[Active Directory] Verrouillage des comptes et audit

Dans cet article, nous allons voir le suivi du verrouillage de compte par suite d'une succession de tentatives de connexion avec un mot de passe erroné.

L'environnement de test est composé de deux contrôleurs de domaine : LAB2016dc1 et LAB2019DC2 et d'un poste client Windows 10 LABCL1. Tous les rôles FSMO sont gérés par LAB2016DC1.

La stratégie de verrouillage a été définie dans la GPO « Default Domain Policy ». Nous avons défini un verrouillage de 10 minutes si pendant une durée de 10 minutes, 3 mauvais mot de passe sont saisie.

[News] Disponibilité de Windows 11

 

Vous savez sans doute déjà que la nouvelle version de Windows client : Windows 11.

Vous pouvez télécharger Windows 11 à l'adresse : https://www.microsoft.com/en-us/software-download/windows11

Vous pouvez également consulter les prérequis matériels en cliquant sur le lien : https://www.microsoft.com/fr-fr/windows/windows-11-specifications

 

 

 

[AD DS] Installation d’un DC Windows 2022

Vous trouverez dans ce post quelques informations sur l'installation des DC sous Windows server 2022.

 

Avant de promouvoir un nouveau contrôleur de domaine, il faut généralement mettre à jour le schéma Active Directory.

Depuis 2012 et la fin de « dcpromo.exe », l'assistant de configuration des services Active Directory effectue la mise à jour automatiquement lors de la promotion.

La commande suivante permet de connaître la version du schéma :

[News] Ajout des baseline Windows Server 2022 dans Microsoft SCT

Microsoft a publié la version finale des baselines de paramétrage de sécurité pour Windows Server 2022.

Vous pouvez télécharger Microsoft Security Compliance Toolkit ici : https://www.microsoft.com/en-us/download/details.aspx?id=55319 

 

 

[News] Windows server 2022

Microsoft a annoncé la disponibilité générale de la nouvelle version de Windows Server 2022.
Si les nouveautés dans les services Active Directory ne sont pas très visibles, la sécurité a été renforcée dans cette nouvelle version.
 
Une innovation sur la partie stockage permet d'utiliser des disques SSD en tant que cache de stockage pour les serveurs autonomes (HyperV par exemple). Vous trouverez un article sur le sujet dans les liens suivant :
 

[Windows&AD Sécurité] Recommandation service Spooler

Suite à la vulnérabilité CVE-2021-34527, il est recommandé de désactiver le service spooler sur les serveurs Windows qui n’en n’ont pas l’utilité et en particulier sur les contrôleurs de domaines.

Vous trouverez plus d’information dans les articles suivants :

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2021-ALE-014/

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

[DNS SECURITE] Response Rate Limiting (RRL)

Cette option introduite dans les services DNS sur Windows Server 2016, réduit les risques d'attaques par amplification DNS. Ce type d'attaque en déni de service, vise à envoyer un nombre important de requêtes DNS en modifiant l'IP réseau de la source. Le réseau victime peut recevoir une quantité importante d

Tags: 

[DNS SECURITE] Récupérer les ancres de confiance racine

Nous avons vu dans un article précédent, comment activer DNSSEC sur les zones DNS de votre domaine Active Directory. Nous avons également vu le rôle joué par les ancres de confiance pour la signature des enregistrements DNS.

Dans cette article nous allons voir comment mettre à jour les ancres de confiance publié par l'IANA concernant la racine d'internet. Le lien suivant https://data.iana.org/root-anchors/root-anchors.xml permet de retrouver les ancres de confiances.

[DNS SECURITE] Transférer le maître des clé DNSSEC

Dans l'article précédent, nous avons vu, comment activer DNSSEC sur vos zones DNS internes intégrées à Active Directory. Nous avons vu également, comment configurer les clients DNS du domaine afin d'exiger la vérification des signatures DNS.

Lors de la signature de la zone, nous avons défini un de nos contrôleurs de domaine en tant que maître des clés. 

[DNS Sécurité] Configurer DNSSec et la signature des zones DNS

 

Principe de DNSSec

DNSSec est un mécanisme de sécurité permettant de signer les enregistrements DNS d'une zone afin de protéger votre environnement. La signature permet de réduire le risque de d'empoisonnement du cache du client DNS et d'éviter certaines attaques de type Man In The Middle.

DNSSEC est comparable à une autorité de certification qui utiliserait des certificats pour faire de la signature. 

[DNS] Quelques bonnes pratiques pour les DNS AD (2ème partie)

Configurer le nettoyage des zones DNS

Nous avons vu dans l'article précédent quelques éléments de base pour la configuration du serveur DNS et des zones DNS intégrées Active Directory.

Nous allons poursuivre avec quelques recommandations sur la gestion du service DNS afin de garder des zones à jour et de réduire les risques liés aux caches DNS.

Nous allons commencer par configurer le nettoyage des zones DNS. Il est possible de définir deux valeurs afin de gérer le nettoyage.

[AD GPO] Gérer chrome avec les stratégies de groupe

Tout comme Firefox, il existe des fichiers ADMX pour gérer Google Chrome depuis les stratégies de groupe. Vous pouvez les télécharger dans le lien suivant.

