Search This Blog

mercredi 17 janvier 2018

Windows Server Insider Preview Build 17074

Bonjour à tous,

La news qui fait plaisir, c'est la sortie de la nouvelle Preview Windows Server 2016  qui est la Build 17074 pour les Windows Insiders.

Cette version est un avant goût de la prochaine version Windows Server 2016 Semi-Annual Channel.

Bien entendu, cette version est une version Preview, donc ne pas utiliser cette version en production mais uniquement dans le cadre de test.

Nouveauté dans cette Preview 17074 :


  • Fail Over Cluster : Plusieurs amélioration au niveau des cluster qui sont installés dans Azure, avec une meilleur gestion lors de la maintenance des nœuds et du cluster, ceci dans le but d’offrir un niveau de disponibilité plus élevé des applications ou autres. Désormais les applications en haute disponibilité qui sont dans d'un cluster de machines virtuelles Azure (iaas), peuvent être alertées en cas de maintenance.
  • ReFS support désormais la datadéduplication
  • Storage Space Direct : Là encore, plusieurs améliorations pour cette partie, notamment à la simplification des prérequis pour cette fonctionnalité,désormais le SCSI SES (Enclosure Services) n'est plus requis pour le Storage Space Direct. De plus Storage Space Direct prend en charge maintenant la mémoire persistante ce qui permet d'offrir un large choix au niveau du stockage notamment pour le cache par exemple. Storage Space Direct prend en charge désormais les périphériques SATA en AHCI, ceci est encore dans le but d’élargir le choix de périphériques de stockage. De plus, le Cache CSV est activé par défaut, ceci améliorera grandement les performances des machines virtuelles.
Pas de grande nouveautés, mais de nouveautés intéressantes au niveau cluster et Storage.

Pour le téléchargement de cette nouvelle preview 17074  :


Vous avez la possibilité de télécharger la version ISO et VHDx.





@bientôt
Seyfallah Tagrerout
Microsoft MVP

lundi 15 janvier 2018

Microsoft Advanced Threat Analytics - Part 1 - Introduction

Bonjour,

Nous allons parler aujourd'hui d'un sujet qui me tient à cœur, Microsoft ATA (Advanced Threat Analytics).

Pour l'avoir déployé chez un très grand compte avec plus de 80 DC dans le monde, ce fut le premier déploiement world wide en Europe.

On le sait tous, la sécurité au niveau des systèmes d'information est un enjeux majeur à tous les niveau, on a pu le voir récemment avec les ransomware ou encore la faille hardware sur les CPU intel.

et cela ne changera pas en 2018, la sécurité devient chaque jour de plus en plus importante, mais malheureusement plusieurs négligent cette sécurité afin de faire des économies ... mauvais calcule !! que ça soit le patch management ou encore les outils de sécurité, les décideurs IT devront investir afin de protéger l’intégrité de leur données, que ça soit on prem et même cloud (vu que nous connaissons une forte demande d'aller vers le cloud, que ça soit office 365 ou encore les application en mode Saas )

Ces chiffres de 2017 le prouvent :


  • Les coûts des dommages liée à la cybercriminalité atteindront 6 000 milliards de dollars par an d'ici 2021, contre 3 000 en 2016. 
  • Les dépenses mondiales en cybercriminalité dépasseront 1 000 milliards de dollars de en  2021
  • Le nombre individus susceptibles d’être attaqués atteindra 6 milliards d'ici 2022
  • Les cout des dommages causés par les ransomware au plan mondial devraient dépasser 5 milliards de dollars en 2017
source: https://www.cio-online.com/actualites/lire-les-5-chiffres-cles-sur-la-cybersecurite-en-2017-9841.html

Aujourd’hui, nous allons parler de l'un de ces outils qui permettra de nous protéger, qui est Microsoft ATA qui fait partie de la Suite EMS.


