Installez votre Interface Azure CLI 2.0 sur une machine Windows

Prérequis 

Azure CLI 2.0 a été développé sous Python, l’installer sur un OS Windows client (ou serveur d’Administration) nécessite donc l’installation de Python pour Windows, en version 3.X ou ultérieur.

Nous allons donc commencer par télécharger et installer Python sur notre machine Windows 10 (LABWS10).

Python pour Windows peut être téléchargé gratuitement à l’URL suivante :

https://www.python.org/downloads/

Les deux versions (stables) disponibles lors de l’écriture de ce post sont  : 3.6.1 & 3.6.5

Une fois téléchargé, exécutez le fichier Python-..*.exe en tant qu’Administrateur.

L’assistant suivant apparaît, veillez à bien cochez l’option « Add Python 3.6 to PATH » et cliquez sur « -> Install Now » pour démarrer l’installation :

L’installation démarre …

Une fois installé, cliquez sur « Close » pour fermer l’assistant :

L’option « Add Python 3.6 to PATH » permet d’ajouter deux répertoires (d’Install et de scripts) utilisés par Python à la variable d’environnement : %Path%

Maintenant, ouvrez l’invite de commande et saisissez la commande suivante pour vérifier la bonne installation de python :

Python –version

 

Installer Azure CLI 2.0

Ouvrez l’Invite de commande (CMD.exe) en tant qu’Administrateur et saisissez la commande suivante pour installer Azure CLI 2.0 :

pip install –user azure-cli

Tous les Packages nécessaires requis par Azure CLI seront téléchargés et placés dans le répertoire suivant :

%UserProfile%\AppData\Roaming\Python\Python36\site-packages

Notez que votre machine Windows 10 doit être connectée à Internet pour télécharger et récupérer les données Azure CLI.

Si l’installation s’est effectuée avec succès, le résultat suivant apparaît à la fin d’exécution de la commande :

Tâches post-installation

Avant de commencer à utiliser votre interface Azure CLI 2.0, une tâche post-installation est à réaliser.

Il s’agit de la configuration /ajout du chemin contenant les fichiers Azure CLI à la variable d’environnement « Path ».

Pour ce faire, lancez l’outil « Sysdm.Cpl » depuis le Menu « Exécuter » ou la zone de recherche du Menu « Démarrer » et rendez-vous ensuite dans l’onglet « Paramètres systèmes avancés ». Enfin, cliquez sur « Variables d’environnement… »

La boite de dialogue suivante apparaît, sélectionnez la variable « Path » et cliquez sur « Modifier… » :

Maintenant cliquez sur « Nouveau » et spécifiez le chemin suivant :

%USERPROFILE%\AppData\Roaming\Python\Python36\Scripts

Si vous avez installé une version de Python autre que la 3.6 (e.g : version 3.x), le chemin devient : %USERPROFILE%\AppData\ Roaming\Python\Python3x\Scripts

 

Cliquez sur « OK » pour valider et fermer les boites de dialogues ouvertes.

L’interface Azure CLI 2.0 est représentée par un fichier .BAT nommé ‘Az.bat’, il est par défaut installé /placé dans le répertoire suivant : %USERPROFILE%\AppData\Roaming\Python\Python3x\Scripts

 

Maintenant, lancez CMD.exe en tant qu’Administrateur et saisissez Az

Le fichier Az.bat est appelé et le menu Azure CLI 2.0 suivant est affiché, de plus la liste complète des commandes disponibles est retournée :

Le script az.bat peut également être appelé depuis Windows PowerShell. Il suffit de saisir az depuis votre console PowerShell pour accéder au menu affiché précédemment sur l’invite de commande.

==========================================================================

Cet article est un extrait de l’eBook « Azure CLI 2.0 – Guide du Consultant Cloud » disponible ici.

[Azure Toolbox #3] AzureHubInfo Web Site : une ressource indisponible pour apprendre et suivre l’actualité d’Azure

Hi Folks,

Aujourd’hui j’aimerais partager avec vous une ressource indispensable que tout Consultant /Architecte /Ing ou Admin Cloud Azure doit garder dans sa toolbox.

