#Identity Cosmos » Flux Identity Cosmos » Flux des commentaires Skip to content (BUTTON) Primary Menu * Accueil * A propos de l’auteur * Flux RSS * Formulaire de contact (BUTTON) Search Rechercher : ____________________ Rechercher Identity Cosmos | Le blog francophone sur la gestion des identités et des accès & la CyberSécurité | Contes et légendes informatiques inachevées – Livre 1 « Sécurité Informatique : toujours se méfier des applications mobiles gratuites… » 31 août 201918 septembre 2019Sylvain2 Comments Contes et légendes informatiques inachevées – Livre 1 « Sécurité Informatique : toujours se méfier des applications mobiles gratuites… » Je m’en vais vous conter une bien étrange histoire… Mais je vais vous donner la morale de l’histoire au début de celle-ci : se méfier, toujours se méfier des services ou applications gratuits. Chapitre 1 : un appel au secours Je suis à Genève, chez un de mes clients quand je reçois l’appel d’un ami qui me dit avoir un problème avec son compte email. Mon ami Cyril est arbitre de handball, et suivant mon conseil il s’est créé une adresse email dédiée pour dialoguer avec la FFHB. Il utilise une adresse en @outlook.fr et consulte ses emails depuis son PC ou depuis son mobile Android. Il n’est pas très féru d’informatique, mais aucun problème pour lui quant au paramétrage d’une boite email sur un mobile, il fait lui-même office de référent informatique auprès de sa petite famille ! Il m’explique que sa boite email est bloquée, qu’il n’arrive plus à se connecter. Etant à l’étranger, et ne pouvant pas passer rapidement chez lui, il m’envoie son login+mdp, oui je sais ce n’est pas bien, mais cet ami c’est la famille, donc pas de problème de confidentialité entre nous. Je teste rapidement depuis mon PC, et effectivement l’interface outlook.com m’indique que la boite a été bloquée par mesure de sécurité car une activité suspecte a été détectée. Dans ce cas il faut suivre une procédure de déblocage avec un envoi de code unique part SMS sur le numéro de GSM fourni à la création de la boite email. Comme je suis chez un client et que je ne suis pas trop disponible, je lui dis que nous voyons tout cela à mon retour. Nous convenons de nous rappeler, et je vaque à mes activités sécurité chez mon client. 2 jours après, retour en France. Chapitre 2 : la hotline personnelle Le Samedi suivant je rappel Cyril pour commencer mon service de hotline personnelle (tout bon consultant informatique sert de hotline à ses amis, ses enfants, ses parents, ses cousins, les amis des cousins, les amis des amis, etc.) – je commence par me connecter à sa boite email via mon navigateur et débute la procédure de déblocage habituelle : envoi de code par SMS, etc. J’en profite pour ajouter quelques paramètres de sécurité sur son compte – au bout de 5 minutes, tout fonctionne. Il teste de son côté, pareil, tout est ok. Futuroscope Yes GIF - Find & Share on GIPHY Chapitre 3 : Le marché aux tulipes Une fois la situation stabilisée, je l’interroge, as-tu changé quelque chose qui pourrait expliquer le blocage de ton compte ? il m’assure que non. Je me connecte alors sur le résumé d’activité de son compte outlook.com pour vérifier si quelqu’un n’aurait pas « pirater » (mot qui ne veut rien dire mais que tout le monde comprend) sa boite email. Les surprises commencent. Je visualise la dernière connexion depuis mon PC : Et je vois aussi d’autres connexions depuis son téléphone mobile après le déblocage (il a en effet testé depuis son PC et depuis son mobile) – et je vois que la connexion depuis son mobile a été réalisée depuis… les Pays-Bas ! Nous faisons plusieurs tests, et nous constatons que via usage du mobile, plusieurs adresses IP sont utilisées, elles commencent toutes par 185.30.x.x et semblent provenir des Pays-Bas. Mon premier réflexe est de penser que l’algorithme de localisation des IPs à perdu les pédales chez Microsoft (cela m’est déjà arrivé il y a un an chez un client utilisateur d’Azure AD) je vérifie donc le range IP et sa provenance éventuelle, effectivement range IP associé aux Pays-Bas : Je commence sérieusement à me poser des questions… Cyril me confirme que son opérateur GSM est Free Mobile, je me dis « tiens curieux Free Mobile utilise des IP à l’étranger », je vérifie alors qu’elles sont les IP attribuées à Free Mobile : Rien au Pays-Bas… et surtout des adresses qui commencent par 37.x.x.x. Je commence à y perdre mon Latin (Rosa, Rosae, etc…) Chapitre 4 : Le pot aux roses du gratuit Je demande à Cyril de vérifier l’adresse IP publique qu’il a sur son mobile actuellement, et là surprise, il s’agit bien d’une adresse Free…commençant par 37. Bon reprenons, quand Cyrill se connecte à Outlook.com depuis son PC, aucun problème, adresse IP Française. Quand Cyril se connecte depuis son Android via Free Mobile, adresse IP aux Pays-Bas sur Outlook.com alors qu’il a bel et bien une adresse IP publique Free sur son mobile. Je me calme… et réfléchi deux minutes… et là bingo ! La seule chose qui est « entre » l’OS mobile et Outlook.com, c’est… l’application mobile