FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Configurer le RDP par GPO : activer l’accès, port par défaut, règle de pare-feu

24 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer le RDP (Bureau à distance) par GPO pour permettre la connexion, modifier le port par défaut et configurer le pare-feu de Windows.

Dans un précédent tutoriel, nous avons vu comment modifier le port par défaut du RDP manuellement sur une machine Windows. Aujourd'hui, nous allons aller un peu plus loin et le faire par GPO pour permettre un déploiement sur un ensemble de postes.

Pour ce tutoriel, je vais utiliser un contrôleur de domaine Active Directory et un poste client sous Windows 11, mais cela fonctionne aussi pour Windows 10 ou d'autres versions de Windows / Windows Server.

II. Activer le RDP par GPO

Pour commencer, nous devons activer le RDP par GPO sur notre machine Windows car l'accès est désactivé par défaut.

Créez une nouvelle GPO via la console "Gestion de stratégie de groupe". Pour ma part, je vais créer la GPO "Configurer RDP" : je vais utiliser cette GPO tout au long de ce tutoriel. Modifiez la GPO.

Pour trouver le paramètre qui permet d'activer le Bureau à distance, parcourez l'arborescence de cette façon :

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Services bureau à distance > Hôte de la session Bureau à distance > Connexions

Le chemin est long, mais il est contient un paramètre qui m'intéresse :

Autoriser les utilisateurs à se connecter à distance à l'aide des services Bureau à distance

Je vous invite à modifier ce paramètre pour le basculer sur l'état "Activé".

GPO - Activer l'accès RDP
GPO - Activer l'accès RDP

La GPO est prête pour cette première étape ! D'ailleurs, si vous mettez à jour les GPO (gpupdate /force) sur une machine sur laquelle s'applique la GPO de configuration du RDP, vous pouvez voir que le bureau à distance est actif. C'est bien la GPO qui a réalisé ce paramétrage : on ne peut pas modifier la configuration et c'est spécifié "Certains paramètres sont gérés par votre entreprise".

L'état du Bureau à distance dans Windows 11
L'état du Bureau à distance dans Windows 11

Passons à la suite.

III. Modifier le port du RDP par GPO

Par défaut, la connexion Bureau à distance s'appuie sur le port 3389. Il est préférable d'utiliser un port spécifique pour la connexion Bureau à distance, cela permet de masquer le service en quelque sorte. Pour cela, il faut modifier le Registre de Windows.

Toujours dans la même GPO, on va réaliser cette opération pour définir le port "13389" à la place de "3389". Parcourez la GPO de cette façon :

Configuration ordinateur > Préférences > Paramètres Windows > Registre

Ensuite, effectuez un clic droit et sous "Nouveau" cliquez sur "Élément Registre".

Configurez l'élément de cette façon :

  • Action : Mettre à jour
  • Ruche : HKEY_LOCAL_MACHINE
  • Chemin d'accès de la clé : SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp
  • Nom de la valeur : PortNumber
  • Type de valeur : REG_DWORD
  • Données de la valeur : 13389 (votre port personnalisé)
  • Base : Décimal

Vous devez obtenir ceci :

GPO - Modifier le port d'écoute du RDP
GPO - Modifier le port d'écoute du RDP

Validez et mettez à jour les GPO sur votre poste pour tester... Dans les paramètres du Bureau à distance, on peut voir "Port du Bureau à distance : 13389". Sur Windows 11, cette information apparaît clairement et c'est appréciable. Sur Windows 10, il faut aller dans les options avancées du Bureau à distance pour le voir, ou alors dans le Registre directement.

Pour le moment, le Bureau à distance est activé et accessible sur le port 13389 sur le poste Windows 11. Par contre, depuis une machine distante, cela ne fonctionne pas ! Pourquoi ? Tout simplement parce que le pare-feu Windows bloque la connexion.

IV. Autoriser le RDP dans le pare-feu par GPO

Pour terminer, nous allons autoriser le Bureau à distance dans le pare-feu de Windows, toujours avec notre GPO.

