Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)
    • 3/4/2020

    Microsoft adapte son programme de certification avec le COVID-19

    Comme beaucoup d’entreprises qui adaptent leurs programmes (SNCF Fidélité, Air France, etc.) suite à cette situation exceptionnelle du COVID-19, Microsoft vient de réaliser une adaptation du programme de certification et de formation. Parmi les annonces, on retrouve

    Source : https://www.microsoft.com/en-us/learning/community-blog-post.aspx?BlogId=8&Id=375289

    • 3/4/2020

    [Edge] Microsoft Edge Chromium 81 ne sera pas promu comme versions table (COVID-19)

    Comme pour beaucoup de service, Microsoft a mis en suspend la promotion de la prochaine monture (Version 81) de Microsoft Edge Chromium sur le canal stable. Il en est de même pour Google Chrome. Microsoft veut minimiser l’impact sur les entreprises et les développeurs Web. La version 80 va continuer de recevoir des mises à jour de sécurité et de stabilité. Les canaux de préversion (Canary, Dev, Beta) vont continuer de recevoir des mises à jour comme attendu.

    Source : Microsoft

    • 3/4/2020

    [Windows] Arrêt de toutes les mises à jour optionnelles pour Windows et Windows Server

    L’équipe Windows a annoncé que Microsoft mettrait en pause à partir de mai 2020, toutes les mises à jour optionnelles ne traitant pas de la sécurité (Mise à jour C et D) pour toutes les versions de Windows et Windows Server supportées. Cette décision intervient avec la crise exceptionnelle du COVID-19 afin laisser la priorité à la sécurité et au maintien de la protection et de la productivité des clients.

    Source : Microsoft

    • 2/4/2020

    [SCCM/MEMCM 2002] Microsoft Endpoint Manager Configuration Manager 2002 est disponible (Early Wave)

    Microsoft vient de mettre à disposition en Early Wave, la version finale (5.00.8968.1000) de Microsoft EndPoint Manager Configuration Manager 2002. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous utilisez System Center 2012 Configuration Manager, vous devez mettre à jour votre site vers System Center Configuration Manager 1806 avant de pouvoir passer à cette version. Pour les versions antérieures, la version minimale est aussi System Center Configuration Manager 1806.

     

    Microsoft Endpoint Manager Configuration Manager 2002 comprend les nouveautés suivantes : 

    Administration

    • Si vous disposez d’une hiérarchie avec un CAS, vous pouvez maintenant supprimer ce CAS afin de simplifier la hiérarchie et la complexité liée à la réplication intersites. Ce mécanisme doit pour l’instant être réalisé avec l’aide du support Microsoft.
    • De nouvelles règles Management Insights sont disponible sous le groupe Configuration Manager Assessment avec notamment :
      • Réduire le nombre d’applications et de packages sur les points de distribution. Le nombre supporté peut aller jusqu’à 10 000 packages et applications.
      • Mettre à jour tous les sites d’une hiérarchie avec la même version. Ceci permet d’identifier les hiérarchies dans un mode d’interopérabilité.
      • La découverte par pulsation d’inventaire (Heartbeat) est désactivée.
      • Des requêtes de collection à temps d’exécution long sont activées avec la mise à jour incrémentielle. Cette règle révèle les collections qui ont un temps de mise à jour incrémentiel supérieur à 30 secondes.
      • Problèmes d’installation des sites secondaires révèlent les sites secondaires avec un état de mise à niveau bloqué à Pending ou Failed.
      • La découverte de système Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • La découverte de groupe de sécurité Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • La découverte d’utilisateur Active Directory est configurée pour s’exécuter trop fréquemment (toutes les 3 heures).
      • Les collections limitées à All Systems et All Users. Configuration Manager met à jour l'appartenance de ces collections avec les données des méthodes de découverte Active Directory. Ces données peuvent ne pas être valides pour les clients Configuration Manager
    • De nouvelles règles Management Insights sont disponible sous le groupe Cloud Services avec notamment :
      • Les sites n’ont pas la configuration HTTPS adéquates
      • Les périphériques ne sont pas uploadés sur Azure AD
    • Amélioration de l’Administration Service afin de ne plus demander d’activer la fonctionnalité Enhanced HTTP ou d’utiliser un certificat au niveau du rôle IIS du SMS Provider. A partir de maintenant, le service d’administration utilise automatiquement le certificat autosigné du site.
    • Support du proxy pour la synchronisation des groupes et la découverte Azure AD
    • Vous pouvez initier la collection des journaux (logs) d’un client vers le serveur de site depuis les actions de notification dans la console d’administration. Les journaux sont ensuite consultables depuis l’explorateur de ressources (Resource Explorer) via le nœud Diagnostic Files.
    • Il est possible d’exécuter une action de notification cliente à distance depuis le CAS afin de réveiller des périphériques. Cette action n’était disponible qu’à partir du site primaire.
    • Ajout de la plateforme All Windows 10 (ARM64) à la liste des conditions et prérequis (pour les applications, les baselines, les objets de configuration, etc.). L’option est sous le groupe de plateformes Windows 10. L’option n’est pas présélectionnée pour les objets existants.
    • OneTrace supporte maintenant des groupes de journalisation personnalisables comme dans Support Center. Ceci permet d’ouvrir tous les fichiers de journalisation dans un seul scénario (Application Management, Compliance Settings, Software Updates). Pour rappel, OneTrace est une nouvelle visionneuse de journaux. L’outil fonctionne de manière similaire à CMTrace en supportant les logs ConfigMgr, les messages d’état, et les logs Windows Update.
    • L'outil d'extension et de migration des sites On-Premises vers Microsoft Azure prend désormais en charge le provisionnement de plusieurs rôles de système de site sur une seule machine virtuelle Azure. Vous pouvez ajouter des rôles de système de site après le déploiement initial de la machine virtuelle Azure.

     

     

    Gestion attachée au Cloud (Cloud-attached Management)

    • La gestion attachée au Cloud est une nouvelle fonctionnalité qui permet de connecter l’infrastructure Microsoft Endpoint Manager à Microsoft Intune afin de pouvoir remonter des informations et de lancer des actions à partir d’un portail unique celui de Microsoft Endpoint Manager/Microsoft Intune.
    • Le serveur de site lève des messages d’état critique (ID 11488) si le serveur de site n’arrive pas à se connecter aux points de terminaison requis pour les services Cloud.
    • La Cloud Management Gateway (CMG) supporte maintenant l’authentification basée sur des tokens (jetons). Ce nouveau mode d’authentification vient compléter celui proposé au travers des certificats, de l’authentification via la jointure à Azure AD. Il permet de couvrir des machines qui sont sur Internet et ne se connectent pas fréquemment au réseau Internet.
    • La charge de travail Client Apps (précédemment Mobile Apps) du Co-Management sort de sa phase de Preview

     

    Desktop Analytics

    • Le tableau d’état de santé des connexions de Desktop Analytics affiche maintenant les problèmes de connexion client avec notamment deux aspects :
      • La vérification de la connectivité des points de terminaison : Si un client ne peut atteindre ces points de terminaison, vous voyez un alerte dans le tableau de bord ; ce qui peut vous permettre d’identifier les problèmes de configuration de proxy
      • L’état de connectivité : Si vous utilisez un proxy, Configuration Manager affiche les problèmes d’authentification proxy des clients.

    Inventaire et Reporting

    • Vous pouvez maintenant intégrer Power BI Report Server avec le composant de reporting. Ceci permet d’avoir accès à des visualisations modernes et de meilleures performances.
    • Microsoft facilite la navigation entre les entités CMPivot en permettant la recherche de propriétés.

     

    Gestion du contenu

    • Dans le cadre de l’utilisation de PeerCache, il devient possible de spécifier des sous-réseaux à exclure de la liste des sources fournie aux clients qui souhaitent récupérer du contenu.
    • Support du Proxy pour Microsoft Connected Cache, le serveur relais de Delivery Optimization.

     

    Gestion des Applications

    • Le tableau de bord de gestion de Microsoft Edge (présent dans l’espace Software Library) fournit des éléments sur l’usage de Microsoft Edge et des autres navigateurs en permettant de :
      • Voir combien de périphériques ont Microsoft Edge installé.
      • Voir combien de clients ont des versions différentes de Microsoft Edge installées
      • Avoir une vue des navigateurs installés sur les périphériques
      • Avoir une vue des navigateurs préférés par périphérique
    • Il est maintenant possible de créer une application Microsoft Edge qui se voit automatiquement mise à jour avec les nouvelles versions. Ceci permet de s’assurer que vous déployez toujours la dernière version sans avoir à passer par le système de gestion des mises à jour logicielles.
    • Vous pouvez maintenant installer des applications complexes en utilisant les séquences de tâches via le modèle d’application. Ceci signifie que vous pouvez ajouter un type de déploiement de type séquence de tâches sur une application pour l’installation ou la désinstallation. Ceci permet de pouvoir faire afficher une icône et de mettre des métadonnées additionnelles sur une séquence de tâches qui ne le permettait pas en temps normal

     

     

    Mises à jour logicielles

    • Microsoft a complétement revu la fonction Server Group qui permettait d’orchestrer l’installation des mises à jour logicielles. Cette dernière est renommée Orchestration Groups et permet d’offrir un meilleur contrôle sur le déploiement des mises à jour logicielles. Vous pouvez donc créer des collections qui définissent la façon dont les mises à jour logicielles doivent s’installer en fonction d’un pourcentage de disponibilité, d’un nombre de machines ou d’un ordre spécifique. La fonction vous permet d’exécuter des scripts de pré déploiement et de post installation. La création du groupe d’orchestration se fait depuis Assets and Compliance – Orchestration Group.
    • Configuration Manager détecte maintenant si une mise à jour de la pile de maintenance (Servicing Stack Update) fait partie d'une installation de plusieurs mises à jour. Lorsqu'un SSU est détecté, il est d'abord installé. Après l'installation du SSU, un cycle d'évaluation des mises à jour logicielles s'exécute pour installer les mises à jour restantes. Ce changement permet d'installer une mise à jour cumulative dépendante après la mise à jour de la pile de maintenance. L'appareil n'a pas besoin de redémarrer entre l’installation, et vous n'avez pas besoin de créer une fenêtre de maintenance supplémentaire. Les SSU ne sont installés en premier que pour les installations initiées par des non-utilisateurs. Par exemple, si un utilisateur lance une installation pour plusieurs mises à jour à partir du Software Center, le SSU pourrait ne pas être installé en premier.
    • Vous pouvez utiliser un nouvel outil pour importer les mises à jour d'Office 365 à partir d'un serveur WSUS connecté à Internet dans un environnement Configuration Manager déconnecté. Auparavant, lorsque vous exportiez et importiez des métadonnées pour des logiciels mis à jour dans des environnements déconnectés, vous ne pouviez pas déployer les mises à jour d'Office 365. Les mises à jour d'Office 365 nécessitent des métadonnées supplémentaires téléchargées à partir d'une API Office et du CDN Office, ce qui n'est pas possible pour les environnements déconnectés.

     

    Déploiement de systèmes d’exploitation

    • Vous pouvez lancer une séquence de tâches immédiatement après l’enregistrement du client en ajoutant le paramètre de ligne de commande /PROVISIONTS <ID de la Séquence de tâches>. Cette fonctionnalité permet notamment d’améliorer les scénarios de personnalisation réalisés avec Windows Autopilot après l’installation du client SCCM par Microsoft Intune.
    • Amélioration de l’étape de vérification des prérequis (Check Readiness) avec l’ajout des propriétés suivantes :
      • Architecture de l'OS actuel
      • Version minimale du système d'exploitation
      • Version maximale du système d'exploitation
      • Version minimale du client
      • Langue du système d'exploitation actuel
      • Alimentation électrique branchée
      • L'adaptateur réseau est connecté et non pas le WiFi
    • Amélioration de fenêtre de progression de la séquence de tâches pour :
      • Permettre l’affichage du nombre total d’étape, le numéro de l’étape courante et le pourcentage de progression
      • Augmenter la taille de la fenêtre pour donner plus d’espace et mieux voir le nom de l’entreprise sur une seule ligne.
    • Les améliorations générales suivantes sur le déploiement de système d’exploitation :
      • L'environnement de la séquence de tâches comprend une nouvelle variable en lecture seule, _TSSecureBoot. Cette variable permet déterminer l'état de démarrage sécurisé (SecureBoot) sur un périphérique compatible UEFI.
      • Définissez les variables de séquence de tâches SMSTSRunCommandLineAsUser et SMSTSRunPowerShellAsUser pour configurer le contexte utilisateur pour les tâches Run Command Line et Run PowerShell Script.
      • Sur la tâche Run PowerShell Script, vous pouvez maintenant définir la propriété Paramètres sur une variable.
      • Le PXE responder envoie désormais des messages d'état au serveur du site. Ce changement permet de faciliter le dépannage des déploiements de systèmes d'exploitation qui utilisent ce service.

     

    Protection

    • Extension de l’onboarding des machines dans Microsoft Defender Advanced Threat Protection pour supporter les nouveaux systèmes suivants : Windows 7 SP1, Windows 8.1, Windows Server 2008 R2 SP1, Windows Server 2012 R2, Windows Server 2016, Windows Server 2016, version 1803, et Windows Server 2019.
    • Amélioration de la gestion de BitLocker :
      • La stratégie de gestion de BitLocker comprend désormais des paramètres supplémentaires, notamment des stratégies pour les lecteurs fixes et amovibles.
      • Avec Configuration Manager 1910, vous deviez activer le protocole HTTPS sur un Management Point. La connexion HTTPS est nécessaire pour chiffrer les clés de restauration en transit sur le réseau. À partir de cette version, l'exigence HTTPS concerne le site web d'IIS qui héberge le service de récupération, et non l'ensemble des rôles Management Point. Ce changement assouplit les exigences en matière de certificat, tout en continuant à chiffrer les clés de récupération en transit.

