FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

GPO Windows 11 22H2 : comment télécharger les modèles ADMX ?

27 septembre 2022 à 11:10

I. Présentation

Dans ce tutoriel, nous allons voir comment télécharger et intégrer les modèles d'administration ADMX de Windows 11 22H2 afin de bénéficier des nouveaux paramètres de GPO sur son environnement Active Directory. Windows 11 22H2 est officiellement disponible depuis le mardi 20 septembre 2022, ce qui est l'occasion pour Microsoft de proposer des paramètres additionnels pour les administrateurs système.

II. Windows 11 22H2 : quels sont les nouveaux paramètres de GPO ?

Si l'on se réfère au fichier Excel qui liste l'intégralité des paramètres de GPO et que l'on applique un filtre pour afficher uniquement les paramètres introduits avec la version "22H2", on obtient une liste de 79 paramètres. Ce fichier est disponible sur le site de Microsoft, en cliquant sur le lien ci-dessous.

GPO Windows 11 22H2 - Guide Excel

Dans ce fichier, au sein de l'onglet "Administrative Templates", vous devez appliquer un filtre sur la colonne "New in Windows 11" dans le but de choisir uniquement la valeur "22H2". De cette manière, il n'y a que les nouveaux paramètres associés à Windows 11 22H2 qui sont listés.

Windows 11 22H2 - Nouveaux paramètres GPO

Voici la liste des paramètres inclus :

Hide messages when Windows system requirements are not met
Hide and disable all items on the desktop
Enable App Installer
Enable App Installer Settings
Enable App Installer Experimental Features
Enable App Installer Local Manifest Files
Enable App Installer Hash Override
Enable App Installer Default Source
Enable App Installer Microsoft Store Source
Set App Installer Source Auto Update Interval In Minutes
Enable App Installer Additional Sources
Enable App Installer Allowed Sources
Enable App Installer ms-appinstaller protocol
Configure Discovery of Designated Resolvers (DDR) protocol
Configure NetBIOS settings
Turn off files from Office.com in Quick access view
Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects
Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects
Enable global window list in Internet Explorer mode
Enable global window list in Internet Explorer mode
Reset zoom to default for HTML dialogs in Internet Explorer mode
Reset zoom to default for HTML dialogs in Internet Explorer mode
Disable HTML Application
Disable HTML Application
Configure hash algorithms for certificate logon
Configure hash algorithms for certificate logon
Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon
Request traffic compression for all shares
Disable SMB compression
Use SMB compression by default
Disable SMB compression
Allow Custom SSPs and APs to be loaded into LSASS
Configures LSASS to run as a protected process
Suppress the display of Edge Deprecation Notification
Suppress the display of Edge Deprecation Notification
Only allow device authentication for the Microsoft Account Sign-In Assistant
Enable ESS with Supported Peripherals
Limits print driver installation to Administrators
Manage processing of Queue-specific files
Manage Print Driver signature validation
Manage Print Driver exclusion list
Configure RPC listener settings
Configure RPC connection settings
Configure RPC over TCP port
Always send job page count information for IPP printers
Configure Redirection Guard
Fully disable Search UI
Allow search highlights
Force Instant Dim
Do not sync accessibility settings
Remove Run menu from Start Menu
Prevent changes to Taskbar and Start Menu Settings
Remove access to the context menus for the taskbar
Prevent users from uninstalling applications from Start
Remove Recommended section from Start Menu
Remove Recommended section from Start Menu
Simplify Quick Settings Layout
Disable Editing Quick Settings
Remove Quick Settings
Remove pinned programs from the Taskbar
Hide the TaskView button
Hide the TaskView button
Do not allow WebAuthn redirection
Disable Cloud Clipboard integration for server-to-client data transfer
Service Enabled
Notify Malicious
Notify Password Reuse
Notify Unsafe App
Device Control
Select Device Control Default Enforcement Policy
Define Device Control evidence data remote location
Control whether or not exclusions are visible to Local Admins.
Select the channel for Microsoft Defender monthly platform updates
Select the channel for Microsoft Defender monthly engine updates
Select the channel for Microsoft Defender daily security intelligence updates
Configure time interval for service health reports
CPU throttling type
Disable gradual rollout of Microsoft Defender updates.
Enable MPR notifications for the system

Pour plus de détails, il convient de regarder le fichier Excel.

