• [Azure Defender] Les nouveautés de Juillet 2021

    Microsoft a introduit un ensemble de nouveautés dans Azure Defender (anciennement Azure Security Center). Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Preview de la synchronisation bidirectionnelle des alertes via le connecteur Azure Defender de Azure Sentinel.
    • Disponibilité Générale de la fonctionnalité d’export continu des données de conformité réglementaire et du Secure Score. Ces dernières peuvent être utilisées avec d’autres outils de supervision de votre environnement.
    • Disponibilité Générale de l’option de déclenchement de l’automatisation des Workflows (Workflow Automation) par des changements dans les évaluations de la conformité.
    • Ajout du modèle de Workbook 'Compliance over time' à la galerie de Workbooks Azure Monitor.
    • Réorganisation logique des alertes Azure Defender pour Resource Manager. Certaines alertes ont été déplacées d’Azure Defender for Resource Manager vers Azure Defender for servers. Les alertes sont organisées selon deux grands principes :
      • Les alertes qui assurent la protection du plan de contrôle - sur de nombreux types de ressources Azure qui font partie d'Azure Defender for Resource Manager.
      • Les alertes qui protègent des charges de travail spécifiques se trouvent dans le plan Azure Defender qui se rapporte à la charge de travail correspondante.
    • Changement du nom de la recommandation pour activer Azure Disk Encryption (ADE). Elle est renommée de Disk encryption should be applied on virtual machines à Virtual machines should encrypt temp disks, caches, and data flows between Compute and Storage resources.
    • Ajout de deux champs dans l’API Assessment : FirstEvaluationDate et StatusChangeDate.

    Plus d’informations sur : Release notes for Azure Security Center | Microsoft Docs

  • [MDO] Les nouveautés de Juillet 2021 pour Microsoft Defender for Office 365

    Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois concernant son service Microsoft Defender for Office (anciennement Office 365 Advanced Threat Protection (ATP)).

    • Amélioration de l'analyse des e-mails dans les enquêtes automatisées. Au cours de l'analyse de clustering d'e-mails, toutes les requêtes de clustering ignorent les boîtes aux lettres de sécurité configurées comme boîtes aux lettres des opérations de sécurité dans la stratégie Advanced Delivery. De même, les requêtes de clustering d'e-mails ignoreront les messages de simulation de phish (éducation) qui sont configurés dans la stratégie Advanced Delivery.
    • Advanced Delivery  : Introduction d'une nouvelle fonctionnalité permettant de configurer la distribution de simulations tierces de phishing aux utilisateurs et de messages non filtrés aux boîtes aux lettres des opérations de sécurité.
    • Disponibilité Générale de Safe Links pour Microsoft Teams permettant d’empêcher les alertes basées sur les URLs. Le mécanisme analyse les URLs avec du contenu potentiellement malicieux et les réévaluent lorsque l’utilisateur clique sur le lien. Ceci permet d’éviter des attaques de plus en plus complexes.
    • Nouvelles stratégies d'alerte pour les scénarios suivants : boîtes aux lettres compromises, hameçonnage par formulaires, courriers malveillants délivrés en raison de surcharges ZAP
      • Activité suspecte de transfert d'e-mails
      • L'utilisateur ne peut pas partager les formulaires et recueillir les réponses
      • Formulaire bloqué en raison d'une tentative potentielle de phishing
      • Formulaire signalé et confirmé comme étant du phishing
      • Nouvelles stratégies d'alerte ZAP
    • Les alertes de Microsoft Defender for Office 365 sont maintenant intégrées dans Microsoft 365 Defender
    • Les étiquettes d'utilisateur (User Tags) sont désormais intégrées dans les expériences d'alerte de Microsoft Defender for Office 365, notamment : la file d'attente des alertes et les détails dans Office 365 Security & Compliance, et l'attribution de stratégies d'alerte personnalisées aux étiquettes d'utilisateur pour créer des stratégies d'alerte ciblées. Les étiquettes sont également disponibles dans la file d'attente des alertes unifiées dans le centre Microsoft 365 Defender (Microsoft Defender for Office 365 Plan 2).

    Plus d’informations sur : What's new in Microsoft Defender for Office 365 - Office 365 | Microsoft Docs

  • [MEM/Intune] Support d’Android 12 par Microsoft Endpoint Manager

    Microsoft a annoncé le support des périphériques équipés d’Android 12 par Microsoft Endpoint Manager / Microsoft Intune. Ce support est effectif dès la mise à disposition de cette nouvelle version. Toutes les fonctionnalités existantes (MDM/MAM) qui ciblaient Android 11 et inférieures sont supportées.