     

     

    Gestion des paramétrages et de la conformité

    • Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.E

     

    Console Configuration Manager

    • Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

    • Comme dans les versions précédentes, vous pouvez maintenant utiliser l'option de recherche Tous les sous-dossiers (All Subfolders) à partir des nœuds Configuration Items et Configuration Baselines.
    • Vous pouvez désormais choisir de joindre des fichiers de journalisation et de diagnostic lorsque vous utilisez la fonction Send a Frown dans la console. Ces informations supplémentaires peuvent aider Microsoft à déterminer plus rapidement la cause du problème. Les fichiers inclus avec les commentaires sont transmis et stockés à l'aide de Microsoft Error Reporting (également connu sous le nom de Windows Error Reporting).
    • Lorsque vous envoyez retour, un message d’état est créé lorsque le retour d'information est soumis. Cette amélioration permet d'enregistrer les informations sur quand, qui, le statut et l’identifiant de la soumission. Un message d’état avec un identifiant 53900 est une soumission réussie et 53901 est une soumission échouée.

     

    Plus d’informations sur cette version : What’s new in version 2002

    Pour obtenir les éléments relatifs au processus de mise à jour : https://docs.microsoft.com/en-us/sccm/core/servers/manage/updates

    Pour télécharger cette version en Early Wave, vous devez utiliser le script PowerShell

    • 2/4/2020

    [MEMCM] La Technical Preview 2003 de Microsoft Endpoint Manager Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 2003 (5.0.8974.1000) de Microsoft Endpoint Manager Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2003 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    System Center Configuration Manager TP 2003 comprend les nouveautés suivantes :

    Administration

    • Afin de vous aider à dépanner les problèmes liés à des groupes de limites, Microsoft vous permet d’ajouter une colonne Boundary Group(s) à la vue des périphériques et des collections dans la console d’administration. Si une machine est dans plus d’un groupe de limites, ils sont tous affichés séparés par des points virgules. L’information est mise à jour à chaque demande de contenu ou au maximum toutes les 24 heures. Si un périphérique n’est dans aucun Boundary Group, alors la colonne n’a pas de valeur.

    • Microsoft a publié un nouvel assistant de retour sur le produit permettant d’améliorer l’expérience en donnant une description, en sélectionnant des catégories de problèmes, incluant des astuces pour faire un retour utile, permettant d’attacher des fichiers et affichant une page avec l’identifiant de transaction.

      

    • Dans la TP2001.2, Microsoft a introduit un nouveau message de statut, qui donne des détails sur les retours envoyés. Cette Technical Preview offre une requête Feedback sent to Microsoft permettant de résumer ces messages d’état.
      Note : Vous devez exécuter une requête spécifique si vous avez mis à jour la TP depuis une version précédente.

    Cloud and Tenant-Attach

    • Vous pouvez maintenant déployer des stratégies d’onboarding à Microsoft Defender ATP sur des clients ConfigMgr sans avoir besoin qu’ils soient enregistrés dans Azure AD ou Microsoft Intune. Vous pouvez créer une stratégie ciblant une collection plutôt que des groupes Azure Active Directory directement depuis le portail Endpoint Manager/Microsoft Intune.

     

    Inventaires et Reporting

    • Le tableau de bord de gestion de Microsoft Edge offre un nouveau diagramme permettant de suivre l’usage des différents navigateurs sur le périphérique sur les 7 dernières jours. Vous devez pour cela activer la classe d’inventaire SMS_BrowserUsage.

    • CMPivot peut être exécuté sur un appareil individuel. Ce changement facilite la création de requêtes CMPivot pour un périphérique par des techniciens du service informatique.

     

    Configuration et Conformité

    • Une option "Track remediation history when supported" permet de générer des messages d’état pour toutes les remédiations initiées sur les clients.

     

    Déploiement de système d’exploitation

    • La tâche Check Readiness comprend maintenant une vérification « Computer is in UEFI mode» pour déterminer si l'appareil utilise l'UEFI. Elle comprend également une nouvelle variable de séquence de tâches, _TS_CRUEFI en lecture seule avec les valeurs suivantes : 0 : BIOS et 1 : UEFI
    • Si vous activez la fenêtre de progression de la séquence de tâches pour afficher des informations plus détaillées sur la progression, elle ne compte plus les étapes activées dans un groupe désactivé. Ce changement permet de rendre l'estimation de la progression plus précise.
    • Certaines entreprises construisent des interfaces de séquences de tâches personnalisées en utilisant la méthode IProgressUI::ShowMessage, mais elle ne renvoie pas de valeur pour la réponse de l'utilisateur. Sur la base des retours UserVoice, cette version ajoute la méthode IProgressUI::ShowMessageEx. Cette nouvelle méthode est similaire à la méthode existante, mais comprend également une nouvelle variable de résultat entière, pResult. La valeur de cette variable est une valeur de retour standard de la boîte de message Windows.

     

    Plus d’informations sur : https://docs.microsoft.com/en-us/sccm/core/get-started/2019/technical-preview-2003

    • 1/4/2020

    [Intune] L’inscription automatique à Intune échoue avec l’événement 76 et l’erreur 0x80180026

    Aujourd’hui je souhaitais revenir sur un cas d’erreur spécifique que vous pouvez rencontrer lors de l’enregistrement automatique dans Microsoft Intune d’une machine Windows 10. Ceci peut notamment survenir lorsque la machine a été Hybrid Azure AD jointe et qu’ensuite vous utilisez la stratégie de groupe ou le Co-Management pour réaliser l’enregistrement automatique.

    En naviguant dans le journal d’événements et dans l’arborescence Application and Services Logs – Microsoft – Windows – DeviceManagement-Enterprise-Diagnostics-Provider puis dans le journal Admin, vous observez l’événement 76 avec le code d’erreur 0x80180026.

    Vous devez vérifier que :

    • La configuration Hybrid Azure AD Join
    • La machine a bien récupéré l’AzureADPRT nécessaire à l’enregistrement via la commande dsregcmd /status
    • La configuration de Microsoft Intune est correcte :
      • Enregistrement de machine Windows autorisée
      • Enregistrement DNS correctement créé
      • Autorisation de l’enregistrement sur l’application Microsoft Intune au niveau d’Azure AD

     

    Cette erreur peut trouver de nombreuses raisons plus ou moins bien documentées parmi lesquelles :

    • Un conflit entre le paramètre d’enregistrement automatique lié au Co-Management de Microsoft Endpoint Manager Configuration Manager et Microsoft Intune et la stratégie de groupe. La GPO (Disable MDM Enrollment) peut interdire l’enregistrement automatique dans Microsoft Intune alors que MEM CM l’impose.
    • Le périphérique est géré par une solution MDM tierce ou par le client Intune traditionnel/hérité.
    • Une licence Microsoft Intune ou EMS ou Microsoft 365 n’est pas associée à l’utilisateur connecté.
    • L’utilisateur a atteint la limite du nombre de périphérique Azure Active Directory et/ou Microsoft Intune.

    C’est cette dernière cause qui a causé le problème dans mon cas, vous devez donc :

    • Soit nettoyer/supprimer des enregistrements Azure AD ou Microsoft Intune associés à l’utilisateur
    • Soit utiliser un autre compte utilisateur pour réaliser cet enregistrement
    • Soit augmenter la limite du nombre de périphériques enregistrable par utilisateur sur Azure AD et Microsoft Intune
    • 1/4/2020

    [Intune] Action Requise : Une maintenance planifiée pour le 4 Avril 2020

    Microsoft planifie une maintenance pour Microsoft Intune avec une période d’indisponibilité pour certains comptes. Lors de cette maintenance, Microsoft réalisera des améliorations afin d'incorporer la résilience à la récupération en cas de désastre dans les infrastructures. Il s'agit d'un pas vers une plus grande résilience d'Intune face aux pannes d'un seul datacenter. Il y a une action requise de votre part en ce moment, pour s'assurer que le service Intune continue à fonctionner comme prévu après la maintenance.

    Cette indisponibilité va impacter :

    • Le portail Intune dans Azure, le portail Endpoint Manager
    • Le centre d’administration de gestion des périphérique Microsoft 365
    • Le portail Intune pour Education

    Pendant cette période d'inactivité, vous pourrez vous connecter à ces portails, mais vous ne pourrez pas effectuer de changements. Microsoft recommande de ne pas se connecter à Intune pendant cette période d'inactivité, car les données et les rapports risquent de ne pas s'afficher correctement. Les services, par exemple l'enregistrement des appareils, l'inscription et l'installation d'applications ne seront pas disponibles dans la console. Les utilisateurs finaux ne pourront pas accéder au portail de l'entreprise ni enregistrer leur appareil pendant cette période. Vous ne devez pas prévoir d'effectuer des mises à jour ou des modifications pendant cette fenêtre de maintenance. Pensez donc à vos scripts !

    Si vous avez configuré des règles de pare-feu, elles devront être modifiées pour inclure la nouvelle adresse IP, avant la période d'indisponibilité.

    Vous pouvez retrouver les nouvelles adresses IP sur : https://docs.microsoft.com/intune/intune-endpoints

    • 31/3/2020

    [Azure AD] Les nouveautés d’Azure Active Directory en Mars 2020

    Microsoft a introduit un ensemble de nouveautés dans Azure Active Directory en Mars 2020.

    Microsoft apporte les nouveautés suivantes :

    • À partir de maintenant, les clients qui ont des tenant gratuits peuvent accéder aux journaux de connexion du portail Azure AD pendant 7 jours maximum. Auparavant, les journaux de connexion n'étaient disponibles que pour les clients possédant des licences Azure Active Directory Premium.
    • Disponibilité d’Azure AD B2B Collaboration dans Microsoft Azure opéré par 21Vianet (Azure China) et Azure Government.
    • Le service de provisionnement Azure AD offre un ensemble de capacités de configuration. Les entreprises peuvent enregistrer leur configuration afin de pouvoir s'y référer ultérieurement ou revenir à une bonne version connue. Microsoft a ajouté la possibilité de télécharger ou d’uploader la configuration de provisionnement sous la forme d'un fichier JSON.
    • Azure Monitor pour Azure Logs est maintenant disponible dans Azure Government. Vous pouvez acheminer les journaux AD Azure (journaux d'audit et de connexion) vers un compte de stockage, un Event Hub et un Log Analytics.

    On retrouve les modifications de service suivantes :

    • Pour garantir la fiabilité d’Azure AD, les mots de passe des utilisateurs sont désormais limités à 256 caractères. Les utilisateurs dont le mot de passe est plus long seront invités à le modifier lors de leur prochaine connexion, soit en contactant leur administrateur, soit en utilisant la fonction de réinitialisation du mot de passe en libre-service.
    • Provisionnement d’applications : Historiquement, les utilisateurs ayant le rôle d'accès par défaut n'ont pas la possibilité d'être provisionnés. Microsoft a pris en compte les retours des commentaires selon lesquels les entreprises souhaitent que les utilisateurs ayant ce rôle soient inclus dans le provisionnement. Progressivement, Microsoft modifiera le comportement des configurations de provisionnement existantes afin de permettre aux utilisateurs ayant ce rôle de provisionner.
    • Redesign des emails d’invitation pour Azure AD B2B Collaboration.
    • Microsoft a corrigé un bug où les modifications apportées à la politique de HomeRealmDiscovery n'étaient pas incluses dans les journaux d'audit. Vous pourrez désormais voir quand et comment la politique a été modifiée, et par qui.
    • Rafraichissement d’Azure AD Identity Protection dans Azure Government pour s’aligner sur el Cloud Public.
    • Auparavant, dans Microsoft Azure exploité par 21Vianet (Azure China 21Vianet), les administrateurs utilisant la réinitialisation des mots de passe en libre-service (SSPR) pour réinitialiser leurs propres mots de passe n'avaient besoin que d'une seule méthode (challenge) pour prouver leur identité. Dans les Cloud Public, les administrateurs doivent généralement utiliser deux méthodes (SMS, Appel, Application Authenticator) pour prouver leur identité lorsqu'ils utilisent le SSPR.

    Plus d’informations sur : What’s new Azure AD

    • 31/3/2020

    [Azure ATP] Les nouveautés de Mars 2020

    Azure ATP étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • La version 2.111 apporte des améliorations et des corrections de bugs sur les capteurs.
    • La version 2.112 intègre les changements suivants :
      • Les nouvelles instances Azure ATP s’intègrent automatiquement avec Microsoft Cloud App Security par défaut.
      • De nouvelles activités sont supervisées :
        • La connexion interactive avec un certificat
        • La connexion en échec avec un certificat
        • L’accès aux ressources déléguées (Delegated Resource Access)
      • Azure ATP fournit maintenant des informations sur les activités d'accès aux ressources, montrant si la ressource est fiable pour une délégation sans contrainte.

    Plus d’informations sur : What's new in Azure Advanced Threat Protection (Azure ATP)

    • 30/3/2020

    [Intune] Configuration de Microsoft Defender Credential Guard

    Tout comme Microsoft Defender Application Guard, Microsoft Defender Credential Guard tire ses bénéfices de l’approche d'isolation matérielle en contenerisant le processus d’authentification LSASS dans un conteneur. Ceci permet d’éviter qu’un hacker vole les identifiants d’une machine en dumpant par exemple le processus d’authentification qui stocke les identifiants NTLM ou Kerberos.