Il s’agit de la plateforme Web AzureHubInfo disponible à l’URL suivante :

https://azureinfohub.azurewebsites.net

 

Cette plateforme regroupe des :

• (Free) eBooks et Whitepapers sur plusieurs services Cloud Azure
• Outils Azure
• Tous les liens vers la documentation officielle Microsoft (service Docs.microsoft.com > Rubrique Cloud/Azure)

 

De plus, ce outil web gratuit contient une fonctionnalité de recherche (Query/Search Tab) qui vous permet de rechercher et trouver rapidement des ressources sur un service Cloud spécifique (e.g : IA, Batch AI, AAD App Proxy…)

Je vous laisse faire le tour de la plateforme.

Enjoy !

#HK

[New eBook] Microsoft Azure CLI 2.0 – Guide du Cloud Automation Geek [Volume 1]

Hi everyone,

Après plusieurs mois de travail, un nouvel eBook voit le jour sur ma plateforme BecomeITexpert.com

Il s’agit d’un Step-by-step guide sur Azure CLI 2.0, la puissante Command-line Interface Azure dans sa version 2.0

Je vous apprend à travers cet eBook comment utiliser les commandes, sous-commandes et paramètres/arguments fournis avec l’interface Az CLI 2.0.

A la fin de cet eBook, vous serez capable de :

• Décrire l’interface Azure CLI 2.0 et son fonctionnement
• Installer et utiliser l’interface Azure CLI 2.0 on mode Web (via le Cloud Shell Azure) ou en mode local sur Windows, MacOS mais aussi Linux :).
• Utiliser les commandes, sous-commandes et arguments fournis avec l’interface Az CLI 2.0
• Créer des scripts d’automatisation pour créer et provisionner des ressources Cloud Azure (VNET, VM, Compte de Stockage…etc) en « One-Click »

 

Des techniques avancées liées à l’utilisation d’Azure ainsi que plusieurs retours d’expérience sont détaillés dans cet eBook.

Il est organisé en 15 Chapitres, voir la table des matières suivante pour en savoir plus :

Ce diaporama nécessite JavaScript.

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

Read & Enjoy :).

Azure Storage prend désormais en charge l’authentification AAD [Public Preview]

La fonctionnalité tant attendue voit enfin le jour : Prise en charge de l’authentification Azure AD par le stockage Azure 🙂

Eh oui, vous pouvez désormais vous appuyez sur votre service Azure AD pour authentifier, gérer et contrôler les accès à vos données hébergées au niveau des comptes de stockage Azure, et plus précisément dans Azure Blobs et Azure Queue (File d’attente Azure).

Je vous laisse consulter cet article pour en savoir plus.

Cette feature est encore en mode « Public Preview » mais selon les informations que j’ai pu échangé avec MS Corp, la GA ne devrait pas tarder so stay tuned :).

[Windows Server 2008(R2) /2012 (R2) /2016] Performance Tuning Guidelines

Hello Windows Guys,

Aujourd’hui, je vais vous parler d’un sujet souvent oublié et pourtant primordial pour la réussite de tout projet de déploiement Windows Server : Performance Tuning 

Microsoft fournie plusieurs Guidelines /White papers (Web /Docx /Pdf) décrivant les instructions à suivre pour bien tuner son infrastructure Windows Server, 2008, 2008 R2, 2012, 2012 R2 ou encore 2016.

Ces ressources étant réparties sur plusieurs sites /plateformes, j’ai donc décidé de vous regrouper dans le tableau ci-dessous tous les liens et documentations dont vous aurez besoin pour réaliser votre phase « Performance Tuning » avec succès.

