FreshRSS

🔒
❌ À propos de FreshRSS
Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 17 mai 2022Flux principal

Comment corriger l’erreur d’approbation au domaine ?

Hey ! Bonjour à toutes et à tous ! Nous voilà de nouveau ensemble dans un article qui va cette fois-ci traiter d’une problématique que nous connaissons toutes et tous au moins une fois, qui est l’erreur de l’approbation au domaine sur une station de travail. Introduction Effectivement, qui n’a jamais eu une demande d’un …

L’article Comment corriger l’erreur d’approbation au domaine ? est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

À partir d’avant-hierFlux principal

Comment déléguer la permission de fermeture de session à un utilisateur sur un serveur RDS ?

Hey ! Bonjour à toutes et à tous ! Je vous propose aujourd’hui un nouvel article concernant l’environnement de Windows Server et plus particulièrement autour du rôle du service de bureau à distance. Êtes-vous prêt ? Confortablement installer dans votre fauteuil ? Bien alors, commençons ! Introduction Bon, je ne vais pas ici vous faire …

L’article Comment déléguer la permission de fermeture de session à un utilisateur sur un serveur RDS ? est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Comment mettre en place une passerelle RDP sous Windows Server 2022 ?

2 mai 2022 à 10:00

I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place une passerelle RDP, appelée Remote Desktop Gateway, sur Windows Server 2022.

Remote Desktop Gateway est un rôle de Windows Server qui fournit une connexion sécurisée aux serveurs Windows de votre infrastructure, par l'intermédiaire du protocole RDP, auquel s'ajoute la connexion à la passerelle sécurisée par le protocole TLS. La particularité d'une passerelle RDP, c'est que le trafic réseau transite non pas par le port 3389 par défaut, mais utilise une surcouche TLS, afin que l'intégralité des flux soit encapsulée par cette surcouche protocolaire. On peut nommer ça de cette manière aussi de cette façon : "RDP over HTTPS". Autrement dit, les flux entre le poste client et la passerelle RDP sont chiffrés.

Généralement, on met en place une passerelle RDP afin d'accéder, depuis l'extérieur (et donc depuis Internet), à un ou plusieurs serveurs situés sur son infrastructure interne. Plutôt que d'exposer un serveur en RDP directement,  on le rend accessible via cette passerelle qui s'appuie sur une connexion HTTPS, comme je le mentionnais précédemment.

Néanmoins, même si cela peut s'avérer utile, il faut garder à l'esprit qu'il y a un toujours un risque à exposer un service publiquement. Autrement dit, gardez en tête qu'un minimum de services de votre réseau d'entreprise doit être accessible depuis Internet. La passerelle RDG peut-être publiée sur Internet par l'intermédiaire d'un reverse proxy ou d'une DMZ publique.

Si l'on met en place une passerelle RDP sur un réseau local (réseau privé), on peut en quelque sorte obfusquer le service RDP, en n'exposant pas directement ce service (cf. la capture d'écran du scan Nmap en fin d'article).

II. Environnement

Avant de passer à la pratique, voici une présentation de l'environnement que je vais utiliser dans le cadre de cette démo.

  • Une machine sous Windows Server 2022 qui va devenir ma passerelle RDG, dans mon cas cette machine est un contrôleur de domaine, mais cela peut très bien être un autre serveur faisant partie du domaine.
    • Rôles installés avant de procéder à l'installation de la RDG : ADDS/DNS)
    • DNS : dc.lgds.local - IP : 192.168.130.100/24
  • Une machine Windows 10 21H2 et aussi avec Windows 11. Dans le cadre du tutoriel : nom de mon domaine est LGDS.LOCAL. Dans mon cas, les machines seront intégrées dans le domaine mais ce n'est pas une obligation car on autorisera des utilisateurs.

Le serveur Windows Server 2022 va héberger le rôle de Remote Desktop Gateway, mais également un serveur IIS nécessaire au bon fonctionnement de ce rôle.

Dans le cadre de ce tutoriel, je vais utiliser un certificat auto-signé pour la connexion à ma passerelle "Bureau à distance" (RDG). Néanmoins, il est tout à fait possible d'utiliser un certificat généré à partir d'une autorité de certification d'entreprise, telle que ADCS. Il est également possible d'acheter un certificat SSL sur Internet si vous envisagez d'utiliser un nom de domaine public (par exemple : domaine.fr). Ces deux dernières options sont d'ailleurs recommandées.