    Credential Guard empêche les attaquants de récupérer les informations d'identification stockées dans LSASS en exécutant LSASS dans un conteneur virtualisé auquel même un utilisateur ayant des privilèges SYSTEM ne peut accéder. Le système crée alors un processus proxy appelé LSAIso (LSA Isolated) pour communiquer avec le processus LSASS virtualisé.

    Sous Windows 10, l'autorité locale de sécurité (LSA) est responsable de la validation des utilisateurs lorsqu'ils se connectent. Lorsque Credential Guard est activé, Windows 10 stocke les informations d'identification dans une un processus LSA isolée, qui ne contient que les binaires sécurisés signés, certifiés et basés sur la virtualisation dont il a besoin pour conserver ces informations d'identification en toute sécurité. e LSA isolé communique avec le LSA régulier par des appels de procédure à distance et valide chaque binaire avant de lancer un fichier dans la zone protégée.

    Note : La technologie Microsoft Defender Credential Guard ne permet néanmoins pas de se prémunir des vols d’identifiants suivants :

    • Un keylogger fonctionnant sur le système pour capturer tous les mots de passe saisis.
    • Un utilisateur disposant de privilèges d'administrateur peut installer un nouveau fournisseur de support de sécurité (SSP). Le nouveau SSP ne pourra pas accéder aux hachages de mots de passe stockés, mais pourra capturer tous les mots de passe une fois le SSP installé.
    • Extraire les informations d'identification stockées d'une autre source, comme c'est le cas dans l'attaque "Internal Monologue".

    Prérequis de Microsoft Defender Credential Guard

    Les prérequis suivants s’appliquent pour exécuter Microsoft Defender Credential Guard :

    • Machine équipée de Windows 10 Enterprise
    • Processeur
      • Processeur 64-bits (Processeur plus récent que la gamme Haswell)
      • Les Extensions de virtualisation CPU : VT-x (Intel) ou AMD-V avec Second Level Address Translation (SLAT)
    • Puce TPM 1.2 ou 2.0
    • Optionnel : Input/Output Memory Management Unit (IOMMU) est recommandé
    • Firmware :
      • UEFI 2.3.1
      • Secure Boot
      • Secure MOR (Optionnel)
      • SMM Protection (Optionnel)
      • Boot Integrity (Optionnel)

    Configuration de Microsoft Defender Credential Guard avec Microsoft Intune

    Cette sous-partie traite de la configuration de Microsoft Defender Credential Guard. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.


    Procédez à la création du profil que vous nommerez selon la convention de nommage de l'entreprise (par exemple : Windows 10 – Configuration Microsoft Defender Credential Guard). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil puis la catégorie de paramètrage Microsoft Defender Credential Guard.

    Dans le paramétrage Credential Guard, sélectionnez Enable with UEFI lock :

    Cliquez sur OK à deux reprises puis Créer.

    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    Le profil est maintenant déployé sur les machines Windows 10 afin de configurer Microsoft Defender Credential Guard.

    Validation de Microsoft Defender Credential Guard

    Il existe un certain nombre d’éléments qui peuvent être vérifiés pour valider que Microsoft Defender Credential Guard est fonctionnel :

    • Microsoft fournit un script permettant de valider les prérequis matériels et logiciels nécessaires à l’exécution de l’outil
    • L’application System Information donne des propriétés qui sont representatives de la configuration de Microsoft Defender Credential Guard.
    • L’exécution du processus Lsalso.exe

    Note: Il est possible de vérifier par une tentative de cracking du processus lsass.exe. La technique revient à faire un dump et de tenter d’extraire les identifiants qui ont été utilisés.

    Validation de la configuration avec l'outil de dépannage de Microsoft

    Si une machine a des problèmes pour activer Microsoft Defender Credential Guard ou pour évaluer sa configuration vis-à-vis de cette fonctionnalité, Microsoft a publié un outil appelé : Device Guard and Credential Guard hardware readiness tool

     Récupérez l’outil et dezippez le script. Procédez à l’exécution du script PowerSHell pour évaluer Credential Guard avec la commande : DG_Readiness.ps1 –Capable –CG

    L’outil valide les éléments suivants :

    • Le Secure Boot est configuré
    • L’architecture du système (Edition 64-bits)
    • L’édition du système (Edition Entreprise ou Education requise)
    • La virtualisation doit être activée dans le BIOS
    • Une puce TPM doit être présente et la version doit être 1.2 ou 2.0
    • Le Secure MOR doit être disponible
    • L’état du NX Protector (Fonctionnalité de l’UEFI qui permet d’augmenter la sécurité)
    • L’état du SMM Mitigation (Fonctionnalité de l’UEFI qui permet d’augmenter la sécurité)

    Le résultatl de l’exécution montre par exemple que le poste de travail utilisé n’a pas la bonne édition de Windows 10

    Validation de la configuration avec System Information

    Pour valider l’état de configuration de Credential Guard, vous pouvez utiliser l’applet System Information/Information Système.

    Vous retrouverez 4 champs importants à la fin de la liste du nœud résumé système :

    • Sécurité basée sur la virtualisationdoit être En cours d’exécution.
    • Propriétés de sécurité requise pour la sécurité basée sur la virtualisation doit comporter la valeur Prise en charge de la virtualisation de base.
    • Propriétés de sécurité disponibles pour la sécurité basée sur la virtualisation doit comporter la valeur Prise en charge de la virtualisation de base.
    • Services configurés pur la sécurité basée sur la virtualisationdoit comprendre Credential Guard.
    • Services en cours d’exécution pur la sécurité basée sur la virtualisation doit comprendre Credential Guard.

      

    Validation par la présence du processus

    Outre les éléments vus précédemment, il est possible de valider la présence du processus Lsalso.exe representant l’instance contenerisée du processus Lsass.exe. Pour ce faire, vous pouvez vérifier avec le gestionnaire de tâches :

    • 30/3/2020

    [Desktop Analytics] Les nouveautés de Mars 2020

    Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Les données de compatibilité Windows classent certaines applications et certains pilotes avec un statut de précaution ou de garde-fou, ce qui peut entraîner l'échec de la mise à jour vers Windows 10 ou un retour en arrière. Desktop Analytics peut désormais vous aider à identifier ces garde-fous à l'avance, afin que vous puissiez y remédier avant de déployer la mise à jour.
    • Vous pouvez désormais connecter plusieurs hiérarchies Configuration Manager (sous réserve d’utiliser la version 1910 ou plus) à un seul tenant d'Azure Active Directory avec un seul identifiant commercial pour l'analyse des postes de travail. Le portail permet de classer les appareils de différentes hiérarchies et d'améliorer l'expérience des pilotes et des plans de déploiement à l'échelle globale.
      • Lorsque vous configurez votre pilote global, si vous incluez des collections qui contiennent plus de 20 % du total de vos périphériques inscrits, le portail affiche un avertissement.
      • Lorsque vous créez un plan de déploiement, si vous sélectionnez des collections pour plusieurs hiérarchies, le portail affiche un avertissement.

    Un détail de ces fonctionnalités sur : https://techcommunity.microsoft.com/t5/desktop-analytics-blog/desktop-analytics-gets-better-and-smarter-this-march/ba-p/1239648

    Plus d’informations sur : What’s new in Desktop Analytics

    • 29/3/2020

    [Intune] Configuration de Microsoft Defender Application Guard

    Microsoft Defender Application Guard est conçu pour aider à prévenir les attaques anciennes et nouvelles passant par le navigateur ou la suite bureautique Office afin de maintenir la productivité des utilisateurs. En utilisant l’approche d'isolation matérielle, le but est de rendre obsolètes les méthodes utilisées par les attaquants.

    Si un employé se rend sur un site non fiable via Microsoft Edge ou Internet Explorer, Microsoft Edge ouvre le site dans un conteneur Hyper-V isolé, qui est séparé du système d'exploitation hôte. Cette isolation de conteneur signifie que si le site non fiable s'avère malveillant, le PC hôte est protégé et l'attaquant ne peut pas accéder aux données de l’entreprise. Par exemple, cette approche rend le conteneur isolé anonyme, de sorte qu'un attaquant ne peut pas accéder aux informations d'identification de l'entreprise.

    Il en va de même pour les documents non connus ou non ouverts à partir d'emplacements de confiance (internet, emplacements dangereux ou pièces jointes Outlook), ces derniers sont ouverts dans une instance d'Office située dans un conteneur Hyper-V , qui est séparé du système d'exploitation hôte.

    Ensuite les actions de partage entre le conteneur virtuel et l’hôte sont gérés en fonction des paramétres définis par l’entreprise (Accès aux imprimantes, Accès au système de fichiers, Copier/Coller, etc.)

    Prérequis de Microsoft Defender Application Guard

    Les prérequis suivants s’appliquent pour exécuter Microsoft Defender Application Guard :

    • Machine équipée de Windows 10 Pro/Enterprise
    • Processeur
      • 64-bits
      • un minimum de 4 cœurs pour permettre l’utilisation de l’hyperviseur et Virtualization Based Security (VBS)
      • Les Extensions de virtualisation CPU : VT-x (Intel) ou AMD-V avec Second Level Address Translation (SLAT)
    • Mémoire : 8 GB de RAM minimum
    • Disque :
      • 5 GB d’espace disque disponible
      • Disque SSD recommandé
    • Optionnel : Input/Output Memory Management Unit (IOMMU) est recommandé

    Note : Microsoft Defender Application Guard n'est pas supporté sur les VMs et les environnements VDI.

    Pour Office ProPlus, les prérequis supplémentaires :

    • Le client Office 365 ProPlus doit être installé sur la machine
    • L'utilisateur connecté à Office doit être titulaire d'une licence Microsoft 365 E5 ou Microsoft 365 E5 Security

    Configuration de Microsoft Defender Application Guard avec Microsoft Intune

    Cette sous-partie traite de la configuration de Microsoft Defender Application Guard avec Microsoft Intune. La configuration se fait en deux parties :

    • Configuration de la stratégie d’activation et de paramétrage du service
    • Configuration de la stratégie définissant les sites Internet d’entreprise (Limites réseau)

    Activation et configuration de Microsoft Defender Application Guard

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de l'entreprise (par exemple : Windows 10 – Configuration Microsoft Defender Application Guard). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil puis la catégorie de paramètrage Microsoft Defender Application Guard.

    Dans le paramétrage Credential Guard :

    • Passez Application Guard à Enabled for Edge ou Enabled for Office
    • Choisissez le comportement du presse papier pour:
      • Autoriser le copier/coller depuis l’hôte vers le navigateur uniquement
      • Autoriser le copier/coller depuis le navigateur vers l’hôte uniquement
      • Autoriser le copier/coller entre le PC et le navigateur
      • Bloquer le copier/coller entre le PC et le navigateur
    • Choisissez le type de contenu qui peut être copié dans le presse papier (Texte et/ou Images)
    • Bloquer le contenu provenant de sites web non approuvés sur les sites d’entreprise sur l’instance de Microsoft Edge qui n’est pas protégée par Microsoft Defender Application Guard.
    • Autoriser l’impression depuis le navigateur virtuel en precisant quelles sont les imprimantes aux quelles l’utilisateur à accès : PDF, XPS, Local, Réseau
    • Autoriser la collection des journaux pour des événéments qui surviendraient dans le conteneur virtuel
    • Conserver les données de navigation générées par l’utilisateur (mot de passe, favoris, et cookies)
    • Autoriser l’accès à un processeur graphique virtuel permettant l’accélération graphique.
    • Autoriser l’utilisateur à télécharger des fichiers vers l’hôte.

    Une fois réalisée, cliquez sur OK à deux reprises puis Create.

    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    Le profil est maintenant déployé sur les machines Windows 10 afin de configurer Microsoft Defender Application Guard.

    Configuration des limites de réseau

    Microsoft Defender Applicatin Guard requiert la configuration des limites de réseau de l’entreprise (réseaux, site intranet, adresse IP). Ceci permet à Microsoft Edge de savoir quand le site doit être exécuté sur la version du système ou sur la version contenerisée.

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise (par exemple :  Windows 10 – Configuration des limites du réseau). Sélectionnez la plateforme Windows 10 et ultérieur puis Network boundary dans le type de profil.

    Ajoutez autant d’espace d’entreprise que nécessaire selon les types suivants :

    • Ressources Cloud
    • Noms de domaine réseau d’entreprise
    • Serveurs proxy
    • Serveurs proxy internes
    • Plages d’adresse IPv4
    • Plages d’adresse IPv6
    • Resources neutres

    Note : La specification de plusieurs ressource d’une même catégorie peut être faite par l’ajout d’une seule entrée et par l’utilisation d’un caractère de séparation qui peut être la virgule, le pipe, ou le point virgule. Le caractère d’échappement dépend du type de ressource (par exemple les domaines protégés utilisent le point virgule ; )

    L’option Enterprise Proxy Servers list is authoritative (do not auto-detect) permet que Windows traite les serveurs proxy spécifiés dans la définition des limites du réseau comme la liste complète des serveurs proxy disponibles sur le réseau. Si vous décochez cette case, Windows recherchera des serveurs proxy supplémentaires dans le réseau immédiat.

    L’option Enterprise IP Ranges list is authoritative (do not auto-detect) permet que Windows traite les plages IP spécifiées dans la définition des limites du réseau comme la liste complète des plages IP disponibles sur le réseau. Si vous décochez cette case, Windows recherchera des plages IP supplémentaires sur n'importe quel périphérique connecté à le réseau.

    Cliquez sur OK puis Create.