1- Introduction  - Microsoft ATA :


Microsoft Advanced Threat Analytics est une solution Microsoft qui fait partie de la suite EMS (Entreprise Mobility + Security) qui va vous aider à protéger votre système d'information dans sa globalité en se basant sur un élément essentiel d’une organisation qui est l’annuaire active directory.

ATA se base essentiellement sur le trafic active directory local de l’organisation pour fonctionner, mais pas que, il est aussi capable de prendre plusieurs informations provenant de plusieurs sources de données tels que les journaux d'evènement Windows, ou depuis un SIEM par exemple.

En d’autres termes, Microsoft ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer et d’analyser le trafic réseau de plusieurs protocoles :

-      Kerberos
-      RPC, DNS
-      NTLM, 
-      LDAP etc

Une fois le trafic capturé, il est capable grâce à du machine Learning d’analyser le comportement des utilisateurs, des machines et de toutes les entités qui consistent votre système d’information pour vous alerter en cas d’attaques informatique.

Microsoft ATA est capable de détecter toutes sortes d’attaque informatique connue de nos jours. Il est capable de briser les chaines de cycber attaques qui se compose en trois étapes :

-      Reconnaissance : Générale, c’est la première phase, ou l’attaquant essai d’avoir des informations sur votre environnement interne (c’est-à-dire apprendre votre architecture, voir les composants que vous possédez)
-      Mouvement latéral : L’attaquant dans cette étape va se propager et s’étendre sa surface d’attaques au sein du système d’information
-      Persistance : Cette phase permet à l’attaquant de capturer toutes les informations prises au niveau du système d’information et de capitaliser afin de reprendre son attaque différemment

Ces 3 étapes, sont importantes et si elles sont réalisées, en générale elles font de gros dégâts au niveau des systèmes d’information, de plus, se remettre d’une attaque informatique peut être douloureux financièrement pour une entreprise.


ATA détecte et notifie les trois principaux types d’attaques suivantes :

-      Les attaques malveillantes
-      Le comportement anormal
-      Le risque et problème de sécurité


 Microsoft ATA permet de détecter les types d’attaques les plus connues :

-      Brute Force
-      Exécution à distance
-      Faux PAC (MS14 -068)
-      Pass-the-Ticket
-      Pass-the-Hash
-      OverPass-The-Hash
-      Golden ticket
-      Reconnaissance
-      Réplications anormales des contrôleurs de domaines

Au niveau des comportements anormaux, il est capable de détecter :

-      Les partages de mots de passe
-      Le mouvement latéral
-      Les connexions suspectes et anormales
-      Les Menaces inconnus

Pour finir, comme mentionné plus haut, il est capable de détecter les risques et problème de sécurité :

-      Vulnérabilité des protocoles que vous utilisez par exemple (LDAP ou lieux de LDAPs , http au lieux de HTTPs , etc ….)
-      Les relations de confiance rompues (par exemple entre une station de travail et son contrôleur de domaine)


2- Architecture 

Microsoft ATA est une solution simple qui se compose de plusieurs éléments logiciels et hardware, chaque élément est important pour le bon fonctionnement de la solution.

Microsoft ATA est composée de trois éléments qui sont :

-      L’ATA center
-      L’ATA Gateway classique
-      L’ATA LightWeight Gateway 

Comme on peut le voir ci-dessous :

L’ATA Center :



L’ATA center est le cerveau de la solution, il est là pour gérer dans la globalité l’architecture ATA, il traite les tâches suivantes :
-      Il gère les Gateway classique ou LightWeight Gateway
-      Il permet de mettre à jours les Gateway
-      Il détecte les alertes
-      Il analyse les données provenant des ATA Gateway
-      Il fait une analyse comportemental grâce à l’algorithme d’apprentissage
-      Il notifie via la console ou via par mail en cas d’attaque ou alertes détectée
-      Il héberge la console Web ATA Center
-      Il notifie et gère les alertes

L’infrastructure ATA permet de gérer une seule forêt Active directory à la fois, elle ne permet pas encore la gestion du Multi-forêt Active Directory.