III. Installation du rôle

Même si vous pouvez automatiser l'installation du rôle avec PowerShell, je vous propose de suivre l'installation du rôle pas à pas à partir de l'interface graphique. En effet, je trouve que cela est plus pédagogique que de "balancer du code" dans une console, sans chercher à comprendre ce qu'il fait réellement. C'est parti !

Depuis, le Server Manager, ouvrez l'assistant d'ajout de rôles et fonctionnalités. Passez les différentes étapes, jusqu'au le choix des rôles, afin d'ajouter le rôle "Remote Desktop Services".

À l'étape suivante, sélectionnez le service "Remote Desktop Gateway" que nous souhaitons installer aujourd'hui.

Comme le trafic RDP va être encapsulé via HTTPS (TLS), vous devez obligatoirement installer un serveur IIS. Ce service fera donc office de portail de connexion "fictif" avant de pouvoir atteindre votre machine via RDP. Il va agir comme un relai entre votre PC et le serveur distant sur lequel vous souhaitez établir une connexion "Bureau à distance".

Note : Dans le cadre de ce tutoriel, nous n'accéderons à aucun moment au service web IIS.

Cliquez ensuite sur l'option "Restart the destination server automatically if required" afin de redémarrer le serveur à la fin de l'installation du rôle.

Une fois que le rôle s'est bien installé, et que votre serveur a appliqué les changements requis à la suite de son redémarrage automatique, ouvrez la console : Remote Gateway Manager

Nous devons configurer les règles de bases de notre RD Gateway. Pour cela nous allons créer une nouvelle "Politique" en sélectionnant le mode  "Wizard".

Il s'agit d'un mode pas-à-pas qui se décompose en plusieurs étapes :

  • Authorization Policies (type de politique à choisir : cf l'image ci-dessous)
  • Connection Authorization Policy
  • Ressource Authorization Policy

Donnez un petit nom à cette "Politique d'autorisation de connexion" :

Puis sélectionnez un groupe d'utilisateurs que vous allez autoriser explicitement à accéder à la passerelle de bureau à distance. Évitez d'ajouter "tous les utilisateurs" (Groupe Users), mais choisissez un groupe de sécurité restreint qui contient les utilisateurs qui doivent pouvoir utiliser ce service. Dans cet exemple, j'utilise le groupe des administrateurs du domaine ("Domain Admins" dans mon cas) mais en production, c'est totalement déconseillé.

La deuxième zone nommée "Client computer group membership" vous permet d'ajouter un groupe d'ordinateurs. Dans mon cas, je ne vais pas ajouter de groupe d'ordinateurs, car la passerelle RDP va me servir simplement pour accéder à mon ADDS à savoir le même serveur qui héberge ma passerelle RDP (il s'agit d'un lab pour des tests).

Les deux prochaines fenêtres vous permettront de pouvoir gérer :

  • La portée du presse-papier (copier/coller)
  • Le nombre maximum de minutes d'inactivités autorisées pour la connexion RDP (timeout)

Ajustez cela en fonction de votre configuration.

Puis, donnez un nom à Politique d'autorisation des ressources.

Choisissez-le ou les groupes d'utilisateurs que vous avez renseignés plus haut (dans mon cas : Domain Admins). En production, n'utilisez pas le groupe "Domain Admins" mais plutôt un groupe de sécurité spécifique permettant de contrôler l'accès à la passerelle RDG.

Comme je n'ai pas choisi d'ajouter un groupe d'ordinateurs, choisissez la dernière option "Allow users to connect to any network resource (computer)".

Modifiez ou non le port par défaut, tout en sachant que par défaut le protocole RDP fonctionne sur le port 3389/TCP (port obfusqué, non visible par défaut depuis l'extérieur à moins d'utiliser la connexion au travers de notre passerelle RDG). En cochant "Allow connections only to port 3389", on autorise seulement la connexion à des ressources via le port 3389.

Enfin, cliquez sur "Finish" :

Suite à cette action, cliquez sur le nom de votre serveur en haut à gauche puis :

  • Clic-droit Properties > SSL Certificate > Create a self-signed certificate
    • Puis, choisissez-lui un nom et un emplacement pour stocker celui-ci.