Plusieurs cas de figure :

  • Vous souhaitez utiliser le port par défaut du Bureau à distance (3389) : passez directement au point B.
  • Vous souhaitez utiliser un port personnalisé : suivez toute la procédure

Dans tous les cas, pour créer une règle de pare-feu, procédez comme cela :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité > Règles de trafic entrant

Créez une nouvelle règle : clic droit puis "Nouvelle règle".

GPO - Configurer le pare-feu pour autoriser le RDP

A. Autoriser le RDP sur un port personnalisé

Nous ne pouvons pas utiliser la règle prédéfinie et intégrée à Windows car on ne peut pas personnaliser le port, cependant c'est ce que nous avons besoin de faire... Pour le type de règle, choisissez "Port".

Choisissez "TCP" et cochez "Ports locaux spécifiques" pour préciser "13389" (ou une autre valeur, selon votre choix).

Cliquez sur "Autoriser la connexion" puisque nous souhaitons laisser passer ce flux.

Passez la section "Profil" sans apporter de modification, enfin si vous souhaitez autoriser seulement la connexion depuis votre LAN, cochez seulement le profil "Domaine".

Donnez un petit nom à la règle et validez.

Si vous le souhaitez, vous pouvez accéder aux propriétés de cette règle pour affiner. Par exemple, pour autoriser seulement les machines appartenant à un sous-réseau spécifique à se connecter.

B. Configurer la règle RDP "Bureau à distance" par GPO

Si vous activez le bureau à distance manuellement sur une machine Windows, la règle "Bureau à distance" intégrée dans le pare-feu Windows sera activée automatiquement. Du coup, si vous créez une règle pour autoriser la connexion sur un port personnalisé, cette règle restera active inutilement (et donc le port ouvert). Dans ce cas, il est préférable de bloquer la connexion sur ce port : c'est que nous allons faire.

Par contre, si vous souhaitez utiliser le port par défaut du RDP, vous devez activer cette règle par GPO pour autoriser la connexion. La procédure est la même dans les deux cas, sauf que dans un cas on bloque, dans l'autre on autorise : faites le bon choix !

Créez une nouvelle règle et choisissez "Prédéfinie" puis "Bureau à distance".

Continuez sans apporter de modifications.

Choisissez "Autoriser la connexion" pour du RDP sur le port 3389, sinon choisissez "Bloquer la connexion" pour du RDP sur le port 13389 (puisque nous avons déjà créé une autre règle).

Voilà, le tour est joué ! Voici ce que l'on obtient :

Mettez à jour la GPO sur votre machine et vous devriez pouvoir vous connecter en RDP sur le port personnalisé ! Cela est valable sur toutes les machines où s'applique la GPO.

PS : pour se connecter en Bureau à distance sur un port personnalisé, il faut le spécifier à la suite de l'adresse IP / du nom d'hôte.

The post Configurer le RDP par GPO : activer l’accès, port par défaut, règle de pare-feu first appeared on IT-Connect.

GPO – Modifier le nom de domaine par défaut pour l’ouverture de session

10 septembre 2021 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment modifier le domaine par défaut pour l'ouverture de session sur une machine Windows, à l'aide d'une GPO.

Lorsqu'une machine Windows est ajoutée à un domaine, le domaine par défaut pour se connecter sur la machine correspond au domaine dans lequel se situe la machine. Logique, vous allez me dire. Cependant, lorsque l'on travaille sur une infrastructure avec plusieurs domaines, voire même plusieurs forêts, et qu'il y a des relations d'approbations, on peut avoir besoin de modifier cette valeur.

Par exemple, le domaine it-connect.local avec une relation d'approbation avec florian.local. Sur la machine du domaine it-connect.local, j'aimerais définir florian.local comme domaine par défaut. Voici comment procéder pour déployer cette configuration, tout en sachant que la GPO doit s'effectuer sur le domaine auquel appartient le PC.

Plus simplement, ce paramètre peut aussi servir à forcer la connexion à votre domaine Active Directory en poussant le nom par GPO.

II. GPO - Affecter un domaine par défaut pour l'ouverture de session

Puisqu'il s'agit d'une stratégie de groupe, nous devons utiliser la console adéquate : l'éditeur de gestion des stratégies de groupe. Créez une nouvelle GPO ou modifiez une GPO existante, tout en sachant que le paramètre que l'on va modifier s'applique au niveau des ordinateurs.

Au sein des paramètres, parcourez l'arborescence comme ceci :

Configuration ordinateur > Modèle d'administration > Système > Ouverture de session

C'est à cet endroit que vous allez trouver le paramètre suivant :

Affecter un domaine par défaut pour l'ouverture de session

Vous devez activer ce paramètre et définir une valeur pour l'option "Domaine d'ouverture de session par défaut". Si la machine est membre du domaine it-connect.local mais que vous souhaitez définir "florian.local" par défaut, il suffit de l'indiquer.

Il est à noter qu'il n'y a pas de vérification : vous pouvez mettre n'importe quelle valeur, cela va fonctionner. La valeur sera prise en compte même s'il ne s'agit pas d'un autre domaine de la même forêt ou d'un domaine externe approuvé via une relation d'approbation.

Une fois que c'est fait, validez. La GPO est déjà prête !

Sur un poste sur lequel s'applique la GPO, effectuez un "gpupdate" et redémarrez.... Ensuite, vous devriez avoir la bonne surprise de voir : "Connectez-vous à florian.local", avec la valeur indiquée dans votre GPO à la place de florian.local.

Une petite astuce bien pratique pour les personnes qui auront ce besoin !

The post GPO – Modifier le nom de domaine par défaut pour l’ouverture de session first appeared on IT-Connect.

Configurer le DNS-over-HTTPS dans Firefox par GPO

10 août 2021 à 11:00

I. Présentation

Dans ce tutoriel, nous allons voir comment activer, désactiver et configurer le DNS over HTTPS (DoH) dans Mozilla Firefox, grâce à une GPO (stratégie de groupe).

Précédemment, je vous ai expliqué comment gérer le DoH dans Chrome : aujourd'hui, on va s'intéresser au cas de Firefox. Comme je le disais dans mon précédent article, il me semble intéressant de prendre le contrôle de la fonctionnalité DoH en entreprise pour garder la main sur le filtrage DNS.

La norme DNS-over-HTTPS est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.

🎥 Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.

II. Gérer le DNS-over-HTTPS par GPO dans Firefox

Pour commencer, soit vous créez une nouvelle GPO ou vous utilisez une GPO existante, c'est au choix. Cela n'a pas d'importance de mon point de vue.

Quant à la configuration du DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, comme avec Google Chrome. Mozilla propose 4 paramètres différents pour gérer le DoH dans Firefox, ils sont disponibles à l'emplacement suivant :

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Mozilla > Firefox > DNS sur HTTPS

Tout simplement, on peut activer ou désactiver le DoH en configurant le paramètre nommé "Activé" (oui, le nom n'est pas très explicite...). Si le paramètre "Activé" est positionné sur "Désactivé" alors le DoH sera désactivé dans Firefox.

Si en revanche vous décidez d'activer le paramètre précédent, sachez que le paramètre "Provider URL" permettra de forcer l'adresse du résolveur DoH que vous souhaitez utiliser. Par exemple avec le résolveur de chez Quad9 :

Enfin, s'il y a des domaines pour lesquels vous ne souhaitez pas utiliser le DoH, le paramètre "Domaines exclus" devra être activé. Ce paramètre permet de gérer une liste de domaines à exclure.

Que vous décidiez d'activer ou non le DNS-over-HTTPS dans Firefox, je vous recommande d'activer le paramètre "Bloqué" : cela va figer la configuration. Sinon, l'utilisateur pourra la modifier. Un petit détail à prendre en considération.

Sur un poste client, si l'on active le DoH dans Firefox, que l'on configure le résolveur de Quad9 et que l'on bloque les modifications de la configuration, voici ce que ça donne :

Firefox : DoH géré par GPO
Firefox : DoH géré par GPO

 

The post Configurer le DNS-over-HTTPS dans Firefox par GPO first appeared on IT-Connect.

Configurer le DNS-over-HTTPS dans Chrome par GPO

29 juillet 2021 à 11:00

I. Présentation

Dans ce tutoriel, nous allons voir comment activer ou désactiver le DNS over HTTPS dans Google Chrome, grâce à une GPO (stratégie de groupe).

Comme je le disais dans mon article dédié au DNS-over-HTTPS, cette norme est intéressante pour renforcer la vie privée des utilisateurs sur Internet, mais aussi pour chiffrer les trames DNS. Néanmoins, cela peut poser problème en entreprise puisqu'il devient plus difficile de réaliser du filtrage DNS avec un firewall : les trames DNS sont chiffrées et encapsulées dans du trafic HTTPS.

Si vous souhaitez garder le contrôle et empêcher l'utiliser du DoH au sein de Chrome sur les postes que vous gérez, il est possible d'agir avec une stratégie de groupe. C'est ce que nous allons voir dans cet article.

🎥 Vidéo complète sur le DNS over HTTPS : de la théorie à la pratique avec la configuration des navigateurs et une démo sous Windows 10 avec une rapide analyse de trames.

II. Gérer le DNS-over-HTTPS par GPO

Pour la GPO, je vous laisse en créer une nouvelle ou utiliser une GPO existante, c'est à vous de voir.

Ensuite, pour gérer le DNS-over-HTTPS par GPO, on peut appliquer les paramètres au niveau ordinateur ou utilisateur, c'est au choix. Les deux paramètres associés au DoH sont situés à cet emplacement :

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome

Configuration utilisateur / configuration ordinateur > Modèles d'administration > Google > Google Chrome

Pour configurer le DoH au sein de Chrome, il faut activer le paramètre "Contrôle le mode DNS-over-HTTPS". Ensuite, il y a plusieurs valeurs possibles :

  • Activer DNS-over-HTTPS sans solution de secours à risque : utiliser exclusivement le DNS over HTTPS
  • Activer DNS-over-HTTPS avec solution de secours à risque : utiliser le DNS over HTTPS et recourir au DNS classique en cas d'erreur
  • Désactiver DNS-over-HTTPS : ne pas utiliser le DNS over HTTPS

En fonction de votre choix, si vous souhaitez activer ou désactiver le DoH, optez pour la bonne valeur.

Contrôle le mode DNS-over-HTTPS
GPO - Contrôle le mode DNS-over-HTTPS

Si vous souhaitez désactiver le DoH et empêcher qu'il soit activé par l'utilisateur, vous n'avez rien de plus à effectuer. Par contre, si vous souhaitez activer le DoH, il vous reste une dernière étape : spécifier le serveur DoH à utiliser.

Un second paramètre doit être configuré : "Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité". Ce paramètre doit être activé et il faut définir l'URL du résolveur DoH que l'on veut utiliser.

Voici un exemple pour utiliser celui de Quad9 : https://dns.quad9.net/dns-query.

GPO - Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité
GPO - Permet de définir le modèle URI du résolveur DNS-over-HTTPS souhaité

Dans les deux cas, votre GPO est prête ! Dans Chrome, l'option "Utiliser un DNS sécurisé" est préconfigurée grâce à la GPO et elle ne peut pas être modifiée ! 😉

Chrome - Le DNS sécurisé géré par GPO
Chrome - Le DNS sécurisé géré par GPO
The post Configurer le DNS-over-HTTPS dans Chrome par GPO first appeared on IT-Connect.

GPO – Windows Update : comment gérer les heures d’activités de Windows ?

20 juillet 2021 à 13:00

I. Présentation

Dans ce tutoriel, nous allons voir comment configurer les heures d'activités définies dans Windows Update au sein de Windows 10 ou Windows Server, directement par GPO (stratégie de groupe).

Lorsque Windows installe des mises à jour sur votre machine, il doit redémarrer pour finaliser l'installation des mises à jour. Si vous ne redémarrez pas régulièrement votre machine, ce qui est le cas sur un serveur, Windows peut décider de redémarrer tout seul. Que ce soit sur un ordinateur ou un serveur, s'il y a un redémarrage en pleine production, on ne va pas spécialement apprécier... À juste titre.

Microsoft permet de configurer les heures d'activités pour définir une plage horaire pendant laquelle la machine n'est pas autorisée à redémarrer d'elle-même. C'est ce que nous allons apprendre à configurer dans ce tutoriel.

II. Windows Update - configurer les heures d'activité sous Windows 10

Commençons par regarder les paramètres au sein d'une machine Windows 10, avant de parler de la GPO que vous pourriez déployer sur votre parc informatique et vos serveurs.

Cliquez sur le menu "Démarrer" et accédez au menu "Paramètres". Ensuite, cliquez sur "Mise à jour et sécurité" puis sur la gauche sur "Windows Update".

Au sein du panneau de configuration de Windows Update, cliquez sur "Modifier les heures d'activité".

Par défaut, Windows détermine lui-même les heures d'activité en fonction de l'utilisation que vous faites de votre machine. Pour personnaliser la plage horaire, il faut passer sur l'état "Désactivé" le paramètre "Ajuster automatiquement les heures d'activité de cet appareil en fonction de l'activité".

Ensuite, cliquez sur le bouton "Modifier".

Vous avez la possibilité de définir l'heure de début et l'heure de fin. Lorsque c'est fait, cliquez sur "Enregistrer".

Windows 10 Heures d'activité

Voilà, c'est fait, votre machine est configurée !

III. Windows Update - configurer les heures d'activité par GPO

Basculons maintenant sur le contrôleur de domaine pour configurer une GPO qui va permettre de configurer les heures d'activité. Cette GPO pourra s'appliquer aux ordinateurs de votre parc et/ou à vos serveurs, même si la plage définie ne sera peut-être pas la même dans les deux cas.

Note : si vous souhaitez utiliser des plages différentes, vous devez créer plusieurs GPO.

Je vous laisse créer une GPO et la modifier. Vous devez parcourir les paramètres de cette façon :

Configuration ordinateur > Modèles d'administration > Composants Windows > Windows Update

Ce qui vous permettra de trouver le paramètre suivant :

Désactiver le redémarrage automatique pour les mises à jour pendant les heures d'activité

Nous allons configurer ce paramètre pour définir l'état "Activé". Il faudra définir une heure de début et une heure de fin : ce qui donnera une plage horaire.

Microsoft précise que ce paramètre n'a pas d'effet si vous configurez l'un des deux paramètres suivants (ou les deux) :

  • Pas de redémarrage automatique avec des utilisateurs connectés pour les installations planifiées de mises à jour automatiques
  • Toujours redémarrer automatiquement à l'heure planifiée

GPO - Heures d'activité Windows Update

La GPO étant prête, il reste à l'appliquer sur une ou plusieurs unités d'organisation, puis à tester.

Prenez un poste sur lequel s'applique la GPO, exécutez la commande "gpupdate /force" et redémarrez la machine.

Dès que c'est fait, retournez dans les paramètres de Windows Update, vous devriez voir la mention "Votre organisation gère certains paramètres". Cliquez sur le lien en dessous : "Afficher les stratégies de mise à jour configurées".

On peut voir que deux paramètres sont définis : l'heure de début d'activité et l'heure de fin d'activité.

Désormais, vous savez comment configurer les heures d'activité de Windows Update sur vos machines et vos serveurs !

The post GPO – Windows Update : comment gérer les heures d’activités de Windows ? first appeared on IT-Connect.

Windows : comment se protéger de la vulnérabilité PrintNightmare ?

2 juillet 2021 à 17:33

I. Présentation

Dans cet article, je vais vous expliquer comment vous protéger contre la vulnérabilité PrintNightmare, associée à la référence CVE-2021-34527 et qui cible le service "Spouleur d'impression" de Windows. Nous mettrons en place une GPO de protection.