    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    Les machines Windows 10 sont maintenant configurées pour correctement utiliser Microsoft Defender Application Guard.

    • 29/3/2020

    Nouvelle Preview (1.2020.319.0) de l’outil de packaging MSIX

    Microsoft propose une nouvelle préversion (1.2020.319.0) de son outil de packaging MSIX (MSIX Packing Tool) depuis le Microsoft Store. Cet outil permet de prendre un package d’application Win32 existant et de la convertir au format MSIX. Vous utilisez pour cela une machine de référence pour exécuter l’outil et obtenir le package MSIX que vous pouvez ensuite déployer à la main, par votre outil de télédistribution ou depuis le Microsoft Store.

    Pour rappel, le format MSIX est un nouveau format standardisé lancé par Microsoft pour remplacer l’ensemble des formats de packaging existants tout en bénéficiant des avancés des différentes solutions : Click-To-Run (C2R), App-V, APPX et plus généralement du Framework d’applications universelles (UWP). Il offre donc des mécanismes de conteneurisation et les bénéfices des applications universelles avec une installation, mise à jour et désinstallation aisée sans laisser aucune trace sur le système. Il fournit aussi des mécanismes de sécurisation avancés permettant de valider l’intégrité du code exécuté. Ce format permet aussi de créer des personnalisations pour les applications packagées et de les faire perdurer au travers des différentes mises à jour de l’application.

    Pas de nouveautés dans cette préversion mais une amélioration des fonctionnalités déjà introduite précédemment :

    • Amélioration de la qualité des icônes extraites
    • Amélioration de l’extraction des icônes pour les raccourcis
    • Corrections de bugs

     

    Plus d’informations sur : MSIX Packaging Tool (Preview) is now available from the Microsoft Store

    Plus d'éléments sur le format MSIX sur MSIX Intro

    Télécharger MSIX Packing Tool

    • 28/3/2020

    [Intune] Dépannage de la gestion de BitLocker

    Ce billet présente le dépannage de la gestion du chiffrement de disques via la technologie BitLocker proposé par Windows 10. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Ce billet traite des actions de dépannage de BitLocker. Ceci inclut :

    • Le portail Microsoft Intune/Microsoft Endpoint Manager
    • L’outil manage-bde
    • Le rapport avancé de diagnostic MDM
    • L’observateur d’événéments sur le périphérique
    • La base de registre sur le périphérique

    Portail Microsoft Endpoint Manager

    Le portail Microsoft Intune/Microsoft Endpoint Manager donne la vision sur de nombreux éléments dont l’état des profils de configuration. Pour ce faire, vous pouvez naviguez dans :

    • Device Configuration puis sélectionner le profil et voir l’état des périphériques
    • Devices – All Devices puis sélectionner le périphérique en question et Device Configuration.

    Vous pouvez ensuite constater l’état d’application du profil de configuration :

    Outil Manage-bde

    L’outil manage-bde sur le périphérique donne de nombreuses fonctions :

    • Désactivation de la protection
    • Forcage du mode restauration
    • Renvoi de l’état de protection

    Vous pouvez observer l’état de protection via la commande manage-bde -status

    Rapport avancé de diagnostic MDM

    Le rapport MDM est fréquemment utilisé avec Microsoft Intune pour connaître l’ensemble des stratégies, configurations et applications déployées et appliquées sur la machine. Il est disponible en naviguant dans l’application Paramètres de Windows 10 puis Comptes et Accès professionnel et scolaire.

    Sélectionnez ensuite le compte ou le domaine et cliquez sur Informations.

    Une premier écran vous permet de voir les types de stratégies appliqués :

    En naviguant plus bas, vous pouvez créer un rapport et l’exporter. Une fois exporté (C:\Users\Public\Documents\MDMDiagnostics), ouvrez le pour observer la configuration. Vous pouvez chercher le mot clé BitLocker :

    Observateur d'événements

    L’observateur d’événéments est la principale source d’information pour savoir ce qui se passe sur la machine. On retrouve notamment deux catégories de services impliqués :

    • Applications and Services Log – Microsoft – Windows – DeviceManagement-Enterprise-Diagnostics-Provider : Permet de suivre l’état de synchronisation et d’application des stratégies Microsoft Intune incluant le profil de configuration BitLocker
    • Applications and Services Log – Microsoft – Windows – BitLocker-API : permet le suivi de toutes les actions programmatiques réalisées sur BitLocker (Chiffrement, Rotation des clés, sauvegarde des clés, etc.)

    Base de registre

    La base de registre est une autre source d’information intéressante qui permet notamment de suivre quelle est la configuration véritablement appliquée sur la machine. Pour ce faire, ouvrez Regedit et naviguez dans Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\current\device\BitLocker.

    L’écran vous affiche la configuration appliquée pour chaque paramètre. Les clés qui se terminent par ProviderSet définissent quel outil d’administration applique la stratégie (Microsoft Intune vs System Center Configuration Manager).

    • 27/3/2020

    [MEMCM/Intune] Comparatif des capacités de configuration de Microsoft Defender Antivirus

    Il y a quelques jours, je publiais une série d’articles sur la configuration de Microsoft Defender Antivirus avec Microsoft Endpoint Manager Microsoft Intune. Avec l’usage de plus en plus fréquent du Co-Management, on peut se demander quelles sont les différences en termes de capacités de configuration. J’ai fait l’exercice pour vous en date de février 2020 avec Microsoft Endpoint Manager Configuration Manager 1910 et Microsoft Endpoint Manager Microsoft Intune 2002.

    Capacité

    Microsoft Intune

    System Center Configuration Manager

    Configuration des paramètres de planification d’analyse antivirale

    Oui

    (dont paramètrage de rattrapage si l’analyse est manquée)

    Oui

    Configuration des paramètres d’analyse antivirale (Email, Pièce jointe, etc.)

    Oui

    Oui

    Configuration de la protection en temps réel

    Oui

    Oui

    Configuration de la protection contre les applications potentiellement non souhaitées

    Oui

    Oui

    Spécification d’exceptions sur des menaces spécifiques

    Non

    Oui

    Options de création d’un point de restauration

    Non

    Oui

    Blocage de l‘interface utilisateur

    Oui

    Oui

    Configuration de la protection contre la modification (Tamper Protection / Sandbox)

    Oui

    Non

    Options de modification par l’utilisateur des fichiers d’historique

    Non

    Oui

    Service protection par le Cloud

    Oui

    Oui

    Options de définition des mises à jour de définition intelligente de sécurité

    Non

    (Utilise les valeurs par défaut recommandée par Microsoft mais non personnalisable)

    Oui

    • 27/3/2020

    [Intune] Gestion des clés (Récupération, Rotation des clés, etc.)

    Ce billet présente la gestion du chiffrement de disques via la technologie BitLocker proposé par Windows 10. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Ce billet traite des actions de gestion de BitLocker. Ceci inclut :

    • L’obtention des clés de récupération
      • L’obtention des clés de récupération par un administrateur
      • L’obtention des clés de récupération par un utilisateur
    • La récupération BitLocker d’une machine
      • La récupération d’une machine qui est entrée dans un mode de récupération
      • La récupération d’une machine chiffrée dans un mode TPM+PIN dont l’utilisateur a oublié le code PIN
    • La rotation des clés
      • Prérequis à la rotation des clés
      • La rotation des clés par un administrateur (côté serveur)
      • La rotation des clés après restauration (côté client)
    • Le changement du code PIN

    Obtention des clés de récupération

    Cette sous partie décrit l’obtention des clés de récupération BitLocker par l’administrateur et par l’utilisateur final.

    Obtention des clés par un administrateur

    Un administrateur peut obtenir les clés de récupération BitLocker d’un périphérique s’il a les droits d’accès à Microsoft Intune ou Azure Active Directory ainsi que la visibilité et les droits de sécurité sur la machine cible. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Vous pouvez ensuite copier les clés:

    Obtention des clés par un utilisateur

    Outre l’administrateur, l’utilisateur peut récupérer les clés de récupération BitLocker pour les machines dont il est l’utilisateur principal via le portail Azure Active Directory dit Microsoft MyApps.

    L’utilisateur principal d’une machine est déterminé de la manière suivante :

    • Enregistrement manuel dans Microsoft : Utilisateur qui effectue l’enregistrement de la machine
    • Hybrid Azure AD Join : Premier utilisateur qui se connecte sur le poste de travail
    • Co-Management : Premier utilisateur qui se connecte sur le poste de travail

    Une fois l’utilisateur connecté sur le portail MyApps, il accède à la page principal des applications. Il doit ensuite cliquez sur son profil en haut à droite et sélectionnez le profil :

    Une fois sur le profil, l’utilisateur obtient la liste des périphériques et peut choisir Obtenir des clés BitLocker :

    Une fenêtre s’ouvre avec ls différentes clés de récupération et les identifiants associés :

    Note :

    • L’utilisateur pourra prochainement récupérer les clés de récupération depuis le portail d’entreprise Microsoft Intune sur toutes les plateformes (iOS, Android, Windows, macOS)
    • Microsoft a prévu de permettre aux entreprises de forcer l’utilisateur à utiliser une authentification forte (MFA) pour pouvoir accéder aux clés

    Récupération BitLocker d'une machine

    Maintenant que l’administrateur et/ou l’utilisateur a obtenu les clés de récupération BitLocker, il va pouvoir procéder au dévérrouillage d’une machine en mode de récupération. On distingue deux sous scénarios :

    • La récupération d’une machine qui est entrée dans un mode de récupération (changement matériel, changement système, etc.)
    • La récupération d’une machine chiffrée dans un mode TPM+PIN dont l’utilisateur a oublié le code PIN

    Déverrouillage d'une machine dans un mode de récupération

    Pour reproduire le mode récupération sur une machine, forcez la machine dans un mode de restauration afin de se retrouver dans le cas d’un utilisateur bloqué avec la ligne de commande suivante : Manage-bde -forcerecovery c :

    Procédez ensuite au redémarrage de la machine qui rentre dans un mode de restauration demandant de renseigner la clé de restauration.

    La clé de restauration peut être alors récupérées par :

    • L’administrateur via le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys (voir précédemment)
    • L’utilisateur via le portail MyApps en naviguant dans son profil. (voir précédemment)

    Lorsque la clé est renseignée, pressez Entrer pour accéder au système.

    En fonction du paramétrage défini par la stratégie de configuration de BitLocker de Microsoft Intune, l’utilisation de la clé de récupération engendrera la rotation des clés (sous réserve d’utiliser Windows 10 1909+)

    Déverrouillage d'une machine dont le code PIN a été perdu

    Ce scénario peut être commun :

    • L’utilisateur est parti en vacances et oublie son code PIN. Dans ce cas de figure, il n’est pas de fonction permettant à l’administrateur de réintiailiser à distance le code PIN.
    • La machine a changé de propriétaire ou l’ancien utilisateur a quitté d’entreprise

    Dans ce cas de figure, le code PIN est perdu. L’utilisateur arrive sur la mire demandant le code PIN. Il peut taper sur Echap pour passer dans un mode de récupération :

    La clé de restauration peut être alors récupérées par :

    • L’administrateur via le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys (voir précédemment). Ce scénario est indispensable si l’utilisateur a quitté l’entreprise.
    • L’utilisateur via le portail MyApps en naviguant dans son profil. (voir précédemment). Ce scénario peut être utilisé par un utilisateur qui rentre de vacances.

    Vous devez saisir la clé de récupération correspondant à l’identifiant de la clé de récupération :

    De la même façon, en fonction du paramétrage défini par la stratégie de configuration de BitLocker de Microsoft Intune, l’utilisation de la clé de récupération engendrera la rotation des clés (sous réserve d’utiliser Windows 10 1909+)

    L’utilisateur doit changer son code PIN avec l’aide du support car cette opération requiert des droits d’administration (voir suite de l’article) ! Dans le cas contraire, l’utilisateur se retrouvera bloqué de la même façon au prochain redémarrage puisque son code PIN est perdu mais inchangé.

    Rotation des clés

    Cette partie traite de la rotation des clés via Microsoft Intune dans l’un des deux scénarios suivants :

    • Rotation des clés par un administrateur pour lancer l’action de changement des clés de restauration sur une machine à distance (côté serveur)
    • Rotation des clés suite à l’utilisation d’une clé de restauration localement sur le poste de travail (côté client)


    Prérequis à la rotation des clés

    Afin de pouvoir effectuer une rotation des clés via Microsoft Intune, vous devez remplir les prérequis suivants :

    • La machine doit être gérée avec Microsoft Intune
    • La machine doit utiliser Windows 10 1909 ou ultérieur

    Un prérequis existe lorsque vous souhaitez automatiquement réaliser la rotation des clés lors de l’utilisation d’une clé de restauration localement sur le poste de travail (côté client). Vous devez activer le paramètrage Le paramètre Client-driven recovery password rotation sur la stratégie BitLocker reçue par le client

    Ce paramètre définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Pour la suite de cette instruction, vous devez choisir l’option Key rotation enabled for Azure AD and Hybrid-joined devices.

