[Azure AD Sécurité] Utiliser l’authentification multi facteur (MFA)

 

L'authentification multi-facteur permet de renforcer la sécurité de la connexion à votre compte Azure en utilisant au moins deux mécanismes combinés pour vous connecter.

Le principe de l'authentification multi facteur est de combiner aux moins deux éléments parmi un élément que vous connaissez (mot de passe), un élément que vous possédez (smartphone par exemple) ou un élément qui vous caractérise (biométrie).

Tags: 

[Windows 2016] Erreur dans la console de stratégie de groupe

 

Si vous avez installé la mise à jour de septembre sur Windows 2016 Server, vous pouvez rencontrer des erreurs lors de l’affichage des options de sécurité dans les stratégies de groupe (gpedit.local ou gpmc.msc pour les domaines AD), comme présenté dans l’image ci-dessous :

L’erreur est décrite dans le lien suivant :

Tags: 

[Active Directory] Mise à jour suite vulnérabilité

 

Au mois d’août Microsoft a publié un correctif de sécurité lié à une faille du protocole NetLogon, qui peut être exploité pour prendre le contrôle d’un domaine Active Directory 

Un petit rappel a été lancé ce jeudi 29/10/2020, pour les entreprises n’ayant pas encore appliqué la mise à jour du mois d’août sur les contrôleurs de domaine :https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/  .

[Azure AD] Migrer Azure AD Connect vers un nouveau serveur

Si vous souhaitez migrer, votre application de synchronisation  Azure AD Connect vers un nouveau serveur, une méthode simple consiste à installer l'outil sur le nouveau serveur en mode préproduction. Le mode de préproduction configure les éléments de la synchronisation, mais les données ne sont pas réellement copiées d'un vers l'autre. Vous pouvez suivre les étapes suivantes :

[Azure AD] Stratégie d’expiration des mots de passe (2)

Si vous n'avez pas lu la première partie de l'article, je vous conseille de la lire avant de modifier vos stratégies d'expiration de mot de passe.

Les paramètres d'expiration et d'avertissement peuvent être modifiant en utilisant le lien dans le portail Web d'administration de Microsoft : https://admin.microsoft.com/Adminportal/Home#/settings/security

Pour modifier les paramètres, il suffit de cliquer sur modifier à droite.

[Azure AD] Stratégie d’expiration des mots de passe (1)

Lorsque vous utilisez des comptes Azure AD, il existe des paramètres par défaut pour l'expiration des mots de passe, permettant ainsi de garantir que le mot de passe de vos utilisateurs change régulièrement. Vous pouvez configurer deux valeurs, la durée de vie maximale du mot de passe et le seuil d'avertissement. Les valeurs par défaut sont de 90 jours pour la durée de vie maximale et l'avertissement se fait à 14 jours de l'expiration.

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 2)

Dans la première partie nous avons :

  • Installer LAPS sur le poste de management
  • Etendue le schéma de l'annuaire AD
  • Déléguer le droit d'enregistrer le mot de passe dans l'annuaire au compte de l'ordinateur
  • Déléguer le droit de lire le mot de passe à un compte spécifique de l'équipe support.

Dans cette seconde partie, nous allons :

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 1)

La gestion des comptes locaux des postes de travail membre du domaine peut s'avérer délicate. Il peut arriver de devoir utiliser un compte local avec des droits d'administrations sur l'ordinateur. Mais la gestion du mot de passe de ce compte présent sur l'ensemble des postes peut poser un problème. Il existe une solution gratuite proposée par Microsoft permettant de gérer des mots de passe uniques pour un compte spécifique sur l'ensemble des postes membres du domaine : Microsoft Local Administrator Password Solution (LAPS).

[AD DS Sécurité] Délégué l’administration de l’annuaire

Dans la gestion quotidienne des comptes de l'annuaire Active Directory, il n'est pas recommandé d'utiliser systématiquement des comptes membre de « Admins du domaine ». Il est possible de déléguer ces opérations à des groupes d'utilisateurs spécifiques. Vous pouvez par exemple, limiter le droit de réinitialiser le mot de passe à une partie de l'équipe IT, vous pouvez également déléguer le droit de remplir certaines informations comme la fonction ou le service de l'utilisateur à l'équipe RH.

[AD DS Securité] Gérer les administrateurs des postes avec GPP

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

[Azure AD Connect] Ajouter un agent d’authentification

Dans un article précédent, j'avais présenté l'option d'authentification unique (SSO) ainsi que l'option d'authentification directe qui évite la synchronisation du mot de passe dans Azure (Pass Through Authentication) de Azure AD Connect. Si vous utilisez l'option d'authentification directe, un connecteur est installé sur le serveur ou se trouve Azure AD Connect et ce dernier va faire le lien. En cas de panne de ce service, les utilisateurs ne pourront plus s'authentifier dans Azure et Office 365.

[AD PowerShell] Déplacement des rôles FSMO

J'avais écrit il y a pas mal de temps un article sur le déplacement des rôles FSMO depuis les consoles Active Directory : http://www.pbarth.fr/node/79 .

Dans cet article nous allons voir comment déplacer rapidement l'ensemble des rôles FSMO avec PowerShell.

Les premières commandes que nous allons voir, permettent de déterminer les serveurs qui disposent des rôles actuellement.

Pour déterminer les serveurs qui disposent des rôles FSMO du domaine vous pouvez utiliser la commande :

[Azure AD] Domaine personnalisé

 

Dans Azure Active Directory, vous disposez d'au moins d'un répertoire par défaut contenant des utilisateurs, des groupes et d'autres objets Active Directory. Chacun de ses répertoires dispose par défaut d'un nom de domaine en mondomaine.OnMicrosoft.com. Il est possible de créer des répertoires supplémentaires pour un même compte.

