© Copyright 2017 METSYS. Tous droits réservés

Agenda La sécurité en 2018 : priorité de Metsys et des DSI L’IAM au service de la sécurité Metsys et l’IAM -> les retours d’expériences ! Démonstrations (One Identity Manager) © Copyright 2018 METSYS. Tous droits réservés

La sécurité en 2018 : priorité de Metsys et des DSI

Une relation de confiance Une Société en forte croissance Qui sommes nous ? Une équipe de talents Une relation de confiance Une Société en forte croissance Une Expertise Microsoft Pure-Player Gold & Silver Partner Partenaire VIP MCS Partenaire « Platinum » Microsoft Experiences Des experts certifiés 11 13 CA 2014 : 5 M€ CA 2015 : 8,5 M€ CA 2016 : 11 M€ CA 2017 : 16,5 M€ Champion de la croissance 2017 Champion de la croissance 2018 [Channel News – 15/10/14] +120 experts Microsoft seniors 5 agences en France Spécialiste sur l’ensemble des technologies Microsoft Des Modérateurs de forum technique Microsoft, Des Consultants MVP Nos valeurs : Satisfaction Confiance Engagement Avec chaque nouveau client, notre ambition est d’inaugurer une relation de confiance. © Copyright 2018 METSYS. Tous droits réservés

La sécurité en 2018 : quelques chiffres 280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegardes HS 81 % : les entreprises Françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT 800 000 euros : prix (moyenne) pour s’en remettre Saint Gobain : 60 millions TV5 Monde : 4,5 millions

Attaque par élévation de privilèges Je deviens administrateur local (sethc.exe -> cmd.exe) Analyse de la mémoire du processus LSASS.EXE ou des LSA SECRETS (HKEY_LOCAL_MACHINE\SECURITY) -> obtention des NTHASH Pass the Hash (Mimikatz, PowerSploit) pour se connecter à distance sur une autre machine Réappliquer la même méthode sur la nouvelle machine. mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Guillaume-hack /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"

Tests d’intrusion avec Mimikatz www.metsys.com Tests d’intrusion avec Mimikatz Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : http://support.microsoft.com/kb/299656/en-us http://support.microsoft.com/kb/946405/en-us © 2010 Microsoft Corporation. All rights reserved.

PowerSploit : Mimikatz en PowerShell ! Intègre les fonctionnalités de Mimikatz (Invoke-Mimikatz) Disponible sur https://github.com/PowerShellMafia/PowerSploit Afficher les mots de passe / Hash d’une machine : Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"

L’IAM au service de la sécurité

Sécuriser ses annuaires Active Directory / Azure Active Directory Détection des attaques (ATA / ATP) Tests d’intrusions Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA Définition de l’architecture cible - gouvernance des annuaires Active Directory / Azure Active Directory

La gestion des identités au service de la sécurité Les arguments pour la sécurité de votre SI : Le provisionning / déprovisionning automatique des comptes : Standardisation des règles Prises en comptes de tous les comptes (annuaire, messagerie, applications métiers, administration). Diminution des erreurs humaines. L’approbation des changements par les équipes métiers (workflows). La possibilité de tracer tous les changements (base d’historique). La détection des anomalies avec les rapports et les campagnes de certification. La mise en œuvre de la séparation des rôles -> détecter et bloquer les profils à risques (un employé « ordonnanceur » et « comptable »).

L’IAM chez Metsys Une approche autour de Microsoft Identity Manager 2016 (MIM 2016) Fondement d’Azure AD Connect MIM Synchronization Services = droit d’utilisation inclus dans la licence Windows Server MIM Services (payant – licence Azure AD Premium) : interface web personnalisable, règles de synchronisation graphiques, moteur de workflows avancés / projet communauté MIMWALL. Une approche autour de One Identity Manager 7.X / 8.X Solution très personnalisable : Processus / templates / règles de synchronisation avancées = code VBNET / C# éditables L’ensemble de la configuration est stockée dans une base de données SQL. Fonctionnalités très évoluées (délégation des accès, certification, gestion du risque…). Développement en mode « Copier et adapter ». Interface web riche et personnalisable.

