Titre. L'outil a l'air assez puissant.

L'histoire fait froid dans le dos.

L'excellente IIS Crypto, qui est "a free tool that gives administrators the ability to enable or disable protocols, ciphers, hashes and key exchange algorithms" (flemme de traduire, tu te débrouilles) se met à jour.

voir https://liens.strak.ch/shaare/sm6k-Q

Coudé, ça m'évitera de me faire un tuto, car je le fais environ une fois par année.

LAPS va se mettre à jour pour s'intégrer avec Azure AD.
De manière générale c'est une solution qui marche out of the box et qui est un quick win pour sécuriser un parc de machines.

On commence à le savoir, l'idée selon laquelle la Gen z serait "forte en informatique" en se basant sur le fait qu'elle "maitrise" quelques apps sur smartphone est - évidemment - fausse.
Ce serait même plutôt le contraire malheureusement...

Le nouveau flux RSS dédié à la sécurité de Microsoft.

via https://msrc-blog.microsoft.com/2022/10/12/14921/

Eh beh ça fait flipper... ne cliquez pas n'importe où !!

Donc la solution de mitigation proposée par Microsoft peut finalement être facilement contournée, super...

Edit, la suite: https://www.bleepingcomputer.com/news/security/microsoft-updates-mitigation-for-proxynotshell-exchange-zero-days/

Edit 2, le tuto: https://www.alitajran.com/0-day-vulnerability-microsoft-exchange/#h-mitigate-cve-2022-41082

Quitte à connaitre votre mot de passe, autant que Windows vous prévienne que c'est une mauvaise pratique de réutiliser le même mot de passe à plusieurs endroits, rires dans la salle.
Rire jaune pour qui pratique l'informatique en entreprise, car vous n'imaginez pas combien de personnes écrivent leurs mot de passe en clair dans un fichier .txt ou .xlsx sur leur bureau.

Edit: ça n'a pas l'air de marcher pour le moment.

T'as beau être une banque, un organisme censé être au top de la sécurité, tu vas quand même harcoder des credentials dans ton appli.

On se souvient qu'en 2015 LastPass s'était déjà fait hacker: https://liens.strak.ch/shaare/XeMiew
Apparemment, ils n'ont pas appris de leurs erreurs. Installez KeePass !

Concernant la vulnérabilité "Broken owner" de Active Directory.

À vos marques, prêts, patchez !

Titre.

Un équivalent de PingCastle: https://liens.strak.ch/shaare/ERKhIw

via https://www.it-connect.fr/comment-auditer-lactive-directory-avec-purple-knight/

Je suis pas sûr que l'extrême majorité fasse gaffe aux permissions octroyées aux applis, mais cette décision ne va en tout cas pas dans le bon sens.

Pour éviter les sessions qui restent ouvertes sur des PC en libre service (par exemple), Microsoft va déployer la déconnexion automatique après une période donnée, bon à savoir.

Un site web qui liste les certificats émis pour un domaine donné.

via https://blog.wescale.fr/quand-vos-certificats-tls-vous-trahissent/

Bonne nouvelle pour la vie privée des derniers utilisateurs de Firefox, moi y compris.

Même si Exchange est une passoire, Microsoft continuera de le proposer on-prem et prévoit de passer plus de temps à le blinder: on ne peut pas les blâmer pour cela.