Microsoft reportó la semana pasada € sesenta mil millones en ganancias y € ciento sesenta y cinco mil millones en ingresos para su año más reciente, y los ingresos de la nube se dispararon. Mas esta buena nueva llega un año en el que no pasa un día sin que se informe de otro inconveniente de seguridad, otro ataque de ransomware. Sí, Windows once requerirá hardware que debería administrar una mejor seguridad, mas tiene un coste. La mayor parte de los usuarios tienen sistemas que no son compatibles con Windows once, con lo que nos vamos a quedar atrapados con Windows diez.
Il semble y avoir un énorme décalage entre la réalité (et le succès financier) de l'écosystème Windows et la réalité de ses utilisateurs. Nous avons besoin de plus de sécurité maintenant, pas plus tard. Pour de nombreuses personnes, les logiciels malveillants infiltrent souvent les systèmes via des allégations et des leurres de phishing. Microsoft pourrait mieux servir les utilisateurs en recommandant des correctifs de sécurité que nous avons maintenant sur nos systèmes qui ne sont pas activés. Certaines de ces configurations ne nécessitent pas de licence auxiliaire, tandis que d'autres sont protégées par le Saint Graal des licences Windows : la licence Microsoft 5 E5. Bien qu'un utilisateur puisse acheter une seule licence E3 pour obtenir les améliorations de sécurité incluses, il est à craindre que Microsoft commence à faire de la sécurité un plug-in du système d'exploitation plutôt qu'un intégré. Je me souviens quand Microsoft parlait de "Secure by Design", "Secure by Default" et "Secure in Implementation and Communication" (également connu sous le nom de SD5+C). Désormais, il se vante plutôt de solutions de sécurité avec sa licence EXNUMX au lieu de celles qui sont présentes dans Windows qui pourraient mieux nous protéger. Ces outils incluent les règles natives de réduction de la surface d'attaque de Microsoft Protect, ou plutôt des paramètres concrets enfouis dans Protect qui peuvent être modifiés sans trop d'impact. Une alternative consiste à utiliser des outils GitHub tiers, tels que "Configure Protect" pour télécharger un fichier zip, l'extraire et exécuter ConfigureDefender.exe. Une fois démarré, faites défiler jusqu'à la section Exploit Guard. Dans un récent article de blog, Palantir précise les paramètres qu'il juge utiles pour la protection sans ralentir votre système :
- Bloquez les processus non approuvés et non signés exécutés à partir de l'USB.
- Empêchez Adobe Reader de créer des processus enfants.
- Bloque le contenu exécutable du client de service de messagerie et de la messagerie Web.
- Empêchez JavaScript ou VBScript de démarrer le contenu exécutable téléchargé.
- Bloquez la persistance en vous abonnant aux événements WMI.
- Bloquez le vol d'informations d'identification du sous-système de l'autorité de sécurité locale Windows (lsass.exe).
- Empêchez les applications Office de créer du contenu exécutable.
Je vous conseille de télécharger ConfigureDefender et d'activer ces paramètres. Vous constaterez sûrement (comme moi) que l'activation de ces paramètres n'affecte pas les opérations informatiques de routine ni ne déclenche de problèmes. Alors pourquoi Microsoft ne crée-t-il pas une meilleure interface pour ces règles ASR dans Windows XNUMX ? Pourquoi sont-ils toujours enterrés dans des panneaux de contrôle confus pour les administrateurs informatiques avec des domaines et des politiques définies ?
Pour les utilisateurs en entreprise, il est dérangeant de lire en permanence que des attaquants ont pénétré dans nos réseaux. Plus récemment, nous avons constaté que « 4 % des comptes de messagerie Microsoft utilisés par les employés des XNUMX cabinets d'avocats américains à New York ont été piratés », selon AP. « Au total, le ministère de la Justice a affirmé que vingt-sept cabinets d'avocats américains avaient compromis le compte de messagerie d'au moins un employé pendant la campagne de piratage.
Lorsque des attaquants accèdent à une boîte aux lettres Office XNUMX, il est essentiel de savoir s'ils ont réellement accédé aux éléments et ce qu'ils ont obtenu. Mais ces informations sont verrouillées derrière une licence E5. Donc, si vous avez besoin de savoir précisément ce que lisent les attaquants, à moins que vous n'achetiez avec prévoyance un audit avancé qui inclut MailItemsAccessed, vous n'avez pas de chance. Pire encore, comme Joe Stocker (un spécialiste Microsoft MVP et InfoSec) l'a récemment souligné sur Twitter, à un moment donné, les utilisateurs pourraient activer une version d'essai d'E5 et accéder à 6 mois de journaux de sécurité des applications Microsoft. Désormais, lorsque vous activez un test MCAS, à moins que vous n'activiez manuellement la journalisation d'audit pour Office XNUMX, aucun fichier journal ne peut revenir rétroactivement à une heure d'attaque potentielle.
Prenons le cas d'Azure Active Directory. Avec la version gratuite, vous n'obtenez que 7 jours de journaux d'audit et également une connexion Azure Active Directory. Auparavant, vous pouviez activer (acheter) une licence Azure AAD P1, une licence P2 ou une licence EMS E5 et vous pouviez également revenir immédiatement trente jours. Ainsi, si vous étiez attaqué, vous pourriez le réactiver rétroactivement et obtenir les bonnes informations. Mais lorsque vous activez ces licences maintenant, aucun fichier journal rétroactif n'est accessible. Vous n'avez pas de chance.
Dans Office 7 par défaut, le seul enregistrement d'enquête gratuit pendant plus de XNUMX jours est le fichier Security & Compliance Center. (La période normale de conservation des journaux par défaut pour le centre de sécurité et de conformité est de quatre-vingt-dix jours, et si vous disposez d'une licence E5 ou d'un module complémentaire de conformité, elle peut aller jusqu'à un an. Et si vous achetez le nouveau SKU Government Records Targeted Retention, vous pourriez obtenir jusqu'à dix ans de conservation). Il y a de bonnes nouvelles : si vous êtes un leader PowerShell, il y a plus d'informations disponibles avec un petit script.
Ce que je veux dire, c'est que ces 2 éléments de journal montrent que Microsoft traite désormais la journalisation de conformité non pas comme une fonctionnalité par défaut incluse dans le produit, mais plutôt comme une fonctionnalité de sécurité qui doit être achetée. À ma connaissance, pour les produits cloud, la sécurité ne devrait pas nécessiter de plugin de licence.
Chaque utilisateur, en particulier les entreprises, nécessite une sécurité par défaut. Que penses-tu? Microsoft en fait-il assez pour assurer la sécurité de ses clients ?
<p>Copyright © dos mil veintiuno IDG Communications, Inc.</p>