Vous avez la possibilité d'ajouter un nom de domaine personnalisé, que vous pourrez utiliser en tant qu'identifiant d'utilisateur afin de faire correspondre l'identifiant avec l'adresse email par exemple.

[ Azure Cloud] Gérer son environnement

Il existe plusieurs solutions permettant de gérer son environnement Azure, que ce soit pour créer des VMs ou pour gérer Azure Active Directory. La première solution est le portail Web azure disponible à l'adresse https://portal.azure.com/#home.

Une autre solution est l'utilisation de l'application Windows que vous pourrez installer sur votre poste de travail. Vous pourrez télécharger l'application avec le lien suivant :

https://preview.portal.azure.com/app/welcome

[Azure AD] Groupe dynamique

 

Si vous disposez d'une licence Azure AD P1 ou P2, incluse dans les offres EMS E3 ou E5, vous pouvez profiter de l'utilisation de groupes dynamiques. Un groupe dynamique est un groupe de sécurité ou un groupe Office 365, dont les membres sont le résultat d'une requête sur les attributs de vos utilisateurs.

Pour configurer un groupe dynamique, ouvrez les propriétés du groupe, et sélectionnez le type d'appartenance :

[Azure AD PowerShell] Créer un utilisateur

Si vous n'utilisez pas Azure AD Connect pour synchroniser vos comptes depuis votre domaine local, vous pouvez créer les comptes directement dans l'interface de gestion d'Azure Active Directory. Il est également possible de le faire par script comme par exemple avec PowerShell. Pour cela il vous faudra installer le module PowerShell AzureAD. Vous pouvez également utiliser le module propre à MSOnLine.

[Azure AD PowerShell] Installer et mettre à jour le module Azure AD

Dans l'article suivant nous avons parlé de la gestion des comptes Office 365, stocké dans Azure AD avec PowerShell. Nous avons pour cela installé le module MSOnline. Il existe un autre module permettant de gérer Azure Active Directory et non lié à Office 365 : le module Azure AD.

La commande suivante permet de voir si le module AzureAD est déjà installé et la version que vous disposez :

[Azure Active Directory] Premium P1 et P2

 

Azure Active Directory est une solution de gestion d'identité d'authentification hébergée dans le cloud. Azure Active Directory est également fortement liée à Office 365, puisque ce dernier l'utilise pour la gestion des utilisateurs. Comme nous l'avons vu dans cette série d'articles il est possible de synchroniser, les comptes de son domaine Active Directory Domain Services avec Azure à l'aide d'AAD Connect .

 

[News] Fin du support de Windows 7 et Windows server 2008

 

Le support des produits Windows 7 et Windows Serveur 2008/ 2008R2 a pris fin le 14/01/2020.

Pour ceux qui utilisent encore ces anciennes versions, il n'y aura désormais plus de mise à jour mensuelle y compris pour les correctifs de sécurité.

 

https://support.microsoft.com/fr-fr/help/4057281/windows-7-support-ended-on-january-14-2020

[AD DS Securité] Désactiver SMB 1.0 (partie 3)

Si votre parc ne dispose pas d'OS antérieur à Windows Vista/ Windows Server 2008, vous pouvez envisager de désactiver SMB 1.0. Nous avons vu dans l'article précédent comment activer l'audit des demandes de connexions avec SMB 1.0, ce qui vous permettra de vérifier si des postes utilisent encore ce protocole obsolète. Dans cet article nous allons voir, comment modifier la configuration sur un ou l'ensemble de vos serveurs pour ne plus accepter de connexion SMB1.0.

[AD DS Sécurité] Auditer l’utilisation de SMB V1 (Partie 2)

Si vous n'avez pas lu l'article précédent sur SMB et le partage des fichiers, je vous renvoie sur le lien suivant.

Si vous souhaitez désactiver SMB 1 et si vous ne savez pas s'il est encore utilisé dans votre environnement, il est possible d'activer un audit de de ce protocole avant d'essayer de le désactiver.

Pour rappel, vous pouvez vérifier depuis un poste client les connexions et la version du protocole utilisé avec la commande : « Get-SMBConnection ». Dans l'image ci-dessous « 3.1.1 ».

[AD DS Securité] Partage de fichier et protocole SMB (Partie 1 )

À la suite de questions sur la compatibilité entre les OS anciens et récent dans un domaine AD, je vais essayer de résumer quelques informations utiles sur les protocoles de partage de fichiers (SMB). Dans un domaine Active Directory nous avons aux minimums deux partages présents sur tous les contrôleurs de domaine (en bonne santé) : « NetLogon » et « Sysvol ». Ces partages mettent à disposition des postes membres du domaine, les scripts et les paramètres de stratégie de groupes. Les protocoles d'accès aux partages de fichiers chez Microsoft sont assez anciens et ont évolué avec le temps.

[News] Kit de déploiement ADK Windows 10 1909

 

Avec la sortie de Windows 10 1909, Microsoft n'a pas publié de nouvelle version du kit de déploiement (ADK). Microsoft recommande d'utiliser la version pour 1903 :

Extrait :

A Windows ADK for Windows 10, version 1909 will not be released. You can use the Windows ADK for Windows 10, version 1903 to deploy Windows 10, version 1909.

Source :

[PowerShell] Obtenir des informations sur un ordinateur à distance

Dans l'article précédent nous avions vu comment activer la gestion à distance de Windows (WinRM) à l'aide des stratégies de groupe. Cette option vous permet entre autres d'exécuter à distance des commandes PowerShell sur des ordinateurs spécifiques. Une commande PowerShell intéressante est « Get-ComputerInfo ».

Pages

S'abonner à Philippe BARTH RSS