{"id":2237,"date":"2018-11-24T17:46:52","date_gmt":"2018-11-24T15:46:52","guid":{"rendered":"https:\/\/www.identitycosmos.com\/?p=2237"},"modified":"2018-11-24T17:46:52","modified_gmt":"2018-11-24T15:46:52","slug":"ad-hardening-microsoft-security-compliance-manager-microsoft-security-compliance-toolkit","status":"publish","type":"post","link":"https:\/\/identitycosmos.com\/index.php\/2018\/11\/24\/ad-hardening-microsoft-security-compliance-manager-microsoft-security-compliance-toolkit\/","title":{"rendered":"AD Hardening: Microsoft Security Compliance Manager & Microsoft Security Compliance Toolkit"},"content":{"rendered":"

\"\"<\/p>\n

Comme vous le savez, je travaille \u00e9norm\u00e9ment sur les concepts de AD Hardening de mani\u00e8re \u00e0 r\u00e9aliser des re-design d’installation Active Directory afin que l’IT global des organisations soit le moins sensible possible aux attaques de malware (attaques indirectes) ou aux attaques directes.<\/p>\n

Dans ce cadre, la recommandation de Microsoft est de segmenter l’environnement li\u00e9 \u00e0 l’annuaire Active Directory en trois tiers\u00a0: Tier 0, Tier 1 et Tier 2 \u2013 le Tier 2 repr\u00e9sentant globalement les workstations\u00a0:<\/p>\n

\"\"<\/a><\/p>\n

Globalement, l’effort de travail et d’investissement se fait bien \u00e9videment sur la couche Tier 0 (qui voudrait voir ses contr\u00f4leurs de domaine compromis\u00a0?) \u2013 cela est bien normal, car un re-design AD est un effort colossal pour la plupart des organisations, et elles mettent g\u00e9n\u00e9ralement le focus sur la s\u00e9curisation des contr\u00f4leurs de domaine. N\u00e9anmoins, attention, il ne faut pas oublier que les attaques proviennent \u00e0 90% de Tier 2 (voir la r\u00e8gle #2 d’un autre de mes post\u00a0: https:\/\/www.identitycosmos.com\/http:\/www.identitycosmos.com\/non-classe\/the-good-old-arcade-games-teach-us-about-today-cybersecurity-rules<\/a>).<\/p>\n

Il est effectivement impossible de s\u00e9curiser \u00e0 100% la couche Tier 2, mais Microsoft nous fournit un ensemble d’outils permettant de nous faciliter le travail. Ces outils sont assez m\u00e9connus, car gratuits\u00a0! Je sais, cela parait curieux, mais quel int\u00e9r\u00eat aurait un commercial Microsoft \u00e0 vous parler d’un outil gratuit\u00a0?<\/p>\n

Microsoft Security Compliance Manager
\n<\/strong><\/span><\/p>\n

Microsoft Security Compliance Manager (SCM de son petit nom) est un outil relativement ancien, je dirais qu’il existe depuis environ 6 ou 7 ans. D’abord en version 1, puis 2, puis 3 jusqu’\u00e0 la derni\u00e8re version en 4.0. Cet outil permet d’utiliser des mod\u00e8les de s\u00e9curit\u00e9 pr\u00e9d\u00e9finis et d’appliquer ces mod\u00e8les sur les postes de travail ou m\u00eame les serveurs membres soit par GPO, soit par System Center Configuration Manager (via la fonction DCM).<\/p>\n

Plus d’informations sur l’outils en V4 [ ICI<\/a> ]<\/p>\n

La derni\u00e8re version de l’outil int\u00e8gre des mod\u00e8les pour Windows 10 V.1511 et pour Windows Server 2016.<\/p>\n

M\u00eame si cet outil est tr\u00e8s int\u00e9ressant, je ne passerai pas trop de temps dessus car il a \u00e9t\u00e9 remplac\u00e9 par un nouvel outil\u00a0: Microsoft Security Compliance Toolkit<\/p>\n

Microsoft Security Compliance Toolkit
\n<\/strong><\/span><\/p>\n

Microsoft Security Compliance Toolkit est donc le rempla\u00e7ant de Microsoft Security Compliance Manager, il est actuellement en version 1.0. Vous trouverez des informations g\u00e9n\u00e9rales sur l’outil sur cette page de Microsoft [ ICI<\/a> ].<\/p>\n

Le kit de base est disponible en t\u00e9l\u00e9chargement [ ICI<\/a> ].<\/p>\n

Un update de ce kit de base assurant la compatibilit\u00e9 avec Windows 10 V.1809 et Windows Server 2019 est disponible en t\u00e9l\u00e9chargement [ ICI<\/a> ] \u2013 Cet update contient en fait les mises \u00e0 jours des r\u00e9f\u00e9rentiels de s\u00e9curit\u00e9 fournis par l’outil, ce que l’on appelle les Baselines, mais nous en parlerons plus loin dans cet article. Des informations compl\u00e9mentaires sur le contenu de cet update sont disponibles sur [ CET ARTICLE<\/a> ].<\/p>\n

Lorsque vous t\u00e9l\u00e9chargez SCT 1.0, le ZIP contient plusieurs \u00e9l\u00e9ments\u00a0:<\/p>\n

\"\"<\/p>\n

Dans le r\u00e9pertoire \u00ab\u00a0PolicyAnalyzer\u00a0\u00bb, vous trouverez les \u00e9l\u00e9ments suivants\u00a0:<\/p>\n

\"\"<\/p>\n

Le document PDF \u00ab\u00a0Policy Analyzer.pdf\u00a0\u00bb donne des explications sur l’outil Policy Analyzer (qui est pr\u00e9sent en version 3.2 dans SCT 1.0), pour \u00eatre honn\u00eate, la documentation est m\u00e9diocre, il faut \u00eatre bien concentr\u00e9 pour comprendre le fonctionnement\u00a0! Globalement, Policy Analyzer va pouvoir faire plusieurs choses\u00a0:<\/p>\n