III. Modèles ADMX de Windows 11 22H2

Si vous désirez intégrer les nouveaux modèles d'administration pour Windows 11 22H2 à votre environnement Active Directory, vous devez télécharger les fichiers ADMX. Pour cela, c'est toujours sur le site de Microsoft, avec le lien suivant :

Ce téléchargement donne lieu à un package MSI que vous devez installer sur votre machine dans le but de "décompresser" son contenu. Ensuite, les fichiers qui nous intéressent seront disponibles à l'emplacement suivant :

C:\Program Files (x86)\Microsoft Group Policy\Windows 11 September 2022 Update (22H2)\PolicyDefinitions

L'objectif est simple : copier tous les fichiers ".ADMX" situés à la racine de ce dossier, ainsi que les dossiers de langues "fr-fr" et "en-US" afin d'avoir les traductions française et anglaise (utile si un paramètre n'est pas traduit), dans le but de les coller dans le magasin central de l'Active Directory.

Pour rappel, le magasin central correspond au dossier "PolicyDefinitions" sur le partage SYSVOL de l'Active Directory et il sert à stocker les modèles d'administration ainsi que les fichiers de traduction. Puisque c'est stocké dans le répertoire SYSVOL, les fichiers seront répliqués sur les différents contrôleurs de domaine.

Si l'on prend l'exemple du domaine "it-connect.local", cela signifie qu'il faut stocker les fichiers à cet endroit :

\\IT-CONNECT.LOCAL\SysVol\IT-CONNECT.LOCAL\Policies\PolicyDefinitions

Désormais, si vous créez une nouvelle GPO ou que vous modifiez une GPO existante, les sections "Modèles d'administration" sous utilisateur et ordinateur vont intégrer les nouveaux paramètres, ainsi que tous les paramètres déjà existants. Par exemple, il y a les nouveaux paramètres associés à la fonctionnalité "Enhanced Phishing Protection" évoquée dans un précédent article.

GPO - Paramètres Windows 11 22H2

A vous de jouer...

The post GPO Windows 11 22H2 : comment télécharger les modèles ADMX ? first appeared on IT-Connect.

Sécurité Active Directory : gestion des GPO sur l’OU Domain Controllers

27 septembre 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons parler des bonnes pratiques sur l’utilisation des GPOs au niveau des contrôleurs de domaine. Comme nous le savons tous, les GPOs permettent d’appliquer les paramètres de manière automatique sur les objets de l’annuaire. Une mauvaise gestion peut impacter le fonctionnement de notre infrastructure et mettre en péril sa sécurité. Nous allons voir ensemble comment éviter cela sur les contrôleurs du domaine qui jouent un rôle très important dans un environnement Microsoft.

Cet article a été écrit en collaboration avec Mehdi DAKHAMA, et c'est un retour d'expérience relevé chez plusieurs clients. Le but est d'améliorer et optimiser la gestion des GPOs pour les contrôleurs de domaine.

Relecture par Florian BURNEL.

II. Rappel sur l’application des GPOs

A. Hiérarchie d’application des mises à jour

Pour rappel, la hiérarchie d’application des OU est la suivante: stratégie locale > site >> domaine >> OU. Dans la hiérarchie précédente, le symbole ">>" signifie que l'héritage est appliqué.

Modèle LSDOU

Deux stratégies de groupes sont créées par défaut lors de l’installation du domaine :

  • Default Domain Policy liée à la racine du domaine
  • Default Domain Controller Policy liée sur l’OU "Domains Controllers"

B. Risques potentiels

Au vu de la hiérarchie présentée ci-dessus, nous constatons que si une GPO est appliquée au niveau du site ou à la racine d’un domaine, elle sera aussi appliquée aux contrôleurs de domaine via le conteneur "Domain controllers".

