Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Voir tous les articles

Retrouvez les articles à la une

Sécurité : Local Admin Password Solution (LAPS) – Partie 1

par | 10 Avr 2018 | , , ,

Vous êtes vous déjà posé la question « Mon parc informatique est il vulnérable? ».

En terme de sécurité dans une grande majorité des cas la réponse est « Oui », mais alors pourquoi?

Grand nombre de personnes justifierons que le parc est à jour (Update, antivirus, firewall…), à cela je ne vous poserais que deux questions :

  1. Le compte Admin Local est il désactivé sur toutes vos machines comme préconisé par Microsoft ? Si la réponse est non on peut déjà douter.
  2. Le mot de passe du compte Admin Local des postes et/ou des serveurs est il différent sur chaque machine ? Si la réponse est non on à une faille de sécurité.

Envisageons simplement que  le mot de passe sur une de vos machines vient à être compromis, d’un coup, c’est l’ensemble de votre parc qui l’est et cela sans avoir besoin d’utiliser le compte Admin du domaine.

Une fois la première machine compromise il n’y a plus qu’a rebondir sur les autres pour pouvoir compromettre l’intégralité du parc.

Et si je vous disais qu’on pouvait gérer ce problème avec un outil développé par « Microsoft Consulting Services » et fournit gratuitement par Microsoft, laissez moi vous présenter LAPS.

Introduction à LAPS :

LAPS, qu’est ce que c’est?

LAPS pour « Local Admin Password Solution » est un outils permettant la gestion et le stockage du mot de passe Administrateur Local des machines du domaine : Postes clients et Serveurs membres.

Cette solution permet:

  • De mettre à jour le mot de passe dans le contexte système et de l’envoyer au contrôleur de domaine à l’aide d’un composant client. Création aléatoire du mot de passe et transmission au contrôleur de domaine de manière crypté à l’aide de kerberos version 5 et Advanced Encryption Standard (AES).
  • De stocker le mot de passe et sa durée de validité comme attribut de l’objet machine de l’Active Directory. ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime.
  • Gérer le déploiement des paramètres de manière centraliser via les Stratégie de Groupes. Nom du compte, fréquence de changement, longueur et complexité.
  • La récupération des mots de passe pour les utilisateurs habilités via une interface graphique ou Powershell. Par défaut seuls les « Admins du domaine » sont autorisés à accéder à ces informations mais il est possible de déléguer les droits sur un groupe.

Illustration à l’aide d’un schéma d’architecture de la solution :

Jusque là c’est sympa mais comment ça fonctionne?

Le coeur  de la solution LAPS est une extension d’un composant du client Stratégie de Groupe (CSE – Client Side Extension) qui pendant la mise à jour des Objets de Stratégies de Groupe, effectue et peut forcer les actions suivantes  :

  1. Vérifier si le mot de passe Administrateur Local est expiré (Contrôle de la date de validité et de la configuration de la GPO).
  2. Générer un nouveau mot de passe si l’ancien a expiré ou nécessite d’être changé avant expiration.
  3. Valider que le nouveau mot de passe répond aux politiques de sécurité.
  4. Envoyer le nouveau mot de passe à Active Directory et le stocker avec un attribut confidentiel dans l’objet ordinateur dans l’Active Directory.
  5. Envoyer la prochaine date d’expiration du mot de passe à Active Directory et le stocker en tant qu’attribut dans l’objet ordinateur dans l’Active Directory.
  6. Modifie le mot de passe du compte Administrateur local.

Il est possible de déléguer les droits suivants:

  • Read Permission : Permet de lire le mot de passe depuis l’Active Directory, le client lourd LAPS ou avec Powershell par les utilisateurs autorisés. L’autorisation se fait par délégation de droits à des Groupes de sécurités (par défaut les « Admins du domaine »).
  • Reset Permission : Permet de soumettre une demande de changement de mot de passe depuis le client lourd LAPS ou avec Powershell.

