Articles Tagués ‘Windows 10’

 

GPO Guys, Hello Again :),

Dans le cadre d’un projet de migration vers Windows Server 2016, une task intéressante faisant partie du plan de migration consistait à convertir toutes les GPOs locales de certains serveurs (en mode WorkGroup) placés en DMZ vers des GPOs de domaine A(ctive) D(irectory).

J’aimerais donc partager avec vous à travers cet article la méthode /outils utilisé pour réaliser cette action, qui n’est malheureusement pas décrite dans les K(nowledge) B(ase) de MS.

Alors comment ça marche ?

Tout d’abord, vous devez faire le listing de toutes les machines ayant des GPOs locales, à transformer en GPOs de domaine.

Téléchargez ensuite l’outil LGPO.exe et placez-le sur toutes les machines Windows ayant des GPOs Locale à récupérer.

LGPO.exe est un outil en ligne de commande très puissant qui vous permet d’accélérer la gestion de vos stratégies de groupes locales (LGPO : Local Group Policy Objects).

Actuellement disponible en V2.0, LGPO.exe prend désormais en charge les MLGPO (Multiple Local Group Policy Objects) ainsi que les valeurs de Registre REG_QWORD 64-bit.

LGPO.exe fait partie du package « Microsoft Security Compliance Toolkit 1.0« .

 

Vous pouvez le télécharger gratuitement ici.

HowTo : Transformer une GPO locale >> GPO de domaine

Dans l’exemple suivant, nous allons convertir une GPO locale, configurée sur un de mes serveurs d’administration et la transformer /migrer vers un domaine Active Directory.

Je vais commencer par placer (via un Copy/Paste) l’outil LGPO.exe sur mon serveur d’administration (l’outil sera placé dans le dossier C:\GPOTools) et je lancerai ensuite l’Invite de Commande (CMD.exe) en tant qu’Administrateur.

Enfin, la commande suivante est exécutée pour faire un Backup de la GPO locale :

LGPO.exe /b C:\LocalGPOs_Backup /n MyLocalGPO

Maintenant que le Package de GPO Locale est généré, lancez l’outil GPMC.msc depuis un Domain Controller ou une machine d’administration ayant les outils RSAT installés et suivez les instructions suivantes :

  • Copiez /Collez le Package de GPO généré précédemment sur votre DC ou Machine d’Administration
  • Faites un clic-droit sur le noeud « Group Policy Objects » (ou Objets de stratégie de groupe si votre OS Server est en FR) et sélectionnez « Import Settings…« 

  • L’assistant d’importation de paramètres GP apparaît, cliquez sur « Next /Suivant » pour continuer
  • Spécifiez l’emplacement de la sauvegarde GPO locale créée précédemment :

  • Vérifiez les informations concernant votre GPO locale et cliquez sur « Next /Suivant » :

  • Une fois les paramètres importés, cliquez sur « Finish » pour lancer /confirmer le processus d’importation au niveau de la GPO de domaine

  • L’assistant vous affiche le statut post-importation des paramètres : Succeeded si l’opération s’est bien déroulée 🙂 :

  • Enfin, vérifiez que les paramètres de votre GPO locale sont bien présents au niveau de la GPO de domaine :

Et voilà le tour est joué :).

HK.

Publicités

Vous découvrez à travers cette vidéo l’outil en ligne de commande « NET.exe » ainsi que les différents modes et contextes dans lesquels vous pouvez l’exécuter.
Pour vous permettre de vous familiariser avec l’outil, les explications sont suivies de plusieurs démonstrations techniques.

N’hésitez pas à « Liker & Partager » cette vidéo et vous abonner à notre chaine YT pour être informé de toute nouvelle vidéo publiée.
Stay in touch :);

A bientôt

HK

 

S’applique à : RDS Windows Server 2012, RDS Windows Server 2012 R2 et RDS Windows Server 2016

Services de rôles RDS pris en charge par Windows Server Core 2016

Plusieurs services de rôles RDS peuvent être hébergés et exécutés sur Windows Server 2016 en mode « Core ». Voir le tableau ci-après :

Service de rôle RDS Supporté sur Server Core
RDCB  
RDLS  
RDSH  
RDVH  
RDWA  
RDG  
pris en charge

 

non pris en charge

 

En outre, Windows Server 2016 « Core » prend en charge tous les agents (graphiques) de Monitoring, Antivirus, Sauvegarde ou encore Sécurité (Encryption de Disk /Files). Vous pouvez donc continuer à inclure vos serveurs RDS en mode Core dans le périmètre de vos solutions d’infrastructures existantes, et ce sans aucun impact.