PrintNightmare, c'est le nom de la nouvelle vulnérabilité critique qui touche le service "Spouleur d'impression" de Windows et qui inquiète particulièrement, car elle est activement exploitée. D'ailleurs, elle peut être exploitée à distance et lorsqu'une attaque est menée à bien, elle peut permettre à un attaquant de récupérer les droits SYSTEM sur un contrôleur de domaine.

Dans un premier temps, cette vulnérabilité a été associée à une nouvelle manière d'exploiter la faille CVE-2021-1675, corrigée le 8 juin dernier à l'occasion du Patch Tuesday. Mais in fine, il s'agit bien d'une nouvelle faille de sécurité de type Zero Day (qui a fuité un peu par erreur) et qui a sa propre référence CVE : CVE-2021-34527.

La faille de sécurité PrintNightmare concerne de nombreuses versions de Windows : Windows 7, Windows 8.1 et Windows 10, ainsi que toutes les versions de Windows Server depuis Windows Server 2008, y compris en Server Core (installation sans interface graphique).

L'ANSSI estime qu'il faut prendre cette vulnérabilité très au sérieux, tout comme l'agence américaine CISA (Cybersecurity and Infrastructure Security Agency).

Voici les recommandations à appliquer pour se protéger contre cette vulnérabilité.

II. PrintNightmare : les recommandations pour se protéger

Pour appliquer les recommandations ci-dessous, tenez compte des rôles de vos serveurs (contrôleurs de domaine, serveur d'impression, etc.), mais aussi des postes de travail. En fonction de votre infrastructure et des usages, tout n'est pas forcément applicable sur toutes les machines.

A. Désactiver le service "Spouleur d'impression"

Tout d'abord, il est recommandé de désactiver le service Spouleur d'impression sur les contrôleurs de domaine et sur tous les serveurs où le spouleur d'impression n'est pas utile (ce service gère les interactions entre votre machine et les imprimantes).

Attention : quand ce service est arrêté, il n'est plus possible d'imprimer à partir de l'hôte local. Cela n'est pas gênant sur la majorité des serveurs, mais à l'inverse cela peut être problématique sur les postes de travail.

Pour définir le type de démarrage "Désactivé" sur le service "Spouleur d'impression" ou "Print Spooler" en anglais. Voici la commande PowerShell qui permet d'effectuer cette configuration :

Set-Service -Name Spooler -StartupType Disabled

Une fois que le type de démarrage du service est modifié, il faut arrêter le service. En PowerShell, cela donne :

Stop-Service -Name Spooler

Une autre manière de faire consiste à créer une GPO. Grâce à cette GPO, on va pouvoir désactiver le service et l'arrêter. Parcourez les paramètres de cette façon :

Configuration ordinateur > Préférences > Paramètres du Panneau de configuration > Services

Créez une nouvelle configuration de service via un clic droit et configurez-le de cette façon :

Note : pour appliquer cette configuration de service à seulement certains hôtes, vous pouvez utiliser le ciblage avancé sur cet élément via l'onglet "Commun".

Sachez que de manière générale, sans parler de cette faille de sécurité, il est recommandé de désactiver le "Spouleur d'impression" sur les contrôleurs de domaine.

Passons à la seconde recommandation.

B. Bloquer les interactions distantes sur le Spouleur d'impression

Le paramètre "Autoriser le spouleur d'impression à accepter les connexions des clients" doit être désactivé pour bloquer les connexions en question.

Attention : quand ce paramètre est désactivé, les demandes d'impression distantes sont refusées. Concrètement, vous ne pouvez plus partager d'imprimantes sur l'hôte où s'applique cette stratégie. Par contre, il est toujours possible d'imprimer (sauf si le service Spouleur d'impression est arrêté) : ce qui est intéressant pour les postes clients. Il n'y a que le serveur d'impression que ça devrait gêner, finalement.

