant).
• M365 Antimalware et ransomware protection dans Defender 365 (M365 E5) bloque la
synchronization de tout ransomware.
43. #aMSStrasbourg – Clément Serafin - @SP_twit
Bloquer une machine avec Intune
• Créer une stratégie Intune
EMS E3
45. #aMSStrasbourg – Clément Serafin - @SP_twit
Pour la creation d’un tenant de zero pour TPE
• Admin MFA
• Users MFA
• Deactivation of
legacy protocols
• MFA for actions with
privilege
• This is the future of
Microsoft default
settings within 5
years
46
46. #aMSStrasbourg – Clément Serafin - @SP_twit
Au delà
• Identity Days https://identitydays.com/ le 28/10 pour la presentation de Harden365
• Solution communautaire Open Source pour durcir un tenant M365 en quelques minutes
47