Pensez donc à privilégier l’utilisation du more « Core » pour vos serveurs Brokers (RDCB) et de Licences (RDLS).

Note importante : depuis Windows Server 2016, il n’est plus possible de Switcher entre les modes « GUI » et « Core ». Vous devez donc déployer vos serveurs RDS en mode Core « From Scratch ». Les serveurs RDS 2016 (existants) qui sont déjà en mode « Graphique » ne peuvent malheureusement être transformés en mode « Core » comme c’était le cas avec Windows Server 2012 et 2012 R2.

Gérer vos serveurs RDS Core à distance

Les serveurs RDS (RDCB et RDLS) exécutant Windows Server 2016 en mode Core peuvent être gérés à distance depuis n’importe quelle machine d’administration ayant les outils RSAT installés. Cela pourrait être une machine cliente (Windows 7, 8/8.1 ou encore Windows 10) ou un serveur d’administration (Windows Server 2008/2008, 2012 /2012 R2 ou encore 2016).

Depuis un Serveur d’Administration

Depuis Windows Server (2008 R2 ou ultérieur), lancez Windows PowerShell et saisissez la commande suivante :

Get-WindowsFeature RSATRDS* | FT –AutoSize

Les outils RSAT dédiés pour la gestion des services de rôles RDS sont retournés

L’outil (Snap-in) RSAT-RDS-Licensing-Diagnosis-UI correspondant à « Outils de diagnostic des licences des services Bureau à distance » vous permet de gérer et diagnostiquer les services de licence RDS à distance.

Quant à l’outil « Gestionnaire de Licence des Services Bureau à distance« , celui-ci vous permettra d’activer votre serveur de Licence RDS, installer, gérer et migrer vos CAL RDS.

Depuis une machine cliente d’Administration

Il est également possible de gérer votre déploiement RDS depuis une machine cliente (Windows 7 ou ultérieur) ayant les outils RSAT installés.

En effet, ces derniers incluent l’outil « Server Manager » qui vous permet de regrouper vos serveurs RDS de déploiement dans le même pool de serveurs et gérer ainsi votre déploiement depuis le volet « Services Bureau à distance ».

Vous trouverez ci-après les liens de téléchargements des outils RSAT pour les clients Win7 > Win10:

Outils RSAT pour Windows 10

Outils RSAT pour Windows 8.1

Outils RSAT pour Windows 7

 

S’applique à : Windows 10 et Windows Server 2016

Remote Credential Guard, qu’est-ce que c’est ?

Le géant américain a lancé l’année dernière le « Credential Guard », une fonctionnalité de sécurité native dans Windows 10 Enterprise et Windows Server 2016. Credential Guard aide à empêcher le vol d’informations d’identification et permet de réduire l’efficacité des attaques Kerberos telles que Overpass-The-Hash et Pass-the-Ticket.

Récemment, avec la publication de la mise à jour « Anniversaire » Windows 10, Microsoft a annoncé la disponibilité du « Remote Credential Guard », une nouvelle fonctionnalité de sécurité qui vise elle aussi à protéger les informations d’identification sur les connexions Bureau à distance en générant des tickets de service nécessaires à partir de la machine source au lieu de copier les informations d’authentification (Haches et TGT) vers la machine cible.

Notez que Remote Credential Guard a été introduite sur Windows 10 version 1607.

Cette fonctionnalité peut être considérée comme le successeur /remplaçant du mode « Restricted Admin ».
En effet, les deux fonctionnalités s’activent et fonctionnent de la même manière, la seule différence réside dans le fait que le Remote Credential Guard ne limite pas l’accès aux autres ressources du réseau en redirigeant de nouveau toutes les demandes d’identifications vers la machine cliente du réseau.