qu’il utilise pour se connecter à sa boite email. Je lui demande quelle application mobile il utilise, réponse myMail. Il me dit « c’est super, c’est simple et c’est gratuit » Bon là mon sang se glace, il a dit le mot clé maudit « gratuit ». Par expérience, rien n’est gratuit, si effectivement cette application est gratuite et est aussi parfaite que semble le dire Cyril, il y a un loup, c’est évident. Cela me rappel un consultant IAM tout juste sorti du moule qui ne comprenait pas pourquoi je préférais acheter le browser LDAP LEX pour travailler chez les clients plutôt que d’utiliser des trucs opensource depuis sourceforge… Il comprendra avec l’expérience. Je commence quelques recherches sur Internet, et là je comprends…Je vous conseille la lecture de ce document du ministère de l’éducation: https://ssi.univ-lille.fr/sites/ssi.univ-lille.fr/files/ssi/20160401_Fi che_MyMail.pdf Pour résumé, myMail est en fait un service hébergé sur des serveurs aux Pays-Bas et en Russie (déjà cela sent bon l’embrouille) – quand vous installez l’application depuis Google Play ou depuis Apple Store et paramétrez ensuite cette application avec vos identifiants (login+mdp) disons en utilisant IMAP, vos identifiants ainsi que votre configuration n’est pas stockée sur votre mobile mais sur les fameux serveurs à l’étranger. La connexion IMAP se fait alors entre le serveur (Aux Pays-Bas ou en Russie) et votre service de messagerie, puis via HTTPS, le service web des serveurs poussent ou tirent les emails vers ou depuis votre application mobile myMail. Cela signifie que le service myMail monnaie ensuite vos identifiants à des personnes tierces…ou à minima vend des informations sur vous et votre usage de l’email. Cyril utilise cette application depuis longtemps, ces identifiants devaient etre stockés aux Pays-bas, et ce depuis le début. Donc pour Outlook.com, comportement normal. Je remonte dans les logs de connexion Outlook.com et surprise vois une connexion depuis la Russie, et la date correspond au blocage par sécurité du compte de Cyril. Le service web sur les Pays-Bas a basculé (pour incident ou maintenance) sur des serveurs Russes pendants quelques heures, ceci a été détecté et bloqué par Outlook.com La recommandation est alors de : 1. Changer vos identifiants sur myMail en mettant un mot de passe bidon 2. Faire un test de connexion pour bien vérifier que cela ne fonctionne plus et que le service n’a plus accès à vos emails 3. Désinstaller cette application Pour terminer, Cyril installe l’application mobile Microsoft Outlook et la paramètre. Fin de l’embrouille. Chapitre 5 : Le gratuit n’existe pas Déjà il ne faut pas confondre deux choses : Open Source et Gratuit. Travaillant dans la sécurité informatique, je suis un gros consommateur de solutions Open-Source (bloodhound, metaxploit, empire, etc.) – J’utilise aussi des produits de sécurité non-open-source, compilés, mais qui sont payants et dont je connais parfaitement l’éditeur. Peu m’importe le prix, si cela a suffisamment de valeur, il faut juste regarder le rapport qualité/prix – le prix seul ne veut rien dire. MAIS Ne jamais utiliser d’applications gratuites non-open-source – sauf si cela vient d’un éditeur établi – car là c’est assurément le début des problèmes… Conclusion Cette petite histoire (vraie) nous rappelle aussi une chose : la recherche, les tests, la curiosité sont la base de la connaissance. Comment aurais-je pu imaginer tomber sur quelque chose de semblable pour un simple problème de connexion à une boite email servant à des arbitres de HandBall… * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Fc ybersecurity%2Fcontes-et-legendes-informatiques-inachevees-livre-1- securite-informatique-toujours-se-mefier-des-services-gratuits&coun turl=http%3A%2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identityco smos.com%2Fcybersecurity%2Fcontes-et-legendes-informatiques-inachev ees-livre-1-securite-informatique-toujours-se-mefier-des-services-g ratuits&count=horizontal&text=Contes%20et%20l%C3%A9gendes%20informa tiques%20inachev%C3%A9es%20-%20Livre%201%20%C2%AB%20S%C3%A9curit%C3 %A9%20Informatique%20%3A%20toujours%20se%20m%C3%A9fier%20des%20appl ications%20mobiles%20gratuites%E2%80%A6%20%C2%BB: * * Facebook * Print * CyberSecurityAndroid, email, ip, myMail, outlook.com, Sécurité, security NIST: document décrivant la technologie émergente de gestion des identités par la BlockChain 16 juillet 2019SylvainLeave a comment Le NIST vient de mettre en ligne un document (en Draft) proposant une description des concepts de gestion de identités par la BlockChain. Au delà du document, les nombreuses références citées (que l’on retrouve à la fin du document) sont une mine d’or pour chaque personne voulant se documenter sur ces sujets. La description de l’étude est disponible [ ICI ] Le document est directement disponible [ ICI ] * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fnist-document-decrivant-la-technologie-emergente-de-gest ion-des-identites-par-la-blockchain&counturl=http%3A%2F%2Fwww.ident itycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ftechnique%2Fnist -document-decrivant-la-technologie-emergente-de-gestion-des-identit es-par-la-blockchain&count=horizontal&text=NIST%3A%20document%20d%C 3%A9crivant%20la%20technologie%20%C3%A9mergente%20de%20gestion%20de s%20identit%C3%A9s%20par%20la%20BlockChain: * * Facebook * Print * TechniqueBlockChain, Identité Digitale, Identity, NIST La carte des services Azure 17 juin 2019SylvainLeave a comment Un super travail de la part de @stephaneey qui a créé une carte des services Azure accessible au format image ou au format map: AZURE SERVICES MAP Très utile pour tous les consultants ou architectes qui travaillent sur Azure: format image: [LIEN] format map: [LIEN] * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fla-carte-des-services-azure&counturl=http%3A%2F%2Fwww.id entitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ftechnique%2Fl a-carte-des-services-azure&count=horizontal&text=La%20carte%20des%2 0services%20Azure: * * Facebook * Print * TechniqueAzure Tout ce que vous avez voulu savoir sur Azure AD + MFA sans avoir jamais osé le demander ! 24 avril 201924 avril 2019SylvainLeave a comment Je suis tombé un peu par hasard sur une série d’articles faisant un focus sur la fonction MFA en liaison avec Azure AD. Ces articles abordent des thèmes avec une grosse profondeur technique sous la forme une question / une réponse. Exemples de question: => Is there any equivalent feature in the Azure MFA Server for ” Allow users to remember multi-factor authentication on devices they trust ” that is available in Azure MFA? => Is there a way for us to migrate users [from our Azure MFA Server] to Azure MFA so there is no action required from the user’s perspective? => Can you/How do you secure on-prem OWA with MFA? C’est franchement très riche et doit être lu par tous les spécialistes Azure AD + les personnes travaillant dans la sécurité en général et sur le MFA en particulier. Ce qui est extrêmement intéressant avec le format, c’est que: 1/ cela permet de gagner en profondeur technique sur le sujet 2/ cela ouvre l’esprit sur des problématiques techniques auxquelles nous ne pensons pas 3/ cela permet de se projeter sur l’ensemble des usages possibles La liste des liens vers les articles des Q&A disponibles pour l’instant : Round 1: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/ Azure-AD-Mailbag-Q-amp-A-on-Azure-MFA/ba-p/244217 Round 2: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/ Azure-AD-Mailbag-MFA-Q-amp-A-Round-2/ba-p/244222 Round 3: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azu re-AD-Mailbag-MFA-Q-amp-A-Round-3/ba-p/249683 Round 4: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azu re-AD-Mailbag-MFA-Q-amp-A-Round-4/ba-p/249802 Round 5: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/ AzureAD-Mailbag-MFA-Q-amp-A-Round-5/ba-p/245033 Round 6: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azu reAD-Mailbag-MFA-Q-amp-A-Round-6/ba-p/250071 Round 7: https://techcommunity.microsoft.com/t5/Enterprise-Mobility-Security/Azu reAD-Mailbag-MFA-Q-amp-A-Round-7/ba-p/250088 Round 8: https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/ Azure-AD-Mailbag-MFA-Q-amp-A-Round-8/ba-p/390334 A consommer sans modération aucune ! * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fazure-mfa-question-reponse&counturl=http%3A%2F%2Fwww.ide ntitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ftechnique%2Faz ure-mfa-question-reponse&count=horizontal&text=Tout%20ce%20que%20vo us%20avez%20voulu%20savoir%20sur%20Azure%20AD%20%2B%20MFA%20sans%20 avoir%20jamais%20os%C3%A9%20le%20demander%20%21: * * Facebook * Print * CyberSecurity, TechniqueAzure Active Directory, Azure MFA, MFA U.S. CyberSecurity organizations blueprint 14 avril 201914 avril 2019SylvainLeave a comment I recently had a discussion with one of my customers, who is French. We were talking about the different security frameworks from the different countries. When i started to explained all the contains which are directly or indirectly provided by the U.S. Government, i wasn’t able to be crytal clear… So i decided to create a simple blueprint which provides a map of the different organizations, the relationships and what is provided to the community. if you want to download it, you get it from: US_cybersecurity_organizations_V1.0 I will try to update it from a regular basis. Sylvain. * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Fc ybersecurity%2Fu-s-cybersecurity-organizations-blueprint&counturl=h ttp%3A%2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.c om%2Fcybersecurity%2Fu-s-cybersecurity-organizations-blueprint&coun t=horizontal&text=U.S.