    Google a procédé à des changements sur les capacités de gestion avec Android 12 incluant :

    • La suppression de la capacité de collecte du numéro de série, IMEI, MEID sur les périphériques Android Enterprise Personally-Owned Work Profile (BYOD). Ainsi :
      • Ces informations ne seront plus visibles dans le centre d’administrateur.
      • Il ne sera plus possible de les utiliser pour identifier les périphériques comme étant d’entreprise
      • Les certificats ne pourront être déployés si ces informations sont utilisés comme variables du sujet et SAN.
      • Le contrôle d’accès réseau (NAC) avec certains fournisseurs ou certains VPNs tiers peuvent être affectés aussi. Plus d'informations sur : Support Tip: Android 12 upgrade can affect NAC-enabled network access - Microsoft Tech Community
    • La dépréciation des paramétrages de configuration Safe boot et Debugging features. Ceci affecte le mode Fully Managed, Dedicated et Corporate-owned work profile. Microsoft va ajouter un paramétrager Developer Settings dans la version 2109 de Intune.

    En outre, Android 12 apporte de nombreux changements à l'apparence et à la convivialité des applications, notamment en ce qui concerne les animations de défilement et le comportement de lancement des applications. Le portail de l'entreprise et l'application Intune adopteront ces changements visuels, donnant aux utilisateurs un aspect et une sensation cohérents sur la plate-forme.

    Microsoft recommande la mise à jour avec les dernières versions du portail d’entreprise, Intune, Microsoft Edge et toutes applications utilisant les stratégies de protection applicatives.

     

    Source : Android 12 Day Zero Support with Microsoft Endpoint Manager - Microsoft Tech Community

  • [Desktop Analytics] Les nouveautés de Juillet 2021

    Desktop Analytics étant un service comme Microsoft Intune, on retrouve des mises à jour de service continuelle. Comme pour Microsoft Intune, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • Desktop Analytics prend désormais en charge la nouvelle configuration du processeur de données de diagnostic Windows. Cette configuration offre un meilleur contrôle des données de diagnostic Windows. Microsoft agit en tant que processeur de données et traite les données de diagnostic Windows pour vous, en tant que contrôleur. Vous continuerez à obtenir des informations pour planifier vos déploiements et pourrez répondre aux demandes des personnes concernées. Ces demandes concernent généralement l'accès ou l'exportation des données de diagnostic Windows pour un utilisateur particulier. Pour prendre en charge ceci :
      • Vous devez utiliser Configuration Manager 2006 avec l’update rollup (4575789) ou plus.
      • Vous devez utiliser une version de Windows 10 1809 ou plus incluant une mise à jour cumulative de Juillet 2021 avec des éditions Pro, Education, Enterprise.

    Notez que les périphériques dotés d'une version plus ancienne du système d'exploitation, comme Windows 7, continueront d'apparaître dans Desktop Analytics jusqu'au 31 janvier 2022. Vous devez utiliser Desktop Analytics pour mettre à jour ces périphériques vers une version prise en charge de Windows 10. Après cette date, Desktop Analytics n'affichera que les périphériques avec des versions prises en charge de Windows 10.

    Plus d’informations sur : What’s new in Desktop Analytics

  • [SCM] Les baselines pour Microsoft Edge v92 disponibles en version finale

    Microsoft vient d’annoncer la version finale des baselines de paramétrages de sécurité pour Microsoft Edge v92. Ces dernières s’utilisent avec Security Compliance Toolkit (SCT). Les lignes de base permettent de vérifier la conformité d’une application vis-à-vis des bonnes pratiques et recommandations

    Cette version comprend 11 nouveaux paramétrages utilisateurs et 11 nouveaux paramétrages ordinateurs :

    • Allow unconfigured sites to be reloaded in Internet Explorer mode
    • Configure Automatic HTTPS
    • Control use of the Headless Mode
    • Single sign-on for work or school sites using this profile enabled
    • Specifies whether SharedArrayBuffers can be used in a non cross-origin-isolated context
    • Specify the number of days that a site remains on the local IE mode site list
    • Allow unconfigured sites to be reloaded in Internet Explorer mode
    • Configure Automatic HTTPS
    • Single sign-on for work or school sites using this profile enabled
    • Allow the listed sites to make requests to more-private network endpoints from insecure contexts
    • Specifies whether to allow insecure websites to make requests to more-private network endpoints.

    Microsoft supprime le paramétrage suivant :  Allow certificates signed using SHA-1 when issued by local trust anchors.

    Plus d’informations sur l’article suivant :  Security baseline for Microsoft Edge v92 - Microsoft Tech Community

    Télécharger Security Compliance Toolkit

  • [MDI] Les nouveautés de Juillet 2021 pour Microsoft Defender for Identity (Azure ATP)

    Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

    • La version inclut une nouvelle alerte de sécurité : Suspected Windows Print Spooler service exploitation attempt (CVE-2021-34527 exploitation) (external ID 2415). Dans cette détection, Defender for Identity déclenche une alerte de sécurité lorsqu'un attaquant tente d'exploiter le service Windows Print Spooler contre le contrôleur de domaine. Ce vecteur d'attaque est associé à l'exploitation du spouleur d'impression, et est connu sous le nom de PrintNightmare.
    • À partir de la version 2.156, Microsoft ajoute l'exécutable du pilote Npcap au paquet d'installation du capteur.
    • Les versions 2.153, 2.154, 2.155, 2.156 et 2.157 apportent des améliorations et des corrections de bugs sur les capteurs.
    • Public Preview des paramétrages pour Microsoft Defender for Identity dans le portail Microsoft 365 Defender.

    Plus d’informations sur : What's new in Microsoft Defender for Identity

  • [SCCM 2012] Fin de support prochaine pour System Center 2012 Configuration Manager

    Microsoft a rappelé la fin de support dans moins d’un an pour System Center 2012 Configuration Manager. En effet, le 12 juillet 2022, les produits suivants ne seront plus supportés :

    Cela signifie que Microsoft ne fournira plus de support technique en cas de problème, de mises à jour de sécurité ou de correctifs. Plus important, Microsoft ne fournira plus de mises à jour de définition, de moteur ou de plateforme pour SCEP 2012.

    En outre, les add-ons suivants seront surement retirés :

    Il vous reste donc un an pour migrer vers System Center Configuration Manager Current Branch.

    Source : One year of support remaining for System Center 2012 Configuration Manager - Microsoft Tech Community

  • [MEM/Intune] Les nouveautés de Juillet 2021

    Microsoft vient d’annoncer la mise à disposition d’un nouvel ensemble de fonctionnalités pour Microsoft Intune.

    Les fonctionnalités suivantes sont ajoutées :

    Enregistrement du périphérique

    Gestion du périphérique

    • [Windows 10] Le service Windows 365 est en disponibilité générale. Il permet de créer automatiquement des PCs Cloud. Les administrateurs peuvent utiliser Microsoft Endpoint Manager pour définir les configurations et les applications qui sont provisionnées pour le Cloud PC de chaque utilisateur. Les utilisateurs finaux peuvent accéder à leur PC Cloud depuis n'importe quel périphérique et n'importe où. Windows 365 stocke le Cloud PC et les données de l'utilisateur final dans le Cloud, et non sur l'appareil, offrant ainsi une expérience sécurisée.
    • [Windows 10] Public Preview permettant d’utiliser des filtres pour assigner des stratégies Windows 10 Update Rings. Il est donc possible de filtrer les périphériques sur des propriétés telles que la version du système d’exploitation, le fabricant du périphérique, etc.

    • [Windows 10] L’action à distance de collecte des journaux de diagnostique est en disponibilité générale. Les journaux incluent la partie MDM, Autopilot, les journaux d’événements, les clés de registre, les journaux du client ConfigMgr, les journaux réseaux, etc.:

    Configuration du périphérique

    • [Général] Microsoft a publié le Certificate Connector pour Microsoft Intune remplaçant les connecteurs séparés pour SCEP, PKCS. Il inclut les fonctionnalités suivantes :
      • La configuration de chaque instance du connecteur pour prendre en charge une ou plusieurs des capacités suivantes : SCEP, PKCS, Certificats importés PFX.
      • La révocation de certificats
      • L’utilisation d’un compte Active Directory normal ou le compte système pour le service du connecteur.
      • La sélection du type d’environnement pour le tenant.
      • Supprime la nécessité de sélectionner un certificat client pour l'intégration SCEP avec NDES.
      • Mise à jour automatique de la dernière version du connecteur. La mise à jour manuelle de ce connecteur est également prise en charge.
      • Amélioration de la journalisation.
    • [iPadOS] Public Preview du support des stratégies améliorés permettant de les cibler à l’utilisateurs pour des périphériques iPadOS enregistrés comme iPads for Business partagés. Grâce à ce changement, les réglages tels que la disposition de l'écran d'accueil et la plupart des restrictions affectées aux groupes d'utilisateurs s'appliquent aux iPad partagés lorsqu'un utilisateur appartenant aux groupes d'utilisateurs affectés est actif sur l'appareil.
    • [Windows 10] Public Preview de nouveaux paramétrages sur la page d’état de l’enregistrement (ESP) de Allow users to collect logs about installation errors à Turn on log collection and diagnostics page for end users pour supporter la page de diagnostique Windows Autopilot proposée par Windows 11.