Si vous voulez en savoir plus sur le mode « Restricted Admin », je vous invite à consulter cet article.

Enfin, un article détaillé sur le « Remote Credential Guard » a été rédigé et publié par CyberArk, je vous invite à consulter pour en savoir plus sur cette nouvelle fonctionnalité :
https://www.cyberark.com/blog/no-pass-hash-exploring-limitations-remote-credential-guard/

Prérequis

La fonctionnalité « Remote Credential Guard » est prise en charge par les OS suivants uniquement :

  • OS Server : Windows Server 2016
  • OS Client : Windows 10 (Entreprise)

Vous pouvez donc l’implémenter uniquement pour sécuriser des Connexions Bureau à distance établies depuis et vers les OS cités ci-dessus.

HowTo : Activer ou Désactiver le mode « Remote Credential Guard »

Le mode « Remote Credential Guard » est désactivé par défaut.

Il s’active de la même manière que le mode « Restricted Admin », il suffit donc de créer /ajouter la clé de Registre suivante sur vos machines cibles :

Chemin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Valeur DWORD (32-bits) : DisableRestrictedAdmin

Données de la valeur : 0

Note importante : Cette clé de Registre peut également être crée en exécutant la commande suivante (depuis CMD.exe lancée en tant qu’Admin) :

Reg.exe Add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V DisableRestrictedAdmin /D 0 /T REG_DWORD

Utiliser le mode « Remote Credential Guard »

Une fois activé, le mode « Remote Credential Guard » doit être forcé sur l’ensemble des machines du réseau (cibles) sur lesquelles vous vous connectez via Bureau à distance.

Cette configuration peut être effectuée d’une manière centralisée sur un ensemble de serveurs /postes de travail via GPO, et ce via l’utilisation du paramètre de Stratégie de groupe suivant :

Chemin : Configuration Ordinateur | Stratégies | Modèles d’administration | Système | Délégation d’informations d’identification

Paramètre : Limiter la délégation d’informations d’identification à des serveurs distants

Valeur du paramètre : Activé

Mode restreint : Requérir Credential Guard à distance

Le mode « Remote Credential Guard » ou « Credential Guard à distance » est représenté par un paramètre de l’outil MSTSC.exe et plus précisément le paramètre /remoteGuard, lancez MSTSC /? depuis l’invite de commande (CMD.exe) ou le Menu Démarrer et constatez la disponibilité du mode « /remoteGuard » :

Dans l’exemple suivant, nous allons établir une Connexion Bureau à distance en mode « remoteGuard » sur le serveur distant « LABRDS01 » :


Ceci est un extrait de l’eBook « RDS 2016 – Securisation et Hardening [2ème Edition] »

Bonjour tout le monde,

Aujourd’hui, j’aimerais partager avec vous une astuce concernant Windows PowerShell.

Lors d’une intervention, la question suivante m’a été posée :

Comment cacher la console Windows PowerShell lors de l’exécution d’un script ?

La réponse est la suivante:

PowerShell.exe -WindowStyle Hidden -File D:\MonScriptPS.ps1

Lancez donc Windows PowerShell (en tant qu’Admin) et saisissez la commande ci-dessus en remplaçant D:\MonScriptPS.ps1 par le chemin de votre Script PowerShell.

Si toutefois vous n’avez pas le contrôle sur la manière dont le script est lancé /appelé, vous pouvez rajouter la ligne de code suivante au début de votre script.

Add-Type -Name win -MemberDefinition ‘[DllImport(« user32.dll »)] public static extern bool ShowWindow(int handle, int state);’ -Namespace native [native.win]::ShowWindow(([System.Diagnostics.Process]::GetCurrentProcess() | Get-Process).MainWindowHandle,0)

Save, Run and Enjoy :).

Windows10_Bash

J’aimerais vous annoncer aujourd’hui (aux Dévs en particulier) une nouvelle qui va vous faire plaisir : lors de sa traditionnelle conférence Build, Microsoft a annoncé l’arrivé de « Bash » sous ses OS Windows.

