mardi 9 janvier 2018

Comment créer le groupe "Cloneable Domain Controllers"

Le groupe Cloneable Domain Controllers est indispensable dans le processus de clonage, il permet de donner les permissions de clonage au niveau des contrôleurs de domaine source .
Le PDC crée automatiquement le groupe Cloneable Domain Controllers quand il est transféré sur un DC sous Windows 2012 ou plus.
Si la langue du système d'exploitation du PDC est française, ce dernier le crée avec le nom suivant :contrôleurs de domaine clonables. Pour éviter l'échec du processus de clonage, il faut le renommer en anglais : Cloneable Domain Controllers.



Si le groupe "Cloneable Domain Controllers" est supprimé par accident, et qu'aucune solution de restauration n'est configurée pour le récupérer rapidement comme la corbeille active directory, dans ce cas, il faut un autre groupe avec le même nom et les mêmes permissions.
Dans cet article nous allons expliquer comment recréer ce groupe et restaurer ces permissions manuellement en cas de suppression ou modification accidentelle.

Restaurer les permissions "Cloneable Domain Controllers" via l'interface graphique:

Pour restaurer les permissions du groupe "Cloneable Domain Controllers" via l'interface graphique il faut suivre les étapes suivantes:
  • Créer un nouveau groupe de type Global avec le même nom "Cloneable Domain Controllers":

  • Ouvrir la console Centre d'administration Active Directory


  • Cliquer avec le bouton droit de la souris puis sur Propriétés:

  • Cliquer sur Extension puis sur Avancé dans l'onglet sécurité :

  • Cliquer sur Ajouter:

  • Cliquer sur Sélectionner un principal:

  • Taper le nom du groupe "Cloneable Domain Controllers":

  • Cocher "Allow a DC to create a clone of itself" et cliquer sur OK:

  • Cliquer sur Appliquer pour valider les changements éffectués:


Restaurer les permissions "Cloneable Domain Controllers" via Powershell:

Il est possible de faire le même travail via Powershell en se basant sur le script proposé par le lien suivant FixVDCPermissions.ps1

import-module activedirectory  
cd ad:  
$domainNC = get-addomain  
$dcgroup = get-adgroup "Cloneable Domain Controllers"  
$sid1 = (get-adgroup $dcgroup).sid  
$acl = get-acl $domainNC  
$objectguid = new-object Guid 3e0f7e18-2c7a-4c10-ba82-4d926db99a3e  
$ace1 = new-object System.DirectoryServices.ActiveDirectoryAccessRule $sid1,"ExtendedRight","Allow",$objectguid  
$acl.AddAccessRule($ace1)  
set-acl -aclobject $acl $domainNC  
cd c: 

mardi 26 décembre 2017

Gérer le mot de passe du compte d'administrateur local via LAPS

LAPS est un outil gratuit de Microsoft qui permet d'assurer la sécurité du mot de passe du compte administrateur local, afin de réduire la surface d'attaque à travers les actions suivantes:

  • Générer un mot de passe aléatoire
  • Générer un mot de passe complexe 
  • Renouveler le mot de passe automatiquement
  • Définir un mot de passe unique sur chaque serveur et station de travail 
  • Enregistrer les mots de passe dans l'annuaire qui est un endroit sécurisé et accessible uniquement par les utilisateurs autorisés.
Il est possible de le télécharger depuis ce lien  Local Administrator Password Solution (LAPS).

La mise en place du LAPS nécessite une mise à jour du schéma, afin d'ajouter deux attributs confidentiels sur le compte active directory de la machine: un pour le mot de passe et l'autre pour sa date d'expiration.

Cet article explique les différentes étapes d'installation et de configuration du LAPS.
Dans notre environnement de test ,nous avons créé un domaine qui s'appelle lab.lan et une OU nommé LAPS qui sera le conteneur pour tous les comptes ordinateurs gérés par l'outils LAPS.

