Microsoft abandonne l’outil RDCMan suite à une faille de sécurité !

Microsoft a abandonné cette semaine son free tool RDCMan (Remote Desktop Connection Manager suite à la découverte d’une faille de sécurité.

Le lien de téléchargement de RDCMan affiche désormais le message suivant :

Ce téléchargement n’est plus disponible !

Pour rappel, RDCMan vous permet d’établir plusieurs connexions Bureau à distance (Remote Desktop) depuis une console centrale.

Il permet également d’organiser les Connexions Remote Desktop via des groupes (catégories) et surveiller le statut de chaque connexion : Connectée, Déconnectée, Fermée…

L’outil s’appuie sur le protocole RDP (Remote Desktop Protocol), fourni nativement avec les plateformes/OS Windows Client & Server.

RDCMan a été développé par l’équipe Windows Live Experience de Microsoft pour un usage interne seulement. Il a ensuite été proposé publiquement à la fin des années 2000.

L’outil a connu un grand succès auprès des IT Admin dans les années 2000 et 2010.

MS l’a toujours maintenu à jour jusqu’à 2014, la dernière version stable proposée par l’éditeur est la 2.7

 

Suppression de RDCMan avec le Security Patch de Mars 2020 !

Avec la publication du patch de Mars 2020, la suppression officielle de RDCMan a été prononcée. Microsoft a déclaré avoir reçu un rapport sur un nouveau Bug dans RDCMan qui pourrait permettre à un Hacker de récupérer des données sur la machine qui héberge et exécute RDCMan.

 

RDCMan : quelle faille de sécurité ?!

Microsoft a déclaré dans un avis de sécurité (CVE-2020-0765)

< Pour exploiter la vulnérabilité, un attaquant pourrait créer un fichier RDG contenant un contenu XML spécialement conçu et convaincre un utilisateur authentifié d’ouvrir le fichier >

 

Au lieu de corriger la faille, Microsoft a décidé de mettre RDCMan à la retraite, ne voyant aucune raison de faire revivre une application qui a reçu sa dernière mise à jour il y a près de six ans. Les utilisateurs qui continuent à utiliser l’application doivent savoir qu’ils ne doivent pas ouvrir les fichiers RDCMan connection configuration (RDG) qu’ils reçoivent de manière non sollicitée ou de sources inconnues.

 

Note importante : il est recommandé de remplacer RDCMan par un autre Remote Desktop Manager, la faille est critique, et pourrait être une porte d’entrée à un Hacker à votre S.I

Pensez « Security First » 🙂

A bientôt :).

[TOOLBOX] RDP Defender : protégez votre infrastructure RDS contre les attaques « Brute-Force »

Dernière Update : 27/10/2017 @22:00

RDP Defender est une sorte de Pare-feu (Firewall) RDP. Il s’agit d’un outil puissant (et gratuit :)) capable de détecter toute tentative d’intrusion de type « Brute-Force » et bloquer les adresses IP dont le nombre de tentatives de connexions dépasse celui spécifié dans les paramètres. RDP Defender vous permet également de définir une liste-blanche (Whitelist) en saisissant les adresses IP autorisées, enfin il fournit un log des tentatives de connexions échouées.

Comme illustré dans la screenshot ci-après, RDP Defender a déjà bloqué plusieurs dizaines de tentatives de connexions provenant de différentes @IP. Cette capture d’écran a été prise depuis l’environnement d’un de mes clients utilisant des VMs Azure (mode IaaS) :

Vous aurez compris, cet outil est une protection puissante contre les tentatives d’attaques RDP.

Il est téléchargeable gratuitement ici.

[TOOLBOX] Policy Analyzer

Policy Analyzer est un outil magique qui vous permet de scanner /analyser et comparer l’ensemble des GPOs (Group Policies Object) locales et du domaine.
Il s’agit d’un simple exécutable, donc aucune installation n’est requise :).