     

    Rotation des clés par un administrateur (Côté Serveur)

    La rotation des clés par un administrateur permet en un simple clic de lancer l’action de changement des clés de restauration sur une machine à distance. Ceci peut être fait en cas de doute sur la compromission des clés. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les clés actuellement configurées :

    Toujours dans le portail Microsoft Intune, naviguez dans Devices – All Devices. Choisissez le périphérique et sélectionnez BitLocker Key Rotation. Confirmez la rotation en cliquant sur Yes 

    Le processus est ensuite lancé sur la machine via le Fast Channel de Microsoft Intune :

    Sur la machine cible, ouvrez l’observateur d’événéments en naviguant dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Observez en premier lieu l’initialisation du processus de rotation et de demande de suppression des clés :

    Ensuite, Observez le retrait de la clé de protection :

    Puis la création de la nouvelle clé de protection :

    Enfin, la clé nouvelle est sauvegardée dans Azure AD

    Ouvrez ensuite le portail Microsoft Intune et naviguez dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les nouvelles clés :

    Note : La suppression des anciennes clés dans Azure Active Directory intervient après un délai supplémentaire.

    Rotation des clés après restauration (côté client)

    La rotation des clés peut avoir lieu lors de l’utilisation de la clé de restauration sur la machine par un utilisateur ou un administrateur. Le mécanisme est automatique est défini par le paramètrage Client-driven recovery password rotation de la stratégie de chiffrement. Cette partie s’attache à détailler et démontrer ce comportement.

    Pour ce faire sur une machine équipée de Windows 10 1909, forcez la machine dans un mode de restauration afin de se retrouver dans le cas d’un utilisateur bloqué avec la ligne de commande suivante : Manage-bde -forcerecovery c :

    Procédez ensuite au redémarrage de la machine qui rentre dans un mode de restauration demandant de renseigner la clé de restauration.

    La clé de restauration peut être alors récupérées par :

    • L’administrateur via le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys (voir précédemment)
    • L’utilisateur via le portail MyApps en naviguant dans son profil. (voir précédemment)

    Lorsque la clé est renseignée, pressez Entrer pour accéder au système.

    Sur le système, vous pouvez ensuite observer la rotation via l’observateur d’événements en naviguant dans Applications and Services Log – Microsoft – Windows – BitLocker-API. Observez en premier lieu l’initialisation du processus de rotation et de demande de suppression des clés :

    Ouvrez ensuite le portail Microsoft Intune et naviguez dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les nouvelles clés :

    Note : La suppression des anciennes clés dans Azure Active Directory intervient après un délai supplémentaire.

    Changement du Code PIN

    L’utilisateur peut être amené à changer son code PIN dans l’un des cas suivant :

    • Il a oublié son code PIN
    • Il ou l’entreprise souhaite changer son code PIN

    Pour pouvoir changer son code PIN, l’utilisateur doit être administrateur de la machine. Il peut pour cela avoir besoin de faire appel à son support informatique. Sur la machine, ouvrez l’explorateur de fichiers et cliquez droit sur le volume système. Sélectionnez Modifier le code PIN BitLocker :

    L’assistant de modification du code PIN s’ouvre.

    • Si l’utilisateur connait son ancien code PIN, il peut spécifier l’ancien code PIN et le nouveau code PIN souhaité.
    • Si l’utilisateur ne se souvient plus/ne connait pas l’ancien code PIN, il doit sélectionner Réinitialiser un code PIN oublié

    Lors de l’utilisation de la fonction Réinitialiser un code PIN oublié, une élévation de privilèges est nécessaire :

    Il est ensuite possible de définir le code PIN souhaité :

    Cliquez sur Définir le code PIN pour initier le changement.

    Vous pouvez passer à la partie suivante de cette série : Dépannage de la gestion de BitLocker

    • 26/3/2020

    [Intune] Configuration de la détection des logiciels potentiellement non souhaités (PUA) de Microsoft Defender Antivirus

    Microsoft Defender Antivirus est issu de System Center Endpoint Protection qui fut lui-même issu de Forefront EndPoint Protection, lui-même issu de Microsoft Security Essentials lui-même issu de Windows Live OneCar. Ce dernier est né du rachat de la société GIANT Software en 2004, leader dans le mode des anti-spyware. Microsoft a donc une expérience assez longue dans le monde des antivirus et fort de sa base de plusieurs millions de périphériques protégés via Microsoft Defender dans Windows 10, il obtient des éléments de télémétrie et de sécurité qu’aucun autre éditeur ne peut fournir.

    Les technologies de nouvelle génération de Microsoft dans Microsoft Defender Antivirus offrent une protection automatisée quasi instantanée contre les menaces nouvelles et émergentes. Pour identifier dynamiquement les nouvelles menaces, ces technologies fonctionnent avec de larges ensembles de données interconnectées dans le graphique de sécurité intelligent de Microsoft et de puissants systèmes d'intelligence artificielle (IA) pilotés par des modèles avancés d'apprentissage machine.

    Pour tirer parti de la puissance et de la vitesse de ces technologies de nouvelle génération, Microsoft Defender Antivirus fonctionne de manière transparente avec les services Microsoft cloud. Ces services de protection Cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard. Grâce à la protection fournie par le cloud, les technologies de nouvelle génération permettent d'identifier rapidement les nouvelles menaces, parfois même avant qu'une seule machine ne soit infectée.

    Microsoft Defender Antivirus permet de se pémunir des logiciels potentiellement non souhaités (PUA). Microsoft utilise des catégories spécifiques et les définitions des catégories pour classer les logiciels en tant que PUA.

    • Logiciels publicitaires : Logiciel qui affiche des publicités ou des promotions, ou qui invite l'utilisateur à remplir des sondages pour d'autres produits ou services dans des logiciels autres que lui-même. Cela comprend les logiciels qui insèrent des publicités dans les pages Web.
    • Logiciel Torrent : Logiciel utilisé pour créer ou télécharger des torrents ou d'autres fichiers utilisés spécifiquement avec les technologies de partage de fichiers peer-to-peer.
    • Logiciels de cryptomining : Logiciel qui utilise vos ressources informatiques pour extraire les cryptocurrences.
    • Regroupement de logiciels : Logiciel qui propose d'installer d'autres logiciels qui ne sont pas signés numériquement par la même entité. Aussi, les logiciels qui offrent d'installer d'autres logiciels qui se qualifient comme PUA.
    • Logiciels de marketing : Logiciel qui surveille et transmet les activités de l'utilisateur à des applications ou services autres que lui-même à des fins de recherche marketing.
    • Logiciel d'évasion : Logiciels qui tentent activement d'échapper à la détection par les produits de sécurité, y compris les logiciels qui se comportent différemment en présence de produits de sécurité.
    • Logiciel avec une mauvaise réputation dans l'industrie : Logiciels que les fournisseurs de sécurité de confiance détectent avec leurs produits de sécurité. L'industrie de la sécurité se consacre à la protection des clients et à l'amélioration de leur expérience. Microsoft et d'autres organisations de l'industrie de la sécurité échangent continuellement des connaissances sur les fichiers qu'ils ont analysé afin de fournir aux utilisateurs la meilleure protection possible.

     

     

    Configuration de la stratégie

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise (par exemple : Windows 10 – Stratégie Microsoft Defender Antivirus) Sélectionnez la plateforme Windows 10 et ultérieur puis Device Restrictions/Restriction de l’appareil dans le type de profil.

    Sélectionnez ensuite la catégorie Antivirus Microsoft Defender / Microsoft Defender Antivirus.

    La stratégie permet ensuite de configurer le paramétrage Détection des applications potentiellement non souhaitées (PUA) permettant de définir le comportement quand Microsoft Defender détecte des applications potentiellement non voulues. Vous pouvez désactiver (Not Configured), Bloquer ou Auditer les événements.

    Cliquez sur OK à trois reprises puis Créer pour procéder à la création.


    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    Validation de la fonctionnalité

    Le mécanisme bloquant les applications potentiellement non souhaitées (PUA) est très efficace pour bloquer des menaces non officiellement détectées ou des logiciels de type trojan, spyware, publicitaires, outils de cracking, etc.

    Le site amtso.org fournit un fichier test pour les antivirus qui permet de valider que la fonctionnalité est activée et fonctionnelle :

    Vous pouvez procéder à l’enregistrement et constater le blocage et la suppression de ce fichier par l’antivirus Microsoft Defender :

    • 26/3/2020

    [Intune] Configuration de BitLocker pour forcer le chiffrement des périphériques amovibles

    Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 afin de chiffrer des périphériques amovibles. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Nous verrons la configuration de BitLocker pour chiffrer des périphériques amovibles en abordant les phases suivantes :

    • Création/édition de la stratégie BitLocker pour inclure les éléments de configuration des périphériques amovibles
    • Validation de la stratégie du chiffrement des périphériques amovibles

    Création/édition de la stratégie BitLocker pour inclure les éléments de configuration des périphériques amovibles

    Nous pouvons ensuite procéder la création ou l’édition de la stratégie de configuration BitLocker pour configurer le chiffrement des périphériques amovibles sur des machines Windows 10.

    Note : Pour éviter tous conflits ou comportements non gérées, nous vous recommandons de n’appliquer qu’une seule stratégie de configuration BitLocker aux machines. Ainsi, il est vivement recommandé d’utiliser une stratégie existante.

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

    Procédez à la création du profil que vous nommerez selon votre convention de nommage ou éditez une stratégie BitLocker existante. Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

    La section suivante BitLocker removable data-drive settings s’applique aux périphériques amovibles en proposant les paramétrages :

    • L’option Write access to removable data-drive not protected by BitLocker permet d’empêcher l’écriture sur des périphériques amovibles qui n’ont pas été chiffrés par BitLocker. Ceci permet d’imposer l’action de chiffrement à l’utilisateur.
      Passez l’option à Block.
    • La sous-option Write access to devices configured in another organization permet de bloquer l’écriture de fichiers sur un périphérique amovible qui a été chiffré par une autre entreprise. Si cette n’option n’est pas bloquée, alors l’utilisateur n’est pas bloqué par la première option.

    Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie. Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 BitLocker précédemment créé puis cliquez sur Save.

    La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

    Validation de la stratégie du chiffrement des périphériques amovibles

    Une fois que le client a mis à jour ses stratégies, branchez la clé USB. Lors de l’accès à la clé USB, une fenêtre vous demande de chiffrer le périphérique pour pouvoir écrire dessus. Si vous décidez de ne pas chiffrer, vous ne pourrez accéder aux fichiers qu’en lecture.

    Séléctionnez Chiffrer ce lecteur à l’aide du chiffrement de lecteur BitLocker :

    Le chiffrement d’une périphérique amovible requiert l’utilisation d’un mot de passe pour dévérouiller l’accès au périphérique sur les machines. Sélectionnez Utiliser un mot de passe pour déverrouiller le lecteur et renseignez un mot de passe :

    L’étape suivante permet de sauvegarder la clé de récupération qui sera utilisée si l’utilisateur oublie son mot de passe. Vous pouvez l’enregistrer sous la forme d’un fichier ou l’imprimer :

    Note : Cette clé de récupération étant associé à un périphérique amovible, elle n’est pas sauvegardée par Microsoft Intune et Azure Active Directory. Il convient à votre utilisateur de prendre en charge la sauvegarde de la clé. 

    L’écran suivant permet à l’utilisateur de choisir s’il veut chiffrer tout son périphérique ou uniquement l’espace disque utilisé :

    Note:Bien que le chiffrement BitLocker se produise en arrière-plan pendant que l’utilisateur continue à travailler et que le système reste utilisable, les temps de chiffrement varient en fonction du type de disque qui est chiffré, de la taille du disque et de la vitesse du disque.

    Enfin, l’étape suivante permet de lancer le chiffrement en cliquant sur Démarrer le chiffrement.

    La procédure de chiffrement est effectuée en parallèle et peut être interrompue si l’utilisateur doit retirer son périphérique amovible :

    Après le chiffrement, le volume du périphérique amovible apparaît comme étant vérouillé :

    L’ouverture du périphérique nécessite l’utilisation du mot de passe pour permettre le dévérouillage :

    Après déverrouillage, il est possible de copier un fichier sur le périphérique amovible :

    Vous pouvez passer à la partie suivante de cette série : Gestion des clés (Récupération, Rotation des clés, etc.)

    • 25/3/2020

    [Intune] Configuration de la protection délivrée par le Cloud (Block at First Sight) de Microsoft Defender Antivirus

    Microsoft Defender Antivirus est issu de System Center Endpoint Protection qui fut lui-même issu de Forefront EndPoint Protection, lui-même issu de Microsoft Security Essentials lui-même issu de Windows Live OneCar. Ce dernier est né du rachat de la société GIANT Software en 2004, leader dans le mode des anti-spyware. Microsoft a donc une expérience assez longue dans le monde des antivirus et fort de sa base de plusieurs millions de périphériques protégés via Microsoft Defender dans Windows 10, il obtient des éléments de télémétrie et de sécurité qu’aucun autre éditeur ne peut fournir.

    Les technologies de nouvelle génération de Microsoft dans Microsoft Defender Antivirus offrent une protection automatisée quasi instantanée contre les menaces nouvelles et émergentes. Pour identifier dynamiquement les nouvelles menaces, ces technologies fonctionnent avec de larges ensembles de données interconnectées dans le graphique de sécurité intelligent de Microsoft et de puissants systèmes d'intelligence artificielle (IA) pilotés par des modèles avancés d'apprentissage machine.

    Pour tirer parti de la puissance et de la vitesse de ces technologies de nouvelle génération, Microsoft Defender Antivirus fonctionne de manière transparente avec les services Microsoft cloud. Ces services de protection Cloud, également appelés Microsoft Advanced Protection Service (MAPS), améliorent la protection en temps réel standard. Grâce à la protection fournie par le cloud, les technologies de nouvelle génération permettent d'identifier rapidement les nouvelles menaces, parfois même avant qu'une seule machine ne soit infectée.

