Microsoft Defender for Identity étant un service Cloud, on retrouve des mises à jour de service continuelle. Comme pour les autres services, je vous propose un résumé des changements et fonctionnalités que Microsoft a pu introduire dans le mois.

• La version 2.158 inclut une nouvelle alerte de sécurité : Suspicious network connection over Encrypting File System Remote Protocol (ID externe 2416). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera d'exploiter le protocole EFS-RPC contre le contrôleur de domaine. Ce vecteur d'attaque est associé à la récente attaque PetitPotam.  Plus d’informations sur : PetitPotam? Microsoft Defender for Identity has it covered! - Microsoft Tech Community
• Les versions 2.158 et 2.159 incluent une nouvelle alerte de sécurité : Exchange Server Remote Code Execution (CVE-2021-26855) (external ID 2414). Dans cette détection, Microsoft Defender for Identity déclenchera une alerte de sécurité chaque fois qu'un attaquant tentera de modifier l'attribut "msExchExternalHostName" de l'objet Exchange pour l'exécution de code à distance. Pour en savoir plus sur cette alerte : Microsoft Defender for Identity lateral movement security alerts | Microsoft Docs. Cette détection repose sur l'événement 4662 de Windows, il doit donc être activée au préalable. Microsoft a étendu la prise en charge de cette détection pour qu'elle se déclenche lorsqu'un attaquant potentiel communique sur un canal EFS-RPC chiffré. Les alertes déclenchées lorsque le canal est chiffré seront traitées comme des alertes de gravité moyenne, par opposition aux alertes de gravité élevée lorsqu'il n'est pas chiffré.
• Les versions 2.157, 2.158, 2.159, et 2.160 apportent des améliorations et des corrections de bugs sur les capteurs.

Plus d’informations sur : What's new in Microsoft Defender for Identity

Microsoft vient de mettre à disposition la Technical Preview 2108 (5.0.9060.1000) de Microsoft Endpoint Configuration Manager. Pour rappel, Microsoft a annoncé le renommage de System Center Configuration Manager pour faire partie d’une même suite avec Microsoft Intune, Desktop Analytics, Autopilot, etc. sous le nom Microsoft Endpoint Manager. L’outil ne fait donc plus parti de la gamme System Center. Si vous souhaitez installer cette Technical Preview, vous devez installer la Technical Preview 2010 puis utiliser la fonctionnalité Updates and Servicing (nom de code Easy Setup).

Microsoft Endpoint Configuration Manager TP 2108 comprend les nouveautés suivantes :

Administration

• Vous pouvez désormais exporter le contenu d'une vue en grille dans la console d’administration, ainsi que les en-têtes de colonne, vers un fichier CSV. Il était déjà possible de couper et coller à partir d'une vue. Vous pouvez exporter tous les éléments ou certains éléments sélectionnés dans les nœuds suivants : Device Collections, User Collections, Devices, Users. Pour exporter les informations, sélectionnez Export to CSV file depuis le ruban ou dans le menu contextuel. Choisissez Export selected items pour exporter uniquement les éléments que vous avez déjà sélectionnés.

• Dans la ConfigMgr 2107, il est possible d’utiliser l’administration service pour configurer des propriétés personnalisées sur un périphérique. Ceci permet d’ajouter des données externes au périphérique faciliter le déploiement, la création de collection, etc. Cette Technical Preview permet de créer et d’éditer les propriétés personnalisées depuis la console d’administration depuis l’enregistrement.

Clients

• Vous pouvez maintenant séparer le logo que vous avez spécifier pour les notifications Windows 10 de celui du logo du Software Center/Centre Logiciels.  

PowerShell

• On retrouve de nouvelles cmdlets :
  • Get-CMDeploymentTypeRequirement.  
  • Get-CMSecurityRolePermission
  • Set-CMSecurityRolePermission

Plus d’informations sur : Technical preview 2108 - Configuration Manager | Microsoft Docs