Suite à la mise en place d’une autorité de certification Windows 2008, nous avons à notre disposition un nouveau modèle de certificats pour les contrôleurs de domaine nommé Kerberos Authentication. Ce modèle remplace le précédent: Domain Controller Authentication. Pour avoir plus d’informations concernant les différents templates de certificats je vous conseille de consulter ce lien.

Le template Kerberos Authentication peut être installé pour remplacer le modèle Domain Controller Authentication à partir d’un DC sous Windows 2003 SP2. Ci dessous un tableau comparatif entre l’ancien et le nouveau modèle:

Read more »

Comme vous le savez déjà surement les OS Windows 2000 et XP SP2 ne sont plus supportés par Microsoft depuis le 13/07/2010. En conséquence les patchs de sécurité MS sortis depuis cette date ne sont plus applicables sur ces versions d’OS. Une faille de sécurité critique MS10-046 a été corrigé via le patch de sécurité KB2286198, son pré-requis pour les versions workstation est donc Windows XP SP3 et Windows 2003 SP2 pour les versions server. Cette KB nous explique tout de même comment se protéger en utilisant une solution de contournement, celle-ci consiste en l’édition de deux clefs de registre et la désactivation d’un service.

Cette solution de contournement est donc applicable sur vos postes qui ne sont pas encore à jour et qui ne peuvent recevoir le patch de sécurité fournit par MS. Son gros désavantage est la disparition des images d’icônes sur certains fichiers *.lnk. Il est donc très vivement conseillé de mettre à jour vos systèmes d’exploitation avec le bon Service Pack pour ne pas avoir à en arriver la. Si ce n’est pas réalisable dans des délais raisonnables nous allons voir comment déployer cette solution de contournement via GPO. Ce sujet a déjà été traité dans cet article du Group Policy Center, il nous indique comment activer ou désactiver la solution de contournement sous Windows 2008 via les préférences de stratégies de groupe. Nous allons dans ce post le compléter en indiquant comment se servir du filtrage WMI pour cibler le comportement de la GPO, à savoir activer la solution de contournement pour les postes qui n’ont pas le patch de sécurité d’installé et le désactiver sur les ordinateurs ayant la KB2286198 d’installée. Puis comment réaliser la même chose sans les GPO de préférences, avec un AD sous Windows 2003.

Read more »

Nous allons voir dans cet article comment restaurer un objet en Powershell avec son appartenance de groupes. Pour cela vous aurez besoin d’avoir sur votre domaine d’un site de lag. Cette méthode ne vous sert à rien si le niveau fonctionnel de votre domaine est 2008R2 et que vous avez activé la corbeille AD, d’ailleurs les Cmdlets Microsoft vous permettent de restaurer un objet très facilement une fois que vous avez activé cette fonction.

La méthode décrite fonctionne à partir de Windows 2003 server en réanimant les objets à partir du Tombstone, votre console d’administration doit être au minimum sous Windows XP, donc pas besoin de RSAT (Windows 7 et 2008 server), ceci en utilisant les Cmdlets Quest. Vous avez peut être remarqué dans la rubrique “latest AD news“ du blog que la version 1.4 de ces Cmdlets était sortie il y a quelques jours. L’inconvénient de la méthode est qu’elle n’est surement pas supportée, pour les “best practices” c’est ici, et elle nécessite une modification du schéma. Elle est adaptée dans le cas d’une suppression de quelques comptes, l’avantage est la rapidité de restauration des objets: Pas de longue procédure d’authoritative restore à lancer, lancer le script suffit.
Read more »

Une petite nouveauté sur le blog: L’évolution de la sidebar, une catégorie “Latest AD news” a été ajoutée. Sur cette dernière vous trouverez les dernières nouvelles concernant AD annoncées sur les flux auxquels je suis inscrit. A noter la sortie il y a quelques jours de GPS, une page Web pour retrouver à partir de quelques mots clefs le bon paramètre de GPO à appliquer dans l’éditeur de stratégie de groupe, du temps de gagné pour les admins. Plus de precisions sur le blog de AskDS.

Dans cet article nous allons décrire un problème rencontré sur notre infrastructure de production et détailler sa résolution. L’incident est le suivant: A partir de nos postes d’administration la GPMC freezait dès que l’on clickait sur une OU afin d’afficher les GPOs liées à celle ci, le problème ne se produisait que en étant connecté à un DC en particulier: Dans notre cas il s’agissait du PDC Emulator, si nous indiquions à la console de pointer sur un DC différent, la GPMC fonctionnait normalement.

