Sécurisation des environnements AD & Azure AD
INTERMÉDIAIRE- 3 jours
- INTER / Intra
- 2550 HT
- 8 participants max
- ·
- Présentiel ou Distanciel
OBJECTIFS
Maîtriser la sécurisation d’Active Directory et Azure AD, en environnements hybrides ou cloud
- Comprendre les enjeux de sécurité liés à l’AD on-prem et à Azure AD
- Identifier les points d’entrée d’attaque et erreurs de configuration les plus fréquents
- Appliquer les principes de sécurisation d’un annuaire hybride ou cloud
- Auditer, surveiller et remédier à des compromissions dans AD/Azure AD
- Mettre en œuvre les bonnes pratiques d’administration et des défenses efficaces
- PUBLIC
- ▪ Administrateurs AD / Azure AD▪ Ingénieurs systèmes et réseaux▪ Responsables sécurité IT / RSSI▪ Consultants cybersécurité▪ Équipes SOC / CERT
- PRÉREQUIS
- Maîtrise de base d’Active Directory (niveau 1 minimum)
- Connaissances en systèmes Windows Server et réseaux
PROGRAMME
INTRODUCTION AU CLOUD
▸ Modèles de Cloud (hybride, public, privés)
▸ Types de services (IaaS, PaaS, SaaS)
▸ Avantages et inconvénients
▸ Comparaison des principaux fournisseurs
PRINCIPES DE BASE :
▸ Différence entre "Azure" et "Entra Connect" (anciennement« Azure AD Connect »)
▸ Concepts de base : tenant, utilisateurs, groupes, UUIDs, etc.
▸ Distinctions des rôles « Entra Connect » et rôles « Azure RBAC »
▸ Principaux objets : utilisateurs (membres/invités), groupes (sécurité/M365), appareils (registered/joined/hybrid Joined)
▸ Reconnaissance passive avec Azure CLI, Mg Module, Az Module
▸ Audit des rôles dangereux et des utilisateurs assignés
IDENTITÉS HYBRIDES ET RISQUES ASSOCIÉS :
▸ Mécanismes d'authentification hybride : PHS, PTA, Fédération, Seamless SSO
▸ Rôle critique de « Entra Connect » (anciennement « Azure ADConnect »)
▸ Gestion du compte de service pour « Entra Connect » et risques associés (MSOL_*)
▸ Mise en œuvre du principe du moindre privilège et audit des journaux
CONTRÔLE D'ACCÈS ET MFA :
▸ Concepts d'Application et Service Principal (App Registrations vs. Enterprise Applications)
▸ Abus de consentement et permissions dangereuses (Directory.ReadWrite.All)
▸ Attaques ciblant le MFA : Password Spraying, Device Authorization Flow, vol de PRT
▸ Contournement de CAP : spoofing du User-Agent pour simuler un appareil exclu
▸ Bonnes pratiques de mises en œuvre du MFA et des CAP
PIM ET ZERO TRUST :
▸ Principes du PIM (Privileged Identity Management) pour les rôles/comptes critiques
▸ Attaque de consentement utilisateur pour l’obtention de permissions déléguées
▸ Mise en œuvre du PIM (MFA, approbation JIT (Just-In-Time), etc.)
▸ Identification d’événements suspects avec Microsoft Sentinel et Log Analytics (KQL)
▸ Configuration d'alertes dans Microsoft Sentinel pour surveiller les événements critiques
COMPROMISSIONS D'APPLICATIONS ET ÉLÉVATION DE PRIVILÈGES :
▸ Exploitation d’identités compromises pour la recherche de chemins d’attaques (AzureHound,Stormspotter) ▸ Compromission de secrets : fuites (client secret/certificat), cache Azure CLI, etc.)
▸ Exploitation des services Key Vaults, App Services, Storage Accounts
Méthodes
- Les connaissances sont validées en évaluation continue via des exercices et supports variés
(TP, mises en situation, QCM, études de cas), analysés collectivement pour consolider les acquis.
VALIDATION
- En fin de formation, une attestation non certifiante est délivrée sur validation de la mise
en pratique.
Livrables
- Attestation non certifiante, supports de formation et, selon les formations, licence d'essai de 7 jours aux environnements Root-Me PRO.
