Posts tagged: vbs

Mar 10 2013

Protection des processus: Utilisation de EMET, activation de ASLR DEP…

Afin de contrôler les processus lancés sur vos clients vous pouvez utiliser des Software Restriction Policies ou des outils comme Applocker ou Bit9. Vous pouvez améliorer la sécurité des processus autorisés sur votre système en activant certaines mesures de protection: DEP, ASLR, SEHOP… L’outil EMET vous permet de définir ces mesures de protection, qui peuvent même éventuellement vous protéger en cas d’attaque via un exploit 0-day.
Read more »

Jun 11 2011

Clickodrome: Histoires de MMC…

Nous allons dans ce post référencer différents cas intéressants que nous avons pu rencontrer lors de l’utilisation de notre principal outil de travail: Les consoles de management MS (MMC) , et oui on ne travaille pas tout le temps avec Powershell…

Nous allons parler DNS (dnsmgmt.msc), GPOs (rsop.msc et gpmc.msc) et finalement utilisateurs et ordinateurs AD (dsa.msc) et voir quels problèmes nous avons pu rencontrer lors de l’utilisation de ces consoles, que ce soit sous AD 2000/2003 et AD 2008.
Read more »

Apr 29 2010

Sécurité et poste autologon

Nous allons voir dans ce post comment sécuriser vos postes en autologon, appelés aussi postes en mode kiosque. Ces postes sont accessibles par toutes les personnes de votre entreprise car aucun compte et mot de passe ne sont demandés pour y accéder, d’où le besoin de les sécuriser au mieux.

Le poste en mode kiosque utilise un compte de service pour ouvrir une session, la manière la plus connue pour configurer un tel poste est de passer via l’édition de clefs de registre. Cette méthode n’est pas ce qui se fait de mieux en matière de sécurité car le mot de passe du compte apparaît en clair dans le registre, le compte peut donc facilement être utilisé à d’autres fins.
Read more »

Apr 11 2010

Sécurité et comptes génériques

Le titre de ce post peut paraître contradictoire, en effet l’utilisation des comptes génériques dans votre domaine doit être limitée au strict minimum. L’accès aux ressources devant être nominatif l’utilisation de ce genre de comptes est à éviter. Cependant pour des raisons politiques et/ou historiques un service de votre entreprise peut être amené à utiliser ce type de compte pour l’accès à une application ou à certaines machines. Ce compte étant utilisé par plusieurs personnes, le mot de passe de ce compte devient très rapidement connu au sein des différents services et peut vite servir à autre chose que son but initial. Si l’on impose une stratégie de changement de mot de passe classique sur ce compte, alors le jour de l’expiration du mot de passe, une personne effectuera la modification et ne pensera pas forcément à prévenir toutes les personnes en droit de se servir de ce compte. La plupart du temps ce genre de compte est donc configuré avec le flag “mot de passe n’expire jamais”, ce qui est une faille de sécurité évidente. Nous allons donc montrer dans cet article comment mettre en place un système automatique de changement de mot de passe pour ces comptes génériques et comment avertir les utilisateurs de ce changement de mot de passe.
Read more »

Apr 01 2010

Surveiller l’application des liens de GPOs: GPLink

Nous pouvons en analysant le journal de sécurité de chaque DC surveiller les changements de liens d’objets de stratégie de groupe. L’attribut à auditer est GPLink, de cette manière nous pourrons savoir comment les GPOs sont appliquées sur notre domaine.

Pour pouvoir enregistrer les modifications dans le journal de sécurité de chaque DC vous devez opter pour des solutions payantes type Snare et/ou Kiwi, ou bien mettre en place un système maison pour effectuer de la surveillance de journaux d’événements sur plusieurs DCs en utilisant la redirection de ceux ci sous 2008, vous pouvez aussi voir si on peut surveiller ce journal de sécurité par un script, mais cela risque de trop solliciter votre DC.
Read more »

Mar 26 2010

Surveiller les changements des GPOs : Monitorer le SYSVOL

Nous allons dans ce post expliquer comment monitorer les changements sur les GPOs de votre domaine en contrôllant le GPT. Seuls les effacements, modifications de la configuration ordinateur/utilisateur, créations de GPOs sont surveillés. A propos du monitoring d’objets de stratégie de groupe via le journal d’événements vous pouvez lire cet article. Les méthodes utilisées dans le lien précédent indiquent, entre autres, comment activer un audit sur le partage \\domainname\sysvol\domainfqdn\Policies et remonter via le journal de sécurité de chaque DC les changements intervenus sur la partie GPT d’une GPO. Nous allons décrire une autre méthode pour enregistrer les modifications de vos GPOs dans votre domaine.
Read more »

Mar 18 2010

Réduire la taille de votre ntds.dit

Nous allons voir dans ce post comment effectuer un nettoyage de printemps sur votre base de données AD: Le fichier ntds.dit.
Dans un premier temps il vous faudra repérer les objets inutiles dans votre domaine, suite à ce premier audit, si peu d’objets sont détectés comme inutiles, n’espérez pas gagner beaucoup d’espace. Pour information un objet utilisateur prend une taille minimale de 4ko dans votre base, après tout dépend du nombre d’attributs édités. Voir cet article pour plus d’informations.
Read more »

Mar 14 2010

PRA AD: Metadata cleanup

Lors d’une restauration de domaine ou de forêt suite à un desastre, une fois le system state du premier DC restauré avec votre sauvegarde, vous devez effacer les metadatas des DCs que vous allez restaurer avec dcpromo. Pour plus d’informations concernant les PRA AD je vous conseille la lecture de ce document.

Sur un DC Windows 2008 quand vous effacez l’objet ordinateur du DC sous votre console dsa.msc l’effacement de l’objet serveur (cn=ServerName,cn=Servers,cn=SiteName, cn=Sites,cn=Configuration,dc=ForestRootDomain) et le metadata cleanup sont effectués automatiquement, sous Windows 2003 vous devez utiliser la commande ntdsutil.exe et effacer l’objet serveur manuellement. Le but de ce post est d’automatiser cette procédure.

Read more »

Mar 12 2010

Outil de diagnostic pour hotline SN1-Info v1.0

Voici une application pour votre support niveau 1 qui peut aider au diagnostic d’incidents, elle est développé au format HTA. Afin de réaliser cet outil WMI code creator a été d’une grande utilitée.

Cliquer sur l’icône ci dessous pour télécharger l’outil, si vous avez des demandes d’évolution ou des bugs constatés n’hesitez pas à me les faire parvenir, il s’agit d’une v1.0.

Read more »

Mar 07 2010

Conficker et process Lsass

Si la consommation CPU du process lsass.exe est anormale sur les DCs de l’un de vos sites cela peut être lié à la présence du virus Conficker sur les postes de travail de ce site. Le lien mentionné vous indique comment limiter sa propagation et désinfecter les postes infectés. Mais comment identifier facilement les postes déjà infectés?

Ce problème a déjà été traité dans un post de l’équipe AskDS, nous allons le compléter avec des scripts et commentaires qui vous aideront à mieux venir à bout de ce virus.
Read more »

WordPress Themes

Blossom Icon Set

Software Top Blogs