%20CyberSecurity%20organizations%20blueprint: * * Facebook * Print * CyberSecurityBlueprint, CyberSecurity, Framework, U.S. Excellente vidéo sur la façon dont Microsoft gère les accès aux comptes privilégiés en interne 15 mars 201915 mars 2019SylvainLeave a comment C’est une table ronde avec des experts de chez Microsoft, et c’est très instructif. D’habitude je ne regarde pas trop ce type de vidéo car je m’ennuie rapidement, mais là j’avoue que c’est assez passionnant et instructif. Vous vous voulez savoir comment Microsoft gère ses accès aux comptes privilégiés ? c’est ici: IFRAME: https://www.youtube.com/embed/f_2tkUnxT2U * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fexcellente-video-sur-la-facon-dont-microsoft-gere-les-ac ces-aux-comptes-privilegies-en-interne&counturl=http%3A%2F%2Fwww.id entitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ftechnique%2Fe xcellente-video-sur-la-facon-dont-microsoft-gere-les-acces-aux-comp tes-privilegies-en-interne&count=horizontal&text=Excellente%20vid%C 3%A9o%20sur%20la%20fa%C3%A7on%20dont%20Microsoft%20g%C3%A8re%20les% 20acc%C3%A8s%20aux%20comptes%20privil%C3%A9gi%C3%A9s%20en%20interne : * * Facebook * Print * CyberSecurity, TechniqueCyberSecurity, Microsoft, PAM AD Hardening: Microsoft Security Compliance Manager & Microsoft Security Compliance Toolkit 24 novembre 201825 novembre 2018Sylvain2 Comments Comme vous le savez, je travaille énormément sur les concepts de AD Hardening de manière à réaliser des re-design d’installation Active Directory afin que l’IT global des organisations soit le moins sensible possible aux attaques de malware (attaques indirectes) ou aux attaques directes. Dans ce cadre, la recommandation de Microsoft est de segmenter l’environnement lié à l’annuaire Active Directory en trois tiers : Tier 0, Tier 1 et Tier 2 – le Tier 2 représentant globalement les workstations : Globalement, l’effort de travail et d’investissement se fait bien évidement sur la couche Tier 0 (qui voudrait voir ses contrôleurs de domaine compromis ?) – cela est bien normal, car un re-design AD est un effort colossal pour la plupart des organisations, et elles mettent généralement le focus sur la sécurisation des contrôleurs de domaine. Néanmoins, attention, il ne faut pas oublier que les attaques proviennent à 90% de Tier 2 (voir la règle #2 d’un autre de mes post : https://www.identitycosmos.com/http:/www.identitycosmos.com/non-classe/ the-good-old-arcade-games-teach-us-about-today-cybersecurity-rules). Il est effectivement impossible de sécuriser à 100% la couche Tier 2, mais Microsoft nous fournit un ensemble d’outils permettant de nous faciliter le travail. Ces outils sont assez méconnus, car gratuits ! Je sais, cela parait curieux, mais quel intérêt aurait un commercial Microsoft à vous parler d’un outil gratuit ? Microsoft Security Compliance Manager Microsoft Security Compliance Manager (SCM de son petit nom) est un outil relativement ancien, je dirais qu’il existe depuis environ 6 ou 7 ans. D’abord en version 1, puis 2, puis 3 jusqu’à la dernière version en 4.0. Cet outil permet d’utiliser des modèles de sécurité prédéfinis et d’appliquer ces modèles sur les postes de travail ou même les serveurs membres soit par GPO, soit par System Center Configuration Manager (via la fonction DCM). Plus d’informations sur l’outils en V4 [ ICI ] La dernière version de l’outil intègre des modèles pour Windows 10 V.1511 et pour Windows Server 2016. Même si cet outil est très intéressant, je ne passerai pas trop de temps dessus car il a été remplacé par un nouvel outil : Microsoft Security Compliance Toolkit Microsoft Security Compliance Toolkit Microsoft Security Compliance Toolkit est donc le remplaçant de Microsoft Security Compliance Manager, il est actuellement en version 1.0. Vous trouverez des informations générales sur l’outil sur cette page de Microsoft [ ICI ]. Le kit de base est disponible en téléchargement [ ICI ]. Un update de ce kit de base assurant la compatibilité avec Windows 10 V.1809 et Windows Server 2019 est disponible en téléchargement [ ICI ] – Cet update contient en fait les mises à jours des référentiels de sécurité fournis par l’outil, ce que l’on appelle les Baselines, mais nous en parlerons plus loin dans cet article. Des informations complémentaires sur le contenu de cet update sont disponibles sur [ CET ARTICLE ]. Lorsque vous téléchargez SCT 1.0, le ZIP contient plusieurs éléments : Dans le répertoire « PolicyAnalyzer », vous trouverez les éléments suivants : Le document PDF « Policy Analyzer.pdf » donne des explications sur l’outil Policy Analyzer (qui est présent en version 3.2 dans SCT 1.0), pour être honnête, la documentation est médiocre, il faut être bien concentré pour comprendre le fonctionnement ! Globalement, Policy Analyzer va pouvoir faire plusieurs choses : * Comparer les configurations appliquées sur les machines avec des Baselines fournies par Microsoft – c’est la fonction principale de cet outil * Détecter les paramètres redondants appliqués au travers de plusieurs GPOs * Comparer les paramètres de GPO de domaine avec les clés de registre effectivement paramétrées sur les machines, cela pouvant mettre en évidence des problèmes d’application de GPO,et donc des problèmes de conformité Par exemple, sur ce screenshot, on peut voir une comparaison de valeurs entre la valeur locale du paramètre (registre), le paramètre présent dans la GPO qui devrait s’appliquer et le modèle de