Le géant américain a confirmé que le Bash.exe sera du 100% native, Microsoft a en effet travaillé main dans la main avec Canonical (Ubuntu) pour que tout fonctionne exactement comme sous Linux.
Ce Bash.exe n’est pas une Machine Virtuelle (VM) ni un portage Cygwin mais un vrai Bash comme celui fournit avec les distributions Linux.

L’image ci-haut illustre a quoi ressemble l’exécution du Bash.exe sous le dernier OS client de Microsoft qu’est Windows 10.

Notez que tous les binaires Linux /outils en ligne de commande devraient s’exécuter sous Windows, vous aurez également la possibilité d’en installer de nouveaux via un simple « apt-get install » 🙂

Pour les IT impatients, il va falloir attendre encore un peu, Microsoft confirme la disponibilité du Bash.exe, et ce via le Windows Store.
Votre Windows pourra donc être configuré en mode « Développeur ».

 

BelFiore_WS10

Lancé le mois Juillet 2015 en version PC et Tablette, Windows 10 est désormais disponible en 7 éditions conçues pour répondre aux besoins de différents publics (particuliers, TPE/PME et grand compte) et types de terminaux.

Comme avec Windows 8, les éditions « Consumer-ready » se sont focalisées sur le « PC de Bureau & Mobile » :

  • Windows 10 Home : cette Edition est adaptée aux PCs de Bureaux, PCs Portables, grandes Tablettes et terminaux Hybrides 2-en-1″ destinés au grand public. Elle est livrée avec « Cortana » et « Microsoft Edge », enfin les utilisateurs de Xbox peuvent également continuer à jouer à des « Xbox Live Games » sur des PCs avec Windows 10 Home
  • Windows 10 Mobile : anciennement appelé Windows Phone 8.1, cette Edition s’exécute sur des Smartphones et petite Tablettes (8 pouces et moins), elle permet d’exécuter les Apps Windows 10 et les nouvelles Apps Office optimisées pour les écrans tactiles, enfin elle intègre le mode « Continuum » qui permet de connecter un périphérique Windows 10 Mobile à un écran plus grand afin de l’utiliser comme un PC de Bureau

En ce qui concerne les entreprises, le géant américain propose deux principales Editions, selon la taille de la société :

  • Windows 10 Pro : cette Edition remplace Windows 8 Pro, elle est équivalente à Windows 10 Home mais dotée de plus de fonctionnalités pour les petites et les moyennes Entreprises (TPE/PME)  : Facilité d’intégration dans le Cloud, meilleure protection des données …), enfin cette Edition est taillée pour le BYOD (Bring Your Own Device : Utilisation des Appareils Personnels pour le travail)
  • Windows 10 Entreprise : cette Edition remplace Windows 8 Entreprise, elle est conçue pour les entreprises de tailles importantes. Windows 10 Entreprise inclut des fonctionnalités de sécurité plus robuste que Windows 10 Pro. Enfin, les clients de Microsoft ayant souscrit à un contrat SA (Software Assurance) peuvent désormais migrer vers cette Version /Edition de Windows 10 sans surcoût
  • Windows 10 Mobile Enterprise : Anciennement appelé « Windows Phone for Business »,  Windows 10 Mobile Entreprise est une Edition Entreprise pour les Smartphones et petites Tablettes, elle est disponible également pour les clients ayant des contrats « Licences en Volume », cette Edition offre aux Entreprises plus de fonctionnalités de sécurité de contrôle, mais aussi une meilleure visibilité sur la manière dont les Mises à jour sont déployées.

Enfin, Microsoft a ajouté deux nouvelles Editions, à savoir :

  • Windows 10 Education : destinée aux secteurs [Enseignement – Education – Formation] avec une offre « Académique » de Licence en volume. L’éditeur confirme la possibilité pour les écoles /établissement d’enseignement & étudiants de mettre à niveau leurs machines équipées de Windows 10 Home et Pro vers Windows 10 Education
  • Windows 10 IoT Core : cette Edition semble remplacer « Windows Embedded », elle est conçue pour Terminaux /Objects Connectés (IoT : Internet of Things).