OS	Documents & Liens
Windows 2016	Performance Tuning Guidelines pour Windows Server 2016 https://docs.microsoft.com/en-us/windows-server/administration/performance-tuning/
Windows 2012 R2	Performance Tuning Guidelines pour Windows Server 2012 R2 https://www.microsoft.com/en-us/download/details.aspx?id=51960https://msdn.microsoft.com/en-us/library/windows/hardware/dn529133
Windows 2012	Performance Tuning Guidelines pour Windows Server 2012 http://download.microsoft.com/download/0/0/B/00BE76AF-D340-4759-8ECD-C80BC53B6231/performance-tuning-guidelines-windows-server-2012.docx
Windows 2008 R2	Performance Tuning Guidelines pour Windows Server 2008 R2 http://download.microsoft.com/download/6/B/2/6B2EBD3A-302E-4553-AC00-9885BBF31E21/Perf-tun-srv-R2.docx
Windows 2008	Performance Tuning Guidelines pour Windows Server 2008 http://download.microsoft.com/download/9/c/5/9c5b2167-8017-4bae-9fde-d599bac8184a/Perf-tun-srv.docx

 

Comme discuté précédemment, la phase « Tuning Performance » est vraiment importante dans tout projet de déploiement (Windows Server ou autre d’ailleurs) car cela vous permettra d’utiliser vos ressources de la manière la plus efficiente et surtout vous aidera à atteindre un niveau de disponibilité de service (SLA /Service Level Availability) élevé.

Un conseil from #HK

Prenez le temps de lire ces documents, certains pages vous redirigent vers d’autres liens/pages, prenez donc le temps de bien lire et comprendre et d’associer les éléments de Tuning en fonction de chaque rôle /composant de la plateforme Windows Server.

Si vous avez des questions, n’hésitez pas à me laisser un commentaire.

A bientôt

#HK

Introduction à Microsoft ATA (Advanced Threat Analytics)

Microsoft ATA (Advanced Threat Analytics) fait partie de la suite EMS (Entreprise Mobility + Security) qui vous aide à protéger votre système d’information dans sa globalité en se basant sur un élément essentiel d’une organisation qui est l’annuaire Active Directory.

ATA se base essentiellement sur le trafic Active Directory local de l’organisation pour fonctionner, il est aussi capable de prendre plusieurs informations provenant de plusieurs sources de données tels que les journaux d’évènement Windows, ou depuis un SIEM par exemple.
En d’autres termes, Microsoft ATA utilise un moteur d’analyse réseau propriétaire qui lui permet de capturer et d’analyser le trafic réseau de plusieurs protocoles :

Kerberos
RPC, DNS
NTLM, LDAP

Etc…

Une fois le trafic capturé, il est capable grâce à du machine Learning d’analyser le comportement des utilisateurs, des machines et de toutes les entités que constitue votre système d’information pour vous alerter en cas d’attaques informatiques.

Microsoft ATA est capable de détecter toutes sortes d’attaques informatiques connues de nos jours. Il est capable de vous aider à briser les chaines de Cyber attaques qui se composent de trois étapes :

Reconnaissance Générale : c’est la première phase, où l’attaquant essaie d’avoir des informations sur votre environnement interne (c’est-à-dire apprendre votre architecture, voir les composants que vous possédez)
Mouvement latéral : L’attaquant dans cette étape va se propager et étendre sa surface d’attaque au sein du système d’information
Persistance : Cette phase permet à l’attaquant de capturer toutes les informations prises au niveau du système d’information et de capitaliser afin de reprendre son attaque différemment

Ces 3 étapes, sont importantes et si elles sont réalisées, en générale elles font de gros dégâts au niveau des systèmes d’information, de plus, se remettre d’une attaque informatique peut être douloureux financièrement pour une entreprise.

C’est pourquoi Microsoft opte et rachète une société Israélienne spécialisée dans la sécurité et analyse comportemental afin de compléter son offre en sécurité informatique.
ATA détecte et notifie les trois principaux types d’attaques suivantes :

Les attaques malveillantes
Les comportements anormaux
Les risques et problèmes de sécurité

 

Types d’attaques détectées par Microsoft ATA

Microsoft ATA permet de détecter les types d’attaques les plus connues :

Brute Force
Exécution à distance
Faux PAC (MS14 -068)
Pass-the-Ticket
Pass-the-Hash

…

Etc…

Ce contenu vous a plu 🙂 ?