Est-ce une bonne ou une mauvaise pratique ? Voyons cela ensemble.

Intéressons-nous aux deux scénarios suivant:

  • Une première GPO machine est créée et liée à la racine du domaine
  • Une seconde GPO liée à une unité d’organisation comprenant un compte administrateur du domaine

C. Exemple n°1 - GPO liée à la racine

Nous allons créer une GPO qui désactive l’UAC (User Account Control) sur Windows. Vous savez, l'UAC c'est la fenêtre de confirmation qui s'affiche quand on a besoin de réaliser une action qui implique des privilèges élevés (administrateur).

Pour cela, nous créons une GPO à la racine du domaine en la nommant "Disabled UAC", nous allons ensuite la modifier via un clic droit "Modifier".

Edition de la stratégie de groupe
Édition de la stratégie de groupe

Dans la partie Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Contrôle de compte d’utilisateur  nous avons modifié le paramètre "Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur", comme indiqué sur les images ci-dessous :

Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur 

Une fois que c'est fait, nous appliquons la GPO avec la commande gpupdate /force sur le contrôleur de domaine Active Directory. De par son positionnement, la GPO s'applique sur les contrôleurs de domaine et les autres machines du domaine.

Application de la GPO via gpupdate /force
Application de la GPO via gpupdate /force

Nous constatons que les paramètres ont été appliqués et changés sur le contrôleur du domaine.

UAC désactivé sur le contrôleur de domaine !
UAC désactivé sur le contrôleur de domaine !

Il est clair que ce paramètre est dangereux pour un contrôleur de domaine ! De ce fait, il faudrait éviter de lier les GPOs à la racine en vue de limiter les conséquences d’une telle action ! On peut considérer qu'il y a eu une mauvaise analyse de l'impact sur l’ensemble des objets concernés. Cependant, cette recommandation ne suffit pas, voyons pourquoi...

D. Exemple n°2 - GPO pour connecter un lecteur réseau

Réalisons le second exemple basé sur le mappage d'un lecteur réseau dans une session et analysons le résultat.

Sur l'OU IT-Connect, nous allons créer une GPO nommée "mapper_lecteur_user". Comme ceci :

Nous modifions les paramètres pour mapper un dossier partagé sur le DC comme lecteur perso "Z:". Ce qui donne :

GPO - Lecteur réseau

Pour rappel, notre OU contient des admins du domaine :

Comptes de l’OU IT-Connect
Comptes de l’OU IT-Connect

Après application de la GPO, nous constatons que le lecteur réseau remonte lors de la connexion sur le contrôleur de domaine avec un compte de cette OU. En effet, les paramètres utilisateurs suivent l’utilisateur et s’appliquent là où ils ouvrent leur session.

Lecteur réseau mappé sur le profil de l’utilisateur au niveau du contrôleur de domaine
Lecteur réseau mappé sur le profil de l’utilisateur au niveau du contrôleur de domaine

Imaginez que ce lecteur contient un fichier suspect et que ce dernier correspond à un ransomware ?! Était-il nécessaire d’avoir ce lecteur réseau "Perso" lors d’une connexion sur le contrôleur du domaine ? Ce cas peut s’appliquer sur plein de paramètres des GPOs, parfois un paramètre s’applique par récursivité à un groupe lointain, ce qui accroît le risque de dysfonctionnement ou d’erreur sur les DCs.

Maintenant, intéressons-nous aux recommandations.

III. Recommandations pour l'OU "Domain Controllers"

L'objectif va être de bloquer l'héritage sur l'OU "Domain Controllers" de notre annuaire Active Directory pour isoler, en quelque sorte, les contrôleurs de domaine puisqu'ils sont regroupés dans cette OU. De plus, pour mieux contrôler les paramètres utilisateurs qui s’appliquent sur les contrôleurs de domaine, il faudrait que les paramètres utilisateurs liés aux GPO liés à l’OU "Domains Controllers" prennent précédence sur le reste. Microsoft a prévu cette configuration : le traitement par boucle de rappel.