Si vous êtes amenés à faire du Diagnostic /Support N3 sur AD /Windows Server /GPO, Policy Analyzer peut vous être très utile pour détecter toute mauvaise configuration d’un ou plusieurs paramètres de Stratégie de groupe ou simplement pour vous remonter des informations concernant un ou plusieurs paramétrs dupliqués (même paramètre configuré sur plusieurs GPOs avec différentes valeurs !).

Cet utilitaire vous permet également de comparer les valeurs des différents paramètres des GPOs du domaine avec celles définies au niveau des GPOs locales ou encore les valeurs de la BDR (Base De Registre), vous pouvez ainsi détecter si des incohérences /duplication ont lieu.

Le résultat d’analyse /comparaison peut ensuite être exporté vers un fichier Excel exploitable (à présenter à votre N+1 /Client).

Ci-après un exemple de rapport généré depuis Policy Analyzer :

Téléchargement

L’outil est disponible en téléchargement gratuit ici.

[TOOLBOX] RDS User Session Control v1.2

RDS User Session Control est un outil graphique gratuit développé par [Ramon Bruin], il peut être exécuté d’une manière autonome sur n’importe quel serveur exécutant Windows Server 2012 et 2012 R2
RDS USer Session Control permet de localiser une ou plusieurs sessions Bureau à distance et de la fermer ou prendre le contrôle de celle-ci par la suite (Shadow Mode)

Cet outil est accompagné d’un fichier INI (settings.ini) qui contient le FQDN du serveur Broker à interroger.
Vous devez donc éditer ce fichier et spécifiez le FQDN de votre serveur Broker avant d’exécuter l’outil RDS User Session Control

Téléchargement

L’outil est disponible en téléchargement gratuit ici

[TOOLBOX] Sidder v2.0

Sidder un outil graphique gratuit développé par [Arjan Mensch], développé pour Framework .NET 4.5, il peut être exécuté d’une manière autonome sur n’importe quel serveur exécutant Windows Server 2012 et 2012 R2.
Sidder vous permet de lister et identifier les Disques de profils utilisateurs mappés pour chaque Utilisateur Bureau à distance.

Téléchargement

L’outil est disponible en téléchargement gratuit ici.

[TOOLBOX] RDSSendMessage Tool v1.0

J’ai l’honneur de vous annoncer la mise en ligne de mon premier outil graphique, il s’agit de RDSSendMessage Tool, en version 1.0 (First Release), donc vos feedback sont les bienvenus :)).

RDSSendMessage est un outil graphique gratuit qui vous permet de lister les sessions Bureaux à distance hébergées sur un ou plusieurs Serveurs Hôtes de Session (RDSH :RD Session Host), et d’envoyer par la suite des messages via réseau aux différents utilisateurs Bureaux à distance. Aucune installation n’est requise, il s’agit en effet d’un exécutable que vous pouvez lancer depuis n’importe quel serveur RDS du déploiement ou depuis une machine d’administration ayant les outils RSAT installés.

Prérequis

Framework .NET 3.5

Téléchargement

L’outil est disponible en téléchargement gratuit ici.

[TOOLBOX] Diagnostiquez votre infrastructrure RDS 2012 R2 avec « RDS Diagnostic Tool »

Depuis Windows Server 2012 et 2012 R2, Microsoft a simplifié la gestion et l’administration de la solution RDS (Remote Desktop Services) en introduisant une seule console de gestion intégrée désormais dans le Gestionnaire de Serveur.

En revanche, si vous gérez une infrastructure RDS 2012 ou 2012 R2 assez important (plusieurs serveurs Brokers, Web Accès, Hôte de Session …), votre déploiement RDS peut rapidement devenir complexe si un problème parvient sur un ou plusieurs composants lié à celui-ci (réseau, stockage, Active Directory, Base de données SQL, DNS …).

Diagnostiquer plusieurs centaines voire des milliers de journaux d’événements remontés par les différents serveurs du déploiement pour trouver la « Rootcause » exacte du problème nécessite des fois plusieurs heures voire plusieurs jours de travail.

RDS étant un service généralement critique pour l’entreprise, un « Downtime » de quelques minutes ou quelques heures peut bloquer tout un service /département ou toute l’entreprise dans son intégralité.