En revanche, ATA peut gérer le trafic qui provient de plusieurs domaines qui sont issue d’une même forêt Active directory.

Si l’on se réfère au schéma, l’ATA center dispose de plusieurs composants :

Elément
Description
-       Entity Receiver
-       Ce composant permet de recevoir les données analysées par les ATA Gateway
-       Network Activity Processor
-       Traitement de toutes les activités réseau à chaque lot reçu
-       Entity Profiler
-       Spécifie un profil sur les entités unique en fonction du trafic et des événements
-       Detection engine
-       La détection ici, utilise des algorithmes puissants de machine learning afin de faire de l’analyse comportementale des utilisateurs et détecter les activités suspectes au sein du réseau
-       Center DataCenter client
-       Gestion du processus d’écrire des activités dans la base de données Mongo DB
-       DataBase
-       C’est la fameuse base de données Mongo DB qui permet de stocker les activités, les événements, les activités suspects. Elle stockage bien évidement la configuration de l’ATA center
-       ATA center
-       Console Web qui permet d’administrer la solution ATA mais pas que, elle permet également de d’afficher les alertes et activités suspects relevés, elle permet également d’afficher des alertes au niveau infrastructure ATA dans une time line

Les composant de Microsoft ATA center en image :




La Gateway et la LightWeight Gateway :




La Gateway dans ATA est un élément essentiel également dans l’architecture, puisqu'elle permet de récupérer le Traffic du réseau de l’entreprise, entre autres celui des domaines contrôleurs de la forêt Active Directory en question, et les envois à l’ATA center pour analyse.

L’ATA Gateway permet de traiter les taches suivantes :

-      Traitement et Transfert les données récupérer à l’ATA Center
-      Réception des événements Windows via un SIEM ou un Syslog comme indiqué plus haut
-      Réception des évènements Windows des contrôleurs de domaine via l’event Log forward
-      Capture et inspection de tout le Traffic des contrôleurs de domaine, soit via un port Mirroring dans le cas d’une Gateway classique ou alors directement en local via une LightWeight Gateway, puisse que, celle-ci s’Install directement sur les contrôleurs de domaine
-      Récupération des données et informations des utilisateurs, ordinateurs dans l’active directory
-      Surveillance de l’état des Domaine contrôleurs

LightWeight Gateway:

Ceci est une ATA gateway, sauf qu'elle a la particularité d'être installée sur un DC, c'est à dire que ce n'est pas un serveur a part qui envoi le traffic AD à l'ATA center mais directement un DC sur le quel nous avons installé l'agent ATA qui envoi le traffic AD vers l'ATA center, c'est ce qu'on appelle une Passerelle légere en français. On verra mieux plus loin dans l'article la différence entre ces deux élements..





La base de donnée:

Microsoft utilise Mongo DB pour le stockage de plusieurs informations :


  •      Les activités réseaux
  •      La configuration de l’infrastructure ATA
  •      Les événements
  •      Les activités suspects 
Pour plus d'information sur MongoDB : https://www.mongodb.com/fr


Quelques exemples d'alertes Microsoft ATA :


Nous allons voir de facon trés breve quelques notification d'alerte au niveau de plusieurs type d'intrusion comme :

  •      Remote Execution 
  •      Replication AD malicieuse
  •      DNS reconnaisance 

Quand ATA détecte du Remote exécution :

On peut voir la source de l’exécution à distance, sure quel machine, avec quel compte et surtout sur quel DC ..



Quand ATA détecte une réplication AD non normale :




Quand ATA détecte une reconnaissance DNS d'une machine qui n'est pas un serveur DNS :

On peut voir ici une tentative de lecture de la Zone AD avec une machine non DNS, ce qui est automatiquement alerté au niveau de la console ATA :


Ceci est une brève présentation de la solution Microsoft ATA, la suite au prochain épisode :) , on rentrera dans le détail pour chaque composant, notamment avec l'installation et configuration de chaque élément.

