Search This Blog

mardi 3 avril 2018

Livre sur Microsoft ATA - Advanced Threat Analytics

Hello à  tous,

Après plusieurs mois de travail, j'ai l'honneur de vous annoncer la sortie officielle de mon livre sur un sujet qui me tient à cœur : Microsoft ATA (Advanced Threat Analytics). Ce livre comporte la préface de mon ami Amit Rosenzweig qui était programme Manager chez Microsoft Corp du produit Microsoft ATA. Thank you Amit Rosenzweig ;) it was a pleasure to work with you.. Take Care Il s'agit de mon deuxième livre, après celui sur Hyper-V 2016. Un autre livre viendra plus tard dans l'année 2018  sur Azure AD. Un grand merci à mon ami ☁ Hicham KADIRI ☁ pour ses conseils, sa publication, et  son expertise pour m'accompagner dans ce projet. Un énorme Merci à Hakim Taoussi pour la relecture complète du livre. Il m'a pas fait de cadeau :)  Le livre est disponible ici :  https://becomeitexpert.com/produit/microsoft-advanced-threat-analytics-ata-design-deploiement-administration/



Trouvez d'autres ressources que j'ai réalisé pour vous :

Plusieurs surprises vont suivre :) Stay connectd !

Bonne lecture !

Cdt,
ST

dimanche 18 mars 2018

Azure Backup est disponible en France

Hello,

Une petite information sympa, Microsoft vient d'annoncer la disponibilité d'Azure Backup dans les Data center Azure Français.











Plus d'informations et source : https://azure.microsoft.com/en-us/updates/azure-backup-now-available-in-france/


Pour information, Azure Backup permet la sauvegarde de votre environnement (machines virtuelles on prem ou depuis Azure directement)  de manière sécurisée dans Azure, elle permet de s’affranchir d'une infrastructure de sauvegarde trop lourde on prem en terme de gestion et de coût, avec Azure Backup, on gagne en flexibilité et en énergie. Ce qui permet 'avoir u retour sur investissement avec le temps..


Documentation Azure Backup : https://docs.microsoft.com/en-us/azure/backup/backup-introduction-to-azure-backup


Cordialement,
ST

Azure AD - La fédération d'identité avec ADFS - Partie 3

Hello,

Nous allons continuer notre série d'articles autour d'Azure AD / Office365 et l’extension d'un annuaire Active Directory vers Azure AD.

Nous avons vu dans une première partie la présentation d'Azure AD, ensuite dans la deuxième partie, l'étude qui prépare à l’extension de son AD vers Azure AD.

Voici les deux premières parties des articles :


Nous allons continuer sur cette troisième partie qui va traiter la fédération d'identité avec ADFS. (l'installation et configuration d'ADFS).

Les trois types d'extension de son AD vers Azure AD :

  • La synchronisation du Hash du password
  • La fédération d’identité avec ADFS (abordé dans cet article)
  • Le pass through authentication

 Active Directory Federation Services 

ADFS permet une fédération d'identité qui offre un contrôle d’accès et de l'authentification sur plusieurs applications. Par exemple Office 365, des applications en mode SaaS et des applications qui sont hébergées au sein des réseaux internes des organisations.

ADFS offre de nombreux avantages :

  • Offre une authentification transparente pour les utilisateurs finaux
  • Offre le contrôle d’accès eu de l’authentification uniques aux applications

Nouveautés ADFS Windows Server 2016 V 4

  • Mise à jours d'ADFS 2012 R2 à ADFS 2016 devient très facile aujourd'hui
  • Intégration avec Azure MFA
  • Possibilité de configurer Azure MFA pour l'interne ou l'externe
  • Pas besoin d'avoir une infra local pour profiter de l’usage d'Azure MFA
  • Possibilité de se connecter sans mots de passe à partir d'appareils managés depuis l'entreprise 
  • Possibilité de mettre en place plusieurs stratégies d'authentification (conditionnel) comme par exemple, activer le MFA pour les ordinateurs qui ne sont pas gérées par l’entreprise pour plus de sécurité 
  • Prise en charge de Windows Hello entreprise authentification avec Windows 10, ceci permet aux utilisateurs de se connecter aux applications ADFS à partir du LAN ou même depuis l’extérieur sans saisie de mots de passe 
  • ADFS est compatible maintenant avec les derniers protocoles d'authentification modernes pour Windows 10 et les appareils comme IOS ou android
  • Authentification des années LDAP non AD
  • Simplification du journal d’événement d'ADFS, ce qui permettra de faciliter les audits ADFS
  • Amélioration au niveau de la prise en charge du protocole SAML, et meilleure prise en charge avec SAML 2.0 
  • Gestion plus simplifiée du mots de passé des utilisateurs fédérés, avec une possibilité de configurer ADFS afin qu'il puisse envoyer des revendications d'expiration de mots de passe 