sécurité préconisé par Microsoft (Baseline) : L’ensemble des informations peut être exporté dans Excel : Dans le répertoire « LGPO », vous trouverez les éléments suivants : Le document PDF « LGPO.pdf » donne des explications sur l’outil Local Group Policy Object (qui est présent en version 2.2 dans SCT 1.0), à nouveau la documentation n’est pas terrible, il va falloir que Microsoft fasse un effort sur le sujet. Globalement, Local Group Policy Object va pouvoir faire plusieurs choses : * Importer des paramètres depuis des fichiers .POL * Importer des paramètres depuis des fichiers de type Security Template * Exporter les GPOs vers un backup * Exporter les GPOs pour réaliser une comparaison dans le premier outil du kit (Policy Analyzer) L’outil est uniquement en ligne de commande – il était déjà présent dans Microsoft Security Compliance Manager – Cette vidéo donne quelques exemples d’utilisation de l’outil : https://www.youtube.com/watch?v=Dv6dq1YllnU L’outil propose aussi des fichiers de Baseline pour chaque population de système : Avec un update pour les dernières versions d’OS disponibles en téléchargement [ ICI ]. Chaque fichier ZIP, lorsqu’il est décompressé possède la même structure, par exemple ici pour Windows 2012 R2 : Le répertoire “Documentation” contient un fichier Excel avec les paramètres recommandés : Le répertoire “GP Reports” contient les fichiers équivalents au format Excel mais au format Report HTML tel que prévu dans la GPMC (L’outil de gestion des stratégies de groupe dans Active Directory) : Le répertoire “GPOs” contient les paramètres au format GPO (plus être précis, au format GPT de la GPO) : Le répertoire « WMI Filters » contient des filtres WMI tout prêts à être importés – bon je ne suis pas super fan des filtres WMI pour plein de raisons différentes, mais ils sont présents si vous voulez les utiliser: Vous trouverez [ ICI ] des informations générales sur la notion de Security Baseline chez Microsoft. Je vous laisse maintenant explorer par vous-même ce kit – pour être honnête son usage est relativement consommateur de temps, mais c’est un outil parfait pour s’assurer de la configuration de sécurité des machines Windows dans une environnement Active Directory – je vais essayer de réaliser rapidement un tutoriel complet de la solution. Je vais notamment rentrer en contact avec l’équipe produit pour voir comment il serait possible d’améliorer la documentation présente sur docs.microsoft.com, car pour l’instant c’est plus que léger. N’hésitez pas à laisser vos commentaires sur ce post. * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Fc ybersecurity%2Fad-hardening-microsoft-security-compliance-manager-m icrosoft-security-compliance-toolkit&counturl=http%3A%2F%2Fwww.iden titycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Fcybersecurity%2 Fad-hardening-microsoft-security-compliance-manager-microsoft-secur ity-compliance-toolkit&count=horizontal&text=AD%20Hardening%3A%20Mi crosoft%20Security%20Compliance%20Manager%20%26%20Microsoft%20Secur ity%20Compliance%20Toolkit: * * Facebook * Print * CyberSecurityAD hardening, GPO, Microsoft Security Compliance Toolkit, Sécurité Azure AD Connect – la version 1.2.67.0 est disponible 22 novembre 2018SylvainLeave a comment La version 1.2.67.0 est disponible en téléchargement. Cette nouvelle version de Azure AD Connect ne corrige qu’un seul bug, mais un bug majeur ! En effet l’avant dernière version de Azure AD Connect pouvait rencontrer un problème sur la fonction “Password Writeback” si l’on possède des contrôleurs de domaine en version 2008 ou 2008R2. La dernière version de Azure AD Connect peut être téléchargée [ ICI ] * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fazure-ad-connect-la-version-1-2-67-0-est-disponible&coun turl=http%3A%2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identityco smos.com%2Ftechnique%2Fazure-ad-connect-la-version-1-2-67-0-est-dis ponible&count=horizontal&text=Azure%20AD%20Connect%20%E2%80%93%20la %20version%201.2.67.0%20est%20disponible: * * Facebook * Print * TechniqueAzure, Azure Active Directory, Azure AD Connect, Password Writeback MIM 2016 SP1: Le nouveau hotifx 4.5.286.0 est disponible – enfin !!! 22 novembre 201822 novembre 2018SylvainLeave a comment Bon, c’est un peu technique, mais les spécialistes de MIM 2016 vont comprendre de quoi il s’agit ! Il y a peu, Microsoft a mis en téléchargement les builds MIM 2016 4.5.26.0 et 4.5.202.0, mais il y avait un gros problème avec ces versions, dans certaines conditions les objets provenant des managements agents étaient supprimés ou non re-créés au niveau de FIM-service, ce qui avait pour conséquence d’obtenir des règles de synchronisation. Le hotfix 4.5.286.0 permet de corriger le problème, il s’agit donc d’un hotfix extrêmement important pour les administrateurs et architectes MIM. Pour plus d’informations sur ce problème, vous pouvez consulter cet article du Technet Microsoft. Il est noter que les build 4.5.26.0 et 4.5.202.0 sont toujours listés par Microsoft comme des builds officielles mais ne sont