@Bientôt

Cordialement,
Seyfallah Tagrerouit

jeudi 4 janvier 2018

Bonne année 2018

Hello,

Juste un petit message afin de vous souhaiter la bonne année, mes meilleurs vœux pour cette nouvelle année, la santé le bonheur et la joie.

Je vous souhaite également une belle réussite professionnelle.

2017 fut une très belle année pour ma part :


  • Renouvellement Microsoft MVP Cloud and DataCenter Management 






Plusieurs formations sur Alphorm :



























Speaker à plusieurs événements :

  • Aos Canada


  • Aos Aix-En-Provence


  • MS Cloud Summit


  • Organisateur et Speaker GAB Aix en Provence



  • Speaker avec Veeam France : Session sur Windows Server 2016
le lien YouTube de la présentation : hhttps://www.youtube.com/watch?v=YL1GfhTIQ9c


Trois podcasts :


Quelques chiffres :
  • 5 Events comme speaker
  • 20 Articles
  • 4 formations enregistrés 
  • un évent international : Canada 
  • MVP Summit à Redmond chez Microsoft Corp
  • 3 podcasts
  • Page FaceBook Communauté virtualisation et Cloud
  • Membre actif de la communauté CMD et aOS

Bref, très belle année au niveau activité communautaire, espérant que 2018 soit encore meilleure :) avec pleines de sessions, de livres et surprises :)...


Je vous dit à bientôt et Merci à vous !! et encore Bonne année !

Cordialement,
Seyfallah Tagrerout
Microsoft MVP

jeudi 21 décembre 2017

Ma nouvelle formation azure AD

Bonjour,

Je vous présente ma nouvelle formation sur Azure AD qui vient juste de sortir.

Introduction :

Azure Active Directory est le point central d’une solution cloud sur Azure ou Office 365.
Cette formation Azure Active directory est axée sur la mise en place d'un annuaire Azure Active directory et également les aspects hybrides avec les extensions des Active Directory locaux vers Azure Active directory avec AAD Connect.
Cette formation Azure Active directory montre tous les aspects techniques et d'architecture d'Azure Active directory et surtout d'AAD Connect, le moteur de synchronisation vers Azure AD.
Dans cette formation Azure Active directory, vous allez apprendre à administrer votre Azure AD en interface graphique via le nouveau portail Admin Center Azure AD et en PowerShell avec le Module Azure AD.

Objectifs :

  • Comprendre les concepts d’Azure Active Directory
  • Comprendre les enjeux d’une synchronisation d’un Active Directory local vers Azure Active Directory
  • Apprendre les nouvelles technologies avec Azure

Prérequis :

  • Bonne expérience autour de Windows Server 2012 / 2012 R2 / ou encore 2016
  • Bonnes connaissances Active Directory
  • Connaissances de base du Cloud 
  • Connaissances de base de PowerShell

Public concerné :

  • Ingénieur cloud
  • Architecte cloud


Voici le plan de formation :

Voici le lien de la formation : 


N’hésitez pas à me faire un retour sur cette formation :) 
Cordialement,
Seyfallah Tagrerout
Microsoft MVP 

mercredi 20 décembre 2017

Sauvegardez et restaurez votre configuration ADFS avec AD FS Rapid Restore Tool

Bonjour,


Nous allons voir aujourd’hui un sujet intéressant, ADFS et plus particulièrement le backup de la configuration ADFS.

ADFS Rapid Restore Tool


ADFS Rapid restore Tool est un outil de backup de la configuration ADFS, ce dernier vous permet de backuper et de restaurer votre configuration ADFS de manière efficace et optimale en cas de soucis.

Il sera possible d’exporter votre configuration ADFS vers un autre emplacement ou alors même vers azure en indiquant votre Azure container Storage.

