Cette option introduite dans les services DNS sur Windows Server 2016, réduit les risques d'attaques par amplification DNS. Ce type d'attaque en déni de service, vise à envoyer un nombre important de requêtes DNS en modifiant l'IP réseau de la source. Le réseau victime peut recevoir une quantité importante d

Dans l'article précédent, nous avons vu, comment activer DNSSEC sur vos zones DNS internes intégrées à Active Directory. Nous avons vu également, comment configurer les clients DNS du domaine afin d'exiger la vérification des signatures DNS.

Lors de la signature de la zone, nous avons défini un de nos contrôleurs de domaine en tant que maître des clés. 

Configurer le nettoyage des zones DNS

Nous avons vu dans l'article précédent quelques éléments de base pour la configuration du serveur DNS et des zones DNS intégrées Active Directory.

Nous allons poursuivre avec quelques recommandations sur la gestion du service DNS afin de garder des zones à jour et de réduire les risques liés aux caches DNS.

Nous allons commencer par configurer le nettoyage des zones DNS. Il est possible de définir deux valeurs afin de gérer le nettoyage.

Tout comme Firefox, il existe des fichiers ADMX pour gérer Google Chrome depuis les stratégies de groupe. Vous pouvez les télécharger dans le lien suivant.

Vous pouvez ajouter les fichier admx à votre magasin central. L'article suivant vous donne plus d'information sur la mise en place d'un magasin central.

Si vous souhaitez migrer les services NPS, comme par exemple votre serveur Radius, sur un nouveau serveur, vous pouvez utiliser l'export et l'import de la configuration pour faciliter le déploiement sur le nouveau serveur. Dans cet exemple, la configuration des services NPS sur un Windows 2008R2 est exportée et ensuite importée sur un nouveau serveur en 2016 à l'aide de PowerShell. Le temps de l'opération est inférieur à 5 minutes et comprend :

L'accès conditionnel est une autre option permettant de renforcer la sécurité dans Azure AD.

Elle permet de mettre en œuvre des conditions d'accès différentes en fonction de situation (signaux d'entrée). Parmi les éléments qui peuvent être pris en compte, nous retrouverons :

L'authentification multi-facteur permet de renforcer la sécurité de la connexion à votre compte Azure en utilisant au moins deux mécanismes combinés pour vous connecter.

Le principe de l'authentification multi facteur est de combiner aux moins deux éléments parmi un élément que vous connaissez (mot de passe), un élément que vous possédez (smartphone par exemple) ou un élément qui vous caractérise (biométrie).

Au mois d’août Microsoft a publié un correctif de sécurité lié à une faille du protocole NetLogon, qui peut être exploité pour prendre le contrôle d’un domaine Active Directory 

Un petit rappel a été lancé ce jeudi 29/10/2020, pour les entreprises n’ayant pas encore appliqué la mise à jour du mois d’août sur les contrôleurs de domaine :https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/  .

Nous avons vu dans cet article, que lorsque l'option de synchronisation de hachage du mot de passe est sélectionnée, le compte Azure AD synchroniser depuis un AD local n'avait pas d'expiration de mot de passe.

Lorsque vous utilisez des comptes Azure AD, il existe des paramètres par défaut pour l'expiration des mots de passe, permettant ainsi de garantir que le mot de passe de vos utilisateurs change régulièrement. Vous pouvez configurer deux valeurs, la durée de vie maximale du mot de passe et le seuil d'avertissement. Les valeurs par défaut sont de 90 jours pour la durée de vie maximale et l'avertissement se fait à 14 jours de l'expiration.

La gestion des comptes locaux des postes de travail membre du domaine peut s'avérer délicate. Il peut arriver de devoir utiliser un compte local avec des droits d'administrations sur l'ordinateur. Mais la gestion du mot de passe de ce compte présent sur l'ensemble des postes peut poser un problème. Il existe une solution gratuite proposée par Microsoft permettant de gérer des mots de passe uniques pour un compte spécifique sur l'ensemble des postes membres du domaine : Microsoft Local Administrator Password Solution (LAPS).

Il y a quelques années j'avais écrit sur un article sur la gestion des utilisateurs et groupe locaux à l'aide des GPO. Je vous présente ici, une autre méthode qui existe depuis 2008 et qui utilise les préférences dans les stratégies de groupes. L'objectif est d'ajouter un groupe spécifique en tant qu'administrateurs des postes de travail, afin d'éviter d'utiliser des mots de passe de comptes administrateurs du domaine sur les postes.

Microsoft à publié une seconde édition du livre Azure pour les architectes systèmes. Le livre est disponible en français gratuitement avec le lien suivant : https://azure.microsoft.com/fr-fr/resources/azure-for-architects/.

J'avais écrit il y a pas mal de temps un article sur le déplacement des rôles FSMO depuis les consoles Active Directory : http://www.pbarth.fr/node/79 .

Dans cet article nous allons voir comment déplacer rapidement l'ensemble des rôles FSMO avec PowerShell.

Les premières commandes que nous allons voir, permettent de déterminer les serveurs qui disposent des rôles actuellement.

Pour déterminer les serveurs qui disposent des rôles FSMO du domaine vous pouvez utiliser la commande :

Il existe plusieurs solutions permettant de gérer son environnement Azure, que ce soit pour créer des VMs ou pour gérer Azure Active Directory. La première solution est le portail Web azure disponible à l'adresse https://portal.azure.com/#home.

Une autre solution est l'utilisation de l'application Windows que vous pourrez installer sur votre poste de travail. Vous pourrez télécharger l'application avec le lien suivant :

https://preview.portal.azure.com/app/welcome