Le géant américain a pensé à nous, les « RDS Guys 😀 » et nous propose désormais un outil de diagnostic gratuit dédié pour le rôle RDS, il s’agit de l’outil « RDS Diagnostic Tool« , disponible en téléchargement ici.

Notez que l’outil « RDS Diagnostic Tool » supporte uniquement sur Windows Server 2012 et 2012 R2.

Important : une fois téléchargé, l’outil RDS Diagnostic Tool doit être exécuté sur le Service Broker des Services Bureau à distance (RDCB : Remote Desktop Connection Broker).

Une fois installé et exécuté, l’outil ressemble à l’image ci-après :

Comme illustré dans l’image ci-après, l’outil est organisé en 6 Onglets :

-L’onglet « Collections » liste et détaille les informations sur l’ensemble des Collections de Sessions et/ou Bureaux Virtuels du déploiement RDS, il détaille également les informations sur les ressources publiées (Programmes RemoteApp – Bureaux Windows publiés – Postes de travail virtuels).

-L’onglet « Virtual Machines » regroupe toutes les informations liées aux ordinateurs virtuels (VMs) hébergés sur le(s) hôte(s) Hyper-V faisant office de Serveur(s) Hôte(s) de Virtualisation des Services Bureau à distance (RDVH : Remote Desktop Virtualization Host).

-L’onglet  « Provisioning » affiche toutes les informations liés aux travaux de Provisioning et leur statut : en cours d’exécution – réussi, echoué. Ces Jobs sont exécutés par le Service Broker

Après exécution de l’outil RDS Diagnostic Tool, celui-ci liste tous les travaux de Provisioning, si un Job est sélectionné, l’outil vous affiche un rapport détaillé sur le volet droit incluant l’utilisation et toutes les activités de connexions de ce travail de Provisioning, enfin notez que les événements sont collectés à partir de tous les serveurs Hôtes de Virtualisation ainsi que les serveurs Brokers.

-L’onglet « Connections » vous permet d’afficher toutes les connexions établies « Par un Utilisateur spécifique » OU « Sur un Serveur d’Hôte de Session spécifique ».

Il affiche également toutes les informations dont vous avez besoin pour « Tracker » les connexions Bureau à distance : Date/Heure de connexions – Statut de connexion (réussie, échouée, annulée,) – Type de Connexion – Nom de la Collection hébergeant la ressource à laquelle l’utilisateur s’est connecté – Type de ressource – GUID de Connexion ..

Important : l’outil RDS Diagnostic Tool permet d’afficher les 300 dernières connexions uniquement.

Dans l’exemple suivant, nous allons lister les connexions établies sur le serveur Hôte de Session nommé « LABRDSH1 », et ce en saisissant ce nom NetBios dans la zone de texte et en cliquant sur le bouton « Start » :

-L’onglet « Database » vous permet de visualiser le contenu de la base de données utilisée par les Serveurs Brokers en mode HA (Haute Disponibilité), il suffit de cliquer sur le bouton « Display » pour collecter et lister toutes les informations de la base de données dans la zone de texte, voir image ci-après :

-L’onglet « Events & Traces » regroupe toutes les informations de traçabilité et journaux d’événements liés aux services de rôles RDS.

Les informations affichées sont collectées et remontées par le(s) Serveur(s) Broker(s) et l’outil « Observateur d’événements »

Cliquez « Start » pour commencer la collecte d’informations :

Comme illustré dans l’image ci-dessus, après exécution, l’outil ouvre automatiquement le dossier %SYSTEMDRIVE%\Programmes\Microsoft IT\Microsoft RDV Diagnostic Tool (Beta), ce dernier contient un fichier log (txt) contenant toutes les informations collectées, il qui peut être exploité et intégré dans un fichier .CSV ou un tableur excel pour une présentation à votre client ou direction.

======================================================================

Extrait de l’eBook « RDS Windows Server 2012 R2 – Guide du Consultant« , disponible chez :

YouScribe.com : format « eBook »

Amazon.fr         : format « Papier :: Broché »