Il s’agit d’un extrait de l’Ultimate Guide sur Microsoft ATA écrit par mon ami Seyfallah TAGREROUT.

Cet eBook vous explique toutes les phases de Design, Architecture, Déploiement et Administration de cette Amazing Technology.

Il est disponible sur BecomeITExpert.com. Consultez cette page pour en savoir plus.

[Group Policy Objects – Tip of the Week] HowTo : Supprimer les GPO « Orphelins » via PowerShell

 

Aujourd’hui, nous allons découvrir une technique qui va vous permettre d’optimiser votre infrastructure G(roup) P(olicy) O(bjects) : scanner, détecter, lister et supprimer toutes les GPOs « Orphelins/Non Linkés »

 

HowTo : Lister les GPOs Orphelins

Commencez par importer le module PowerShell GroupPolicy en exécutant la commande suivante :

Import-Module GroupPolicy

Pour collecter des informations sur toutes les GPOs, le paramètre -All est utilisé avec la Cmd-let Get-GPO.

Nous exportons ensuite le résultat vers un fichier XML qui sera traité et analysé pour savoir quelle GPO n’as pas de Link vers des OUs (sous-OUs) ou Domaine AD : lecture du fichier XML ligne par ligne pour connaitre les lignes sans le mot « LinkTo »

So, CTRL+C /CTRL+V la commande suivante et notez le résultat :

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }}

Si vous souhaitez avoir un output au format tableau, exécutez la commande suivante :

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | ft -AutoSize

Pour optimiser le résultat (Output), nous allons dans l’exemple suivant, afficher uniquement les deux valeurs des deux attributs suivants :

• DisplayName (Nom d’affichage)
• ID (GUID* de la GPO)

 

*: GUID pour Globally Unique IDentifier

Pour ce faire, exécutez la commande suivante :

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | select DisplayName,Id | ft -AutoSize

Nous allons maintenant exécuter la commande suivante pour connaître le nombre de GPO non linkés (à aucun Domaine ou OU/sous-OUs) :

(Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }}).Count

Dans mon cas, 11 GPOs au total sont actuellement stockées/hébergées dans mon annuaire AD (HKCorp.Lan : AD de LAB o_O) alors qu’elles sont ni Linkées au Domaine (HKCorp.Lan) ni aux OUs ou sous-OUs !

Pour confirmer le résultat obtenu, je vais simplement lancer l’outil/console GPMC.msc (Group Policy Management Console) et vérifier le Scope de la GPO HKCRP-POC-LAPS (GPO retournée par la commande comme étant « Orphelin ») :

Comme montré dans la screenshot ci-dessus, le scope de la GPO HKCRP-POC-LAPS est en effet vide, cela veut simplement dire que cette GPO n’a aucun Link. Cela confirme donc le résultat retourné par la commande PS ci-haut.

HowT: GPO Orphelins – Reporting

Si vous souhaitez « Journaliser » et exporter la liste des GPOs Orphelins retournés par les commandes PS précédentes, vous pouvez exécuter les commandes suivantes :

Export vers un fichier texte (.TXT File)

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | Out-File C:\GPO_Orphs.txt

Vers un fichier CSV (.CSV File)

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | Export-CSV C:\GPO_Orphs.csv

HowTo : Supprimer les GPOs « Orphelins »

Si après vérification, vous confirmez qu’effectivement les GPOs non linkés remontés par les commandes PS sont « obsolètes » et n’ont simplement plus besoin d’exister dans votre annuaire AD, vous pouvez les supprimer directement depuis le snap-in GPMC.msc ou en exécutant la commande suivante :

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | Remove-GPO 

je vous recommande tout de même de sauvegarder toutes les GPOs Orphelins avant de les supprimer (histoire d’avoir un moyen de Rollback :)), cela peut être réalisé en exécutant les commande suivantes.

