Archives de la catégorie ‘Windows Tips & Tricks’

 

Plusieurs modifications ont été apportées aux rôles, services de rôles et fonctionnalités de Windows Server 2019.

Avant la sortie officielle de Windows Server 2019 (le 02 Octobre 2018), l’équipe Windows Server Corp a mis à jour la liste des rôles/service de rôles et fonctionnalités ayant été modifiés par rapport à Windows Server 2016.

Cette liste (complète) est disponible à cet URL.

Je vais vous lister quelques « Major Changes » à travers cet article.

Nouveaux Rôles 

Pas de nouveaux rôles !

Nouveaux Services de Rôles

Pas de nouveaux services de rôle !

Rôles Supprimés

Les deux rôles suivants ont été supprimés de Windows Server 2019 :

MultiPoint Services

Expérience Windows Server Essentials 

 

Services de Rôles supprimés

Seul le service de rôle suivant a été supprimé (Fonctionnalité de Scan Management). Il a été introduit avec WS Server 2008 R2, mais n’a pas connu beaucoup de succès, de plus pas beaucoup de devices sont compatibles avec cette Windows Feature, MS a donc décidé d’arrêter le développement de ce service de rôle.

Serveur de numérisation distribuée

 

Fonctionnalités Modifiées

Les deux fonctionnalités Windows Server suivantes ont été modifées suite à l’évolution de version :

ASP.NET 4.7 au lieu de ASP.NET 4.6

Extensibilité .NET 4.7 au lieu de Extensibilité .NET 4.6

 

Publicités

 

Introduction

Dans le cadre d’un projet de Hardening/Sécurisation d’infrastructures systèmes (Windows Server ou Client), vous pouvez avoir comme exigence « La désactivation des ports USB /Accès aux USB Devices ».

Cela peut concerner sur les serveurs (Physiques ou Virtuels) et/ou Postes de travail.

Pour répondre à cette exigence, Microsoft fourni par défaut dans ses OS (Client & Server) des paramètres de Stratégie de Groupe vous permettant de mettre en place cette restriction.

Alors, comment ça marche ?

Avant l’application de la procédure décrite ci-dessous, Notez que dans l’exemple ci-dessous, mon Laptop (un WS10 > 1803) permet toujours l’accès à mes devices USB :

Maintenant lancez l’outil GPMC.msc si vous souhaitez appliquer cette restriction sur plusieurs machines jointes à un domaine AD, ou GPEdit.msc si vous souhaitez d’abord tester et valider la procédure sur une machine localement.

Développez ensuite :

Configuration Ordinateur > Stratégies > Modèles d’Administration > Système > Accès au stockage amovible > Toutes les classes de stockage amovible : refuser tous les accès

Pour désactiver l’accès aux devices USB, il suffit de cochez « Activé » :

Après application/refresh des stratégies de groupe (GpUpdate /Target:Computer), l’accès aux USB devices (USB Keys, External Disks…etc) devient interdit (accès refusé) :

 

Astuce : Désactiver les ports USB via Script 

La désactivation des ports USB peut également se faire via Script.

Dans l’exemple suivant, un simple script Batch basé sur le Command-Line Tool « REG.exe » vous permet de réaliser cette opération en changeant la valeur de la Clé « Start » et la positionnant à 4 (au lieu de 3).


REM ==== Important : vous devez exécuter le script en tant qu’Administrateur !
REM ===================================================

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f


Information utile

Si vous souhaitez ré-activer l’accès aux ports USB, il suffit d’éditer le fichier (Script Batch) et positionnez la valeur de la clé « Start » à 3

 

Téléchargez le script

Ce script est disponible en téléchargement gratuit depuis la Gallery TechNet.

Téléchargez le script ici.

 

J’ai récemment réalisé un audit de plusieurs infrastructures Windows Server « Core ».

J’ai constaté que la Corbeille ($RecycleBin) de plusieurs dizaines de serveurs Windows Server Core (de 2008 à 2016) occupait + de 5 GB d’espace disque.

Il s’agit ici de Disque physique : matériel non supporté > pas d’extension de volume possible !

Pour vider la corbeille et libérer cet espace disque, il fallait exécuter la commande suivante :

Note importante : La commande suivante doit être exécutée depuis une CMD.exe lancée en tant qu’Admin, si vous établissez une connexion Remote Shell Windows (WinRS), vérifiez que le compte utilisé est bien local Admin sur les machines distantes.

rmdir /s %systemdrive%\$Recycle.bin

Confirmez la suppression en cliquant sur Y(es) et voilà le tour est joué :).

J’espère que cette p’tite commande pourra vous être utile ^_^.

A bientôt

#HK