Architecture ADFS Windows Server 2016 en production 

En production, il est nécessaire d'avoir l'approche suivante :

  • Deux serveur de fédération ADFS interne qui sont derriere un load balancer interne
  • Une base de données SQL Server 
  • Deux WAP (Web application proxy) serveurs placé en DMZ et en workgroup (derriere le Firewall et loadbalancer externe)




Prérequis ADFS 2016 

Certificat:

SSL :

Certificat SSL pour tous les serveurs ADFS ( ADFS + WAP) pour traiter les requêtes HTTPs ( vaut mieux installer le même certificat SSL sur tous les serveurs de la ferme ADFS) ce qui est fait ici dans notre cas.

Ce certificat doit remplir les conditions suivantes :
          Certificat approuvé publiquement
          Le certificat doit contenir la valeur du serveur d’authentification renforcée (EKU)
          Le certificat doit comporté le nom du service ADFS ( enregistrement DNS) exemple ici adfs.nomdomain.fcom dans l’objet
          Possibilité d’utiliser un wildcard comme ceci : *.nomdomain.com

           
Certificat de communication du service :

Certificat pas requis pour la plus part des scénarios ADFS y compris Azure Ad et office, par défaut ADFS le configure avec le certificat SSL fourni lors de la configuration initiale du service ADFS en tant que certificat de communication du service.

-       Recommandation : Il faut utiliser le même certificat SSL que vous utilisez pour vos ADFS et WAP

Certificat Token signing :

-          Recommandation : utilisez le certificat généré par l’ADFS

Certificat chiffrement / déchiffrement de jeton :


-          Recommandation : utilisez le certificat généré par l’ADFS

Configuration matérielle:

Voici les configurations minimales de Microsoft : (pour l'ADFS interne et le WAP)

Configuration matérielle requise

Configuration minimale requise
Configuration recommandée
MÉMOIRE RAM

2GO
4GO
Espace disque

32GO
100GO



ADFS et la base de données:


Il est possible de stocker la base de données ADFS dans une instance SQL server directement, mais cette configuration est recommandée pour les grosses infrastructures, en générale la base de donnée ADFS WID est suffisante (interne et propre au serveur ADFS).

NB :

-       Dans notre cas, nous utilisons la base de données Windows interne, ceci est largement suffisant pour notre infrastructure vu sa volumétrie au niveau users.


Concernant la base de donnée Windows interne , voici ce qu’elle peut prendre en charge et dans quel cas, il faut privilégier un serveur SQL :





L'Active Directory :

  • ADFS requière un domaine AD 2008 ou supérieur. En ce qui concerne le niveau fonctionnel, il doit être au minimum 2003 ou supérieur.
  • Le serveur ADFS doit être joint au domaine active directory de l’organisation, tous les serveurs ADFS doivent être déployés dans le même domaine en cas de ferme ADFS avec plusieurs serveurs.
  • Au moins un DC Windows server 2016 pour Microsoft Passport for work
  • Pour le schéma AD, les installation ADFS Windows Server 2016 requièrent le schéma AD 2016 version minimum 85)
  • ADFS supporte les comptes de service classiques  avec un droit de lecture standard ou alors les groups Managed service account, ce compte de service doit être trusté dans chaque domaine concerné. Dans le cas des MSA, les permissions sont ajoutées automatiquement lors de l’installation.

  • Pour l’authentification Kerberos, le SPN Host /adfs.nomdomain.com doit être enregistré sur le compte de service ADFS, par défaut, ADFS configure cet SPN lors de la création de la nouvelle ferme ADFS.
  •  Les MSA ( managed service Account) sont disponibles dans une infrastructure qui se compose d’au moins un DC sous Windows Server 2012 ou + 



Navigateur internet:

Afin que l’authentification ADFS soit permise, il faut répondre aux besoins suivants :
  •           Javascript activé
  •           Pour le SSO, le navigateur des users clients doit être configuré pour autoriser les cookies
  •           Navigateur doit  supporter l’authentification des client en SSL
  •           Pour le SSO, il faut ajouter le nom du service ADFS (adfs.nomdomain.com) dans la zone intranet local ou alors la zone site de confiance


     Flux firewall ADFS-WAP 

       Entre les serveurs ADFS et le WAP :





      Entre le WAP et les utilisateurs externes :







       DNS :
       
       Pour le LAN :


-        Tous les utilisateurs qui doivent accéder au service ADFS avec l’URL interne, doivent le résoudre le nom du service ADFS avec l’IP interne du serveur ADFS.