Ajouter le modèle d'administration GPO de LAPS dans le magasin central:


Les paramètres LAPS au niveau client sont gérés via GPO, pour cela il est indispensable d'ajouter le modèle d'administration LAPS dans le magasin central.
Ci-dessous, nous allons expliquer étape par étape la méthode d'ajout des modèles d'administration GPO du LAPS dans le magasin central:

  • Cochez la case et cliquez sur suivant:
  • Choisir le module GPO Editor templates:
  • Cliquer sur Install:
  • Cliquez sur Finish:


Maintenant, les fichiers admx et adml du modèle LAPS sont ajoutés automatiquement sous le répertoire C:\Windows\PolicyDefenitions\:



Donc, il suffit de les copier dans le magasin central, pour avoir plus de détails je vous invite à consulter le lien suivant: Créer un magasin central pour gérer les modèles d'administration.
Une fois que cela est terminé, les paramètres GPO du LAPS sont bien présents:


Mise à jour du schéma active directory:


La mise à jour du schéma est indispensable afin d'ajouter deux attributs confidentiels nommés: ADmPwdExpirationTime et AdmPwd.
Pour lancer cette mise à jour, il faut utiliser un serveur avec Powershell version 4.0 et le module Powershell du LAPS déjà installé:


Ci-dessous, nous allons expliquer les différentes étapes de la mise à jour du schéma:
  • Avant de lancer  la mise à jour du schéma, vérifier la version du Powershell via la commande ci-dessous:
Get-Host
  • Lancer la fenêtre PowerShell en tant qu'administrateur et exécuter les deux commandes ci-dessous avec un compte membre du groupe administrateurs du schéma:
import-module admPwd.PS
Update-AdmPwdADSchema


Configurer les permissions requises:


Avant de commencer, il est important de vérifier qu'aucun compte non autorisé possède déjà le droit sur les attributs confidentiels.
Donc, il faut vérifier dans les paramètres de sécurité de l'OU en question que l'option Tous les droits étendus (Extended rights) est bien décochée sur les utilisateurs non autorisés :


Maintenant, nous allons détailler comment donner le droit à une machine de réinitialiser son mot de passe et aussi comment déléguer à un utilisateur ou groupe de lire ou initialiser le mot de passe de l'administrateur local:
  • Lancer la commande ci-dessous, pour donner le droit à chaque machine de réinitialiser le mot de passe du compte administrateur local:
Set-AdmPwdComputerSelfPermission -OrgUnit OU_Name
  • Lancer la commande ci-dessous pour autoriser à un groupe de lire les mots de passe des machines sous l'OU nommé LAPS dans notre LAB:
Set-AdmPwdReadPasswordPermission -OrgUnit OU_Name -AllowedPrincipals Group_Name
  • Lancer la commande ci-dessous pour autoriser à un groupe de réinitialiser le mot de passe:
Set-AdmPwdResetPasswordPermission -OrgUnit OU_Name -AllowedPrincipals Group_Name

  • Lancer la commande ci-dessous pour vérifier qui a le droit sur les attributs confidentiels:


Find-AdmPwdExtendedRights -Identity OU_Name | fl

Déployer LAPS sur les machines clientes:


LAPS doit être aussi installé sur toutes machines clientes.
Il est possible de le déployer via GPO:


 Ensuite, il sera installé automatiquement après le redémarrage de la machine cliente:


Et voila LAPS est maintenant bien installé:


Configurer les paramètres LAPS via GPO:


La dernière étape consiste à configurer les paramètres LAPS via GPO.
Après l'ajout du modèle d'administration GPO de LAPS, il y a quatre paramètres LAPS qui sont ajoutés dans la GPO:


Passoword settings: 

Ce paramètre permet d'activer la complexité , définir la longueur et la durée de vie du mot de passe.

Name of administrator account to manage:

Pour gérer un autre compte via LAPS , il est possible de le spécifier dans cette option. Sinon c'est le compte administrateur avec SID-500 créé par défaut qui sera géré via LAPS.

Do not allow password expiration time than required by policy:

Ce paramètre permet de ne pas autoriser un mot de passe expire selon la valeur déjà définit via GPO.

Enable local admin password management:

Ce paramètre permet d'activer ou désactiver LAPS.