    Microsoft a par exemple introduit Block at First Sight pour détecter et bloquer les nouveaux logiciels malveillants en quelques secondes. L’entreprise peut spécifier combien de temps le fichier doit être retenu avant l’exécution pendant que le service de protection Cloud analyse le fichier. Lorsque Microsoft Defender Antivirus rencontre un fichier suspect mais non détecté, il interroge le backend de protection cloud. Le cloud backend applique l'heuristique, du Machine Learning et l'analyse automatisée du fichier pour déterminer si les fichiers sont malveillants ou propres.

    Cette série d'articles traite de la configuration de Microsoft Defender Antivirus avec Microsoft Intune. Ce billet s'attache à détailler la fonctionnalité Block at First Sight.

    Block at first sight utilise uniquement le backend de protection cloud pour les fichiers exécutables et les fichiers exécutables non portables qui sont téléchargés depuis Internet, ou qui proviennent de la zone Internet. Une valeur du hash du fichier exécutable est vérifiée via le backend Cloud pour déterminer s'il s'agit d'un fichier non détecté auparavant. C’est la Protection délivrée par le Cloud.

    Si le backend Cloud n'est pas en mesure de fournir un verdict, Microsoft Defender Antivirus verrouille le fichier et télécharge une copie dans le Cloud. Le Cloud effectue une analyse supplémentaire pour parvenir à un vertict avant d'autoriser l'exécution du fichier ou de le bloquer lors de toute rencontre ultérieure, selon qu'il détermine que le fichier est malveillant ou sûr.

    A partir de Windows 10 1803, block at first sight peut bloquer les fichiers exécutables non portables (tels que JS, VBS ou macros) ainsi que les fichiers exécutables.

    Configuration de la stratégie

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise (par exemple : Windows 10 – Stratégie Microsoft Defender Antivirus) Sélectionnez la plateforme Windows 10 et ultérieur puis Device Restrictions/Restriction de l’appareil dans le type de profil.

    Sélectionnez ensuite la catégorie Antivirus Microsoft Defender / Microsoft Defender Antivirus.

    La stratégie offre ensuite les paramètres suivants :

    • Cloud-delivered Protection (ou Block at First Sight) permet d’activer le mécanisme de protection Cloud où le périphérique interroge le service Cloud en envoyant le fichier pour une analyse et une exécution éventuelle dans une chambre de détonation. (Voir le fonctionnement plus haut dans ce document)
    • File Blocking Level est en lien avec la protection cloud pour définir le niveau de blocage appliqué par la protection Cloud :
      • Not Configured utilise le niveau de blocage par défaut de Microsoft Defender Antivirus et fournit une détection forte sans augmenter le risque de détection de fichiers légitimes.
      • High applique un niveau de détection élevé. Bien qu'improbable, le réglage sur High peut entraîner la détection de certains fichiers légitimes.
      • High + utilise le niveau High et applique des mesures de protection supplémentaires (peut avoir un impact sur la performance du client).
      • Tolérance zéro bloque tous les exécutables inconnus
        Note :
        Microsoft recommande d’activer la protection délivrée par le Cloud en commencant par le niveau par défaut (Not Configured).
    • Extension du temps pour l’analyse du fichier par le Cloud : spécifie la durée maximale pendant laquelle Microsoft Defender Antivirus doit bloquer un fichier dans l'attente d'un résultat provenant du Cloud. La valeur initiale est de 10 secondes - tout temps supplémentaire spécifié ici (jusqu'à 50 secondes) sera ajouté à ces 10 secondes. Ce montant est un maximum théorique - dans la plupart des cas, l'analyse prendra moins de temps que le maximum. La prolongation du délai permet au Cloud d'enquêter en profondeur sur les fichiers suspects avec par exemple une exécution dans une chambre de détonation.
      Note :
      Microsoft recommande d'activer ce paramètre et de spécifier au moins 20 secondes supplémentaires).

    Cliquez sur OK à trois reprises puis Créer pour procéder à la création.


    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    Validation de la fonctionnalité

    La protection par le Cloud intervient à différents niveaux : lorsque l’utilisateur télécharge un fichier, lorsqu’il ouvre un fichier depuis sa boite aux lettres, lorsqu’il copie un fichier depuis l’extérieur du système (disques, usb, etc.). Ceci permet d’envoyer rapidement le fichier au Cloud de Microsoft pour une analyse de la signature, du comportement, etc.

    Pour ce faire, vous utilisez le navigateur de la machine et vous récupérez un fichier de test fourni par les éditeurs :

    Vous procédez à l’enregistrement, le téléchargement du fichier est d’abord bloqué par Microsoft Defender Smart Screen (non disponible sur Firefox, Google Chrome ou Internet Explorer). Vous pouvez forcer quand même le téléchargement du fichier non sécurisé :

    Après le lancement du téléchargement, le fichier est en réalité instantannément soumis au service Cloud de Microsoft. Ce dernier renvoi un état de menace à Microsoft Defender Antivirus afin de bloquer le fichier :

    La fonctionnalité Block At First Sight (blocage au premier abord) est une extension de la protection cloud qui permet de spécifier le délai d’attente visant à bloquer le fichier pour laisser les outils Cloud déterminer l’état du fichier. Ceci permet à Microsoft d’exécuter le fichier dans une chambre de détonation temporaire et de voir le résultat de l’exécution. La solution précédente seule, envoie le fichier et effectue une analyse de la signature et du code associé.Microsoft fournit un fichier qui permet de tester le mécanisme Block At First Sight. Le fichier est bloqué et envoyé. Une fenêtre de notification informe l’utilisateur du délai d’analyse configuré par l’administrateur. Le résultat donne ensuite l’état d’accès au fichier. Dans le cas de ce test, le résultat a démontré que le fichier contenait un virus et instruit Microsoft Defender Antivirus de le supprimer :

    • 25/3/2020

    [Intune] Configuration de BitLocker pour chiffrer les disques additionnels

    Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 afin de chiffrer des disques additionnels. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Nous verrons la configuration de BitLocker pour chiffrer des disques additionnels en abordant les phases suivantes :

    • Création/édition de la stratégie BitLocker pour inclure les éléments de configuration des disques de données additionnels
    • Résultat de la stratégie du chiffrement des disques de données

    Création/édition de la stratégie BitLocker

    Vous pouvez procéder la création ou l’édition de la stratégie de configuration BitLocker pour configurer le chiffrement de disques de données sur des machines Windows 10. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

    Procédez à la création du profil que vous nommerez selon votre convention de nommage ou éditez une stratégie BitLocker existante. Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

    La section suivante BitLocker fixed data-drive settings s’applique aux disques de données supplémentaires en proposant les paramétrages :

    • L’option Write access to fixed data-drive not protected by BitLocker permet d’empêcher l’écriture sur des disques de données qui n’ont pas été chiffrés par BitLocker. Ceci permet d’imposer l’action de chiffrement à l’utilisateur.
    • Activer la restauration de disques fixes. Ceci donne accès aux options suivantes :
    • L’option Data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite être utilisé pour le déchiffrement des disques

    Note : Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

    • Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
    • Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
    • L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
    • L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
    • L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
      • Mot de passe de restauration et packages de clé
      • Mot de passe de restauration uniquement
        Choisissez la valeur Backup recovery passwords and key packages.
    • Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
    • L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à Require.

    Passez ensuite les autres paramètres que nous aborderons dans d’autres parties de cette instruction.

    Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

    Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 BitLocker précédemment créé puis cliquez sur Save.

    La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

    Sur une des machines où un disque additionnel est présent, vous pouvez exécuter la commande manage-bde -status et constater le chiffrement disque de données

    Vous pouvez constater ce chiffrement directement dans l’explorateur de fichiers avec l’apparition du cadenas sur le volume :

    La stratégie empêchant l’écriture sur un disque de données non chiffré, vous pouvez ouvrir le volume et tenter l’ajout d’un fichier et d’un répertoire :

    Dans le portail Microsoft Intune, vous pouvez naviguer dans Devices – All Devices puis sélectionner la machine adéquates et Recovery Keys pour constater la présence d’une clé pour le disque de données :

    Sur la machine et dans l’observateur d’événéments, vous pouvez naviguer dans Applications and Services Log – Microsoft – Windows – BitLocker-API et constater la présence d’événéments démontrant la création des protecteurs pour le volume :

    Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker pour forcer le chiffrement des périphériques amovibles

    • 24/3/2020

    [Intune] Configuration des mécanismes de base de Microsoft Defender Antivirus

    Microsoft Defender Antivirus est issu de System Center Endpoint Protection qui fut lui-même issu de Forefront EndPoint Protection, lui-même issu de Microsoft Security Essentials lui-même issu de Windows Live OneCar. Ce dernier est né du rachat de la société GIANT Software en 2004, leader dans le mode des anti-spyware. Microsoft a donc une expérience assez longue dans le monde des antivirus et fort de sa base de plusieurs millions de périphériques protégés via Microsoft Defender dans Windows 10, il obtient des éléments de télémétrie et de sécurité qu’aucun autre éditeur ne peut fournir.

    Cette série d'articles traite de la configuration de Microsoft Defender Antivirus avec Microsoft Intune. Ce billet s'attache à détailler les fonctionnalités de base dont notamment :

    • La protection en temps réel
    • L’analyse comportemental des processus et des fichiers
    • L’analyse du système (fichiers, etc.)
    • Un système d’inspection réseau
    • L’analyse tous les téléchargements
    • L’analyse des scripts chargés dans les navigateurs Web Microsoft
    • La supervisison de l’activité des fichiers et des programmes

    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Configuration de l’appareil – Profils.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise (par exemple : Windows 10 – Stratégie Microsoft Defender Antivirus) Sélectionnez la plateforme Windows 10 et ultérieur puis Device Restrictions/Restriction de l’appareil dans le type de profil.

    Sélectionnez ensuite la catégorie Antivirus Microsoft Defender / Microsoft Defender Antivirus.

     

    Les stratégies proposent les éléments suivants :

    • Activation de la supervision en temps réel (Real-Time monitoring) : Le moteur de Microsoft Defender Antivirus prend en considération de tous les changements de fichiers (écriture de fichiers, comme les déplacements, les copies ou les modifications) et de l'activité générale du programme (programmes ouverts ou en cours d'exécution et qui font exécuter d'autres programmes). Il peut analyser les processus en cours d'exécution à la recherche de modifications ou de comportements suspects. Ceci est utile si vous avez temporairement désactivé la protection en temps réel et que vous souhaitez analyser automatiquement les processus qui ont démarré alors qu'elle était désactivée.
    • La supervision du comportement (Behavior Monitoring) : Le moteur Antivirus surveille les les fichiers des processus, les modifications de fichiers et de registre, ainsi que d'autres événements pour détecter les activités malveillantes suspectes et connues.
    • Système d’inspection réseau (Network Inspection System) : NIS aide à protéger les périphériques contre les exploits réseau. Il utilise les signatures des vulnérabilités connues de Microsoft Endpoint Protection Center pour détecter et bloquer le trafic malveillant.
    • Analyser tous les téléchargements (Scan Dwonloads) : Avec l’activation de ce paramètre, Microsoft Defender analyse tous les téléchargements réalisés depuis Internet.
    • Configurer une priorité CPU faible pour les analyses planifiées permet d’éviter l’effet des analyses antivirales impactantes pour les performances de la machine et pour l’expérience de l’utilisateur.
    • Catch-up quick scan et Catch-up full scan sont deux options qui permettent de définir le comportement de l’antivirus si une analyse complète ou rapide a été manquée (machine en veille, éteinte, etc.). Dans ce cas, l’antivirus initiera une analyse au redémarrage de la machine, correspondant à la dernière analyse manquée après deux analyses manquées.
    • Analyser les scripts chargés dans les navigateurs Web Microsoft permet à Microsoft Defender d’analyser tous les scripts (JScript, etc.) chargés lors de la navigation lorsque l’utilisateur utilise Internet Explorer ou Microsoft Edge.
    • Accès à Microsoft Defender par l’utilisateur final permet de choisir si vous souhaitez bloquer l’accès à l’interface Microsoft Defender. Cette option bloque aussi toutes les notifications liées à l’antivirus (analyses réalisées, menaces trouvées, etc.)
    • Intervalle des mises à jour intelligente de sécurité (en heure) définit l’intervalle auquel le client doit vérifier les signatures des menaces.

    • Superviser l’activité des fichiers et des programmes définit le comportement de la supervision en temps réel (real time monitoring) avec la possibilité de
      • Désactiver la supervision
      • Superviser tous les fichiers
      • Superviser les fichiers entrants uniquement
      • Superviser les fichiers sortants uniquement
    • Jours avant la suppression de logiciels malveillants en quarantaine: définit le nombre de jours où le logiciels maveillants reste en quarantaine.
    • Limite d’usage du CPU durant une analyse: Ce paramètrage vient en complément de la priorité faible du CPU, elle vient limiter le pourcentage de CPU consommé par l’analyse antivirale effectuée par Microsoft Defender.
    • Analyser les fichiers d’archive permet d’inclure les fichiers archive (Zip, cab, etc.) dans l’analyse antivirale.
    • Analyser les messages email entrants permet d’analyser les emails lors de leur reception sur le périphérique.
    • Analyser les périphériques amovibles lors d’une analyse complète inclut les périphériques USB (disques, clés) attachés au périphérique lors d’une analyse complète.
    • Analyser les lecteurs réseaux montées lors d’une analyse complète inclut les lecteurs réseaux montés sur le périphériques lors d’une analyse complète. Si le fichier est en lecture-seule alors Microsoft Defender ne peut retirer le logiciel malveillant trouvé.
    • Analyser les fichiers ouverts à partir d’un dossier réseau permet l’analyse des éléments ouverts sur des partages réseaux. Si le fichier est en lecture-seule alors Microsoft Defender ne peut retirer le logiciel malveillant trouvé.