Le backup est exporté de manière sécurisée et chiffré avec un password défini lors du backup.

Quel usage


ADFS RRT peut être utilisé dans les cas suivants :

  •           Crash de l’infrastructure ADFS et donc restauration rapide en urgence du service ADFS
  •           Faire un environnement de LAB identique à la production pour des test ou Dev

    

Ce que sauvegarde l’outil


ADFS RRT permet de sauvegarder les éléments suivants :
  •           Fichier de configuration de l’ADFS
  •           Toute la customisation de votre page ADFS
  •           La base de donnée ADFS qu’elle soit sur un SQL ou en WID
  •           Le certificat SSL  service communication ( attention, l’utilisateur qui fait le backup doit être en mesure d’exporter la clé privée du certificat et d’y accéder)
  •           Les certificats Token signing et token decryption and service communication)




-          Bien entendu toute la configuration ADFS avec les providers, les attributs stores, les claims provider etc ..

Téléchargement d’ AD FS Rapid Restore Tool


Allez sur le lien suivant afin de télécharger ADFS RRT ( Rapide restore tool)


Une fois téléchargé, vous aurez un fichier MSi qu’il faudra installer sur votre serveur ADFS primaire.

Ps : si vous avez plusieurs ADFS serveurs installés avec une base de données WID, il suffit de faire un Get-SyncProperties afin de determinerle serveur primaire ADFS, ( vu que ce dernier s’install sur le serveur ADFS primaire de la ferme ADFS )

Prérequis :

  •           ADFS Windows Server 2012 R2 / 2016
  •           .Net framework 4.0

      

Installation de l’outil 

 Suivre le wizard ci dessous :





Une fois installé, veuillez importer le module PowerShell d’ADFS Rapide Tool Restore comme ceci :

import-module 'C:\Program Files (x86)\ADFS Rapid Recreation 
Tool\ADFSRapidRecreationTool.dll'

Vérification avec un get-module

On peut voir le module ADFS Rapide restore tool installé sur notre serveur ADFs comme ceci :



Ce module dispose de deux cmdlets PowerShell :


On peut voir les options que dispose chaque commande comme ceci :

Backup-adfs :


Quelques explication sur les arguments :
  •           Storage Type : le type de stockage ou sera stocké le backup, possibilité de choisir soit du file système , ce qui veut dire que le backup sera placé dans un système de fichier sur le serveur ou dans un autre serveur ou dans un share par exemple, par contre le type azure vous permettra de stocker le backup dans azure dans un Azure Storage container
  •           storagePath : chemin du stockage ou sera stocké le backup
  •           EncryptionPassword :Le mots de passe qui va chiffrer et sécuriser le backup
  •           AzureConnectionCredentials :credential azure pour la connexion vers azure
  •           azureStoragecontainer : l’espace de stockage dans Azure ou sera stocké le backup si vous prenez ce type de storage
  •           BackupComment : commentaire sur le backup
  •           ServiceAccountCredential : Le compte de service qui fait tourner le service ADFS , ceci est nécessaire uniquement si vous souhaitez sauvegarder le DKM et que vous n’êtes pas Domain admin au moment du lancement du script de backup



en ce qui concerne la commande Backup-adfs :



En ce qui concerne la partie restaure, voici les paramètres :
  •           Storage Type : même chose que pour la commande backup-adfs
  •           DecryptionPassword : password qui permet déchiffrer les fichiers de backup ADFS
  •           AzureConnectionCredentials :credential azure pour la connexion vers azure
  •           azureStoragecontainer : l’espace de stockage dans Azure ou est stocké le backup si vous prenez ce type de storage
  •           ADFS name : le nom du service ADFS
  •           ServiceAccountCredential : compte de service qui fait tourner l’ADFS
  •           GroupServiceAccountIdentifier : le GMSA si vous souhaitez utiliser pour votre prochain infrastructure ADFS
  •           DBConnectionString : afin de chercher la base de donnée, il sera possible de la spécifiée ici  ( WId ou SQL)
  •           RestoreDKM : permet de restaurer le DKM



