La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

© Copyright 2017 METSYS. Tous droits réservés

Publié parAnge Samson Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "© Copyright 2017 METSYS. Tous droits réservés"— Transcription de la présentation:

1 © Copyright 2017 METSYS. Tous droits réservés

2 Agenda La sécurité en 2018 : priorité de Metsys et des DSI
L’IAM au service de la sécurité Metsys et l’IAM -> les retours d’expériences ! Démonstrations (One Identity Manager) © Copyright 2018 METSYS. Tous droits réservés

3 La sécurité en 2018 : priorité de Metsys et des DSI

4 Une relation de confiance Une Société en forte croissance
Qui sommes nous ? Une équipe de talents Une relation de confiance Une Société en forte croissance Une Expertise Microsoft Pure-Player Gold & Silver Partner Partenaire VIP MCS Partenaire « Platinum » Microsoft Experiences Des experts certifiés 11 13 CA 2014 : 5 M€ CA 2015 : 8,5 M€ CA 2016 : 11 M€ CA 2017 : 16,5 M€ Champion de la croissance 2017 Champion de la croissance 2018 [Channel News – 15/10/14] +120 experts Microsoft seniors 5 agences en France Spécialiste sur l’ensemble des technologies Microsoft Des Modérateurs de forum technique Microsoft, Des Consultants MVP Nos valeurs : Satisfaction Confiance Engagement Avec chaque nouveau client, notre ambition est d’inaugurer une relation de confiance. © Copyright 2018 METSYS. Tous droits réservés

5 La sécurité en 2018 : quelques chiffres
280 jours : délais pour détecter une attaque 63 jours : délais pour s’en remettre 20 minutes (Petya) : 2000 machines, 100 serveurs, sauvegardes HS 81 % : les entreprises Françaises ciblées par une attaque informatique en 2015. 35 % : source de l’incident de sécurité, l’équipe IT euros : prix (moyenne) pour s’en remettre Saint Gobain : 60 millions TV5 Monde : 4,5 millions

6 Attaque par élévation de privilèges
Je deviens administrateur local (sethc.exe -> cmd.exe) Analyse de la mémoire du processus LSASS.EXE ou des LSA SECRETS (HKEY_LOCAL_MACHINE\SECURITY) -> obtention des NTHASH Pass the Hash (Mimikatz, PowerSploit) pour se connecter à distance sur une autre machine Réappliquer la même méthode sur la nouvelle machine. mimikatz.exe "privilege::debug" "sekurlsa::pth /user:Guillaume-hack /ntlm:13b29964cc2480b4ef454c59562e675c /domain:msexp76.intra"

7 Tests d’intrusion avec Mimikatz
Tests d’intrusion avec Mimikatz Lancer la console GPMC.MSC. Editer la Default Domain Controller Policy Activer la GPO Network security: Do not store LAN Manager Hash value on next password change. Faire la même action au niveau de la GPO Default Domain Policy. Changer le mot de passe de tous les comptes utilisateurs et ordinateurs. Définir un mot de passe supérieur à 15 caractères pour tous les comptes utilisateurs. Pour les comptes ordinateurs, le système va les changer au bout de 30 jours. Ces 2 actions permettront de supprimer la valeur de l’attribut dBCSPwd. Pour supprimer les valeurs de l’attribut lmPwdHistory, il faut changer le mot de passe un nombre de fois correspondant à l’historique des mots de passe. Vous pouvez forcer les utilisateurs à changer leur mot de passe en cochant la case User must change password at next logon. Le LMHASH est désactivé par défaut sur les contrôleurs de domaine Windows 2008 (paramètre par défaut quand la GPO Network security: Do not store LAN Manager hash value on next password change n’est pas défini / configuré. Cette information a son importance pour les projets de migration de Windows 2000 / 2003 vers Windows 2008 R1 et versions ultérieures. Pour plus d’informations : © 2010 Microsoft Corporation. All rights reserved.