    • Demander à l’utilisateur avant d’envoyer des échantillons permet de spécifier le comportement quand Microsoft Defender Antivirus souhaite envoyer de la télémétrie pour une activité suspicieuse :
      • Toujours demander
      • Demander avant d’envoyer des données personnelles
      • Ne jamais envoyer de données
      • Envoyer toutes les données sans demander
    • Heure à laquelle effectuer une analyse rapide journalière permet de spécifier l’heure de la journée pour l’analyse rapide
    • Type d’analyse système à effectuer permet de spécifier si vous souhaitez désactiver, réaliser une analyse rapide ou complète du système. En fonction du choix, vous pouvez définir le jour et l’heure de l’analyse système choisi.
    • Détection des applications potentiellement non souhaitées (PUA) permet de définir le comportement quand Microsoft Defender détecte des applications potentiellement non voulues. Vous pouvez désactiver (Not Configured), Bloquer ou Auditer les événements.
    • Actions sur la détection d’une menace malveillante permet de choisir entre nettoyer, mettre en quarantaine, supprimer, laisser l’utilisateur choisir ou bloquer la menace selon les 4 niveaux de menaces proposés par Microsoft Defender : Faible, Modérée, Haute, et Sévère.

    Enfin une dernière option permet de configurer les exclusions souhaitées (fichiers, dossiers ou processus).

    Cliquez sur OK à trois reprises puis Créer pour procéder à la création.
    Lorsque la stratégie a été créé, vous devez ensuite affecter ce profil au groupe de périphérique Windows 10 souhaité (par exemple : Intune-Périphériques Windows 10 Entreprise)

    • 24/3/2020

    [Intune] Configuration de BitLocker dans un mode TPM + PIN

    Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 dans un mode TPM + PIN. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Nous verrons la configuration de BitLocker dans un mode TPM uniquement en abordant les phases suivantes :

    • Création de la stratégie BitLocker TPM + PIN
    • Résultat de la stratégie forcant le chiffrement TPM+PIN sur les machines
    • Configuration manuelle du PIN via un Script utilisateur
      • Création du package Microsoft Intune
      • Déploiement du script packagé
      • Résultats

    Au préalable, vous devez avoir suivi le billet : Prérequis à la gestion de BitLocker

    Création de la stratégie

    Commencez par créer un groupe qui stockera les machines qui utiliseront BitLocker dans mode TPM + PIN.
    Note : les machines de ce groupe ne doivent pas être dans un groupe ciblé par d'autres stratégies BitLocker.

    Passez ensuite procéder la création de la stratégie de configuration BitLocker pour des machines Windows 10 dans un mode TPM+PIN. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

    Procédez à la création du profil que vous nommerez selon votre convention de nommage (par exemple : Windows 10 – Configuration BitLocker TPM + PIN). Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

    Les stratégies proposent les éléments suivants :

    • Encrypt Devices permet d’activer le chiffrement BitLocker sur les machines cibles. Passez l’option à Require.

    Dans les paramètres de base de BitLocker :

    • L’option Warning for other disk encryption permet de bloquer la fenêtre visant à avertir qu’il ne faut pas activer BitLocker si d’autres solutions de chiffrement de disque sont utilisées.
      Activez l’option.
    • Allow standard users to enable encryption during Azure AD Join est une nouvelle option apparue avec Windows 10 1809 permettant aux utilisateurs sans priviléges d’administration d’activer BitLocker lorsque la machine joint Azure Active Directory. Cette option ne s’applique qu’au scénario Azure AD Join et n’est active que si l’option précédente est bloquée.
      Activez l’option.
    • Enfin, les trois dernières options permettent de configurer les méthodes de chiffrements souhaitées pour :
      • Les disques de systèmes d’exploitation
      • Les disques de données fixes
      • Les périphériques amovibles
        Laissez l’option par défaut.

    Les paramétres suivants permettent de configurer les paramétrages BitLocker pour les disques système :

    • L’option Additional authentication at startup permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle).
      Passez l’option à Require.
    • Le paramètre Bitlocker with non-compatible TPM chip permet de définir si vous souhaitez bloquer le chiffrement pour des périphériques qui n’ont pas de puce TPM compatible.
      Passez l’option à Block.
    • Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement.
      Choisissez Allow TPM.
    • L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Allow PIN with TPM.
    • L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Do not allow startup key with TPM.
    • L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Do not allow startup key and PIN with TPM.
    • L’option Minimum PIN length permet de définir la taille minimale du PIN lorsque vous avez choisi d’autoriser ou d’imposer l’usage d’un PIN dans l’une des options précédentes.
      Activez l’option et renseignez la taille minimale (4 caractères par exemple).

    La sous section OS drive recovery traite des options de restauration du disque système :

    • Activez la restauration via l’option OS Drive Recovery
    • L’option certificate-based data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite utilisé pour le déchiffrement des disques.

    Note :Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

    • Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
    • Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
    • L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
    • L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
    • L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
      • Mot de passe de restauration et packages de clé
      • Mot de passe de restauration uniquement
        Choisissez la valeur Backup recovery passwords and key packages.
    • Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
    • L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à
    • Vous pouvez ensuite activer la personnalisation d’un message ou d’une URL affiché lors de la phase de prédémarrage lors de la restauration. Une fois l’option activée, vous avez le choix entre
      • Utiliser le message et l’URL de restauration par défaut
      • Utiliser un message et une URL de restauration vide
      • Utiliser un message de restauration personnalisé
      • Utiliser une URL de restauration personnalisée

    Passez ensuite les autres paramètres que nous aborderons dans d'autres billets.

    Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

    Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 puis cliquez sur Save.

    La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

    Le mode TPM + PIN n’est pas supporté nativement par Microsoft Intune car le chiffrement en mode silencieux de Windows 10 ne permet pas de lancer une fenêtre de configuration du code PIN. L’objectif de la stratégie est de permettre/autoriser (Allow) à la fois les configurations suivantes :

    • TPM uniquement
    • TPM + PIN

    Ainsi la configuration du mode TPM + PIN se fait en deux temps :

    • Chiffrement automatique et silencieux en mode TPM uniquement
    • Activation du mode TPM + PIN par
      • La configuration manuelle du PIN via une application déployée par l’utilisateur. (C’est cette méthode qui est à privilégier)
      • La préconfiguration d’un code PIN par défaut pour l’utilisateur. Note le changement du PIN requiert les droits d’administration.

    Si vous n'utilisez pas une des deux méthodes citées précédemment, alors vous pourrez constater les erreurs suivantes dans l’observateur d’événéments Applications and Services Log – Microsoft – Windows – BitLocker-API avec : « La stratégie de groupe ne permet pas l’utilisation exclusive d’un module de plateforme sécurisée au démarrage ».

    Configuration Manuelle du PIN via un script utilisateur

    Puisque la stratégie BitLocker (TPM+PIN) ne permet pas par défaut un fonctionnement optimal, nous allons utiliser un script de configuration manuel du code PIN par l’utilisateur en complément de la stratégie hybride utilisant le mode TPM uniquement et TPM + PIN. Pour ce faire, nous utiliserons un script communautaire. Ce script sera déployé sous la forme d’une application Win32 via l’Intune Management Extension.

    Microsoft Intune requiert un certain format de fichier à intégrer dans le portail. Pour ce faire, Microsoft propose un outil de packaging qui va créer l’équivalent d’un « zip » pouvant être ingéré dans le service.

    Pour ce faire, téléchargez l’outil Microsoft-Win32-Content-Prep-Tool (IntuneWinAppUtil.exe).

    Procédez ensuite à la création d’un répertoire correspondant au nom de votre application et deux sous répertoire Sources et Output :

    • <APPLICATION>
      • Sources : Dossier utilisé par l’outil comme référence des sources
      • Output : Dossier utilisé par l’outil pour générer le fichier de sortie.

    Ouvrez un outil en ligne de commande en administrateur. Positionnez vous dans le dossier et tapez la commande suivante : .\IntuneWinAppUtil.exe -c <Chemin vers les sources de l’application> -o <Dossier de sortie>

    Exemple : .\intuneWinAppUtil.exe –c SetBitLockerPIN -s SetBitLockerPin.PS1 -o Output -q

    L’outil lance une série d’opération et renvoie l’état Done spécifiant que le package <Application>.intunewin est crée.

    Une fois l’application packagée, nous pouvons l’intégrer dans Microsoft Intune afin de réaliser le déploiement obligatoire sur les postes de travail. Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Applications clientes – Applications. Cliquez sur Ajouter

    Dans le type d’application, choisissez Application Windows (Win32). Dans Fichier de package d’application, chargez le fichier .intunewin précédemment généré (par exemple : SetBitLockerPin.intunewin)

    Cliquez sur OK.

    Une fois le package chargé, dans Information sur l’application, spécifiez :

    • Le nom de l’application
    • La description (utilisée dans le portail entreprise lorsqu’elle est mis à disposition en libre-service)
    • L’éditeur
    • La catégorie
    • Si l’application doit être mise en avant dans le portail
    • Et les autres informations : URL d’informations, URL de la déclaration de confidentialité, etc.
    • Ainsi que l’icône de l’outil fourni par le développeur

    Cliquez sur OK.

     

    Dans la partie Programmes, saisissez :

    • La ligne de commande d’installation : PowerShell -ex bypass – file setbitlockerpin.ps1
    • La ligne de commande de désinstallation : PowerShell -command cls
    • Le mode d’exécution : Système ou Utilisateur

    Dans la partie Spécifications, choisissez :

    • L’architecture du système : 32bits et 64 bits
    • La version minimale du système : Windows 10 1607

    Dans la partie Règles de détection, vous devez spécifier les méthodes de détection permettant de détecter l’application. Choisissez entre Utiliser un script de détection personnalisé. Chargez le script de détection DetectBitLockerPin.ps1 et laissez les options par défaut.

    Cliquez sur Sauvegarder pour lancer la création

     

    Rafraichissez la page pour valider que le chargement est terminé puis cliquez sur Affectations.

    Cliquez sur Ajouter un groupe et sélectionnez le groupe souhaité (par exemple : Intune-périphériques Windows 10 Bitlocker).

    Spécifiez le mode de déploiement :

    • Obligatoire : Installation de l’application sans actions de l’utilisateur et sans nécessiter le portail d’entreprise
    • Optionnel : Installation par l’utilisateur au travers du portail d’entreprise.

    Cliquez sur Enregistrer.

    Validation de la configuration du Code PIN et du chiffrement

    Maintenant que l’outil de configuration du code PIN a été déployé, nous allons pouvoir constater l’expérience utilisateur et le chiffrement. La première étape est de vérifier que la machine a été chiffrée en mode TPM uniquement par le profil de configuration.

    Pour ce faire sur une des machines, exécutez la commande manage-bde -Status afin constater le chiffrement et le type de protecteurs de clés : TPM et Mot de passe numérique

    Note :Mot de passe numérique ne correspond pas au code PIN mais à la clé de récupération.

    Vous pouvez aussi vérifier la remontée de la clé de recupération dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Choisissez le périphérique et ouvrez la partie Recovery Keys. Observez les clés :

    Vous pouvez ensuite forcer le mode TPM+ PIN en configurant ce dernier. Pour ce faire sur une des machines, ouvrez le portail d’entreprise. Identifiez l’application correspondant à l’outil de configuration du code PIN :

    Cliquez sur Installer

    L’application de configuartion du code PIN se lance. L’utilisateur doit rentrer le code Pin choisi :

    Après configuration du PIN, nous pouvons exécuter une commande pour valider : Write-Output $(Get-BitLockerVolume -MountPoint $env:SystemDrive).KeyProtector | Where { $_.KeyProtectorType -eq 'TpmPin' }

    La commande doit renvoyer un protecteur :

    Une fois le code PIN configuré, vous pouvez redémarrer la machine pour constater que l’utilisateur est invité à renseigner son code PIN pour accéder au système :

    Nous verrons dans un autre billet comment :

    • Changer un code PIN
    • Accéder au système quand l’utilisateur a oublié son code PIN.

    Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker pour chiffrer les disques additionnels

    • 23/3/2020

    Forrester reconnait Microsoft Defender ATP comme leader des solutions EDR

    Forrester a publié son rapport sur les solutions Enterprise Detection and Response (EDR). Microsoft ressort avec CrowdStrike et Trend Micro parmi les leaders du marché. Cybereason, Elastic, Bitdefender, SentinelOne, VMware Carbon Black sont les concurrents qui suivent.

    C’est la première fois que Microsoft participe à cette enquête et Microsoft Defender Advanced Threat Protection (ATP) a reçu le score (5 sur 5) le plus important de tous les vendeurs participants. Mais la solution se voit compléter avec toutes les autres solutions du type comme Azure ATP, Office ATP, Microsoft Cloud App Security (MCAS) au travers de Microsoft Threat Protection.

     Lire le rapport de Forrester

    Plus d’informations sur : https://www.microsoft.com/security/blog/2020/03/18/forrester-names-microsoft-leader-2020-enterprise-detection-response-wave/

    • 23/3/2020

    [MD ATP] De nouvelles vidéos sur Microsoft Defender Advanced Threat Protection

    Microsoft vient de publier une série de vidéos pour décrire les concepts et vous former sur Microsoft Defender Advanced Threat Protection (ATP). Pour rappel, Microsoft Defender Advanced Threat Protection est un service initialement inclus dans Windows 10 proposant une solution d’analyse, d’investigation et de réponse (forensic) permettant d’améliorer la détection et l’alerting. Il offre des actions de réponse et une vision courante des attaques possibles. Il permet de répondre à des attaques comme celles de ransomwares, malwares, etc. Il inclut aussi un module de gestion des menaces et des vulnérabilités.