Prérequis et OS supportés :

Prérequis :

Infrastructure :

  • Active Directory : Windows Server 2003 SP1 ou ultérieur (L’attribut confidentiel n’est supporté qu’à partir du 2003 SP1 dans Active Directory)
  • Ajout des attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime (Action réalisé lors de l’installation).
  • Restriction aux utilisateurs qui ne doivent pas accéder à l’attribut (retrait du All Extended Rights pour les groupes sensibles).
  • Installation & paramétrage d’un ADMX.

  •  Être Admin du Schéma le temps de l’installation (une Extension de Schéma est requise lors de l’installation)

Outils d’administrations :

  • .NET Framework 4.0.
  • Windows PowerShell 2.0 or ultérieur.

OS Supportés :

Clients : Windows 10 , Windows 8.1, Windows 8, Windows 7, Windows Vista avec le dernier Service Pack

Serveurs : Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows Server 2008,  Windows Server 2003 avec le Service Pack 2 (mais plus supporté)

Note : Les machines Itanium ne sont pas supportées.

 

Exchange 2013 – Update Rollup et redémarrage en boucle

par | 6 Avr 2018 |

Problématique

Lors de l’installation d’un CU sur un serveur Exchange 2013, l’assistant d’installation vous demande de redémarrer en boucle sans jamais valider le redémarrage.

2018-03-29_160513

Solution

Si après un redémarrage le message d’erreur apparaît toujours, vous pouvez aller modifier la clé de registre suivante :

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations

Supprimer la valeur de cette clé et relancer l’assistant d’installation.

2018-03-29_192556

Gestion de WSUS en Powershell – Partie 5

par | 6 Avr 2018 | ,

Comment Supprimer des KB dans son serveurs WSUS ?

Ce qui me déplait le plus dans un Serveur WSUS c’est de voir les KB dont je n’ai pas besoin (par Exemple les mises à jour pour Serveurs Itanium).

Toutes les mises à jours non désirées, remplacées ou expirées peuvent être déclinées, mais elles restent présentes en terme d’affichage.

Voyons comment les supprimer définitivement de la « WID », sans qu’elles ne reviennent après une synchronisation avec Windows Update.

Pour ce faire il faut donc:

  1. Définir les KB que l’on souhaite supprimer (on va créer une variable).
  2. Les supprimer à l’aide de Powershell.

1. Créer sa variable

Dans mon exemple je vais supprimer les KB déclinées et les Itanium.

$KB = $Wsus.GetUpdates()
$KBToDelete = $KB | Where-Object {($_.IsDeclined -eq $True) -or ($_.LegacyName -like "*Itanium*")}

2. Supprimer les KB

Maintenant supprimons les mises à jours associées à la variable.

# Check
$KBToDelete.count

# Action
$KBToDelete | Foreach-object {
  $Id = $_."Id"
  $KnowledgebaseArticles = $_."KnowledgebaseArticles"
  Write-Output "$KnowledgebaseArticles" | Add-Content C:\Temp\KBDeleteFromWid.txt
   $Wsus.DeleteUpdate($Id.UpdateId.ToString())
   }

# New Check
$KB = $Wsus.GetUpdates()
$KBToDelete = $KB | Where-Object {($_.IsDeclined -eq $True) -or ($_.LegacyName -like "*Itanium*")}
$KBToDelete.count

Et voila, comme ça je garde une vue relativement « propre » dans mes WSUS.

Si jamais vous souhaitiez de nouveau obtenir un KB supprimée, il faudra faire un import manuel depuis le serveur WSUS.

Import Manuel de mises à jour

  1. Sur le serveur WSUS développez « Update Services ».
  2. Sur « Updates » faites un clic droit « Import Updates… ».
  3. Vous serez redirigé vers la pages du Catalogue Microsoft®Update.
  4. Sur le Catalog Update, il faudra rechercher le numéro de KB que vous souhaitez importer.
  5. Sélectionnez votre KB, faites « ajouter » (répétez l’opération de recherche et d’ajout au Panier autant de fois que de KB à importer), puis aller dans votre panier.
  6. Cochez « Importer directement dans Windows Server Update Services » et faites « importer ».

Derniers articles

Catégories

Archives

Auteurs/Autrices