Vous pouvez ajouter les fichier admx à votre magasin central. L'article suivant vous donne plus d'information sur la mise en place d'un magasin central.

Tags: 

[NPS] Migrer NPS et serveur Radius

 

Si vous souhaitez migrer les services NPS, comme par exemple votre serveur Radius, sur un nouveau serveur, vous pouvez utiliser l'export et l'import de la configuration pour faciliter le déploiement sur le nouveau serveur. Dans cet exemple, la configuration des services NPS sur un Windows 2008R2 est exportée et ensuite importée sur un nouveau serveur en 2016 à l'aide de PowerShell. Le temps de l'opération est inférieur à 5 minutes et comprend :

Tags: 

[Azure AD] Personnalisez la page de connexion à votre tenant

Azure AD offre la possibilité de personnaliser la connexion à votre environnement Azure en utilisant les options « Marque de société » du portail Azure AD.

L'option est disponible dans Azure AD  avec les Office 365 et Azure AD Premium P1 et P2. Azure AD premium P1 et P2 sont incluse dans les offres Microsoft ou EMS E3 et E5.

 

[Azure AD] Accès conditionnel

L'accès conditionnel est une autre option permettant de renforcer la sécurité dans Azure AD.

Elle permet de mettre en œuvre des conditions d'accès différentes en fonction de situation (signaux d'entrée). Parmi les éléments qui peuvent être pris en compte, nous retrouverons :

[Azure AD Sécurité] Utiliser l’authentification multi facteur (MFA)

 

L'authentification multi-facteur permet de renforcer la sécurité de la connexion à votre compte Azure en utilisant au moins deux mécanismes combinés pour vous connecter.

Le principe de l'authentification multi facteur est de combiner aux moins deux éléments parmi un élément que vous connaissez (mot de passe), un élément que vous possédez (smartphone par exemple) ou un élément qui vous caractérise (biométrie).

Tags: 

[Windows 2016] Erreur dans la console de stratégie de groupe

 

Si vous avez installé la mise à jour de septembre sur Windows 2016 Server, vous pouvez rencontrer des erreurs lors de l’affichage des options de sécurité dans les stratégies de groupe (gpedit.local ou gpmc.msc pour les domaines AD), comme présenté dans l’image ci-dessous :

L’erreur est décrite dans le lien suivant :

Tags: 

[Active Directory] Mise à jour suite vulnérabilité

 

Au mois d’août Microsoft a publié un correctif de sécurité lié à une faille du protocole NetLogon, qui peut être exploité pour prendre le contrôle d’un domaine Active Directory 

Un petit rappel a été lancé ce jeudi 29/10/2020, pour les entreprises n’ayant pas encore appliqué la mise à jour du mois d’août sur les contrôleurs de domaine :https://msrc-blog.microsoft.com/2020/10/29/attacks-exploiting-netlogon-vulnerability-cve-2020-1472/  .

[Azure AD] Migrer Azure AD Connect vers un nouveau serveur

Si vous souhaitez migrer, votre application de synchronisation  Azure AD Connect vers un nouveau serveur, une méthode simple consiste à installer l'outil sur le nouveau serveur en mode préproduction. Le mode de préproduction configure les éléments de la synchronisation, mais les données ne sont pas réellement copiées d'un vers l'autre. Vous pouvez suivre les étapes suivantes :

[Azure AD] Stratégie d’expiration des mots de passe (2)

Si vous n'avez pas lu la première partie de l'article, je vous conseille de la lire avant de modifier vos stratégies d'expiration de mot de passe.

Les paramètres d'expiration et d'avertissement peuvent être modifiant en utilisant le lien dans le portail Web d'administration de Microsoft : https://admin.microsoft.com/Adminportal/Home#/settings/security

Pour modifier les paramètres, il suffit de cliquer sur modifier à droite.

[Azure AD] Stratégie d’expiration des mots de passe (1)

Lorsque vous utilisez des comptes Azure AD, il existe des paramètres par défaut pour l'expiration des mots de passe, permettant ainsi de garantir que le mot de passe de vos utilisateurs change régulièrement. Vous pouvez configurer deux valeurs, la durée de vie maximale du mot de passe et le seuil d'avertissement. Les valeurs par défaut sont de 90 jours pour la durée de vie maximale et l'avertissement se fait à 14 jours de l'expiration.

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 2)

Dans la première partie nous avons :

  • Installer LAPS sur le poste de management
  • Etendue le schéma de l'annuaire AD
  • Déléguer le droit d'enregistrer le mot de passe dans l'annuaire au compte de l'ordinateur
  • Déléguer le droit de lire le mot de passe à un compte spécifique de l'équipe support.

Dans cette seconde partie, nous allons :

[AD Sécurité] Gérer vos comptes administrateurs locaux avec LAPS (partie 1)

La gestion des comptes locaux des postes de travail membre du domaine peut s'avérer délicate. Il peut arriver de devoir utiliser un compte local avec des droits d'administrations sur l'ordinateur. Mais la gestion du mot de passe de ce compte présent sur l'ensemble des postes peut poser un problème. Il existe une solution gratuite proposée par Microsoft permettant de gérer des mots de passe uniques pour un compte spécifique sur l'ensemble des postes membres du domaine : Microsoft Local Administrator Password Solution (LAPS).

Pages

S'abonner à Philippe BARTH RSS