Dans l’exemple suivant, je vais sauvegarder mes 11 GPOs dans C:\GPO_Backups

$Emplacement_GPOsBackup = « C:\GPO_Backups »

Get-GPO -All | Sort-Object displayname | Where-Object {If ( $_ | Get-GPOReport -ReportType XML | Select-String -NotMatch « <LinksTo> » ) {$_.DisplayName }} | Backup-GPO -Path $Emplacement_GPOsBackup

Une entrée par GPO « sauvegardée » vous est retournée :

Les fichiers de Backups (11 au total pour les 11 GPOs) sont générés et stockés dans l’emplacement spécifié lors de l’exécution de la commande (C:\GPO_Backups » :

 

Note importante

Comme mentionné à plusieurs reprises dans ce post, les techniques expliquées ici ne couvrent pas les GPOs linkées au niveau site AD.

Notez donc que les résultats qui vont vous être retournés après exécution des différentes commandes concernent uniquement les GPOs Orphelins non « Linkées » au Domaine AD ou OUs et sous-OUs.

J’espère que cette technique pourra vous être utile lors de la réalisation de vos audits AD/GPOs.

Keep in touch, d’autres HowTo GPOs arrivent prochainement :).

#HK

What’s New from Azure AD Team : découvrez les nouveautés/Updates recentes introduites à Azure AD

L’équipe MS Corp Azure AD vient de publier les dernières Updates/améliorations introduites à Azure AD.

Plusieurs nouveautés intéressantes sont désormais fournies avec l’offre IDaaS (IDentity-as-a-Service) de Microsoft, notamment :

La possibilité de définir une « White-list » avec les B2B users (Organisations/Partenaires) pour lesquelles vous souhaitez autoriser ou refuser l’accès.

Permettre à vos utilisateurs B2B Users (Guest Users) d’accéder à vos ressources OnPrem (Great News :D, non ?).

De Nouvelles « Federated Apps » disponibles depuis l’Azure AD App Gallery

La disponibilité de la fonctionnalité « SSPR : Self-Service Password Reset » à partir de l’écran de verrouillage (LockScreen) des Machines Windows 10 faisant parti d’une infrastructure Azure AD « Hybride ».

…

Je vous invite à consulter cet article pour en savoir plus sur toutes les nouveautés introduites à Azure Active Directory.

A bientôt

#HK

Step-by-Step Guide : OpenSSH Client sur Windows 10 [Windows Optional Features]

OpenSSH : Un Quick Overview

OpenSSH est une Collection d’utilitaires Client/Server qui vous permettent d’établir des connexions distantes sécurisées, le (Secure) transfert de fichiers à distance ainsi que le Public/Private Key (Pair) Management.

OpenSSH est un outil extrêmement puissant qui a été créé dans le cadre du projet OpenBSD et qui, reste toujours utilisé depuis de nombreuses années dans les écosystèmes BSD, Linux, MacOS et Unix.

Pour en savoir plus sur OpenSSH, je vous invite à consulter cette page.

 

OpenSSH sur Windows 10, Amazing, Non  ^__^ ?

Je ne sais pas si vous êtes au courant, mais Microsoft à introduit (depuis quelques temps déjà :)) une super fonctionnalité (Optional Feature) au niveau de son OS Client « Windows 10 ». Il s’agit du client OpenSSH (Disponible en version « Beta » au moment de l’écriture de ce post).

Donc, si vous étiez jaloux de vos MacOS & Linux Friends, qui peuvent le faire depuis des siècles, eh bien ne le soyez plus :).

Allez, découvrons comment le Built-in OpenSSH Client peut être installé/activé et utilisé sur Windows 10 :).

 

Options d’installation du Client OpenSSH

Le Client OpenSSH peut être installé/activé via différents tools, à savoir :

Windows PowerShell

DISM.exe

Outil « GUI » : Applications et fonctionnalités

Note : l’installation du client OpenSSH nécessite un reboot de la machine !

