Le planificateur de tâches Windows vous permet de créer et gérer des tâches planifiées afin d’automatiser les tâches fastidieuses d’administration Windows (periodic check, lancement de scripts pour déploiement, configuration, …Etc)

Certaines applications crééent de manière automatique des tâches planifiées pour un « Automatic Update » ou simplement réaliser certaines opérations liées à l’application de manière périodique.

Le planificateur de tâches Windows correspond à l’outil/snap-in MMC Taskschd.msc

Pour le lancer, saisissez simplement Taskchd.msc depuis le Menu Exécuter ou Menu Démarré

Dans l’exemple suivant, mon planificateur de tâches contient des tâches « auto-générées » par une Application présente sur mon OS Server (Optimize Start ****), mais aussi deux autres créées « manuellement » : reboot & Update check

Si vous souhaitez migrer votre plateforme Windows Server (2008 R2 ou ultérieur) vers un nouveau matériel (New Hardware) ou nouvelle VM, le planificateur de tâches vous offre la possibilité de migrer (exporter) vos tâches planifiées une par une, si vous en avez 100 ou 200 tâches planifiées … vous devriez donc les exporter à la main, une par un … 😦

HowTo : migrer toutes vos tâches planifiées en une seule opération 🙂

La migration des tâches planifiées d’un serveur à un autre est assez simple.

Il faut savoir que « par défaut », toute tâche planifiée créée est automatiquement placée dans le dossier suivant :

C:\Windows\System32\Tasks

Si je reprends l’exemple précédent, mes tâches planifiées « Optimize Start… » ainsi que « Reboot & Update check » sont donc bien présentes dans C:\Windows\System32\Tasks, voir Screenshot ci-dessous :

Pour les migrer vers un nouveau serveur (Physique ou Virtuel), il suffit de copier le dossier C:\Windows\System32\Tasks et copier son contenu et le coller dans le même dossier du nouveau Serveur.
Et voilà le tour est joué :).

Publicités

Vous êtes clients Microsoft Azure ? Alors ce post est un « Must-Read » :

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

 

Hello Azure (Classic :D) Guys,

Microsoft a publié le 06 Décembre une Update pour annoncer la suppression « définitive » du Portail Azure « Classic », le 08 Janvier 2018.

D’ailleurs, si vous vous connectez sur le Portail Azure Classic (https://manage.windowsazure.com), vous constaterez l’apparition du message /alerte suivante « Avis de suppression du portail classic Azure » :

BUT, do not worry :).

Toutes vos ressources /services déployés en mode ASM (Azure Service Manager) seront automatiquement migrés vers le nouveau Portail (https://portal.azure.com), MS s’en occupe, donc transparence totale pour les « Cloud Consumers » :).

En attendant, commencez à découvrir toutes les nouvelles features, options et services introduits avec le nouveau Portail Azure.

Ci-après quelques liens utiles que je vous invite à consulter pour prendre en main le nouveau modèle de déploiement Azure et ses différents outils d’automatisation (e.g : Az PS, Az CLI ..etc)

Démarrer avec Azure (ARM)

Découvrez l’interface Azure CLI

Découvrez Azure Cloud Shell 

Découvrez Azure PowerShell

 

Depuis quelques jours, l’équipe Azure Corp a publié deux nouvelles Updates sur le (New) Portail Azure (https;//portal.azure.com). Une fois connecté, celles-ci sont affichées et disponibles au niveau de la Barre de « Notifications » :

La première concerne la prise en charge de SQL Ops Studio par le service Azure SQL Data Warehouse et la deuxième concerne l’interface en ligne de commande Azure (Azure CLI), c’est plutôt cette Update qui va nous intéresser :).

 

Comme indiqué dans le message, il faut bien noter qu’à partir de Décembre 2017 :

Azure CLI (en version 2.0) sera l’outil CLI (Command Line Interface) préféré/privilégié pour la gestion des ressources ARM (Azure Resource Manager)

Quant à Azure CLI (en version 1.0), il prendra uniquement en charge les ressources ASM (Azure Service Manager)

Enfin, vous pouvez imaginer le couple « d’Azure Management Tools » suivants :

ASM : CLI (Azure CLI 1.0) + Portail Web « Classic » (manage.windowsazure.com)

ARM : CLI (Azure CLI 2.0) + Portail Web « New » (portal.azure.com)

Avant de déployer vos serveurs Windows Server 2016, je vous invite à consulter la Checklist ci-dessous.

Celle-ci contient + de 70 paramètres de sécurité & hardening Windows vous permettant de mieux protéger et sécuriser vos plateformes Windows Server 2016.

Note : 90% des paramètres /options listés ci-après d’applique également à Windows Server 2012 R2/2012 mais aussi 2008 R2/2008.

 

Informations techniques
Nom du serveur  
Adresse MAC
Adresse IP
Masque de sous-réseau
Passerelle par défaut
Serveur DNS #1
Serveur DNS #2
Compte Administrateur local
VM (Oui /Non) Si Physique, Asset TAG :
RAM
CPU
Nombre de Disques /vDisques
Configuration RAID
LAN /VLAN
Date
Checklist
Etape Action Statut Commentaire
  Préparation & Installation
1 Si nouvelle installation, isoler le serveur du réseau jusqu’à ce qu’il soit protégé et sécurisé (voir sections suivantes)
2 Utiliser l’Assistant Configuration de la Sécurité (SCW : Security Configuration Wizard) pour créer et configurer une stratégie de sécurité à appliquer sur le serveur.
  Services Packs & Correctifs
3 Installer les derniers Services Packs et correctifs depuis Microsoft Windows Update (ou WSUS : Windows Server Update Services)
4 Configurer les notifications automatiques de la disponibilité des mises à jour et correctifs
  Stratégies de comptes utilisateurs
5 Définir une longueur minimale du mot de passe
6 Définir les exigences de complexité du mot de passe
7 Ne pas enregistrer les mots de passe en utilisant un chiffrement réversible
8 Définir un seuil et une durée de verrouillage des comptes
  Attribution des droits utilisateurs
9 Autoriser l’accès au serveur à partir du réseau aux administrateurs et aux utilisateurs authentifiés uniquement
10 Ne pas attribuer le droit « Agir en tant que partie du système d’exploitation » aux utilisateurs standards
11 Autoriser l’ouverture de session locale aux Administrateurs uniquement
12 Refuser le droit « Ouvrir une session en tant que Service » aux utilisateurs invités, et ce localement ou à distance via Connexion Bureau à distance.
Paramètres de sécurité
13 Configurer un message d’avertissement à afficher lors de la tentative d’ouverture de Session. Celui-ci doit indiquer que l’accès au serveur est réservé aux personnes habilitées.
14 Ne pas autoriser les utilisateurs du réseau à créer et ouvrir une session à l’aide d’un compte Microsoft
15 Désactiver le compte « Invité »
16 Requérir la combinaison de touches Ctrl+Alt+Suppr pour les ouvertures de session interactives
17 Configurer la limite d’inactivité du serveur pour protéger les sessions interactives
18 Configurer le Client réseau Microsoft pour signer les communications numériquement (toujours)
19 Configurer le Client réseau Microsoft pour signer les communications numériquement (lorsque le serveur l’accepte)
20 Configurer le Serveur réseau Microsoft pour signer les communications numériquement (toujours)
21 Configurer le Serveur réseau Microsoft pour signer les communications numériquement (lorsque les clients l’acceptent)
22 Désactiver l’envoi de mots de passe non chiffrés à des serveurs SMB tiers
  Paramètres des journaux d’événements
23 Configurer une Taille maximale des journaux d’événements
24 Configurer une Méthode de conversation des journaux d’événements
25 Configurer une Durée de stockage des journaux d’événements
26 Configurer l’envoi de journaux
  Contrôles d’Accès au réseau
27 Désactiver la traduction de noms/SID anonymes
28 Ne pas autoriser l’énumération anonyme des comptes SAM et partages réseau
29 Ne pas attribuer et appliquer de permissions « Tout le monde » aux utilisateurs anonymes
30 Ne pas autoriser les canaux nommés qui sont accessibles de manière anonyme
31 Restreindre l’accès anonyme aux canaux nommés et partages
32 Ne pas autoriser l’accès aux partages réseau de manière anonyme
33 Requérir le partage « Classique » et Modèle de sécurité pour les comptes locaux
  Paramètres de Sécurité : Réseau
34 Autoriser « Système Local » à utiliser l’identité de l’ordinateur pour NTLM
35 Désactiver le recours session Local système NULL
36 Configurer les types de cryptage autorisés pour Kerberos
37 Ne pas stocker de valeurs de hachage de niveau LAN Manager
38 Configurer le niveau d’authentification LAN Manager pour autoriser NTLMv2 et refuser LM & NTLM
39 Activer le Pare-feu Windows sur les trois profils : Domaine – Privé – Public
40 Configurer le Pare-feu Windows pour bloquer tout traffic entrant sur les trois profils
  Paramètres de Sécurité : Connexions Bureau à distance
41 Activer l’authentification au niveau du réseau (NLA : Network Level Authentication)
42 Utiliser le niveau de chiffrement « Elevé » afin de protéger les données RDP à l’aide d’un chiffrement renforcé sur 128 bits
43 Configurer un certificat SSL sur le serveur et forcer l’utilisation de la couche de sécurité « SSL »
44 Toujours demander le mot de passe à la connexion
45 Configurer une Passerelle RDS pour gérer les accès depuis l’extérieur.
46 Si possible, forcer l’utilisation de l’authentification forte (e.i carte à puce)
47 Activer la fonctionnalité « Remote CredentialGuard »
  Paramètres de Sécurité : Serveur Membre du domaine AD
48 Chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
49 Chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
50 Signer numériquement les données des canaux sécurisés (lorsque cela est possible)
51 Exiger les clés de sessions fortes (Windows 2000 ou ultérieur)
52 Configurer le nombre de demandes d’ouverture de session précédentes à mettre en cache
  Paramètres de Stratégies d’Audit
53 Auditer les événements d’ouverture de session sur un compte
54 Auditer la gestion des comptes utilisateur
55 Auditer les ouvertures et fermetures de sessions
56 Auditer les changements de stratégie
57 Auditer l’utilisation des privilèges
  Paramètres de sécurité : OS
58 Si possible, convertir le serveur en mode « Core »
59 Désinstaller ou désactiver les services non utilisés
60 Désinstaller ou supprimer (binaires) tous les rôles et fonctionnalités non utilisés
61 Fermer tous les ports non utilisés
62 Supprimer ou désactiver les comptes utilisateurs non utilisés
63 Restreindre au maximum les droits aux utilisateurs du réseau
64 Vérifier que tous les volumes utilisent le système de fichier « NTFS »
65 Configurer les permissions au niveau du Registre
66 Si possible, désactiver l’accès distant au Registre
67 Installer et activer un anti-virus & anti-spyware
68 Configurer l’anti-virus & anti-spyware pour se mettre à jour automatiquement
69 Configurer la date & heure système, synchroniser ensuite l’horloge avec un serveur de temps (Serveur NTP : Network Time Protocol)
70 Si possible, activer le chiffrement de lecteur BitLocker
  Sécurité Physique
71 Protéger l’accès au BIOS à l’aide d’un mot de passe
72 Protéger l’accès aux consoles de gestion (e.i console iLO) à l’aide d’un mot de passe
73 Ne pas autoriser l’arrêt du système sans avoir ouvert de session Windows
74 Configurer l’ordre de boot pour éviter tout démarrage d’un média non autorisé
75 Configurer un écran de veille pour verrouiller l’écran (affichage) après un certain temps d’inactivité
  Informations additionnelles
76 Utiliser l’outil MBSA (Microsoft Baseline Security Analyzer) pour analyser et auditer la sécurité de votre serveur

 

Télécharger ce document (format PDF)

Cette Checklist est disponible (format PDF) en téléchargement gratuit depuis la Gallery TechNet.

Vous pouvez download le document ici.

Bonne lecture.

Vos feedbacks sont les bienvenus :).

#HK

 

Useful Info : Si vous n’avez pas encore consulté les 4 premiers HowTo Azure CLI 2.0, ceux-ci sont disponibles aux URLs ci-après:

HowTo #N°1 : Connecter l’interface Azure CLI 2.0 à votre abonnement Azure

HowTo #N°2 : Créer et gérer les groupes de ressources Azure

HowTo #N°3 Créer et gérer les réseaux virtuels Azure (VNET : Virtual Network)

HowTo #N°4 Créer et gérer les Machines Virtuelles Azure (Azure VM)

 

Introduction 

Pour pouvoir suivre votre utilisation/consommation Azure et consulter vos factures, Microsoft fournis différents outils (Graphique & CLI) pour consulter et gérer cette partie facturation (Billing) Azure de manière efficace.

Trois principaux outils vous permettent aujourd’hui de gérer la facturation Azure :

Le nouveau portail Azure : portal.azure.com

Windows PowerShell : utilisation du module PS Azure

Azure CLI 2.0 : via l’utilisation de la commande az billing

Nous allons découvrir à travers cet article la troisième méthode qu’est l’utilisation de l’interface Azure CLI 2.0

Alors comment ça marche ?
#1. Gestion de la facturation Azure

Saisissez az billing -h pour en savoir plus sur les sous-commandes disponibles :

Comme illustré dans la screenshot ci-dessus, deux sous-commandes sont disponibles :

az billing invoice : vous permet d’obtenir les factures pour votre abonnement Azure

az billing period : vous permet d’obtenir les périodes de facturations pour votre abonnement Azure

 

Pour lister toutes les factures disponibles pour votre abonnement Azure, saisissez la commande suivante :

az billing invoice list –out table

Si vous souhaitez télécharger une ou plusieurs factures, vous devez d’abord générer leur URL de téléchargement, pour ce faire, l’une des deux commandes ci-dessous est utilisée :

az billing invoice list –generate-download-url –out jsonc

ou

az billing invoice list -d –out jsonc

Astuce : Vous avez pu constater que la valeur du paramètre –output n’est pas « table » cette fois-ci, car ce format de sorti n’est pas supporté avec le paramètre -d (ou –generate-download-url). En effet, si vous exécutez la même commande en spécifiant –out table, les URL de téléchargement ne sont pas retournées, voir capture d’écran ci-dessous:

 

Pour afficher plus de détails sur une facture spécifique, exécutez la commande suivante :

az billing invoice show -n Nom_Facture –out table

Dans l’exemple suivant la facture  « 201712-417363190482647 » est appelée, la commande suivante est donc exécutée :

az billing invoice show -n 201712-417363190482647 –out table

Si vous souhaitez télécharger une facture spécifique (201712-417363190482647 dans l’exemple suivant), la commande suivante est utilisée (remplacement de la valeur du paramètre –output par jsonc):

az billing invoice show -n 201712-417363190482647 –out jsonc

Notez ensuite la valeur du paramètre « URL« :

Enfin, il suffit de copier l’URL « https://billinginsightsstore02.blog.core.windows.net/invoice/XXXXXXX » et la coller directement dans barre l’adresse de votre navigateur Web pour accéder à la facture (format PDF) :

#2. Gestion des périodes de facturation

Pour lister cette fois-ci les périodes de facturation, la commande suivante est à exécuter :

az billing period list –out table

Pour afficher plus de détails sur une période de facturation spécifique, exécutez la commande suivante en spécifiant le nom de la période :

az billing period -n 201801-1 –out table 

Le HowTo N°6 est en cours de finalisation, donc restez connectés :).

#HK

 

Introduction à l’outil CLI « APPCMD.exe »

AppCmd.exe est un Outil en ligne de commande (CLI) fourni avec le rôle Windows Server « IIS ».

C’est un outil d’administration très puissant qui vous permet (entre autres) de :

Créer, configurer et gérer des Sites IIS

Créer, configurer et gérer des Applis et Pools d’Applications IIS

Créer, configurer et gérer des Virtual Directories (Répertoire virtuels IIS)

Démarrer, arrête et recycler les Pools d’application

Afficher/Visualiser des informations sur les Worker Process

…Etc

Pour finir, AppCmd.exe vous permet non seulement de réaliser toutes les tâches d’administration classiques que vous pouvez effectuer depuis l’outil graphique IIS Manager (InetMgr.exe) mais aussi d’industrialiser /d’automatiser à l’aide de scripts Bat(ch) toute tâche d’administration /configuration fastidieuse et répétitive.

 

Définir le chemin par défaut d’AppCmd.exe

Les Best Practices IIS consistent à définir (forcer) le chemin by default de l’outil AppCmd.exe au niveau de la %var% d’environnement %PATH%, cette opération vous faciltera l’utilisation de l’outil car vous pourrez l’appeler depuis n’importe quel CMD Folder et vous n’aurez donc plus à faire du CD (Change Directory) à chaque fois que vous souhaitez appeler /lancer AppCmd.exe

Pour ce faire, la commande ci-dessous est à exécuter sur tous les serveurs IIS Server faisant parti de votre infrastructure système MS (Windows Server 2008 et ultérieur).

SETX PATH « %PATH%;%WINDIR%\System32\inetsrv » /M

Saisissez ensuite la commande suivante pour vérifier que la valeur de la variable %PATH% a bien été Updatée :

Echo %PATH%

Vous pouvez également vérifier le contenu de la variable %PATH% depuis les propriétés systèmes du serveur IIS > Variables d’environnement

Et voilà le tour est joué :).

Stay Connected, plusieurs HowTo IIS sont en cours de préparation.

N’hésitez pas à vous abonner à mon Blog pour rester informé de toute nouvelle publication ^^

See you soon.

#HK