L’application et la réplication des GPOs dans notre domaine fonctionnait normalement, par contre l’édition des stratégies de groupe sur le DC impacté devenait impossible, en même temps que la GPMC freezait une surcharge CPU du process lsass.exe survenait sur le contrôleur de domaine et ceci tant que la GPMC n’était pas killée sur la console. Nous avons donc continué à éditer nos GPOs à partir d’autres DCs et le fonctionnement de la production était quasi-normal le temps de la résolution de l’incident.

Read more »

La stratégie de groupes restreints permet de définir le contenu des groupes locaux de vos postes de travail et serveurs qui sont dans votre domaine. Vous pouvez donc définir par GPO quels groupes de votre domaine seront administrateur locaux, utilisateurs avec pouvoir, utilisateurs du bureau à distance… de vos machines Windows.
Pour plus de détails sur ce type de GPO vous pouvez lire l’article de Jonathan sur Portail MCSE. Comme il l’explique nous pouvons mettre en place ces groupes restreints par remplacement ou bien par ajout. Ceci grâce au paramétrage via “membres” ou “membre de”, cette fonctionnalité est supportée par MS à partir de Windows 2000 SP4.
Nous allons dans cet article nous intéresser à la mise en place d’une GPO de groupes restreints par remplacement qui modifie le groupe administrateur local et utilisateurs avec pouvoir de nos postes de travail.
Read more »

Nous allons voir dans ce post comment sécuriser vos postes en autologon, appelés aussi postes en mode kiosque. Ces postes sont accessibles par toutes les personnes de votre entreprise car aucun compte et mot de passe ne sont demandés pour y accéder, d’où le besoin de les sécuriser au mieux.

Le poste en mode kiosque utilise un compte de service pour ouvrir une session, la manière la plus connue pour configurer un tel poste est de passer via l’édition de clefs de registre. Cette méthode n’est pas ce qui se fait de mieux en matière de sécurité car le mot de passe du compte apparaît en clair dans le registre, le compte peut donc facilement être utilisé à d’autres fins.
Read more »

Le titre de ce post peut paraître contradictoire, en effet l’utilisation des comptes génériques dans votre domaine doit être limitée au strict minimum. L’accès aux ressources devant être nominatif l’utilisation de ce genre de comptes est à éviter. Cependant pour des raisons politiques et/ou historiques un service de votre entreprise peut être amené à utiliser ce type de compte pour l’accès à une application ou à certaines machines. Ce compte étant utilisé par plusieurs personnes, le mot de passe de ce compte devient très rapidement connu au sein des différents services et peut vite servir à autre chose que son but initial. Si l’on impose une stratégie de changement de mot de passe classique sur ce compte, alors le jour de l’expiration du mot de passe, une personne effectuera la modification et ne pensera pas forcément à prévenir toutes les personnes en droit de se servir de ce compte. La plupart du temps ce genre de compte est donc configuré avec le flag “mot de passe n’expire jamais”, ce qui est une faille de sécurité évidente. Nous allons donc montrer dans cet article comment mettre en place un système automatique de changement de mot de passe pour ces comptes génériques et comment avertir les utilisateurs de ce changement de mot de passe.
Read more »

Nous pouvons en analysant le journal de sécurité de chaque DC surveiller les changements de liens d’objets de stratégie de groupe. L’attribut à auditer est GPLink, de cette manière nous pourrons savoir comment les GPOs sont appliquées sur notre domaine.

Pour pouvoir enregistrer les modifications dans le journal de sécurité de chaque DC vous devez opter pour des solutions payantes type Snare et/ou Kiwi, ou bien mettre en place un système maison pour effectuer de la surveillance de journaux d’événements sur plusieurs DCs en utilisant la redirection de ceux ci sous 2008, vous pouvez aussi voir si on peut surveiller ce journal de sécurité par un script, mais cela risque de trop solliciter votre DC.
Read more »

Nous allons dans ce post expliquer comment monitorer les changements sur les GPOs de votre domaine en contrôllant le GPT. Seuls les effacements, modifications de la configuration ordinateur/utilisateur, créations de GPOs sont surveillés. A propos du monitoring d’objets de stratégie de groupe via le journal d’événements vous pouvez lire cet article. Les méthodes utilisées dans le lien précédent indiquent, entre autres, comment activer un audit sur le partage \\domainname\sysvol\domainfqdn\Policies et remonter via le journal de sécurité de chaque DC les changements intervenus sur la partie GPT d’une GPO. Nous allons décrire une autre méthode pour enregistrer les modifications de vos GPOs dans votre domaine.
Read more »