Pour le WAN :

Les utilisateurs en externe c’est à dire a l’extérieur du réseau de l’entreprise doivent résoudre le nom du service ADFS avec l’IP public du serveur WAP Proxy qui se trouve dans la DMZ

Au niveau du serveur WAP placé dans la DMZ, il doit être en mesure de résoudre le nom du service ADFS interne, il faut donc dans le fichier host de ce serveur mettre l’IP et le nom du serveur ADFS interne, ainsi que l’enregistrement DNS de type A qui pointe lui aussi sur l’IP du serveur ADFS interne.

  •           Pas de CNAM pour le nom du service ADFS, toujours un record A DNS 


Autorisation:     


L’administrateur qui effectue l’installation du service ADFS, doit être membre du groupe administrateur local du / des serveurs ADFS interne.

Même chose pour le WAP Proxy qui lui en workgroup.

Vous aurez besoin également durant l’installation d’un compte domain admin afin de pouvoir faire la configuration ADFS, vous devrez donc vous connecter à l’AD avec un compte domain Admin.

Une fois que ces prérequis sont respectés, nous pourrons commencer l’installation de l’infrastructure ADFS.

Installation d'ADFS sous Windows Server 2016 

Voici notre architecture ADFS qui est représentée par un serveur ADFS interne et un serveur WAp placé en DMZ. (architecture assez simple, que je vais faire évoluer plus tard...)




Avant de commencer l'installation, installer votre certificat SSL sur le serveur ADFS (ici SRVAAD01) ensuite exportez le certificat avec sa clé privé en format PFX (afin de l'installer plus tard sur le serveur WAP, on le verra dans la partie 4)

Allez dans le server Manager et ajouter un rôle. l'assistant s'ouvre, cliquez sur Suivant:




Cliquez sur Next :




Choisir le serveur et cliquez sur Next :



Cochez "Active Directory Fédération Services" et cliquez sur Next :


Laissez par défaut, et cliquez sur Next:



Introduction à ADFS, cliquez sur Next:



Cliquez sur "Install":


L'installation du rôle ADFS :


A ce stade, le rôle ADFS est installé, mais non configuré, nous allons voir dans le point suivant la configuration de ce dernier.

Une fois le rôle ADFS installé, vous aurez un panneaux jaune qui vous permettra de configurer votre ADFS : cliquez dessus 

vous aurez ensuite l'assistant de configuration qui s'ouvre, cochez "create the first féderation server in a federation server farm" comme ceci et cliquez su Next:


Se munir d’un compte domain admin, notre cas ici avec l’utilisateur mscloud\seyf , ceci sera nécessaire afin d’inscrire le SPN des services de fédération,  cliquez sur Next pour continuer :

A partir de ce moment-là, l’assistant de l’installation va créer automatiquement le SPN de type Host. Il est également possible de le faire à la main avec la commande suivante :

setspn -s HOST/adfs.domain.com domain\adfs



Choisi ici le certificat SSL installé auparavant sur le serveur, ce certificat sera présenté par les services de fédération pour la connexion HTTPS

  •           Définir ensuite le nom du service ADFS, ICI : ADFS.domain.com
  •            Mettre également le nom complet du service ADFS comme ceci et cliquez sur Next :



Nous allons ici créer un compte de service géré (MSA), cela sera plus simple pour la gestion et surtout ce type de compte est géré automatiquement par le service ADFS avec un mots de passe qui n’expire pas.

Pour cela il faut d'abord créer une clé Key Distribution Services : 
  






Ensuite,  cliquez sur Créer un compte de service de groupe : ( nom : mscloud\svcadfs)




 Sélectionnez ensuite la base de données Windows Interne (WID), car cela est suffisant pour notre besoin et cliquez sur Next :


Un récap de vos actions, cliquez ensuite sur Next :


L'assistant effectue un check afin de vérifier tous les prérequis ADFS , cliques ensuite sur "Configure" comme ceci : 



Une fois terminée, vous pouvez cliquez sur "Close":




Une fois que le rôle ADFS installé et le service ADFS configuré, nous pourrons lancer un test afin de valider le fonctionnement du service ADFS.

Pour cela, il suffit lancer internet explorer et aller sur l’URL suivante :




Vous devez avoir l'erreur suivante :



Tout simplement car la page web d'authentification est déactivée par défaut sur ADFS 4 (2016), donc pour l'activer, il suffit de passer la commande Powershell suivante :

Set-AdfsProperties -EnableIdpInitiatedSignonPage $true


 Une fois activé, vous pourrez voir votre page ADFS pour la première fois comme ceci :

Cliquez sur Sign in et connecter vous avec un utilisateur présent dans votre AD :



Une fois connecté, vous aurez ceci , ce qui permet de valider le bon fonctionnement de votre ADFS interne :


 
Nous arrivons à la fin de la partie 3,  qui a traité la partie ADFS et l'installation et configuration de ce dernier, nous verrons dans la prochaine étape (partie 4) la mise en place du WAP dans la DMZ.

Une fois terminée, on passera en détail sur l’infrastructure ADFS  (Partie 5) afin de faire un peu de deep-dive au niveau de la console, des certificats, des options etc .

en attendant, Enjoy !

Cordialement,
ST

Configuration de Cluster Aware Updating

Hello,

Nous allons aujourd'hui aborder une fonctionnalité intéressante, qui est le CAU (Cluster Aware Updating).

Introduction 

CAU, est une fonctionnalité, qui permet de mettre à jours vos cluster Windows server de manière seine et surtout sans perte de disponibilité durant la mise à jours. le CAU, permet de faire des mises à jours adaptées aux clusters de basculement Windows.



Fonctionnement 

Le CAU fonctionne de la manière suivante :


  • Placement de chaque nœud en mode maintenance (il place les nœuds de manière séquentielle)

  • Déplacement des rôles cluster qui sont sur le nœud en maintenance vers un autre nœud actif




  • Installation des mise à jours sur le nœud en question 
  • Redémarrage du nœud si ceci est nécessaire
  • Sort le nœud du mode maintenance et restaure les rôles de cluster sur ce dernier


  • s'occupe du nœud suivant (c'est à dire le mettre en maintenance, faire la mise à jours etc, et ceci ainsi de suite jusqu’à que tous les nœuds du cluster soient à jours)

  • Cluster mis à jours:



Pour info : CAU commence par le nœud qui contient le moins de rôle clusterisés.

Le CAU gère les updates avec deux modes :

  • Self-Updating mode: Le CAU dans ce cas est configuré comme une charge de travail sur le cluster Windows qui doit être mis à jour. Un planning de mise à jours est bien entendu défini. Le cluster démarrera les mise à jours en fonction de la planification définie, cette mise à jours démarre sur le nœud qui contient le rôle CAU (comme charge de travail) ensuite, il passe aux autres nœuds de manière séquentielle. Avec ce mode, le processeur de mise à jours du cluster est complètement automatisé.
  • Mode de mise à jour Remote : Ce mode permet de déclencher les mise à jours depuis un ordinateur distant, sur le quelle le CAS est configuré. Cet ordinateur est appelé "coordinateur de mise à jour" ne fait pas partie du cluster en tant que nœud. 




Installation et configuration 

Nous allons voir l'installation et la configuration de CAU sous Windows Server 2016.

Ouvrez votre console cluster de basculement:




Une fois sur la console de votre clustern cliquez droit sur le cluster et allez dans ==>  More Actions - Cluster Aware Updating

La fenêtre suivante s'ouvre, connectez vous au cluster avec son nom, et cliquez ensuite sur "Configure cluster self updating options"


L'assistant suivant s'ouvre, cliquez sur Next :





Cochez la case "Add The CAU clustered role" afin de choisir le mode "self-updating" ce qu veut dire que le CAU sera placé comme charge de travail dans le cluster et cliquez sur Next :



Choisir la planification de vos mis à jours et cliquez sur Next :




Possibilité d'aller plus loin avec options définis dans le CAU pour les mises à jour (un article à part traitera cette partie plus tard)

Cliquez sur Next ensuite :



Cochez la réception de mises à jours recommandé par Microsoft  et cliquez sur Next:



Cliquez sur apply afin de valider vos actions et configurer le CAU:


L'ajout du CAU en mode self-updating se fait .... 