Le schéma ci-dessous résume les étapes :

Étapes de mise en conformité des stratégies de groupe sur les contrôleurs de domaine
Étapes de mise en conformité des stratégies de groupe sur les contrôleurs de domaine

Nos recommandations sont les suivantes:

  • Recommandation n°1 : bloquer l'héritage sur l’OU "Domain Controllers" : cela permettra d'éviter toutes configurations issues de la racine. Pour empêcher l’application des configurations utilisateurs des administrateurs qui se connectent, cette recommandation doit être effectuée
  • Recommandation n°2 : dupliquer la GPO "Default Domain Policy" et l’appliquer sur l’OU "Domain Controllers" : dans le but de conserver et d’appliquer les paramètres de mot de passe et Kerberos

Pour bloquer l'héritage, effectuer un clique droit sur l’OU "Domain Controllers", et choisissez "Bloquer l'héritage".

Bloquer l'héritage sur l'OU "Domain Controllers"
Bloquer l'héritage sur l'OU "Domain Controllers"

Ce qui donne :

Héritage bloqué sur l'OU "Domain Controllers"
Héritage bloqué sur l'OU "Domain Controllers"

Note : attention si vous "Appliqué" (Enforced en anglais) une GPO à la racine, cela forcera l’héritage et les paramètres seront configurés sur les Contrôleurs de domaine. Malheureusement, ce paramètre est trop souvent utilisé à mauvais escient.

GPO avec l'option "Appliquez" activée
GPO avec l'option "Appliqué" activée

  • Recommandation n°3 : activer le traitement par boucle de rappel

Pour configurer ce paramètre, suivez le chemin suivant dans une nouvelle GPO : Configuration de l'ordinateur > Modèles d'administration > Système > Stratégie de groupe

Ici, choisissez le paramètre nommé "Configurez le mode de traitement par bouclage de la stratégie de groupe utilisateur" et cochez "Activé" ainsi que "Remplacer".

  • Recommandation n°4 : renommer les GPOs appliquées sur les contrôleurs de domaine

Nous devons partir du principe que les GPOs appliqués sur l’OU "Domain Controllers" ne doivent pas être utilisées sur une autre OU. Pour les identifier, il convient d'utiliser un nom différent en respectant une nomenclature spécifique pour vos contrôleurs de domaine. Ainsi, pour une même GPO, vous pouvez faire la différence entre la version qui s'applique aux ordinateurs et autres serveurs, et la version pour les contrôleurs de domaine.

Pour en savoir plus sur ces différentes notions, vous pouvez consulter ces pages :

IV. Conclusion

Les contrôleurs de domaine doivent être extrêmement protégés, le blocage de l'héritage et des paramètres utilisateurs constituent une solution. A cela doit s’accompagner la surveillance, ce sera le focus de notre prochain article.

The post Sécurité Active Directory : gestion des GPO sur l’OU Domain Controllers first appeared on IT-Connect.

Lecteur réseau : comment créer un script de connexion avec net use ?

13 septembre 2022 à 07:00

I. Présentation

Ce tutoriel a pour but de vous apprendre à créer un script de connexion pour les utilisateurs utilisant votre domaine Active Directory. L'objectif de ce script est de donner accès à des lecteurs réseau qui se mappent automatiquement au lancement de la session, grâce à ce script. Pour cela, une commande DOS est utilisée, c’est la commande « net use ».

De nos jours, les scripts de connexion basés sur les commandes "net use" sont encore utilisés, et ils continuent de fonctionner, mais je vous recommande d'utiliser une stratégie de groupe pour effectuer cette opération. Ce tutoriel est là pour aider les personnes qui souhaitent toujours utiliser la méthode "net use" mais aussi pour vous informer de l'existence de cette "nouvelle méthode".

À ce sujet, vous pouvez lire cet article :

Version initiale de l'article : 20 juin 2011.

