May
30
2013
Nous allons décrire dans ce post quelques one-liners Powershell afin de déterminer qui accède à une machine. Cela en analysant le journal de sécurité grâce au cmdlet Get-EventLog et en affichant les connexions actives grâce à la commande Netstat.
Read more »
Mar
10
2013
Afin de contrôler les processus lancés sur vos clients vous pouvez utiliser des Software Restriction Policies ou des outils comme Applocker ou Bit9. Vous pouvez améliorer la sécurité des processus autorisés sur votre système en activant certaines mesures de protection: DEP, ASLR, SEHOP… L’outil EMET vous permet de définir ces mesures de protection, qui peuvent même éventuellement vous protéger en cas d’attaque via un exploit 0-day.
Read more »
Feb
10
2013
Une fois que des pirates sont en possession des droits administrateur du domaine et ont accès aux contrôleurs de domaine, ils essayent en général de dumper le contenu de la base NTDS (voir chapitre Dumping All The Hashes–ntdsgrab.rb). Ceci afin de cracker les mots de passe de tous les utilisateurs du domaine, c’est ce qui s’est d’ailleurs passé lors de la récente cyberattaque contre le New York Times. Nous allons voir dans ce post comment rendre cette tâche plus difficile à un attaquant en modifiant certains paramètres de sécurité sur nos contrôleurs de domaine.
Read more »
Oct
07
2012
Lors du demote d’un DC (i.e. désinstallation d’ADDS) avec dcpromo.exe nous sommes tombés sur le message d’erreur suivant:
The operation failed because: Managing the network session with dc-srv2.ldap389.local failed. “The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”
Read more »
Aug
26
2011
Cet article décrit comment signer un projet VBA sous Excel avec un certificat issu de votre PKI ADCS. Cette méthode peut s’appliquer pour n’importe quel projet VBA de la suite Office. Vous pouvez lire cette KB et cet article MSDN pour une introduction sur comment signer des projets VBA.
Read more »
Aug
10
2011
Nous allons voir dans ce post comment les préférences des stratégies de groupe (Group Policy Preferences) apportent de nouvelles fonctionnalités dans le mode de traitement par boucle de rappel (loopback processing).
A propos du loopback processing je vous conseille la lecture de cet article en deux parties de 4sysops (partie 1, partie2).
Read more »
Jun
11
2011
Nous allons dans ce post référencer différents cas intéressants que nous avons pu rencontrer lors de l’utilisation de notre principal outil de travail: Les consoles de management MS (MMC) , et oui on ne travaille pas tout le temps avec Powershell…
Nous allons parler DNS (dnsmgmt.msc), GPOs (rsop.msc et gpmc.msc) et finalement utilisateurs et ordinateurs AD (dsa.msc) et voir quels problèmes nous avons pu rencontrer lors de l’utilisation de ces consoles, que ce soit sous AD 2000/2003 et AD 2008.
Read more »
Mar
08
2011
Dans ce post nous allons étudier comment mettre en place des règles pare-feu via GPO avec Windows 2008 Server. Quand vous intallez un composant Windows les ouvertures nécessaires se font automatiquement, pour certaines applications la configuration firewall ad-hoc est appliquée lors de l’installation. Par contre d’autres nécessitent l’ouverture explicite de certains ports, nous allons voir comment importer ces paramètres dans une GPO via la commande netsh advfirewall.
Read more »
Jan
22
2011
Dans ce post nous allons décrire quelques problèmes que vous pouvez rencontrer lors de l’extension de schéma pour Active Directory 2008 ou 2008R2. Les étapes de cette preparation de schéma sont décrites dans ce post de askDS.
Read more »
Nov
26
2010
Afin de changer les permissions sur une GPO vous pouvez utiliser le CmdLet Set-GPPermissions disponible avec les RSAT (import-module grouppolicy). Ce CmdLet ne permet pas de mettre des permissions du type “deny” ou de remplacer directement des permissions. Nous allons voir comment remplacer des permissions à l’aide du Security Descriptor Definition Language qui est utilisé pour éditer les permissions de tous types d’objets (système de fichiers, objets AD…). Pour mieux appréhender ce langage et un outil pour lire le contenu d’une chaine SDDL je vous conseille cet article.
L’opération de remplacement de permission sur une GPO peut servir quand un administrateur d’une OU créé une GPO, il en est alors propriétaire et ne donne pas les droits en contrôle total au groupe d’administration auquel il appartient. Sur notre domaine composé de deux sites, un par OU, nous avons deux types de GPOs: Read more »