    Parmi les sujets abordés par les vidéos, on retrouve :

    • 23/3/2020

    [Intune] Configuration de BitLocker dans un mode TPM Uniquement

    Ce billet présente la configuration du chiffrement de disques via la technologie BitLocker proposé par Windows 10 dans un mode TPM uniquement. BitLocker est issu d’un projet d’architecture sécurisé initié en 2004 par Microsoft sous le nom de CornerStone et dont le but est d’assurer la protection des informations en cas de perte ou de vol de périphérique. La fonctionnaté est conjuguée avec une autre fonctionnalité Code Integrity Rooting permettant de valider le système de fichiers et Windows afin de permettre le déchiffrement du volume et d’éviter les accès non sécurisés.

    Nous verrons la configuration de BitLocker dans un mode TPM uniquement en abordant les phases suivantes :

    • Création de la stratégie BitLocker standard
    • Validation du chiffrement sur les machines
    • Chiffrement manuel par Script (pour les machines ne supportant pas le chiffrement automatique)
    • Résultats des Tests

    Au préalable, vous devez avoir suivi le billet : Prérequis à la gestion de BitLocker

    Création de la stratégie

    Cette phase aborde la création de la stratégie de configuration BitLocker pour des machines Windows 10 dans un mode TPM uniquement.
    Pour ce faire, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – Profiles.

    Procédez à la création du profil que vous nommerez selon la convention de nommage de votre entreprise.
    Sélectionnez la plateforme Windows 10 et ultérieur puis Endpoint Protection dans le type de profil. Sélectionnez ensuite la catégorie Windows Encryption.

    Les stratégies proposent les éléments suivants :

    • Encrypt Devices permet d’activer le chiffrement BitLocker sur les machines cibles. Passez l’option à Require.
    • Encrypt Storage Card (Mobile Only) active le chiffrement des cartes de stockage (Cartes SD) sur les périphériques Windows 10 Mobile.

     

    Dans les paramètres de base de BitLocker :

    • L’option Warning for other disk encryption permet de bloquer la fenêtre visant à avertir qu’il ne faut pas activer BitLocker si d’autres solutions de chiffrement de disque sont utilisées.
      Activez l’option.
    • Allow standard users to enable encryption during Azure AD Join est une nouvelle option apparue avec Windows 10 1809 permettant aux utilisateurs sans priviléges d’administration d’activer BitLocker lorsque la machine joint Azure Active Directory. Cette option ne s’applique qu’au scénario Azure AD Join et n’est active que si l’option précédente est bloquée.
      Activez l’option.
    • Enfin, les trois dernières options permettent de configurer les méthodes de chiffrements souhaitées pour :
      • Les disques de systèmes d’exploitation
      • Les disques de données fixes
      • Les périphériques amovibles

    Note :La méthode de chiffrement par défaut est XTS-AES 128 bit. Microsoft a longtemps recommandé l’utilisation d’XTS-AES 256 bit. Néanmoins, certains périphériques préchiffrés (Surface, ou autres fabricants) sont livrés en XTS-AES 128 bit, ce qui demandait de déchiffrer les disques pour les rechiffrer. La baseline de sécurité de Windows 10 1903+ revient sur ce choix et recommande XTS-AES 128 bit. Le mode XTS-AES 256 bit ne propose qu’un bénéfice limité pour un impact performance parfois important. Voir : https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/

    Les paramétres suivants permettent de configurer les paramétrages BitLocker pour les disques système :

    • L’option Additional authentication at startup permet de configurer les modes de validation BitLocker (TPM, TPM+PIN, TPM+Dongle, TPM+PIN+Dongle). Passez l’option à Require.
    • Le paramètre Bitlocker with non-compatible TPM chip permet de définir si vous souhaitez bloquer le chiffrement pour des périphériques qui n’ont pas de puce TPM compatible. Passez l’option à Block.
    • Compatible TPM startup permet de définir si la puce TPM est autorisé, requise ou non autorisé pour le chiffrement. Choisissez Require TPM.
    • L’option Compatible TPM startup PIN permet d’ajouter l’usage (autorisé, requis ou non) d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Do not allow startup PIN with TPM.
    • L’option Compatible TPM startup key permet d’ajouter l’usage (autorisé, requis ou non) d’un dongle de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Do not allow startup key with TPM.
    • L’option Compatible TPM startup key and PIN permet d’ajouter l’usage (autorisé, requis ou non) à la fois d’un dongle et d’un code PIN de démarrage avec la puce TPM. Cette action requiert l’action de l’utilisateur pour la configuration.
      Passez l’option à Do not allow startup key and PIN with TPM.
    • L’option Minimum PIN length permet de définir la taille minimale du PIN lorsque vous avez choisi d’autoriser ou d’imposer l’usage d’un PIN dans l’une des options précédentes.
      Laissez l’option à Not Configured.

     

    La sous section OS drive recovery traite des options de restauration du disque système :

    • Activez la restauration via l’option OS Drive Recovery
    • L’option certificate-based data recovery agent permet d’empêcher l’utilisation de l’agent de récupération de données avec les disques systèmes protégés par BitLocker. Ceci permet d’utiliser un certificat d’une PKI pour réaliser le chiffrement des disques. Ce certificat peut ensuite utilisé pour le déchiffrement des disques.

    Note :Cette option est très peu utilisée de par sa complexité, vous trouverez néanmoins plus d’informations sur :  https://blogs.technet.microsoft.com/askcore/2015/10/16/setting-up-data-recovery-agent-for-bitlocker

    • Le paramètre user creation of recovery password permet de choisir si l’utilisateur est autorisé ou doit créer un mot de passe de restauration de 48 caractères. Cette option doit être passé à Require 48-digit recovery password pour s’assurer que le mot de passe de restauration est bien créé.
    • Le paramètre user creation of recovery key permet de choisir si l’utilisateur est autorisé ou doit créer la clé de restauration de 256 caractères. Cette option doit être passé à Require 256-digit recovery key pour s’assurer que la clé de restauration est bien créée.
    • L’option Recovery options in the BitLocker setup wizard permet de choisir si l’utilisateur peut voir et changer les options de restauration dans l’assistant.
    • L’option Save BitLocker recovery information to Azure Active Directory définit si les informations de restauration BitLocker doit être stockés dans Azure Active Directory. Activez l’option.
    • L’option BitLocker recovery Information stored to Azure Active Directory définit les éléments qui doivent être sauvegardés dans Azure Active Directory :
      • Mot de passe de restauration et packages de clé
      • Mot de passe de restauration uniquement
        Choisissez la valeur Backup recovery passwords and key packages.
    • Le paramètre Client-driven recovery password rotation définit le comportement (désactivé, activé pour les périphériques Azure AD ou activé pour les périphériques Azure AD et Hybrid Azure AD) pour la rotation du mot de passe de restauration lorsque celui-ci a été utilisé sur la machine (via Bootmgr ou WinRE). Choisissez l’option Key rotation enabled for Azure AD and Hybrid-joined devices.
    • L’option Store recovery information in Azure Active Directory before enabling BitLocker puisqu’elle permet de s’assurer que l’utilisateur ne peut pas lancer le chiffrement de sa machine sans avoir procéder à la sauvegarde des informations de restauration dans Azure AD. Passez l’option à
    • Vous pouvez ensuite activer la personnalisation d’un message ou d’une URL affiché lors de la phase de prédémarrage lors de la restauration. Une fois l’option activée, vous avez le choix entre
      • Utiliser le message et l’URL de restauration par défaut
      • Utiliser un message et une URL de restauration vide
      • Utiliser un message de restauration personnalisé
      • Utiliser une URL de restauration personnalisée

    Passez ensuite les autres paramètres que nous aborderons dans d'autres billets.

    Cliquez sur OK à deux reprises puis Create pour procéder à la création de la stratégie.

    Une fois crée, procédez à l’assignement de la stratégie au groupe des machines Windows 10 d’entreprise puis cliquez sur Save.

    La stratégie étant créée et assignées, vous pouvez passer à la phase de validation.

    Validation de la strategie Intune (TPM uniquement) sur les machines

    Cette partie traite de la validation de la configuration de BitLocker sur les machines des types suivants :

    • Les machines jointes à Azure Active Directory (AADJ)
    • Les machines Hybrid Azure AD Join

    Validation sur les machines Azure AD Join

    Sur une machine Azure AD Join (sans capacité de chiffrement automatique), vous notez l’apparition d’une notification demandant le chiffrement de la machine. Cliquez dessus pour ouvrir l’assistant de chiffrement. L’utilisateur doit valider qu’il n’utilise aucun autre logiciel de chiffrement de disque avant de lancer le chiffrement :

     

    Une fois validé, l’assistant se lance pour initier le chiffrement du disque C:, l’utilisateur est invité à choisir la façon dont il souhaite sauvegarder la clé de récupération. Observez la mention : Certains paramètres sont gérés par votre administrateur système. Choisissez Enregistrer sur votre compte de domaine cloud puis Suivant.

    Sur l’écran suivant, l’utilisateur doit choisir s’il souhaite :

    • Ne chiffrer que l’espace disque utilisé (plus rapide et plus efficace pour les nouveaux PC et lecteurs)
    • Chiffrer tout le lecteur (opération plus lente recommandées pour les PC et les lecteurs en service)

    Note : Bien que le chiffrement BitLocker se produise en arrière-plan pendant que l’utilisateur continue à travailler et que le système reste utilisable, les temps de chiffrement varient en fonction du type de disque qui est chiffré, de la taille du disque et de la vitesse du disque.

    Enfin, initiez le chiffrement en cliquant sur Démarrer le chiffrement

    Une fenêtre vous permet ensuite de suivre l’état de chiffrement :

    Une fois terminé, le disque apparaît avec un cadenas afin d’indiquer que BitLocker est activé sur ce volume :

    Vous pouvez constater la remontée de la clé de restauration BitLocker dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Sélectionnez ensuite le périphérique en question puis Recovery Key :

    Note :Sur les périphériques joints à Azure Active Directory, le chiffrement silencieux ne peut être initié que si la machine est compatible Instant GO/Connected Standby/HSTI. Cette option peut se vérifier via la commande powercfg /a.

    Voici le résultat pour une machine non compatible :

    Voici le résultat pour une machine compatible :

    Nous testerons le chiffrement silencieux via un script pour les machines non compatibles plus loin dans ce billet.

    Validation sur les machines Hybrid Azure AD Join

    Sur les machines Hybrid Azure AD Join, le chiffrement a lieu de manière silencieuse. Vous pouvez observer que le volume système a été chiffré :

    Nous constatons la remontée de la clé de restauration BitLocker dans le portail Microsoft Intune en naviguant dans Devices – All Devices. Sélectionnez ensuite le périphérique en question puis Recovery Key :

    Lancement du chiffrement par script pour les machines Azure AD Join non compatibles avec le chiffrement silencieux

    Cette partie s’attache à traiter le lancement du chiffrement via un script (proposé par des PFEs Microsoft) pour exécuter le chiffrement de manière silencieux pour les scénarios suivants :

    • Les machines jointes à Azure Active Directory (AADJ) non compatibles Instant Go/Standby Connected/HSTI
    • Les machines dont le BIOS n’est pas à jour et ne permet pas le chiffrement silencieux automatique

    Vous pouvez utiliser le script communautaire suivant : https://blogs.technet.microsoft.com/home_is_where_i_lay_my_head/2017/06/07/hardware-independent-automatic-bitlocker-encryption-using-aadmdm/

    Commencez par créer un groupe qui stockera les machines qui seront chiffrées silencieusement par BitLocker. Ensuite, ouvrez le portail Microsoft Intune et naviguez dans Device Configuration – PowerShell Scripts.

    Procédez à la création du script que vous nommerez selon votre convention de nommage (par exemple : Windows 10 – Configuration silencieuse de BitLocker)

    Passez là l’étape suivante et chargez le script PowerShell au préalablement téléchargé. Laissez les autres options à No.

    Passez l’écran d’attribution des balises d’étendue :

    Sur l’écran d’assignation des groupes, assignez le groupe précédemment créé :

    Relisez les configurations et validez l’ajout :

    Sur le poste Azure AD Join non compatible avec le chiffrement silencieux, vous pouvez constater le chiffrement du disque dans l’explorateur de fichiers :

     

    Vous pouvez vérifier le statut du chiffrement via la commande manage-bde -status

    Vous pouvez valider le chiffrement par le biais des événéments dans l’observateur d’événéments en naviguant dans Applications and Services Log – Microsoft – Windows – BitLocker-API :

    Vous pouvez constater la remontée de la nouvellé clé de chiffrement dans le portail Microsoft Intune en naviguant dans Devices – All Devices puis en sélectionnant le périphérique et Recovery Keys.

    Nous ouvrons le fichier de journalisation de l’exécution des scripts PowerShell (AgentExecutor.log) par l’Intune Management Extension localisé dans C:\ProgramData\Microsoft\IntuneManagementExtension\Logs. Nous constatons l’exécution du script PowerShell et le code retour 0 :

    Plus globalement, vous pouvez observer l’état d’exécution du script dans le portail Microsoft Intune et en naviguant dans Device Configuration – PowerShell Scripts, en sélectionnant le script puis Device Status.

    Vous pouvez passer à la partie suivante de cette série : Configuration de BitLocker dans un mode TPM + PIN