Comment récupérer le mot de passe local en cas de besoin:


Pour récupérer le mot de passe, il faut avoir un compte qui possède déjà la délégation de lecture du mot de passe.
Il existe deux méthodes pour afficher le mot de passe et la date de son expiration.
La première méthode via la console active directory en allant dans les propriétés du compte active directory de la machine en question :



La deuxième méthode consiste à utiliser l'outil graphique client proposé par LAPS, pour l'installer il faut choisir cette option:


Une fois que l'installation est terminée, vous pouvez lancer l'interface client LAPS pour consulter le mot de passe et même le réinitialiser si vous en avez le droit:



jeudi 26 octobre 2017

Désactiver le protocole SMBv1

Pourquoi désactiver le protocole SMBv1:

Après les attaques WannaCry qui ont pu exploiter les failles et les vulnérabilités du  protocole SMBv1 décrites dans cet article:  Microsoft Security Bulletin MS17-010 - Critical, ce protocole représente maintenant un véritable risque qui peut endommager les systèmes d'exploitation de la production et créer des grosses pertes à l'entreprise.
Pour cette raison ,il est recommandé de désactiver le protocole SMBv1 et laisser la version SMBv2 activée sur tous les serveurs et les machines clientes.
Avant la désactivation du SMBv1, il faut s'assurer que vous ne disposez pas de machines Windows 2003, Windows XP ou d'un autre serveur non Microsoft qui ne supporte que la version SMBv1.
Jusqu'à maintenant ce protocole est activé par défaut après l'installation du système d'exploitation, mais avec l'arrivé de Windows 10 Fall Creators Update et Windows Server version 1709, le SMBv1 sera désactivé par défaut et désinstallé automatiquement s'il n'a pas été utilisé pendant 15 jours.
Pour avoir plus de détails sur le SMBv1 avec les nouvelle versions du système d'exploitation ,veuillez consulter ce lien en anglais:
SMBv1 is not installed by default in Windows 10 Fall Creators Update and Windows Server, version 1709

Désactiver le composant client du SMBv1:


Les méthodes possibles pour désactiver le composant client du SMBv1 dépendent de la version du système d'exploitation:
  • Pour les versions Windows Vista,Windows 7, Windows 2008 et Windows 2008 R2 , on utilise les clés de registre ou la commande sc.exe pour activer ou désactiver le protocole SMBv1
  • Pour Windows 8, Windows 8.1, Windows 10, Windows 2012 et Windows 2012 R2, le protocole SMBv1 est géré via une fonctionnalité Windows nommé 1.0/CIFS File Sharing Support.

Pour Windows 7, Windows Vista, Windows 2008 ,Windows 2008 R2:


Il est possible de désactiver le composant client du protocole SMBv1 à travers les deux clés de registre ci-dessous:

Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
Nom:      Start 
Type:      REG_DWORD
Donnée: 4 pour désactiver et 2 pour activer

Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation
Nom:      DependOnService
Type:      REG_MULTI_SZ
Data:     Bowser MRxSmb20 NSI pour désactiver et "Bowser","MRxSmb20","MRxSmb10","NSI" pour activer


On peut utiliser une  GPP (Group Policy Preferences), pour modifier les clés mentionnées ci-dessous sur plusieurs machines membres du domaine.

Il est aussi possible d'utiliser l'invite de commande pour désactiver ou activer le client SMBv1:

Pour vérifier l'état du client SMBv1:
sc.exe query mrxsmb10
Pour désactiver le client SMBv1:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/nsi 
sc.exe config mrxsmb10 start= disabled
Pour activer le client SMBv1:
sc.exe config lanmanworkstation depend= bowser/mrxsmb20/mrxsmb10/nsi 
sc.exe config mrxsmb10 start= auto

Pour Windows 8, Windows 8.1, Windows 10, Windows 2012, Windows 2012 R2, Windows 2016:


Pour désactiver le protocole SMBv1 au niveau du client il faut désinstaller  la fonctionnalité SMB 1.0/CIFS File Sharing Support et pour l'activer à nouveau , il faut juste la réinstaller, cela est possible via l'interface graphique comme indiqué dans la figure ci-dessus:


Et aussi via Powershell:


Pour vérifier si le SMBv1 est installé, on peut exécuter la commande ci-dessous:
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Uniquement sur Windows 2012 R2 et Windows 2016, on peut également vérifier l'état de l'installation du SMBv1 via la commande ci-dessous:
Get-WindowsFeature FS-SMB1 | fl Displayname,description,Installed
Pour désactiver le client SMBv1:
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
Pour activer le client SMBv1:
Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol

Désactiver le composant serveur du SMBv1:


Les méthodes possibles pour désactiver le composant serveur du SMBv1 dépendent de la version du système d'exploitation:

  • Pour les versions Windows Vista,Windows 7 Windows 2008 et Windows 2008 R2 , on utilise une clé de registre pour désactiver le composant serveur du SMBv1
  • Pour Windows 8, Windows 8.1,Windows 10 , Windows 2012, Windows 2012 R2 et Windows 2016, le protocole SMBv1 on utilise des commandes Powershell

Pour Windows 7, Windows vista, Windows 2008 ,Windows 2008 R2:


Pour désactiver le SMBv1 du composant serveur, il faut ajouter la clé de registre suivante:
Chemin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Nom:    SMB1
Type: REG_DWORD
Donnée: 0 pour désactiver ou 1 pour activer

Pour Windows 8,Windows 8.1, Windows 10, Windows 2012, Windows 2012 R2, Windows 2016:


Pour vérifier l'activation du composant serveur du protocole SMBv1 :

Get-SmbServerConfiguration | Select EnableSMB1Protocol
Pour désactiver le composant serveur du protocole SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false
Pour désactiver le composant serveur du protocole SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $true



mercredi 4 octobre 2017

Créer un magasin central pour gérer les modèles d'administration

Comment créer un magasin central :

Le magasin central ou le central store (en anglais), permet de créer un emplacement unique des fichiers admx ,sous le répertoire Sysvol qui sera répliqué par la suite avec tous les contrôleurs de domaine du domaine en question.

Avant la création du central store , les modèles d'administration sont récupérés depuis l'ordinateur local :


Pour créer un magasin central pour placer les fichiers admx des modèles d'administration , il faut créer un répertoire nommé PolicyDefinition sous le répertoire Policies qui existe dans le SYSVOL ,qui sera répliqué automatiquement dans tous les contrôleurs de domaine.
 Dans notre exemple le nom du domaine est lab1.lan , pour créer un magasin central ,  un nouveau répertoire vide nommé PolicyDefinition a été créé sous \\lab1.lan\SYSVOL\LAB1.lan\Policies:


Après la création du répertoire PolicyDefinition, les fichiers admx des modèles d'administration seront récupérés depuis le magasin central :



Comment ajouter un nouveau fichier admx dans le magasin central:

En ce qui concerne les modèles d'administration téléchargés depuis le site Microsoft (par exemple ceux qui sont utilisés pour gérer google chrome, office, Windows 10 et Windows 2016..ect), on trouve deux types de fichier d’extension différentes admx et adml.

Le fichier adml est indispensable pour la configuration du nouveau modèle d'administration, s'il n'est pas présent dans le bon emplacement ,un message d'erreur s'affiche lors de l'ouverture de la GPO:


Si vous avez plusieurs langues dans votre parc informatique, il faut copier les fichiers adml  de chaque langue sous un répertoire dédié : par exemple pour la langue française fr-FR et l'anglais en-US.

Par contre, pour les fichiers admx, ils doivent être placés directement sous le répertoire PolicyDefintion.

Dans notre exemple, nous allons expliquer étape par étape comment ajouter les fichiers des modèles administration de Windows 2016 et Windows 10 comme exemple :
  • Télécharger depuis le site de Microsoft le fichier d'installation qui contient les modèles d'administration de Windows 10 et Windows 2016 :


  • Cliquer sur le fichier Windows 10 and Windows Server 2016 ADMX:


  • Cliquer sur exécuter:
  • Cliquer Next:
  • Cliquer sur Next:
  • Spécifier le dossier pour placer les fichiers admx et adml : E:\ADMX-Windows10-2016 ,puis cliquer sur Next:

  • Cliquer sur Next:


  • Cliquer sur close pour terminer.


    • Aller vers le répertoire E:\ADMX-Windows10-2016 et sélectionner tous les fichiers admx pour les copier sous \\lab1.lan\SYSVOL\LAB1.lan\Policies\PolicyDefinitions:


    • Sélectionner un ou plusieurs répertoires qui contiennent les fichiers adml en fonction de la langue utilisée sur les postes de travail, puis les copier sous  \\lab1.lan\SYSVOL\LAB1.lan\Policies\PolicyDefinitions, si le répertoire est déjà présent, il faut juste ajouter les fichier adml dedans:
    • Vérifier que tous les fichiers admx et adml sont présents sous \\lab1.lan\SYSVOL\LAB1.lan\Policies\PolicyDefinitions

    • Ouvrir une GPO et vérifier que les options ajoutées par les nouveaux modèles d'administration sont bien présentes depuis la console: