Articles Tagués ‘Windows 10’

Image associée

BitLocker : Introduction

BitLocker est une fonctionnalité native dans les OS Windows Client et Server.

Cette Built-in Feature vous permet de chiffrer vos Disks Systèmes et DATA mais aussi vos Disks Amovibles (Removable Devices > eg : USB Key) à l’aide de la fonctionnalité BitLocker ToGo.

Avec BitLocker, vous pouvez donc protéger vos données et vous protéger contre les menaces liées au vol/perte de Laptop.

BitLocker a d’abord été introduit avec le couple Windows Vista/Windows Server 2008. Cette fonctionnalité de sécurité Windows a évoluée dans le temps et a été améliorée avec la sortie de chaque nouvelle version d’OS Windows.

Pour en savoir plus sur BitLocker, je vous invite à consulter cet article.

 

Suis-je Obligé d’utiliser un Module TPM (ou pas) ?

Pour pouvoir chiffrer vos Disks (OS & DATA) à l’aide de BitLocker, Microsoft recommande l’utilisation de ce qu’on appelle un TPM (Trusted Platform Module : Module de Plateforme Sécurisée).

Une puce TPM est un petit contrôleur de sécurité gravé (dès la conception/fabrication de votre Laptop) sur la carte mère, il s’agit d’un mini « HSM (Hardware Security Manager) qui servira de coffre-fort (Key Vault) pour stocker la clé de chiffrement utilisée par BitLocker.

Cette clé de chiffrement utilisée par BitLocker sert à chiffrer (et dé-chiffrer) vos données, elle est ensuite communiquée au lanceur du système seulement si les principaux fichiers de démarrage ne semblent pas avoir été modifiés. L’utilisateur doit ensuite s’authentifier pour démarrer l’OS.

Modes d’Authentification 

Deux modes d’authentifications sont possibles : par code PIN ou par une clé USB contenant une clé valide, ce mode ne nécessite donc pas de puce TPM mais une simple clé USB qui sera nécessaire pour le Boot de la machine.

Il n’est pas recommandé d’utiliser une clé USB (risque de perte/vol de celle-ci !!) pour stocker la clé de chiffrement utilisée par BitLocker. C’est la raison pour laquelle nous allons voir à travers cet article comment Activer BitLocker pour chiffrer vos Disks à l’aide d’un code PIN.

Stay Connected :).

 

Comment puis-je vérifier la présence (ou absence) du module TPM sur mon Laptop ?

Windows 10 est fourni avec un Buil-in Snap-in appelé « TPM Manager /Gestionnaire TPM ».

Cet outil vous permet de configurer et gérer vos modules TPM localement ou à distance.

Il s’agit du Snap-in TPM.msc, accessible depuis une console MMC ou directement depuis le Menu « Démarrer » ou « Exécuté ».

Une fois lancé, TPM Manager vous indique si un module TPM est présent (ou pas) sur votre machine Windows. Dans l’exemple suivant, il est indiqué que le module TPM est prêt à être utilisé, cela veut simplement dire que ma machine est bien équipée d’une puce TPM.

 

HowTo : Activez Bitlocker et sécurisez l’accès à vos OS Disk sans module TPM :).

Suivez les instructions suivantes pour activer BitLocker (avec PIN code) sur votre Laptop Windows 10

Lancez l’outil GPEdit.msc depuis le Menu « Exécuter » (ou Démarrer) :

Développez : Configuration Ordinateur \ Modèles d’Administration \ Composants Windows \ Chiffrement de lecteur BitLocker \ Lecteurs du système d’exploitation

Double-cliquez sur le paramètre « Exiger une authentification supplémentaire au démarrage »

Cliquez sur « Activé » et cochez l’option « Autoriser BitLocker sans un module de plateforme sécurisée compatible (requiert un mot de passe ou une clé de démarrage……USB). Enfin, cliquez sur « Ok » pour valider :

Saisissez un GpUpdate depuis une Invite de Commande (CMD.exe) ou le Menu « Démarré » pour Refresh le moteur des stratégies de groupe local.

Maintenant, rendez-vous dans Panneau de configuration > Chiffrement de lecteur BitLocker :

Au niveau de votre partition système (C:), cliquez sur « Activer BitLocker »

L’assistant suivant apparaît, cliquez sur « Entrer un code confidentiel (recommandé) »

Saisissez votre PIN Code (Je vous recommande l’utilisation d’un code avec 14 et 16 caractères minimum) :

Si toutefois vous oubliez votre code PIN (parce que vous partez en vacances ce soir et que vous revenez que dans un mois :-D), la clé de récupération que vous êtes invité à sauvegarder lors de cette étape vous permettra la récupération/accès à votre PC. Vous aurez compris, il faut l’enregistrer/sauvegarder dans un endroit sûr !

L’assistant vous propose plusieurs options :

  • Enregistrement dans le Cloud (Microsoft bien évidement) : OneDrive doit être configuré au préalable sur votre machine
  • Enregistrement dans un fichier (Texte) : l’assistant refusera l’enregistrement du fichier (clé de récup) sur le même disque à chiffrer, vous devez donc disposez d’au moins deux disques locaux (physiques) attachés à votre machine, un disque dur externe ou une clé USB.
  • Impression de la clé de récupération : WTF !!! à éviter bien évidemment

 

Dans l’exemple suivant, ma clé de récupération sera sauvegardée dans le Cloud (sur mon Onedrive qui est déjà sécurisé et chiffré : Data-in-Transit et At-Rest)

Si vous choisissez l’option « Enregistrement dans un fichier », vous devez simplement sélectionnez un emplacement (externe > ExHDD ou USB Key) et cliquez sur « Enregistrer » :

BitLocker peut chiffrer tout le disque ou uniquement l’espace disque utilisé, le chiffrement de tout le disque risque de prendre plusieurs heures voire des jours s’il s’agit de plusieurs centaines de GigaB ou plusieurs TeraB. Je vous recommande de chiffrer que l’espace disque utilisé :

Comme mentionné dans l’assistant, depuis la v1511 de Windows 10, BitLocker prend en charge un nouveau mode de chiffrement de disque (basé sur du chiffrement par bloc : XTS-AES). Si votre Windows 10 est compatible XTS-AES, je vous recommande l’utilisation de ce mode de chiffrement :

Are You Ready 🙂 ? Si oui, laissez l’option « Exécuter la vérification du système BitLocker » cochée et cliquez sur « Continuer » :

La notification suivante apparaît dans le coin inférieur gauche de votre écran, et vous indiquant que le chiffrement de votre disque démarrera après le reboot de la machine :

Redémarrez votre machine (assurez-vous que tous vos travaux soient enregistrés et fermés 🙂 : document Word ouvert, Mail écrit mais non enregistré/non envoyé…etc) :

Après redémarrage, la fenêtre suivante apparaît, vous pouvez continuer à travailler sur votre machine le temps que BitLocker encrypte votre(vos) Disk(s). Cliquez simplement sur le bouton « Fermer » pour cacher la petite fenêtre « Chiffrement de lecteur BitLocker » :

 

Une fois le disque chiffré, BitLocker retourne le statut suivant :

Enfin, redémarrez votre Ordinateur et notez l’apparition de l’assistant BitLocker au démarrage, vous devez saisir votre PIN Code (configuré précédemment) pour pouvoir démarrer votre OS :).

That’s All :).

J’espère que cette astuce pourra vous être utile. N’attendez plus, commencez à sécuriser vos Laptops/PC de Bureau dès aujourd’hui.

A bientôt,

#HK

Publicités

L’équipe Windows Corp a récemment annoncé (01 Octobre/18) la disponibilité des paramètres de la « Security Configuration Baseline » pour Windows 10 1809 (RS5 > “Redstone 5« ) et Windows Server 2019.

Notez qu’il s’agit ici d’une version « Draft« . La version finale ne devrait pas tarder à arriver. Stay connected, abonnez-vous sur le Blog de MS TechNet

Le contenu de cette « Security Baseline » est disponible en téléchargement à l’URL suivante :

Windows-10-1809-Security-Baseline-DRAFT.zip

 

Contenu de la Security Baseline ?

Le zip file contient plusieurs :

  • GPOs : plusieurs GPOs sont fournies avec le fichier zip téléchargé via le lien ci-dessus. Ces GPOs peuvent être importées directement dans votre environnement Windows.
  • Script PowerShell : des scripts PowerShell sont également fournis avec le fichier zip. Ceux-ci vous permettent d’appliquer directement les GPOs à vos stratégies locales
  • Fichiers ADMX personnalisés
  • Documentations : plusieurs documents techniques intéressants sont disponibles :
    • MS Security Baseline Windows 10 v1809 and Server 2019.xlsx : La liste complète des paramètres applicables à WS 10 1809 et WS Server 2019
    • BaselineDiffs-to-v1809-RS5-DRAFT.xlsx : La liste des paramètres qui sont modifiés entre Windows 10 1803 et Windows 10 1809, et ceux modifiés entre Windows Server 2016 et Windows Server 2019
    • Windows 10 1803 to 1809 New Settings.xlsx : Les nouveaux paramètres introduits avec Windows 10 1809
    • Server 2016 to 2019 New Settings.xlsx : Les nouveaux paramètres introduits avec Windows Server 2019

 

Consultez cet article pour en savoir plus

 

Introduction

Dans le cadre d’un projet de Hardening/Sécurisation d’infrastructures systèmes (Windows Server ou Client), vous pouvez avoir comme exigence « La désactivation des ports USB /Accès aux USB Devices ».

Cela peut concerner sur les serveurs (Physiques ou Virtuels) et/ou Postes de travail.

Pour répondre à cette exigence, Microsoft fourni par défaut dans ses OS (Client & Server) des paramètres de Stratégie de Groupe vous permettant de mettre en place cette restriction.

Alors, comment ça marche ?

Avant l’application de la procédure décrite ci-dessous, Notez que dans l’exemple ci-dessous, mon Laptop (un WS10 > 1803) permet toujours l’accès à mes devices USB :

Maintenant lancez l’outil GPMC.msc si vous souhaitez appliquer cette restriction sur plusieurs machines jointes à un domaine AD, ou GPEdit.msc si vous souhaitez d’abord tester et valider la procédure sur une machine localement.

Développez ensuite :

Configuration Ordinateur > Stratégies > Modèles d’Administration > Système > Accès au stockage amovible > Toutes les classes de stockage amovible : refuser tous les accès

Pour désactiver l’accès aux devices USB, il suffit de cochez « Activé » :

Après application/refresh des stratégies de groupe (GpUpdate /Target:Computer), l’accès aux USB devices (USB Keys, External Disks…etc) devient interdit (accès refusé) :

 

Astuce : Désactiver les ports USB via Script 

La désactivation des ports USB peut également se faire via Script.

Dans l’exemple suivant, un simple script Batch basé sur le Command-Line Tool « REG.exe » vous permet de réaliser cette opération en changeant la valeur de la Clé « Start » et la positionnant à 4 (au lieu de 3).


REM ==== Important : vous devez exécuter le script en tant qu’Administrateur !
REM ===================================================

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\USBSTOR /v Start /t REG_DWORD /d 4 /f


Information utile

Si vous souhaitez ré-activer l’accès aux ports USB, il suffit d’éditer le fichier (Script Batch) et positionnez la valeur de la clé « Start » à 3

 

Téléchargez le script

Ce script est disponible en téléchargement gratuit depuis la Gallery TechNet.

Téléchargez le script ici.

OpenSSH : Un Quick Overview

OpenSSH est une Collection d’utilitaires Client/Server qui vous permettent d’établir des connexions distantes sécurisées, le (Secure) transfert de fichiers à distance ainsi que le Public/Private Key (Pair) Management.

OpenSSH est un outil extrêmement puissant qui a été créé dans le cadre du projet OpenBSD et qui, reste toujours utilisé depuis de nombreuses années dans les écosystèmes BSD, Linux, MacOS et Unix.

Pour en savoir plus sur OpenSSH, je vous invite à consulter cette page.

 

OpenSSH sur Windows 10, Amazing, Non  ^__^ ?

Je ne sais pas si vous êtes au courant, mais Microsoft à introduit (depuis quelques temps déjà :)) une super fonctionnalité (Optional Feature) au niveau de son OS Client « Windows 10 ». Il s’agit du client OpenSSH (Disponible en version « Beta » au moment de l’écriture de ce post).

Donc, si vous étiez jaloux de vos MacOS & Linux Friends, qui peuvent le faire depuis des siècles, eh bien ne le soyez plus :).

Allez, découvrons comment le Built-in OpenSSH Client peut être installé/activé et utilisé sur Windows 10 :).

 

Options d’installation du Client OpenSSH

Le Client OpenSSH peut être installé/activé via différents tools, à savoir :

Windows PowerShell

DISM.exe

Outil « GUI » : Applications et fonctionnalités

Note : l’installation du client OpenSSH nécessite un reboot de la machine !

 

 HowTo : Installer OpenSSH Client via Windows PowerShell

Pour installer/activer le client OpenSSH via PowerShell, lancez la console PowerShell (en tant qu’Admin) et saisissez la commande suivante :

Add-WindowsCapability –Online –Name OpenSSH.Client~~~~0.0.1.0

Tip : pour supprimer le client OpenSSH via Windows PowerShell, exécutez la commande suivante :

Note : un reboot post-suppression du client OpenSSH est également requis !

 

 HowTo : Installer OpenSSH Client via l’outil DISM.exe

L’outil DISM.exe (Deployment Image Servicing and Management) peut également être utilisé pour installer le client OpenSSH.

Pour ce faire, exécutez la commande suivante depuis une Invite de commande (CMD.exe) ou console PowerShell lancée en tant qu’Admin :

DISM /Online /Add-Capability /CapabilityName:OpenSSH.Client~~~~0.0.1.0

Vous êtes invité à redémarrer votre machine pour que l’install soit prise en compte.

Tip : pour supprimer le client OpenSSH via l’outil DISM, exécutez la commande suivante :

DISM /Online /Remove-Capability /CapabilityName:OpenSSH.Client~~~~0.0.1.0

 

 HowTo : Installer OpenSSH Client via la console « Paramètres Windows > Applications et fonctionnalités »

Depuis l’application « Paramètres Windows« , saisissez « Applications.. », localisez et cliquez sur « Applications et fonctionnalités »

La fenêtre suivante apparaît, cliquez sur « Gérer les fonctionnalités facultatives » :

Enfin, cliquez sur « Ajouter une fonctionnalité« , cherchez et localisez le client OpenSSH sur la liste et enfin, cliquez sur « Installer » pour l’activer sur votre machine.

Tip : la console « Applications et Fonctionnalités » peut être accessible directement depuis le « Search Menu » ou « Menu Exécuter » en saisissant la commande suivante :

ms-settings:appsfeatures


Check post-installation du Client OpenSSH

Vous pouvez utiliser les techniques ci-dessous pour vérifier que le client OpenSSH a bien été installé

Check depuis Windows PowerShell

Exécutez la commande suivante :

Get-WindowsCapability -Online | ? Name -like 'OpenSSH.Client'

Check depuis DISM

Exécutez la commande suivante :

DISM /Online /Get-CapabilityInfo /CapabilityName:"OpenSSH.Client~~~~0.0.1.0"

Le résultat suivant vous est retourné normalement :

Check depuis la console « Applications et Fonctionnalités »

Depuis la console « Gérer les fonctionnalités facultatives« , vérifiez que le client OpenSSH (Beta) fasse bien parti de la liste des Features installées :

 

HowTo : se connecter à l’aide du client OpenSSH Windows 10

Une fois installé, il suffit de saisir SSH suivi du nom d’utilisateur @ nom ou adresse IP du serveur distant pour se connecter via le client OpenSSH.

Dans l’exemple suivant, nous établissons une connexion sur l’hôte 10.100.10.10 en utilisant un compte utilisateur local nommé « hkroo » (déclaré sur la machine/serveur SSH distant) :

SSH hkroot@10.100.10.10

Cette commande peut être exécutée depuis l’Invite de commande ou une console Windows PowerShell (lancée en tant qu’Administrateur).

Note : si vous devez établir une connexion SSH à l’aide d’un compte faisant parti d’un domaine AD (hkadmin du domaine hklab.lan dans l’exemple suivant), la syntaxe devient la suivante :

SSH hkadmin@hklab@10.100.10.10

 

OpenSSH, toujours en version Beta (au 05/05/2018)

Comme vous avez pu le constater, le Client et Server OpenSSH sont toujours en mode « Beta Release » (au moment de la publication du présent post), il n’est donc pas recommandé de déployer cette Feature dans vos environnements de Production.

D’ailleurs, n’hésitez pas à remonter vos feedbacks /remarks /comments à MS si vous souhaitez contribuer à l’amélioration/évolution de cette super fonctionnalité :).

A bientôt

#HK

 

Le planificateur de tâches Windows vous permet de créer et gérer des tâches planifiées afin d’automatiser les tâches fastidieuses d’administration Windows (periodic check, lancement de scripts pour déploiement, configuration, …Etc)

Certaines applications crééent de manière automatique des tâches planifiées pour un « Automatic Update » ou simplement réaliser certaines opérations liées à l’application de manière périodique.

Le planificateur de tâches Windows correspond à l’outil/snap-in MMC Taskschd.msc

Pour le lancer, saisissez simplement Taskchd.msc depuis le Menu Exécuter ou Menu Démarré

Dans l’exemple suivant, mon planificateur de tâches contient des tâches « auto-générées » par une Application présente sur mon OS Server (Optimize Start ****), mais aussi deux autres créées « manuellement » : reboot & Update check

Si vous souhaitez migrer votre plateforme Windows Server (2008 R2 ou ultérieur) vers un nouveau matériel (New Hardware) ou nouvelle VM, le planificateur de tâches vous offre la possibilité de migrer (exporter) vos tâches planifiées une par une, si vous en avez 100 ou 200 tâches planifiées … vous devriez donc les exporter à la main, une par un … 😦

HowTo : migrer toutes vos tâches planifiées en une seule opération 🙂

La migration des tâches planifiées d’un serveur à un autre est assez simple.

Il faut savoir que « par défaut », toute tâche planifiée créée est automatiquement placée dans le dossier suivant :

C:\Windows\System32\Tasks

Si je reprends l’exemple précédent, mes tâches planifiées « Optimize Start… » ainsi que « Reboot & Update check » sont donc bien présentes dans C:\Windows\System32\Tasks, voir Screenshot ci-dessous :

Pour les migrer vers un nouveau serveur (Physique ou Virtuel), il suffit de copier le dossier C:\Windows\System32\Tasks et copier son contenu et le coller dans le même dossier du nouveau Serveur.
Et voilà le tour est joué :).

Microsoft vient de publier les Modèles d’Administrations/Administratives Templates (ADMX, ADML) AD pour Windows 10 {1709} Creator Updates. Téléchargez-les dès maintenant en cliquant sur le lien ci-dessous

Le fichier téléchargé (MSI file) inclut les modèles d’administration publiés pour Windows 10 (Fall Creators Update « 1709 »), dans les langues suivantes :

  • cs-CZ Czech – Czech Republic
  • da-DK Danish – Denmark
  • de-DE German – Germany
  • el-GR Greek – Greece
  • en-US English – United States
  • es-ES Spanish – Spain
  • fi-FL Finnish – Finland
  • fr-FR French – France
  • hu-HU Hungarian – Hungary
  • it-IT Italian – Italy
  • ja-JP Japanese – Japan
  • ko-KR Korean – Korea
  • nb-NO Norwegian (Bokmål) – Norway
  • nl-NL Dutch – The Netherlands
  • pl-PL Polish – Poland
  • pt-BR Portuguese – Brazil
  • pt-PT Portuguese – Portugal
  • ru-RU Russian – Russia
  • sv-SE Swedish – Sweden
  • zh-CN Chinese – China
  • zh-TW Chinese – Taiwan

 

Enfin, notez les prérequis (OS Requirement) suivants :

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Server 2016
  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows Server 2008 R2
S’applique à : Windows Vista, Windows 7/8/8.1, Windows 10, Windows Server 2008/2008 R2, Windows Server 2012/2012 R2, Windows Server 2016
A noter que certains paramètres et instructions ne sont disponibles que sur les dernières versions de Windows Server et Windows Client, e.i Windows 10 - Windows Server 2016. lancer MSG.exe /? dan un premier temps pour obtenir la liste des paramètres disponibles

 

Introduction

WhoAmI.exe est un outil en ligne de commande natif dans les systèmes d’exploitation Windows Server et Windows Client.

Il vous permet de lister tous les privilèges et groupes d’appartenance de l’utilisateur connecté actuellement (de manière interactive) sur une Session Windows. WhoAmi.exe permet également de collecter les informations telles que le FQDN /UPN ou encore LOGONID de l’utilisateur connecté.

S’il est utilisé/exécuté sans aucun paramètre, WhoAmi.exe affichera le nom de l’utilisateur connecté actuellement et son domaine d’appartenance (au format NTML Domaine\Nom_Utilisateur) ou le nom du Groupe de travail (WorkGroup) si la machine n’est pas intégrée dans un domaine Active Directory.

Syntaxe

L’outil WhoAmi.exe peut être utilisé sous trois modes différents (trois syntaxes), à savoir

Sysntaxe 1 :

WHOAMI [/UPN | /FQDN | /LOGONID]

/UPN | Affiche le nom d’utilisateur au format UPN (nom d’utilisateur principal).
/FQDN |  Affiche le nom d’utilisateur au format FQDN (nom de domaine pleinement qualifié).
/LOGONID | Affiche l’ID de connexion de l’utilisateur actuel.

LIRE LA SUITE...