     

    Gestion des applications

    • [Général] De nouvelles applications supportent les stratégies de protection applicatives :
      • Webex for Intune par Cisco Systems, Inc.
      • LumApps for Intune par LumApps
      • ArchXtract (MDM) par CEGB CO., Ltd..
    • [MacOS] Microsoft a amélioré l'écran d'authentification du portail d'entreprise Intune qui invite les utilisateurs de macOS à se connecter à leur compte à l'aide de l'authentification unique (SSO). Les utilisateurs peuvent désormais voir les applications qui demandent du SSO et sélectionner « Don’t ask me again » afin d’éviter d’avoir à sélectionner à nouveau.

    Sécurité du périphérique

    • [Windows 10] Endpoint Analytics propose un nouveau rapport intitulé Work from anywhere. Le rapport Work from anywhere est une évolution du rapport Recommended software. Le nouveau rapport contient des mesures pour Windows 10, la gestion à partir de cloud, l'identité cloud et le provisionnement à partir du cloud.

    • [macOS] Support des catalogues de paramétrages (Settings Catalog) pour Microsoft Defender for Endpoint. Ceci permet de configurer les éléments suivants :
      • Microsoft Defender - Antivirus engine : Allowed threats, Enable passive mode, Enable real-time protection, Scan exclusions, et Threat type settings
      • Microsoft Defender - Cloud delivered protection preferences: Diagnostic collection level, Enable - disable automatic sample submissions, Enable - disable cloud delivered protection
      • Microsoft Defender - EDR preferences: Device tags, Enable - disable early preview
      • Microsoft Defender - User interface preferences: Show - hide status menu icon

     

    Plus d’informations sur : What's new in Microsoft Intune - Azure | Microsoft Docs

  • Publication et mise à jour (Juillet 2021) des outils Sysinternals

    Microsoft a mis à jour un certain nombre d’outils Sysinternals durant le mois dernier. On retrouve notamment :

    • ProcDump v10.1 : Cette mise à jour de ProcDump, un utilitaire en ligne de commande pour générer des vidages de mémoire à partir de processus en cours d'exécution, ajoute une nouvelle option (-dc) pour spécifier un commentaire de fichier de vidage et supporte les vidages de "triage" (-mt).
    • RDCMan v2.82 : Cette mise à jour de RDCMan ajoute une option pour la mise en cache des bitmaps et corrige une série de plantages.
    • Sigcheck v2.82 : Cette mise à jour de Sigcheck corrige un crash survenant lors de l'analyse de fichiers non signés sur VirusTotal.
    • Sysmon v13.23 : Cette mise à jour de Sysmon corrige un bug où les règles avec de longs noms étaient incorrectement traitées et un rare plantage de mémoire survenant sur les systèmes 32-bit.
  • [MEMCM] La Technical Preview 2107 de Microsoft Endpoint Manager Configuration Manager est disponible

    Microsoft vient de mettre à disposition la Technical Preview 2107 (5.0.9059.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

    Microsoft Endpoint Configuration Manager TP 2017 comprend les nouveautés suivantes :

    Administration

    • Vous pouvez désormais publier une requête CMPivot sur Community hub directement depuis la fenêtre CMPivot. La soumission de vos requêtes directement par CMPivot facilite la contribution au Community hub.

    Tenant-Attach

    • Il y a une nouvelle page de mises à jour logicielles pour les périphériques tenant-attach. Cette page affiche le statut des mises à jour logicielles sur un périphérique. Vous pouvez consulter les mises à jour qui ont été installées avec succès, celles qui ont échoué et celles qui ont été attribuées mais pas encore installées. L'utilisation de l'horodatage pour l'état de la mise à jour facilite le dépannage.  

    Plus d’informations sur : Technical preview 2107 - Configuration Manager | Microsoft Docs