plus disponibles au téléchargement – si vous avez déjà installé l’une de ces deux builds, il est hautement recommandé d’installer ce hotfix. Mais bien sur, une correctif amène d’autres problèmes ou déconvenues… les problèmes connus avec ce hotfix sont listés ici: https://support.microsoft.com/en-gb/help/4469694/hotfixrolluppacka gebuild452860isavailableformicrosoftidentitymanager20 En gros, les problèmes que vous pouvez rencontrer: * Problème avec l’installeur, à cause d’une DLL manquante (Microsoft recommande de contacter le support Microsoft si vous avez un tel problème) * Problème avec ECMA (synchronization service) , en gros si vous avez créer des MA custom avec votre propre développement- un workaround est décrit sur la page du hotfix, mais il s’agit globalement d’éditer les fichiers suivants: MIIServer.exe.config, Mmsscrpt.exe.config, Dllhost.exe.config avec les informations contenues sur la page de réference du hotfix * Problème avec l’installation du portail – Microsoft recommande de réinstaller le package 2013 x64 Visual C++ Redistributable Packages (vcresist_x64.exe) avant de de démarrer le MIM service et l’installation du portail * Problème d’affichage du portail dans le navigateur après l’installation du hotfix, il suffit alors de vide l’historique de navigation et les fichiers en cache puis de recharger l’interface du portail (Microsoft évoque le problème uniquement avec Internet Explorer mais à priori le problème peut aussi exister sous chrome) Pour télécharger le hotfix, rendez-vous [ ICI ] * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Ft echnique%2Fmim-2016-sp1-le-nouveau-hotifx-4-5-286-0-est-disponible- enfin&counturl=http%3A%2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww. identitycosmos.com%2Ftechnique%2Fmim-2016-sp1-le-nouveau-hotifx-4-5 -286-0-est-disponible-enfin&count=horizontal&text=MIM%202016%20SP1% 3A%20Le%20nouveau%20hotifx%204.5.286.0%20est%20disponible%20-%20enf in%20%21%21%21: * * Facebook * Print * TechniqueFIM, Microsoft, MIM La technologie BlockChain est-elle le futur standard de la gestion des identités ? 21 novembre 201827 novembre 2018SylvainLeave a comment Depuis quelques mois, je suis de façon très proche l’évolution de la technologie BlockChain et les implications de cette technologie sur la gestion des identités. Il est clair que de manière structurelle, cette technologie est parfaite pour gérer des identités. En effet, cela permet un système à la fois centralisé et décentralisé, un contrôle fiable des identités et une certitude sur la fiabilité des données (au sens où ces données ne sont pas falsifiables) – il reste néanmoins à faire des progrès en terme de performance, la gestion des identités devant s’appuyer sur des modifications visibles “en presque temps réel”. Il est donc important dès maintenant pour les spécialistes de la gestion des identités de se pencher sur ce sujet. Dans cet article, je vais donc mettre quelques liens et pistes pour que vous puissiez explorer vous-même ce nouveau paradigme. D’abord, un super site pour « tester » la technologie BlockChain et surtout comprendre son fonctionnement de manière visuelle : https://blockchaindemo.io/ Un article expliquant le concept de BaaS (Blockchain as a Service), vous remarquerez que tous les grands noms sont sur le pont et proposent un service BaaS: https://www.lebigdata.fr/baas-blockchain-as-a-service-definition Ensuite deux articles de vulgarisation permettant de comprendre en quoi la technologie BlockChain est parfaitement adaptée à la gestion des identités : https://www.devteam.space/blog/how-to-use-blockchain-technology-for-ide ntity/ & https://www.forbes.com/sites/forbestechcouncil/2018/07/27/how-blockchai n-can-solve-identity-management-problems/ Le site web de la DIF, soit la Decentralized Identity Foundation, organisation visant à définir les nouveaux standards en termes de gestion des identités, en adoptant un modèle basé sur la BlockChain (même si cela n’est pas clairement exprimé sur leur site) : https://identity.foundation/ De plus, Microsoft travaille sur le sujet de façon très très forte ! Tout d’abord un article sur Github présentant le projet Bletchley, qui est le projet de support de la technologie Blockchain made in Microsoft: https://github.com/Azure/azure-blockchain-projects/blob/mast er/bletchley/bletchley-whitepaper.md Ensuite un article expliquant que Microsoft travaille sur une gestion des identités basée sur la BlockChain : https://thenextweb.com/hardfork/2018/02/12/microsoft-digital-identity-b lockchain/ Un autre article présentant le Framework “Coco Framework”: https://ulvbjornsson.com/2018/02/05/microsofts-coco-framewo rk-enhancing-cybersecurity-on-the-blockchain/ – extrêmement intéressant, car visant à résoudre les problèmes de la technologie Blockchain appliquée à la gestion des identités (comme la performance par exemple). Puis un article nous indiquant que Microsoft vient de délivrer un kit de développement Cloud pour développer des technologies BlockChain : https://thenextweb.com/hardfork/2018/11/15/microsoft-blockchain-cloud-a