 

 HowTo : Installer OpenSSH Client via Windows PowerShell

Pour installer/activer le client OpenSSH via PowerShell, lancez la console PowerShell (en tant qu’Admin) et saisissez la commande suivante :

Add-WindowsCapability –Online –Name OpenSSH.Client~~~~0.0.1.0

Tip : pour supprimer le client OpenSSH via Windows PowerShell, exécutez la commande suivante :

Note : un reboot post-suppression du client OpenSSH est également requis !

 

 HowTo : Installer OpenSSH Client via l’outil DISM.exe

L’outil DISM.exe (Deployment Image Servicing and Management) peut également être utilisé pour installer le client OpenSSH.

Pour ce faire, exécutez la commande suivante depuis une Invite de commande (CMD.exe) ou console PowerShell lancée en tant qu’Admin :

DISM /Online /Add-Capability /CapabilityName:OpenSSH.Client~~~~0.0.1.0

Vous êtes invité à redémarrer votre machine pour que l’install soit prise en compte.

Tip : pour supprimer le client OpenSSH via l’outil DISM, exécutez la commande suivante :

DISM /Online /Remove-Capability /CapabilityName:OpenSSH.Client~~~~0.0.1.0

 

 HowTo : Installer OpenSSH Client via la console « Paramètres Windows > Applications et fonctionnalités »

Depuis l’application « Paramètres Windows« , saisissez « Applications.. », localisez et cliquez sur « Applications et fonctionnalités »

La fenêtre suivante apparaît, cliquez sur « Gérer les fonctionnalités facultatives » :

Enfin, cliquez sur « Ajouter une fonctionnalité« , cherchez et localisez le client OpenSSH sur la liste et enfin, cliquez sur « Installer » pour l’activer sur votre machine.

Tip : la console « Applications et Fonctionnalités » peut être accessible directement depuis le « Search Menu » ou « Menu Exécuter » en saisissant la commande suivante :

ms-settings:appsfeatures

Check post-installation du Client OpenSSH

Vous pouvez utiliser les techniques ci-dessous pour vérifier que le client OpenSSH a bien été installé

Check depuis Windows PowerShell

Exécutez la commande suivante :

Get-WindowsCapability -Online | ? Name -like 'OpenSSH.Client'

Check depuis DISM

Exécutez la commande suivante :

DISM /Online /Get-CapabilityInfo /CapabilityName:"OpenSSH.Client~~~~0.0.1.0"

Le résultat suivant vous est retourné normalement :

Check depuis la console « Applications et Fonctionnalités »

Depuis la console « Gérer les fonctionnalités facultatives« , vérifiez que le client OpenSSH (Beta) fasse bien parti de la liste des Features installées :

 

HowTo : se connecter à l’aide du client OpenSSH Windows 10

Une fois installé, il suffit de saisir SSH suivi du nom d’utilisateur @ nom ou adresse IP du serveur distant pour se connecter via le client OpenSSH.

Dans l’exemple suivant, nous établissons une connexion sur l’hôte 10.100.10.10 en utilisant un compte utilisateur local nommé « hkroo » (déclaré sur la machine/serveur SSH distant) :

SSH hkroot@10.100.10.10

Cette commande peut être exécutée depuis l’Invite de commande ou une console Windows PowerShell (lancée en tant qu’Administrateur).

Note : si vous devez établir une connexion SSH à l’aide d’un compte faisant parti d’un domaine AD (hkadmin du domaine hklab.lan dans l’exemple suivant), la syntaxe devient la suivante :

SSH hkadmin@hklab@10.100.10.10

 

OpenSSH, toujours en version Beta (au 05/05/2018)

Comme vous avez pu le constater, le Client et Server OpenSSH sont toujours en mode « Beta Release » (au moment de la publication du présent post), il n’est donc pas recommandé de déployer cette Feature dans vos environnements de Production.

D’ailleurs, n’hésitez pas à remonter vos feedbacks /remarks /comments à MS si vous souhaitez contribuer à l’amélioration/évolution de cette super fonctionnalité :).

A bientôt

#HK