8 PowerSploit : Mimikatz en PowerShell !
Intègre les fonctionnalités de Mimikatz (Invoke-Mimikatz) Disponible sur Afficher les mots de passe / Hash d’une machine : Invoke-Mimikatz -command "privilege::debug sekurlsa::logonpasswords"

9 L’IAM au service de la sécurité

10 Sécuriser ses annuaires Active Directory / Azure Active Directory
Détection des attaques (ATA / ATP) Tests d’intrusions Durcissement protocoles authentification (Kerberos, NTLM) Audit des changements liés aux infrastructures et objets PRA/PCA Active Directory Sécurisation des postes d’administration Automatisation du cycle de vie des objets Gestion des comptes administrateurs locaux Durcissement du système d’exploitation Délégation de l’administration Réduction des privilèges des comptes de services Mise en place de politique de mots de passe / MFA Définition de l’architecture cible - gouvernance des annuaires Active Directory / Azure Active Directory

11 La gestion des identités au service de la sécurité
Les arguments pour la sécurité de votre SI : Le provisionning / déprovisionning automatique des comptes : Standardisation des règles Prises en comptes de tous les comptes (annuaire, messagerie, applications métiers, administration). Diminution des erreurs humaines. L’approbation des changements par les équipes métiers (workflows). La possibilité de tracer tous les changements (base d’historique). La détection des anomalies avec les rapports et les campagnes de certification. La mise en œuvre de la séparation des rôles -> détecter et bloquer les profils à risques (un employé « ordonnanceur » et « comptable »).

12 L’IAM chez Metsys Une approche autour de Microsoft Identity Manager 2016 (MIM 2016) Fondement d’Azure AD Connect MIM Synchronization Services = droit d’utilisation inclus dans la licence Windows Server MIM Services (payant – licence Azure AD Premium) : interface web personnalisable, règles de synchronisation graphiques, moteur de workflows avancés / projet communauté MIMWALL. Une approche autour de One Identity Manager 7.X / 8.X Solution très personnalisable : Processus / templates / règles de synchronisation avancées = code VBNET / C# éditables L’ensemble de la configuration est stockée dans une base de données SQL. Fonctionnalités très évoluées (délégation des accès, certification, gestion du risque…). Développement en mode « Copier et adapter ». Interface web riche et personnalisable.

13 Metsys et l’IAM -> les retours d’expériences !

14 Identifier les collaborateurs de manière unique
Problématiques / objectifs : Identifiant unique -> prérequis pour le moteur de synchronisation. Générer un identifiant unique au niveau du système RH. Générer un identifiant groupe. Anticiper le problème de doublon de numéro d’employé (en cas de rachat d’une société…). Déplacer un collaborateur entre différents systèmes RH avec la conservation des comptes / accès. Solutions mise en œuvre : Affectation d’un numéro unique pour chaque entité HR. Création d’un numéro personnel (Identifiant RH + numéro d’employé) Génération d’un identifiant groupe (One Identity Manager) Clé primaire 1 : numéro personnel Clé primaire 2 : identifiant groupe

15 Consolider les données RH
Problématiques / objectifs : Applications RH avec des schémas différents. Règles spécifiques pour chaque système RH. Fonctionnalités attendues : Convertir un utilisateur interne en utilisateur externe. Déplacer un collaborateur entre différents systèmes RH avec conservation des accès. Solutions mise en œuvre : Création d’un « référentiel employé » pour consolider le contenu des bases RH. Création des identités externes / systèmes depuis un portail web. Attribut (Boolean) pour désactiver la synchronisation d’une identité spécifique.

16

17 Définir des règles standards pour chaque entité RH
Contraintes des clients : Chaque entité / système RH dispose de ses propres règles. Risques si règles trop complexes Calcul des dépendances impossible pour le moteur de synchronisation si : L’attribut B a comme dépendance C L’attribut C a comme dépendance B Solutions mise en œuvre : Création de modèles de projets de synchronisation. Un projet de synchronisation entre chaque base RH et le « référentiel employé ». Un projet de synchronisation entre le « référentiel employé » et la table Person (contient toutes les identités).

18 Provisionner des identités externes, services, administration
Contraintes des clients : Les utilisateurs externes (identités externes) ne sont pas dans les bases RH. Les comptes utilisateurs d’administration doivent être rattachés à une identité. Les comptes utilisateurs de services doivent avoir un responsable et être rattachés à une identité. Solutions mises en œuvre Création de ces identités à la demande via un portail web (identités à la demande) Création d’un identifiant « RH » spécifique pour les identités à la demande. Création d’une identité secondaire pour les comptes d’administration et de services et assignation d’une identité principale.

19 Créer une identité temporaire
Problématiques Le collaborateur n’est pas encore créé dans les bases RH. Le collaborateur est déjà présent sur site et doit obtenir au plus vite ses accès. Solutions Créer une identité temporaire (identité à la demande). Permettre la réconciliation entre l’identité temporaire et l’identité créée par le moteur de synchronisation. Ajout d’une troisième clé primaire composée du prénom, nom, date de naissance, code entité RH.