zure/ Un hasard ? Je ne crois pas… Microsoft ne fait pas les choses au hasard… Pour finir, il reste à noter un ensemble foisonnant d’initiatives plus ou moins variées, proposant des “frameworks” permettant l’usage de la BlockChain dans le cadre de la gestion des identités – par exemple [ LifeID ] dont la promesse est de proposer un framework Open Source intégrant BlockChain + Identity. La plupart de ces solutions n’ont pas de business model vraiment avéré et la liste des futurs survivants dans ce nouveau monde reste complexe à réaliser… * Partager : * Email * IFRAME: https://platform.twitter.com/widgets/tweet_button.html?url=https%3A %2F%2Fwww.identitycosmos.com%2Fhttp%3A%2Fwww.identitycosmos.com%2Fs trategie%2Fla-technologie-blockchain-est-elle-le-futur-standard-de- la-gestion-des-identites&counturl=http%3A%2F%2Fwww.identitycosmos.c om%2Fhttp%3A%2Fwww.identitycosmos.com%2Fstrategie%2Fla-technologie- blockchain-est-elle-le-futur-standard-de-la-gestion-des-identites&c ount=horizontal&text=La%20technologie%20BlockChain%20est-elle%20le% 20futur%20standard%20de%20la%20gestion%20des%20identit%C3%A9s%20%3F : * * Facebook * Print * CyberSecurity, StratégieBlockChain, Identité Digitale Previous Articles [INS: :INS] Rechercher sur Identity Cosmos Rechercher : ____________________ Rechercher Identity Cosmos * A propos de l’auteur * Flux RSS * Formulaire de contact Méta * Inscription * Connexion * Flux RSS des articles * RSS des commentaires * Site de WordPress-FR Tags du Cosmos Active Directory ADFS AD RMS Annuaire Azure Azure Active Directory Azure AD Connect Centrify Cloud CNIL DIRaaS DIRaaService FIM 2010 FIM 2010 R2 Fédération Google Google Apps GPO IAM IDaaS ILM interopérabilité JumpCloud kerberos LDAP Linux Mac OS Microsoft MIM NIS Novell Office365 OpenID OpenSource Oracle OTP Password SAML sap Shibboleth SSO SUN Sécurité Unix WA AD Catégories * Business * Centrify * CyberSecurity * Evènement * Non classé * Stratégie * Technique Liens * Blog de Philippe BARTH [Microsoft MVP] traitant principalement d'Active Directory [Fr] * Cerberis, VAD français spécialisé dans le domaine de la gestion des identités et des accès [Fr] * Cloud Identity – Le blog [En] * Kerberos: The Network Authentication Protocol [En] * La Communaute Active Directory & Identity Management [ www.cadim.org ] [Fr] * Le blog de Joris Faure – MVP [Fr] * Le blog de Kim Cameron [En] * Le blog du MIT Kerberos Consortium [En] * Le blog officiel de l'équipe produit RMS [En] * Prox-IA – Securite des Applications WEB [En] * Yet another identity management blog [En] Feedjit Live Traffic Feed Visiteurs du monde RSS Blog CADIM RSS Blog MSDN AD RMS * Reading a PFILE protected PDF Hello, We've heard a request for a simple code example for reading a PFILE protected PDF file so, here's a code snippet (below) that accomplishes the basic option. In order to preserve and enforce the protected document’s rights the app will need to get the license key then check the rights of the current user... * Updates to MSIPC SDK Hi Everyone, This post is a bit overdue and, you'll want to know about the following updates to the RMS SDK 2.1 (MSIPC). As of April, these additions have been made to the SDK. For further details see the Release Notes topic for the SDK on MSDN. Document tracking is now possible through a set... * AES-256 Symmetric Key Encryption Hi Everyone, This blog is the first step in our bringing AES256 encryption to PFILE. Kevin will fill you in on the details. A future IT focused blog will explain this offer to our customers. Hello! My name is Kevin Dawkins. I am a developer on the RMS team. For some time now, partners... * Automatic RMS Protection of non-MS Office files using FCI and the Rights Management Cmdlets Hey Folks, Check out the great work by Will Gries in this blog post. Here's a brief excerpt ... File Classification Infrastructure (FCI) is a built-in feature on Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 that helps IT admins to manage their organization's data on file servers by providing automatic... * RMS SDK 4.1 is in GA now! Hello Folks, Three months ago we released to the world SDK 4.0, the most advanced SDK that we ever built in RMS team. Since then, we have seen many amazing 3rd party apps released to the stores. We were delighted to see how developers love our SDK and find it easy to work with. It... * RMS SDK 4.0 is in GA now! Hello Folks, The RMS team is excited to share with you the General Availability (GA) versions of our Android, iOS and OS X SDK 4.0! The new and powerful SDK 4.0 adds new features and capabilities that provide you all the control and flexibility that you need to build the most amazing apps using Microsoft Rights Management services. So, What's... * Protecting Azure Blob Storage with Azure RMS Whitepaper Hello Folks, We are working hard to deliver the next generation of information protection scenarios. In this blog post we would like to share with you our guidance and sample code for enabling cloud applications and services to protect data wherever it