Accueil Archive pour Système Page 12

Système

Microsoft Security Compliance Manager et GPO de sécurités

Posté le de Aucun commentaire ↓

Un rapide post pour vous faire part d’une découverte faite ce jour d’une petite perle de Microsoft :

Microsoft  Security Compliance Manager

Ce « petit » outil a le bon gout de donner l’ensemble des recommandations de Microsoft en matière de politique de sécurité, et ce, produit par produit, et de nous permettre de bien les gérer.

=> Papa, maman et le café, quoi.

C’est un peu gros, mais je prends l’exemple du serveur standard 2008R2 qui a lui seul se prend 234 réglages unique. Pour vous permettre de gérer vos GPOs, on peut aussi définir nos propres « baselines » dans l’outil à partir de celles par défaut proposée. Et comme ils ont pensé à tout et que se taper la comparaison 1 à 1 des 234 settings avec vos GPO maisons peut s’avérer fastidieux.

L’outil propose d’importer des GPO existantes (genre les nôtres en places) et de comparer, corriger, puis fusionner avec celle proposée en standard par Microsoft :

Et une fois qu’on a nos GPOs, celles de Microsoft et nos objets résultat ; on se dit qu’on aimerait bien passer tout ça au mixeur et obtenir une jolie GPO toute belles !
=> Il suffit de demander … Lire la suite

TP Active Directory – Changement de mot de passe, réseau et Windows 7

Posté le de Aucun commentaire ↓

Pas vraiment un TP aujourd’hui mais plus une nouveauté que j’ai découverte en réinitialisant un mot de passe utilisateur dans un Active Directory.

Le problème

En fait en faisant un changement de mot de passe je me suis rendu compte que le PC freezait pendant quelques secondes avant de réussir.
Un coup de netstat plus tard, j’avais repéré un beau SYN_SENT vers un de nos DC avec le protocole kpasswd côté port réseau.

Que ça veut dire ?

Après une rapide recherche autour de kpasswd, je suis tombé sur l’explication.
Depuis Windows 7, Microsoft implémente kpasswd (protocole et programme Opensource-KRB/MIT) qui est utilisé pour gérer les mots de passes des « principaux » (=comptes, pour simplifier) dans Kerberos.
La plupart des gens pensaient que MS avait fait ça pour des histoires de compatibilité UNIX.

QUENiNi vous dis-je !

Seven essaie systématiquement de changer le mot de passe en kpasswd (et ce, que ce soit sur domaine et DC : en 2003 ou 2008R2 ou plus).
XP lui se comporte différemment, et utilise « SAMR » (il pourra faire du ‘Rap’ comme ça) qui passe sur le 445 en « RPC-Over-SMB » (et du coup la ça passe le filtrage firewall)… Lire la suite