Terminé :)




Maintenant, votre cluster se mettra à jours de manière automatique en fonction de la planification choisi lors de l'installation du CAU.

Il est possible également d'appliquer les updates de manière manuelle comme ceci (cliquez sur Apply Updates to this cluster)



Cliquez sur Next :


Cliquez sur Update:


Possibilité de lancer l'update forcé / manuelle en powershell comme ceci :

Set-CauClusterRole -clusterName ClusterFS -updateNow -force




Conclusion

Le CAU est une bonne fonctionnalité qui permet de vous faciliter la vie lors de vos mis à jours au niveau de vos cluster, que ca soit Hyper-V, cluster de fichier ou autresn il vous permettra un gain de temps et surtout vous assuera une haute disponibilité durant le processeur de mise à jours Windows du cluster.

Cordialement,
ST

Classification de données dans Azure SQL

Bonjour,

Nous allons parler aujourd'hui de classification de données, et plus précisément, de classification de donnés dans Azure SQL.

Introduction 

Data Discovery and classification dans Azure SQL Database, (en mode preview au moment de l'écriture de cet article)  permet de faire de la classification, d'étiqueter, et de protéger les données des base de données Azure SQL.

Cette fonctionnalité permet :

  • De vous aider à être aux normes de la confidentialité avec GDPR 
  • De sécuriser et d'avoir le contrôle sur vos données 
  • De surveiller vos données (génération d'alertes sur certaines données jugées comme sensibles, ...)



Fonctionnement 

Cette fonctionnalité contient plusieurs éléments qui vous propose une protection optimales de vos données:


  • Découverte : Microsoft à mis en place un moteur de classification et d'analyse de  la base de données Azure SQL, ce dernier va analyser toute la base de données, et il va identifier les données sensibles.
  • Étiquetage: Possibilité d’étiqueter et de classifier les colonnes de votre base de données, et ceci, grâce aux nouveaux attributs de classification introduits dans le moteur SQL
  •  Reporting : Possibilité d'afficher les classifications et leur état dans un dashbord à des fins de présentations, et pour avoir une meilleure visibilité sur l’état de classification de vos données


Classification de données 

Afin de classifier vos données au niveau de votre base de données Azure SQL, rendez vous sur votre portail Azure.

Une fois connecté sur le portail, allez a niveau de votre base de donnée et allez dans "Data discovery and classification"




Dans mon cas ici , on peut voir que nous n'avons pas de recommandation de classification automatique, il est possible de cliquer sur la flèche, afin de procéder à la création de classification manuelle :



Cliquez ensuite sur "Add classification



Choisir ensuite les informations suivantes relative à votre base:

  • Le schema
  • La table
  • La column
  • Le type d'information
  • la sensibilité du Label 





Au niveau du type d'information, il est possible de choisir parmi la liste suivante , ceci est en fonction bien entendu de la nature de vos données présentes dans la table:

  • Banque
  • Contact Info
  • Credentials
  • Carte de crédit
  • Finance
  • etc 



Au niveau de l’étiquetage, il est possible de choisir les niveaux suivants :

  • Public
  • General
  • Confidentiel 
  • Confidentiel - GDPR
  • etc ...







"à noter, qu'il est possible de laisser le moteur vous faire une recommandation de classification de manière automatique."

Une fois terminé, cliquez sur ADD classification comme ceci :




Et cliquez sur Save afin de valider votre configuration.



On pourrait voir le résultat comme ceci, on peut voir par exemple les informations liées aux données personnelles qui doivent  répondre aux contraintes GDPR :




Pour info :

Microsoft à amélioré l'audit Azure SQL data base et inclus un nouveau champs "Data_sensitivity_information" qui se charger d’afficher les classification de données effectuées plus haut 


Conclusion

Cette fonctionnalité arrive au bon moment, celle-ci est encore en preview (au moment de l’écriture de cet article ) , elle va permettre aux entreprises de se mettre aux normes et d'être à jours au niveau de la GDPR, de plus, elle offre de la sécurité au niveau des base de données et du Contrôle d’accès. 

Cette fonctionnalité pourrait faire tenter les clients à basculer sur les bases de données Azure SQL en tant que service (en mode POC au début et pourquoi pas de la production, sur quelques services que la boite juge pertinents de mettre dans Azure)

Bonne classification :)

Cordialement,
ST
>