goes. I'll let Yair Cohen, a program manager in RMS team, give you... * RMS SDK 4.0 Preview Release for iOS, OS X and Android Hello Folks, We have some fantastic news to share with you..The RMS developer platform team has been really busy taking all your feedback and requirements and working on the cool new SDK 4.0. Yair from our team will provide you the details.. Hi Everyone, We are proud to announce the next generation of... * RMS sharing apps are now updated and localized! This is a cross-post from our TechNet RMS blog. Hi folks, We’re excited to announce an updated release to the RMS sharing apps on Windows, iOS, Android, and Windows Phone. Shubha Pratiwadibhayankar is a Program Manager on the team and she'll talk about the updates in more detail. Hello, this is Shubha, Program Manager on... * AD RMS SDK 2.1 Performance and Documentation Improvements – April 2014 Update Howdy Folks, We’ve been following up on some engineering updates and your requests to make even better the developer experience for Information Protection on Windows desktop. Our April update has performance and documentation improvements that we think you’ll appreciate. Here’s Bruce Perler, our developer docs writer, to outline the April update. Thanks,Dan … Happy Friday! This update to... RSS ADFS Product Support Blog * Office Integration with MOSS and ADFS Previously, Office Integration with SharePoint secured by forms based authentication was not possible. The new ability of the Office client applications in Office 2007 SP2 to perform a forms login helps to solve this problem. You will need to install this post SP2 fix to your client machines to gain this functionality. What is needed... * ADFSDiag has been updated again! The updated tool can be found here. The attachment contains both 32 and 64 bit installers. A cool new feature - Claim Flow Analysis has been added to this version. I'll write up a quick blog on how to use this feature soon. * Adding an ADFS Proxy Server I'm going on an hour trying to get the screen shots formatted correctly. Live Writer is making them too small. I'll just attach the word document to the end if you want to see the pictures better. I'm done messing around with this for now! If you know what I'm doing wrong - please send... * Interesting problem when adding an ADFS Proxy I am working on a blog post (step-by-step) for the Proxy component and I ran into a problem yesterday that ran me around pretty good. We have seen this issue or variations of it on some support cases recently, so I thought the actual problem itself would make a good post. The problem is caused by permissions... * Using ADFS with Constrained Delegation With ADFS - the authentication token issued is good for the web server with the agent installed. It is a local RPC token and cannot go off the box. With some additional configuration, you can configure ADFS to go off the box and delegate with a kerbitized back-end. There are some caveats - namely, a... * Script to configure SharePoint to use ADFS authentication More great tools by the ADFS team... Problems with the web.config files are one of the more common issues we see with ADFS/MOSS cases in PSS. Now there is a script with will make the modifications for you. It is located on the SharePoint team blog and can be accessed here. * ADFS Diagnostic Tool A huge thanks to the ADFS test team for developing such a great tool. Here is a quick "how to" The tool is very simple to use and provides a graphical UI. In order to perform distributed diagnosis, i.e. diagnose failures based on the configuration of multiple machines in the scenario, it’s necessary to copy the out file... * Enabling debug logging for Claims Aware Applications Place the following in your applications web.config file. Place this after the section of the file. * Update on configuring MOSS as a claims aware application =================================================================== =================== UPDATE: I'm not going to remove this blog or the original blog on the web.config entries - but I do want to make note that these web.config files should not be modified directly anymore. Please use the SetupSharePointADFS.vbs file to configure the MOSS applications for the SSO Provider. The script eliminates the possiblility of... * ADFS Certificates – SSL, Token Signing, and Client Authentication Certs We are seeing quite a few support calls relating to certificate problems. Many of these are due to a misunderstanding of how the various certificates are used. ADFS/PKI issues are often very difficult to diagnose for the following reason – a lack of logging telling you what the problem is. For example – if... Proudly powered by WordPress | Theme: Plane by WordPress.com. Envoyer à l'adresse e-mail : ____________________ Votre nom ____________________ Votre adresse e-mail ____________________ loading Envoyer Annuler Adresse erronée. L'article n'a pas été envoyé. La vérification de l'adresse mail a échoué. Merci de réessayer. Désolé, votre blog ne peut pas partager des articles par e-mail.