Toujours dans une GPO, ce paramètre est accessible à cet endroit :

Configuration ordinateur > Stratégies > Modèles d'administration > Imprimantes

C. Configurer le pare-feu Windows

L'ANSSI recommande "d'interdire les connexions entrantes sur les ports 445 et 139 (canaux nommés SMB) ainsi qu'interdire les connexions à destination du processus spoolsv.exe". Là encore, nous pouvons agir par GPO et ces règles sont là pour protéger les postes de travail puisqu'ils ont besoin du service d'impression.

Note : si vous utilisez le pare-feu de votre Endpoint, ce n'est pas utile de configurer le pare-feu de Windows par GPO : modifiez directement la politique de votre solution de sécurité pour créer des règles.

Suivez le chemin suivant :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité (x2) > Règles de trafic entrant

Créer une nouvelle règle de trafic entrant via un clic droit : un assistant va démarrer.

Pour le type de règle, on ne va pas s'embêter à créer nos propres règles, car ce que l'on cherche à faire correspond à un modèle prédéfini. Choisissez "Partage de fichiers et d'imprimantes".

Cochez ensuite toutes les règles pour tout bloquer.

Concernant l'action à appliquer, choisissez "Bloquer la connexion". Bien sûr. 😉

Une fois la règle créée, vous obtenez le résultat ci-dessous. Ce qui pourrait vous gêner éventuellement, c'est le blocage du SMB pour l'accès distant aux fichiers des machines. Là encore, testez et surtout adaptez en fonction des rôles de la machine ciblée.

D. Détection d'une attaque sur le système

Lorsqu'une machine est victime de la faille de sécurité PrintNightmare, elle va générer des événements que l'on peut capturer et détecter à l'aide de l'Observateur d'événement de Windows, au sein du journal lié à la sécurité, mais aussi du journal de l'outil System Monitor (s'il est installé). Ces logs peuvent être collectés et analysés dans un outil adapté de type SIEM.

L'ANSSI indique qu'il faut prêter attention à l'événement avec un ID 4688 lorsqu'il est généré par le processus spoolsv.exe (Spouleur d'impression). Ce type d'événement n'est pas généré par défaut, voici comment l'activer.

Pour assurer un suivi des processus dans l'observateur d'événements, il faut activer le paramètre "Auditer le suivi des processus". Il se situe à cet emplacement :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Stratégie d'audit

Ensuite, pour générer les événements avec l'ID 4688, il faut activer le paramètre "Inclure une ligne de commande dans les événements de création de processus" qui se trouve sous :

Configuration ordinateur > Stratégies > Modèles d'administration > Système > Audit de création de processus

Sur les serveurs où l'application des règles de protection n'est pas possible, il est d'autant plus important de mettre en place cette génération des logs et d'en assurer la surveillance.

Quelques mots pour finir...

- Sur les postes de travail et les serveurs (autre que contrôleur de domaine et serveur d'impression), il sera possible dans la majorité des cas de désactiver le paramètre de GPO "Autoriser le spouleur d'impression à accepter les connexions des clients" et de configurer le pare-feu Windows, ce qui permettra de se protéger.

- Sur les contrôleurs de domaine, on pourra désactiver et arrêter le service Spouleur d'impression, et désactiver le paramètre de GPO "Autoriser le spouleur d'impression à accepter les connexions des clients" en complément. Si vous manipulez le pare-feu, attention avec les règles qui bloquent le SMB, vous allez avoir de mauvaises surprises : cela va bloquer l'accès au partage SYSVOL.

- Sur les serveurs d'impression, cela semble difficile d'appliquer ces recommandations sans remettre en cause le bon fonctionnement du service d'impression. Si vous utilisez une solution d'impression tierce avec son propre spouleur, alors ce sera surement une chance, car vous pourrez probablement appliquer une ou plusieurs de ces recommandations. Sinon, il faut mettre les serveurs d'impressions sous surveillance.

J'espère que cet article pourra vous aider à combattre la vulnérabilité PrintNightmare ! Bon courage !

The post Windows : comment se protéger de la vulnérabilité PrintNightmare ? first appeared on IT-Connect.
❌