Archives de la catégorie ‘Windows Server 2016’

 

Malgré l’ajout des ~2300 nouvelles Cmd-lets PowerShell sur Windows Server 2012 R2 et 2016, le meilleur outil de gestion du Networking & Firewalling Windows reste (pour moi :D) le super Command-Line Tool Netsh.exe (Windows Network Shell).

En effet, Windows PowerShell fonctionne aujourd’hui qu’avec un sous-ensemble de fonctionnalités de management Windows Server, n’incluant pas la possibilité de configurer et gérer le Pare-feu Windows et ses fonctions avancées.

J’ai donc décidé de vous regrouper dans le présent post les « Top 10″ des Commandes Netsh que vous devez connaître pour créer, configurer et gérer vos Pare-feu Windows (Client & Server).

Les commandes détaillées ci-dessous peuvent aussi vous être utile lors de la configuration du Firewall Windows IaaS (E.g : VM Azure ou AWS)

 

1.Afficher /Lister une règle spécifique ou toutes les règles du Pare-feu Windows
  • Afficher toutes les règles : netsh advfirewall firewall show rule name=all
  • Afficher une règle spécifique (« SQL » dans l’exemple suivant) : netsh advfirewall firewall show rule name=SQL


2.Activer /Désactiver un ou plusieurs profils du Pare-feu Windows
  • Activer tous les profils du Pare-feu Windows : Netsh advfirewall set allprofiles state on
  • Désactiver tous les profils du Pare-feu Windows : Netsh advfirewall set allprofiles state off
  • Activer le profil « Public » du Pare-feu Windows : Netsh advfirewall set publicprofile state on
  • Désactiver le profil « Privé » du Pare-feu Windows : Netsh advfirewall set privateprofile state off
  • Activer le profil « Domaine » du Pare-feu Windows : Netsh advfirewall set domainprofile state on

3.Réinitialiser les stratégies (par défaut) du Pare-feu Windows
  • netsh advfirewall reset

4.Afficher et Configurer les fichiers Logs du Pare-feu Windows

Notez que le chemin par défaut des fichiers « Logs » liés au Pare-feu Windows est le suivant : C:\Windows\system32\LogFiles\Firewall\pfirewall.log

Vous pouvez visualiser ce chemin par défaut (pour tous les profils du Pare-feu) en exécutant la commande suivante :

  • netsh advfirewall show allprofiles logging

Nous allons définir dans l’exemple suivant le chemin « D:\WSFirewall\Logs\pfirewall.log », pour tous les profils du Pare-feu Windows (Domaine – Privé – Public)

  • netsh advfirewall set allprofiles logging filename « D:\WSFirewall\Logs\pfirewall.log« 

Note : après configuration d’un nouvel emplacement du fichier log pfirewall.log, l’ancien fichier log placé dans le chemin par défaut est automatiquement déplacé et renommé en .old


5.Autoriser ou Refuser le « Ping »
  • Autoriser le « Ping »: netsh advfirewall firewall add rule name= »All ICMP V4″ dir=in action=allow protocol=icmpv4
  • Refuser le « Ping » : netsh advfirewall firewall add rule name= »All ICMP V4″ dir=in action=block protocol=icmpv4

6.Ajouter (Autoriser) ou Supprimer un Port spécifique
  • Ajouter une nouvelle règle autorisant le port 1433 (port par défaut utilisé par SQL Server) : netsh advfirewall firewall add rule name= »Autoriser_Port_SQL Server » dir=in action=allow protocol=TCP localport=1433
  • Supprimer la règle précédente autorisant le port 1433 (port par défaut utilisé par SQL Server) : netsh advfirewall firewall delete rule name= »Autoriser_Port_SQL Server » protocol=tcp localport=1433

7.Autoriser un Programme
  • Dans l’exemple suivant, le Programme « IPScan » placé dans C:\Program Files\IPScan\IPScan.exe » sera autorisé : netsh advfirewall firewall add rule name= »Autoriser_IPScan » dir=in action=allow program= »%ProgramFiles%\IPScan\IPScan.exe »

8.Activer la gestion à distance
  • netsh advfirewall firewall set rule group= »Gestion à distance de Windows » new enable=yes


9. Activer /autoriser Les Connexions Bureau à distance
  • netsh advfirewall firewall set rule group= »Bureau à distance » new enable=Yes


10.Exporter ou importer la configuration & paramètres du Pare-feu Windows
  • Pour exporter toute la configuration du Pare-feu Windows vers D:\WSFirewall : netsh advfirewall export « D:\WSFirewall\WFconfiguration.wfw »

  • Pour exporter toute la configuration du Pare-feu Windows vers D:\WSFirewall : netsh advfirewall export « D:\WSFirewall\WFconfiguration.wfw »

Je vous laisse Run > Netsh Advfirewall /? et découvrir le reste des commandes.

Enfin, toujours gardez à l’esprit que le CLI Netsh.exe fait parti des outils en ligne de commande Windows les plus puissants (et compliqué aussi). Toujours PoC(er), Tester et Valider l’opération sur un LaB /Environnement d’Intégration /PréProd …Etc avant toute application sur les serveurs de Production.

A bientôt

Publicités
Outils de Diagnostic
Outils de Diagnostic Natifs

La console de gestion « Service Bureau à distance » intégrée dans le Gestionnaire de Serveur inclut plusieurs outils de diagnostic et de monitoring, notamment :

  • Services: vous permet de manipuler les services RDS et visualiser leurs états.
  • Performances : vous permet de configurer des compteurs et alertes de performances liés aux différents composants de l’infrastructure RDS
  • BPA (Best Practice Analyzer) : vous permet de vérifier l’état de santé de l’infrastructure RDS
  • Observateurs d’évènements: vous permet de consulter les différents journaux liés aux différents composants de l’infrastructure RDS

Ces outils sont disponibles depuis le volet « Serveurs » depuis la console « Services Bureau à distance »

De plus, après déploiement du serveur RDSH, un outil de diagnostic de Licences RDS est installé et placé dans les outils d’Administration, celui-ci vous permet de visualiser les Licences RDS disponibles ainsi que de vérifier le bon fonctionnement du serveur de Licence RDS et sa disponibilité sur le réseau.

ToDo : Je vous recommande l’exécution du RDS Best Practice Analyzer (BPA) au moins une fois par mois pour vérifier l’état de santé de l’infrastructure RDS 2016 et ses différents composants.

L’outil BPA peut être lancé depuis le volet « Serveurs » sous « BEST PRACTIVE ANALYZER ».

Cliquez sur « TÂCHES » et sélectionnez « Commencer l’analyse BPA».

La boite de dialogue suivante apparaît, sélectionnez le(s) serveur(s) à analyser et cliquez sur « Rechercher » :

Après analyse, le BPA remonte les informations collectées depuis les différents services de rôles RDS et les affiche sous « BEST PRACTICE ANALYZER » :

RDS Diagnostic Tool

Microsoft met à votre disposition un outil gratuit de diagnostic d’une infrastructure RDS 2016 en mode Session et VDI.

Il s’agit de « Remote Desktop Diagnostic Tool », disponible en téléchargement gratuit à l’URL ci-après :

https://www.microsoft.com/en-us/download/details.aspx?id=40890

Il permet de diagnostiquer et vérifier l’état de santé de chaque composant et service de l’infrastructure RDS 2016.

Note : Cet outil est supporté uniquement sur Windows Server 2012, 2012 R2 et 2016. Il ne peut être exécuté sur les plateformes Windows Server 2008 et 2008 R2.

Certains prérequis liés à cet outil existent :

  • Exécution avec un compte utilisateur ayant des privilèges Administrateur
    • Compte Administrateur du domaine ou équivalent
  • Exécution sur un serveur Broker du déploiement RDS à diagnostiquer.
    • Si l’outil est exécuté sur un serveur autre que RDCB, aucune information n‘est collectée et remontée.

Services Windows utilisés par RDS

La solution RDS a besoin des trois services Windows suivant pour fonctionner correctement :

  • Services Bureau à distance (anciennement appelé Service Terminal Services
    • Nom du service : TermService
  • Configuration des Services Bureau à distance
    • Nom du service : SessionEnv
  • Redirecteur de port du mode utilisateur des Services Bureau à distance
    • Nom du service : UmRdpService

Si le Service « TermService » est arrêté, aucune connexion Bureau à distance n’est possible.

Le Service « SessionEnv » offre la possibilité d’apporter des modifications sur le déploiement RDS : création de Collection, modification de paramètres de Collection, ajout de nouveau serveur au déploiement …

Enfin, la redirection des ressources et périphériques locaux vers les sessions Bureau à distance est assuré par le service « UmRdpService », si ce dernier est arrêté, aucun périphérique ni ressource locale ne peut être redirigée vers la Session distante des utilisateurs RDS.

N’hésitez pas à arrêter ces services pour prendre connaissance des risques et impacts sur votre infrastructure RDS 2016.

D’autres sous-services liés à l’infrastructure RDS existent, il s’agit de :

Service de rôle Services Windows associés
Service Hôte de la Session (RDSH) TermService
Service Broker (RDCB) Tssdis
Service Passerelle RDS (RDG) TSGateway
Service de Licence RDS (RDLS) TermServLicensing
Service Accès Web (RDWA) Aucun service Windows associé

Ces services sont listés sur le Volet « Serveurs » de la console « Services Bureau à distance » intégrée dans le Gestionnaire de Serveur, il suffit de sélectionner un serveur ou plusieurs serveurs et visualiser le statut de leurs services Windows liés à RDS sous « Services », dans l’exemple suivant, tous les serveurs du déploiement sont sélectionnés :


Cet Article est un extrait de l’eBook RDS 2016 – Guide du Consultant [2ème Edition]. Bientôt disponible sur BecomeITExpert.com

 

 

S’applique à : RDS Windows Server 2012, RDS Windows Server 2012 R2 et RDS Windows Server 2016

Services de rôles RDS pris en charge par Windows Server Core 2016

Plusieurs services de rôles RDS peuvent être hébergés et exécutés sur Windows Server 2016 en mode « Core ». Voir le tableau ci-après :

Service de rôle RDS Supporté sur Server Core
RDCB  
RDLS  
RDSH  
RDVH  
RDWA  
RDG  
pris en charge

 

non pris en charge

 

En outre, Windows Server 2016 « Core » prend en charge tous les agents (graphiques) de Monitoring, Antivirus, Sauvegarde ou encore Sécurité (Encryption de Disk /Files). Vous pouvez donc continuer à inclure vos serveurs RDS en mode Core dans le périmètre de vos solutions d’infrastructures existantes, et ce sans aucun impact.

Pensez donc à privilégier l’utilisation du more « Core » pour vos serveurs Brokers (RDCB) et de Licences (RDLS).

Note importante : depuis Windows Server 2016, il n’est plus possible de Switcher entre les modes « GUI » et « Core ». Vous devez donc déployer vos serveurs RDS en mode Core « From Scratch ». Les serveurs RDS 2016 (existants) qui sont déjà en mode « Graphique » ne peuvent malheureusement être transformés en mode « Core » comme c’était le cas avec Windows Server 2012 et 2012 R2.

Gérer vos serveurs RDS Core à distance

Les serveurs RDS (RDCB et RDLS) exécutant Windows Server 2016 en mode Core peuvent être gérés à distance depuis n’importe quelle machine d’administration ayant les outils RSAT installés. Cela pourrait être une machine cliente (Windows 7, 8/8.1 ou encore Windows 10) ou un serveur d’administration (Windows Server 2008/2008, 2012 /2012 R2 ou encore 2016).

Depuis un Serveur d’Administration

Depuis Windows Server (2008 R2 ou ultérieur), lancez Windows PowerShell et saisissez la commande suivante :

Get-WindowsFeature RSATRDS* | FT –AutoSize

Les outils RSAT dédiés pour la gestion des services de rôles RDS sont retournés

L’outil (Snap-in) RSAT-RDS-Licensing-Diagnosis-UI correspondant à « Outils de diagnostic des licences des services Bureau à distance » vous permet de gérer et diagnostiquer les services de licence RDS à distance.

Quant à l’outil « Gestionnaire de Licence des Services Bureau à distance« , celui-ci vous permettra d’activer votre serveur de Licence RDS, installer, gérer et migrer vos CAL RDS.

Depuis une machine cliente d’Administration

Il est également possible de gérer votre déploiement RDS depuis une machine cliente (Windows 7 ou ultérieur) ayant les outils RSAT installés.

En effet, ces derniers incluent l’outil « Server Manager » qui vous permet de regrouper vos serveurs RDS de déploiement dans le même pool de serveurs et gérer ainsi votre déploiement depuis le volet « Services Bureau à distance ».

Vous trouverez ci-après les liens de téléchargements des outils RSAT pour les clients Win7 > Win10:

Outils RSAT pour Windows 10

Outils RSAT pour Windows 8.1

Outils RSAT pour Windows 7

 

Une question intéressante m’a été récemment posée par un de mes clients :

Comment obtenir la liste complètes des Updates Windows installées sur un Windows Server distant ?

Typiquement un serveur distant exécutant Windows Server 2008 R /2012 /2012 R2 ou encore 2016 en mode Core.

Je vous détaille à travers cet article la ligne de code qui vous permet de le faire.

HowTo : Obtenir la liste des Updates Windows d’un serveur distant 

La technique consiste simplement à utiliser une Cmd-Let nommée « Get-Hotfix » en spécifiant le hostname de votre serveur distant au niveau du paramètre -ComputerName.

Dans l’exemple suivant, nous allons obtenir la liste complètes des mises à jour Windows installées sur le serveur Core distant « LABRDS2016 » :

Get-HotFix -ComputerName LABRDS2016 | Select HotfixID, Description, InstalledOn | Sort-Object -Descending

les MàJ Windows installées sur ma machine distante sont affichées dans l’image suivante :

 

Note : pour connaître la liste des rôles et fonctionnalités pris en charge sur Windows Server Core 2008 /2008 R2 /2012 /2012 R2, consultez cet article.

PI : visionnez cette vidéo pour en savoir plus sur la configuration initiale de Windows Server Core 2016

De nouveaux rôles et fonctionnalités sont désormais pris en charge sur Windows Server Core 2016.

Des fonctionnalités supplémentaires peuvent être ajoutées à partir des sources d’installation de Windows Server 2016 : à partir du fichier d’image Windows > fichier .WIM

Je vous détaillerai à travers cet article la liste complète des rôles et fonctionnalités pouvant être déployés sur un Server Core 2016.

Rappel sur le mode « Core », appelé aussi « Installation Minimale » 

Windows Server Core, appelé aussi « Installation Minimale de Windows Server », est un mode d’installation allégé et pourvu d’options d’installations et de configurations minimales.

Il ne s’agit pas d’une nouvelle version mais plutôt d’une simple option d’installation à sélectionner depuis l’’assistant d’installation lors du déploiement de Windows Server 2016.

La particularité du mode « Core » réside également dans l’absence de la couche graphique Windows (absence du Shell Graphique Windows).

Les principales interfaces de gestion et configuration d’un Server Core sont les outils en ligne de commande fournis par défaut avec cette option d’installation, citons :

Invite de commande : CMD.exe

Windows PowerShell : PowerShell.exe

Outil de configuration (natif) du Server Core : SConfig.exe

Il s’agit ici d’outils CLI qui vous permettent de gérer votre Windows Server Core de manière « Interactive ».

L’OS Server en mode « Core » peut également être géré à distance via des outils graphiques : utilisation des outils (snap-in) fournis avec les RSAT (Remote Server Administration Tools).

HowTo : lister les rôles et fonctionnalités disponibles sur Windows Server Core 2016

Ouvrez une Session Windows sur votre Server Core et saisissez la commande suivante pour lancer Windows PowerShell :

Start PowerShell

La console Windows PowerShell apparaît :

Saisissez Get-WindowsFeature depuis la console Windows PowerShell pour lister tous les rôles et fonctionnalités Windows :

PowerShell collecte alors les informations sur les rôles et fonctionnalités Windows et vous retourne le résultat comme montré dans l’image ci-dessus.

Comme vous pouvez le constater, la colonne « Install State » indique le statut du rôle, service de rôle ou fonctionnalité, on distingue 3 statuts :

Available : Le rôle, service de rôle ou fonctionnalité est disponible (ses binaires sont présents sur l’OS) et peut être ajouté /installé

Removed : Le rôle, service de rôle ou fonctionnalité est supprimé (ses binaires ne sont pas présents sur l’OS). Il faut donc ajouter /installer le rôle, service de rôle ou fonctionnalité à partir des sources d’installation de Windows Server 2012 R2 (depuis fichier .wim par exemple)

Installed  : Le rôle, service de rôle ou fonctionnalité est déjà installé (par défaut avec l’installation de Windows Server 2016).

Liste des rôles et fonctionnalités supprimés de Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités dont les binaires sont supprimés par défaut du Server Core :

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Removed »}

 

Liste des rôles et fonctionnalités disponibles (par défaut) sur Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités qui peuvent être être installés sur un Server Core 2016:

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Available »}

Astuce : vous pouvez exporter le résultat retourné par la commande vers un fichier texte ou csv afin de trier les informations collectées et les exploiter par la suite. Pour ce faire, saisissez à la fin de la commande | Out-File C:\ListeRolesFonctionnalites.txt ou Export-CSV C:\ListeRolesFonctionnalites.csv

Liste des rôles et fonctionnalités installées (par défaut) avec Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités qui sont (par défaut) installés avec Windows Server Core 2016:

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Installed »}

Pour conclure:

17 rôle Windows peuvent désormais être installés et exécutés sur Windows Server Core 2016 :

Note importante : certains de services de rôles ne sont pas pris en charge sur un Server Core, il s’agit généralement des services de rôles nécessitant le « Shell Graphique ». E.g : service de rôle RD Session Host (Hôte de la session Bureau à distance) faisant parti du rôle parent « Services Bureau à distance ».

38 fonctionnalités Windows peuvent désormais être installées et exécutées sur Windows Server Core 2016 :

S’applique à : Windows 10 et Windows Server 2016

Remote Credential Guard, qu’est-ce que c’est ?

Le géant américain a lancé l’année dernière le « Credential Guard », une fonctionnalité de sécurité native dans Windows 10 Enterprise et Windows Server 2016. Credential Guard aide à empêcher le vol d’informations d’identification et permet de réduire l’efficacité des attaques Kerberos telles que Overpass-The-Hash et Pass-the-Ticket.

Récemment, avec la publication de la mise à jour « Anniversaire » Windows 10, Microsoft a annoncé la disponibilité du « Remote Credential Guard », une nouvelle fonctionnalité de sécurité qui vise elle aussi à protéger les informations d’identification sur les connexions Bureau à distance en générant des tickets de service nécessaires à partir de la machine source au lieu de copier les informations d’authentification (Haches et TGT) vers la machine cible.

Notez que Remote Credential Guard a été introduite sur Windows 10 version 1607.

Cette fonctionnalité peut être considérée comme le successeur /remplaçant du mode « Restricted Admin ».
En effet, les deux fonctionnalités s’activent et fonctionnent de la même manière, la seule différence réside dans le fait que le Remote Credential Guard ne limite pas l’accès aux autres ressources du réseau en redirigeant de nouveau toutes les demandes d’identifications vers la machine cliente du réseau.

Si vous voulez en savoir plus sur le mode « Restricted Admin », je vous invite à consulter cet article.

Enfin, un article détaillé sur le « Remote Credential Guard » a été rédigé et publié par CyberArk, je vous invite à consulter pour en savoir plus sur cette nouvelle fonctionnalité :
https://www.cyberark.com/blog/no-pass-hash-exploring-limitations-remote-credential-guard/

Prérequis

La fonctionnalité « Remote Credential Guard » est prise en charge par les OS suivants uniquement :

  • OS Server : Windows Server 2016
  • OS Client : Windows 10 (Entreprise)

Vous pouvez donc l’implémenter uniquement pour sécuriser des Connexions Bureau à distance établies depuis et vers les OS cités ci-dessus.

HowTo : Activer ou Désactiver le mode « Remote Credential Guard »

Le mode « Remote Credential Guard » est désactivé par défaut.

Il s’active de la même manière que le mode « Restricted Admin », il suffit donc de créer /ajouter la clé de Registre suivante sur vos machines cibles :

Chemin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Valeur DWORD (32-bits) : DisableRestrictedAdmin

Données de la valeur : 0

Note importante : Cette clé de Registre peut également être crée en exécutant la commande suivante (depuis CMD.exe lancée en tant qu’Admin) :

Reg.exe Add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V DisableRestrictedAdmin /D 0 /T REG_DWORD

Utiliser le mode « Remote Credential Guard »

Une fois activé, le mode « Remote Credential Guard » doit être forcé sur l’ensemble des machines du réseau (cibles) sur lesquelles vous vous connectez via Bureau à distance.

Cette configuration peut être effectuée d’une manière centralisée sur un ensemble de serveurs /postes de travail via GPO, et ce via l’utilisation du paramètre de Stratégie de groupe suivant :

Chemin : Configuration Ordinateur | Stratégies | Modèles d’administration | Système | Délégation d’informations d’identification

Paramètre : Limiter la délégation d’informations d’identification à des serveurs distants

Valeur du paramètre : Activé

Mode restreint : Requérir Credential Guard à distance

Le mode « Remote Credential Guard » ou « Credential Guard à distance » est représenté par un paramètre de l’outil MSTSC.exe et plus précisément le paramètre /remoteGuard, lancez MSTSC /? depuis l’invite de commande (CMD.exe) ou le Menu Démarrer et constatez la disponibilité du mode « /remoteGuard » :

Dans l’exemple suivant, nous allons établir une Connexion Bureau à distance en mode « remoteGuard » sur le serveur distant « LABRDS01 » :


Ceci est un extrait de l’eBook « RDS 2016 – Securisation et Hardening [2ème Edition] »

cover_windowsbkpserver2016

Cet eBook décrit en détail la fonctionnalité « Sauvegarde Windows Server » fournie (par défaut) avec Windows Server 2016.
Il s’agit d’une solution de sauvegarde flexible et puissante qui peut vous aider à bâtir un PRA optimisé (Plan de Reprise d’Activité ou DRP en anglais pour Disaster Recovery Plan) pour rétablir votre environnement de production en cas de problème (perte de données ou crash d’un serveur entier).

Les différentes méthodes de mise en œuvre, configuration et gestion de la solution sont détaillées dans cet eBook, à savoir :

WBAdmin.exe

WBAdmin.msc

Module PowerShell « WindowsServerBackup »

De plus, l’ouvrage repose sur la mise en place d’un projet « Real-World » de mise en œuvre d’une stratégie de sauvegarde à l’aide de la fonctionnalité « Sauvegarde Windows Server » pour protéger deux infrastructures systèmes Windows Server 2016 : Annuaire Active Directory & Infrastructure Applicative RDS
Enfin, plusieurs outils et scripts développés par l’auteur sont fournis avec le présent eBook. Ces derniers peuvent vous aider à accélérer le processus d’implémentation mais aussi vous faciliter la gestion de la solution de sauvegarde au quotidien.

A la fin de cet eBook, vous serez capable de :

Planifier et mettre en place une stratégie de Sauvegarde Windows Server

Créer et configurer des sauvegardes Windows Server

Exécuter les sauvegardes « Manuellement »

Planifier et automatiser l’exécution des sauvegardes

Restaurer les fichiers, dossiers et volumes

Récupérer l’état du système.

Restaurer les données des applications

Créer un rapport de sauvegarde quotidien

Scripter /Automatiser l’implémentation et la gestion de la solution « Sauvegarde Windows Server »

Read & Enjoy :).

 

Le format :: Broché :: est disponible sur Amazon.fr et Amazon.com, cliquez sur l’image ci-après pour en savoir plus :

Amazon_logo

Le format :: eBook [PDF] :: est disponible sur BecomeITExpert.com, cliquez sur l’image ci-après pour en savoir plus :

Logo_BecomeITExpert