II. Syntaxe de net use

La commande net use s'utilise assez simplement. Voici un exemple :

net use X: \\Nom_du_serveur\Dossier_partagé

Ou

net use X: \\IP_du_serveur\Dossier_partagé

Pour être plus précis, voici des informations supplémentaires sur les paramètres :

  • X: correspond à la lettre que l’on veut donner à ce lecteur réseau.
  • \\Nom_du_serveur correspond au nom DNS de votre serveur, au format "serveur.domaine.local"
  • \\IP_du_serveur correspond à l’IP de votre serveur, mais il est recommandé d'utiliser le nom DNS
  • \Dossier_partagé correspond au répertoire qui doit être mappé en tant que lecteur réseau, ce répertoire doit être auparavant partagé.

Dans un même script, vous pouvez ajouter plusieurs lignes "net use", en veillant à utiliser une lettre différente à chaque fois sinon cela ne fonctionnera pas. Bien qu'il existe des options de "net use" pour préciser un identifiant et un mot de passe, il est totalement déconseillé de recourir à cette méthode : les informations seront visibles en clair dans le script, et ce dernier est accessible en lecture par les machines de votre domaine Active Directory.

Remarque : Cela est à écrire dans un fichier Bloc-notes et doit être enregistré avec l’extension ".bat" ou ".cmd".

III. Où stocker le script de connexion ?

Notre nouveau script de connexion doit être mis en place sur le serveur contrôleur de domaine Active Directory. Il y a un répertoire fait pour stocker les scripts de connexion, directement au sein du répertoire SYSVOL. Le fait que ce soit dans le répertoire partagé SYSVOL va assurer que les scripts seront répliqués entre vos différents contrôleurs de domaine.

Voici un exemple de chemin local, où vous devez adapter selon votre nom de domaine :

C:\Windows\SYSVOL\nom_du_domaine\scripts

IV. Active Directory et le script d'ouverture de session

Le script doit être indiqué dans le profil de tous les utilisateurs qui vont l’utiliser. À partir de la console "Utilisateurs et ordinateurs Active Directory", accédez aux propriétés de l’utilisateur puis indiquez le script en indiquant le nom précisément, comme ceci :

Active Directory - Script d'ouverture de session

Il est n'est pas utile de préciser le chemin réseau ou le chemin complet, car nous avons mis notre script dans le répertoire "scripts" de SYSVOL. Si vous devez effectuer cette opération sur de nombreux utilisateurs situés dans la même OU (ou la même racine), vous pouvez utiliser PowerShell.

La commande ci-dessous détermine le script de connexion "script.bat" pour tous les utilisateurs sous la racine "OU=Personnel,DC=it-connect,DC=local" de l'Active Directory.

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" | Set-ADUser –scriptPath "script.bat"

Si vous décidez de franchir le pas et de ne plus utiliser les scripts de connexion, sachez que vous pouvez aussi utiliser PowerShell pour supprimer la valeur en masse. Ainsi, le champ "Script d'ouverture de session" sera vide. Dans ce cas, voici la commande à utiliser (toujours en ciblant la même OU dans cet exemple) :

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=it-connect,DC=local" | Set-ADUser -Clear scriptPath

V. Suppression des lecteurs réseaux

Les lecteurs réseau peuvent être supprimés au démarrage de la session, pour être immédiatement recréés selon l’ordre d’exécution dans le script. Cela permet de repartir de zéro, c'est-à-dire avec aucun lecteur réseau de connecté. C'est assez fréquent de procéder ainsi pour être sûr qu'il n'y ait pas un ancien lecteur qui reste mappé, par exemple.

Voici la ligne à ajouter au tout début de votre script :

net use * /delete /yes

À la suite de cette ligne, ajoutez vos lignes "net use" permettant d'ajouter le(s) lecteur(s), comme nous l'avons vu précédemment.

The post Lecteur réseau : comment créer un script de connexion avec net use ? first appeared on IT-Connect.
❌