Metsys et l’IAM -> les retours d’expériences !

Identifier les collaborateurs de manière unique Problématiques / objectifs : Identifiant unique -> prérequis pour le moteur de synchronisation. Générer un identifiant unique au niveau du système RH. Générer un identifiant groupe. Anticiper le problème de doublon de numéro d’employé (en cas de rachat d’une société…). Déplacer un collaborateur entre différents systèmes RH avec la conservation des comptes / accès. Solutions mise en œuvre : Affectation d’un numéro unique pour chaque entité HR. Création d’un numéro personnel (Identifiant RH + numéro d’employé) Génération d’un identifiant groupe (One Identity Manager) Clé primaire 1 : numéro personnel Clé primaire 2 : identifiant groupe

Consolider les données RH Problématiques / objectifs : Applications RH avec des schémas différents. Règles spécifiques pour chaque système RH. Fonctionnalités attendues : Convertir un utilisateur interne en utilisateur externe. Déplacer un collaborateur entre différents systèmes RH avec conservation des accès. Solutions mise en œuvre : Création d’un « référentiel employé » pour consolider le contenu des bases RH. Création des identités externes / systèmes depuis un portail web. Attribut (Boolean) pour désactiver la synchronisation d’une identité spécifique.

Définir des règles standards pour chaque entité RH Contraintes des clients : Chaque entité / système RH dispose de ses propres règles. Risques si règles trop complexes Calcul des dépendances impossible pour le moteur de synchronisation si : L’attribut B a comme dépendance C L’attribut C a comme dépendance B Solutions mise en œuvre : Création de modèles de projets de synchronisation. Un projet de synchronisation entre chaque base RH et le « référentiel employé ». Un projet de synchronisation entre le « référentiel employé » et la table Person (contient toutes les identités).

Provisionner des identités externes, services, administration Contraintes des clients : Les utilisateurs externes (identités externes) ne sont pas dans les bases RH. Les comptes utilisateurs d’administration doivent être rattachés à une identité. Les comptes utilisateurs de services doivent avoir un responsable et être rattachés à une identité. Solutions mises en œuvre Création de ces identités à la demande via un portail web (identités à la demande) Création d’un identifiant « RH » spécifique pour les identités à la demande. Création d’une identité secondaire pour les comptes d’administration et de services et assignation d’une identité principale.

Créer une identité temporaire Problématiques Le collaborateur n’est pas encore créé dans les bases RH. Le collaborateur est déjà présent sur site et doit obtenir au plus vite ses accès. Solutions Créer une identité temporaire (identité à la demande). Permettre la réconciliation entre l’identité temporaire et l’identité créée par le moteur de synchronisation. Ajout d’une troisième clé primaire composée du prénom, nom, date de naissance, code entité RH.

Le déprovisionning Problématiques Les solutions mises en œuvre Désactiver, renommer puis supprimer automatiquement les comptes dans les systèmes cibles selon la valeur des attributs date de fin ou statut de l’identité. Gérer les départs long terme (maternité, maladie). Gérer les retours d’anciens collaborateurs. Date de sortie < Date d’entrée (cas spécial si retours d’anciens collaborateurs). Les solutions mises en œuvre Désactivation des comptes selon la date de fin de contrat. Si Date de sortie < Date d’entrée, la valeur de la date de sortie est supprimée (action gérée par le moteur de synchronisation), Suppression des comptes dans les Target System au bout de 30 jours.

La mobilité entre deux systèmes RH et les conversions Déplacer un utilisateur de l’entité RH1 vers l’identité RH2. Les deux systèmes RH ne communiquent pas entre eux. Corriger le problème de doublons d’identité. On doit converser les comptes utilisateurs de RH1 mais lui appliquer la politique de RH2 (conservation d’un compte Active Directory existant). La conversion Corriger les problèmes de doublons quand on convertit un externe en interne. Reconfigurer les habilitations de l’identité.

(One Identity Manager) Démonstration (One Identity Manager)

© Copyright 2016 METSYS. Tous droits réservés