20 Le déprovisionning Problématiques Les solutions mises en œuvre
Désactiver, renommer puis supprimer automatiquement les comptes dans les systèmes cibles selon la valeur des attributs date de fin ou statut de l’identité. Gérer les départs long terme (maternité, maladie). Gérer les retours d’anciens collaborateurs. Date de sortie < Date d’entrée (cas spécial si retours d’anciens collaborateurs). Les solutions mises en œuvre Désactivation des comptes selon la date de fin de contrat. Si Date de sortie < Date d’entrée, la valeur de la date de sortie est supprimée (action gérée par le moteur de synchronisation), Suppression des comptes dans les Target System au bout de 30 jours.

21 La mobilité entre deux systèmes RH et les conversions
Déplacer un utilisateur de l’entité RH1 vers l’identité RH2. Les deux systèmes RH ne communiquent pas entre eux. Corriger le problème de doublons d’identité. On doit converser les comptes utilisateurs de RH1 mais lui appliquer la politique de RH2 (conservation d’un compte Active Directory existant). La conversion Corriger les problèmes de doublons quand on convertit un externe en interne. Reconfigurer les habilitations de l’identité.

22

23 (One Identity Manager)
Démonstration (One Identity Manager)

24 © Copyright 2016 METSYS. Tous droits réservés

Télécharger ppt "© Copyright 2017 METSYS. Tous droits réservés"

Présentations similaires

QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.

QuickPlace de LOTUS Logiciel générateur de SITE WEB : Installé sur un serveur (grenet), Permet de créer / gérer / utiliser un site privé, De donner des.
Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.

Présentation LabPlus v3. Solution novatrice en Technologies de l’information Solution novatrice en Technologies de l’information Application pour la Gestion.
SQL : 4 fonctions d'exploitation de SGBD SQL (Structured Query Language, traduisez Langage de requêtes structuré) est un langage informatique ayant pour.

SQL : 4 fonctions d'exploitation de SGBD SQL (Structured Query Language, traduisez Langage de requêtes structuré) est un langage informatique ayant pour.
Développement d'applications Web avec le framework PHP Symfony 2 Mathieu Peltier (Mercator Océan - CNRS) (UMS 831, Observatoire Midi-Pyrénées)

Développement d'applications Web avec le framework PHP Symfony 2 Mathieu Peltier (Mercator Océan - CNRS) (UMS 831, Observatoire Midi-Pyrénées)
1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.

1 Gestion Electronique de documents (GED) ✔ Définition Efficacité d'une entreprise dépend de la capacité à traiter et consulter les informations qu'elle.
L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.

L’évolution du SI. Introduction De nombreux éléments peuvent amener une organisation à faire évoluer son système d’information : Modification des besoins.
ARCHITECTURE MULTITENANT CONTAINER DATABASE ET PLUGGABLE DATABASES Pr. A. MESRAR

ARCHITECTURE MULTITENANT CONTAINER DATABASE ET PLUGGABLE DATABASES Pr. A. MESRAR
Découvrir FranceConnect

Découvrir FranceConnect
Nouveautés Version 4.1 et 4.2 29 mai 2017.

Nouveautés Version 4.1 et mai 2017.
Les commandes externes

Les commandes externes
AMUE – SIFAC Gestion des services fait sur SIFAC WEB

AMUE – SIFAC Gestion des services fait sur SIFAC WEB
« Mon compte partenaire » 1er services en ligne : CDAP et HAPPS

« Mon compte partenaire » 1er services en ligne : CDAP et HAPPS
Découvrir FranceConnect

Découvrir FranceConnect
Comment Sécuriser Le Système d’information de son entreprise

Comment Sécuriser Le Système d’information de son entreprise
ATS8500 Standalone Downloader.

ATS8500 Standalone Downloader.
FARAH.Z Cours sécurité1 /2016

FARAH.Z "Cours sécurité1" /2016
PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION

PLAN DE FORMATION DES EQUIPES DES SYSTEMES D’INFORMATION EN DELEGATION
Centre Universitaire des Ressources Informatiques CURI-UH2MC

Centre Universitaire des Ressources Informatiques CURI-UH2MC
JOURNEES TRIMESTRIELLES RSI

JOURNEES TRIMESTRIELLES RSI
Cybersécurité : enjeux pour l’usine du futur

Cybersécurité : enjeux pour l’usine du futur

Présentations similaires

Annonces Google