Backup Configuration ADFS


Une fois que nous avons le module PowerShell avec les différents paramètres, nous pourrons procéder au backup de notre configuration ADFS avec la commande suivante :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde " -BackupDKM


Une fois sauvegardée on peut voir le backup comme ceci :



Nous avons :

  • Le fichier de configuration
  • La base de donnes
  • Le DKM
  • Les metadata
  • Le certificat SSL
  • Les paramètres d’installation 


Il est possible de faire plusieurs type de backup :

Backup sans le DKM :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde ADFS "


Backup en spécifiant le compte de service ADFS :

Backup-ADFS -StorageType "FileSystem" -StoragePath C:\temp\ADFS -EncryptionPassword "password123" -BackupComment "sauvegarde ADFS " -ServiceAccountCredential $svcaccount


Backup dans un container Azure :

$cred = Get-Credential
Add-AzureAccount -Credential $cred

Backup-ADFS -StorageType "Azure" -AzureConnectionCredentials $cred  -AzureStorageContainer "adfs"  -EncryptionPassword "password123" -BackupComment "Clean Install of ADFS"




Restauration Configuration ADFS

Afin de restaurer votre configuration ADFS  alley sur votre nouveau server ADFS, faudra que ce dernier soit joint au domaine et lancez la commande suivante :

Ps . la commande restore-adfs s-occupe bien entendu d-installer la ferme ADFS etc en amont >

Restore-ADFS -StorageType “FileSystem” -StoragePath “D:\Data\ADFS” -DecryptionPassword “password123” -RestoreDKM -DBConnectionString “WID”

Ici il faudra spécifier la DBconnectionstring afin de spécifier la base de données ADFS , ici j’ai utilis; la WID.


Il est possible de faire plusieurs type de restauration également :

Restauration ADFS depuis un azure Storage container :

$cred = Get-Credential
Add-AzureAccount -Credential $cred

Restore-ADFS -StorageType "Azure" -AzureConnectionCredential $cred -DecryptionPassword "password123" -AzureStorageContainer "adfs"

Restauration ADFS avec une configuration SQL :

Restore-ADFS -StorageType "FileSystem" -StoragePath "D:\Data\ADFS” -DecryptionPassword "password123" - DBConnectionString "Data Source=srvsql\SQLDBADFS; Integrated Security=True"


Restauration ADFS en spécifiant le compte de service ADFS :

Restore-ADFS -StorageType "FileSystem" -StoragePath “D:\Data\ADFS”  -DecryptionPassword "password123" -ServiceAccountCredential $cred


Restauration ADFS avec un GMSA ( group managed service account)

Restore-ADFS -StorageType "FileSystem" -StoragePath “D:\Data\ADFS”  -DecryptionPassword "password123" -GroupServiceAccountIdentifier "mscloud\svcmgadfs$"

Conclusion

Avec cet outils de Microsoft, nous avons donc la possibilité de sauvegarder de manière sécurisée notre configuration ADFS vers un stockage file système classique ou dans un container Storage dans Azure, ceci nous offre une grande flexibilité en cas de crash de la configuration ADFS, ce qui permettra de restaurer son service ADFS de manière optimale.

N’hésitez pas à le mettre en place, c’est facile et ça prend pas beaucoup de temps, par contre cela peut vous faire gagner du temps et donc de l’argent en cas de soucis sur l’infrastructure ADFS.

Bien sûr, faire du backup c’est bien, mais tester les backup c’est encore mieux, donc n’hésitez pas a tester vos backup dans des serveurs cloisonnés afin de vérifier l’intégrité de vos backups ADFS 😊
Bon backup 😊

Cordialement,
Sezfallah Tagrerout
Microsoft MVP
>