Dans mon cas, le certificat sera stocké ici : C:\Users\Administrator\Documents\dc.lgds.local

Une fois que cela est fait, cliquez sur Apply et OK.

Ensuite, rendez-vous dans la console de gestion des services afin de rechercher le service nommé "Remote Desktop Gateway". À partir des propriétés, modifiez le type de démarrage de ce service pour le passer de "Automatic (Delayed)" à "Automatic".

Note : Cela vous évitera d'attendre parfois de longues minutes après le redémarrage de votre serveur que le service passerelle RDP démarre.

Vérifier bien que le service Remote Desktop Gateway est toujours actif suite à vos modifications. Si ce n'est pas le cas, démarrez-le manuellement avec la fenêtre ci-dessus. Voici le statut que doit avoir votre service Remote Desktop Gateway après les actions précédentes.

Note importante : il se peut qu'en fonction de votre configuration, vous soyez obligé d'ouvrir le port 443, sur votre routeur/firewall.

Pour rappel, même si le service RDG obfusque RDP et que cela réduit votre surface d'attaque, le fait d'exposer de manière indirecte (le trafic transite uniquement par HTTPS/443), un service RDP sur internet constitue toujours une porte d'entrée très intéressante pour un attaquant.

Ci-dessous, après un petit scan de mon serveur Windows, vous pouvez constater que le port 443 est seulement accessible. Le port 3389 quant à lui n'est pas ouvert même si sur le serveur en lui-même le service RDP fonctionne par l'intermédiaire de ce port.

Le firewall de mon serveur Windows Server 2022 est bien entendu actif.

IV. Connexion à la passerelle depuis un client Windows

Le certificat que nous avons généré précédemment doit être importé sur le poste client puisqu'il s'agit d'un certificat autosigné. Je vous laisse choisir la méthode d'import en fonction de votre environnement.

Double-cliquez sur le certificat, puis suivez les étapes surlignées en jaune en partant de la gauche. Après avoir sélectionné le "magasin de certificat", cliquer sur suivant puis terminer.

Cliquez sur OK et confirmez bien l'importation du certificat en ignorant de message d'avertissement.

Afin d'établir une connexion "Bureau à distance", nous devons ouvrir l'outil "Connexion Bureau à distance" intégré à Windows, même si l'on pourrait utiliser un utilitaire de gestion de connexions RDP. Une fois que l'outil est ouvert, cliquez sur l'onglet "Avancé" puis sur "Paramètres...".

Renseignez le nom d'hôte de votre passerelle, dans mon cas dc.lgds.local, puis :

  • décochez la case "Ignorer le serveur de passerelle Bureau à distance pour les adresses locales."
  • cocher la case "Utiliser mes informations d'identification de passerelle bureau à distance pour l'ordinateur distant"
    • Dans mon cas : Administrator (Compte faisant partie du groupe autorisé lors de la configuration de la passerelle RDP)

Retournez dans l'onglet Général et renseignez le nom/ip du serveur que vous souhaitez atteindre en RDP et cliquez sur connexion :

Entrez vos informations d'identification.

Une erreur de certificat s'affiche, ce qui est normal donc cliquez sur "Oui" pour établir la connexion.

Voilà, on peut voir qu'à partir de mon PC, j'accède bien à mon serveur distant au travers d'une connexion RDP qui passe par ma passerelle "RDG".

Vous pouvez effectuer la même démarche à partir d'un poste client qui tourne sur Windows 11. Aucune étape ne varie entre Windows 10 et Windows 11, à l'exception de la surcouche graphique de Windows 11 que je trouve plutôt sympathique :

V. Tests complémentaires

Pour vérifier si la passerelle autorise bel et bien uniquement les utilisateurs du groupe LGDS\Domain Admins, essayez de renseigner un autre compte ne faisant pas partie du groupe "Domain Admins" (ou du groupe que vous avez explicitement autorisé lors de la configuration).

Après quelques secondes, vous vous faites éjecter de la passerelle, car votre compte n'est pas reconnu comme un compte "autorisé".

A. Certificat invalide (non signé par une autorité de confiance)

Si vous obtenez l'erreur "Cet ordinateur ne peut pas vérifier l'identité de la passerelle Bureau à distance...", c'est que vous êtes allez trop vite et que vous n'avez pas importé le certificat correctement sur votre poste client. "Try Again" 🙂

Essayez de l'importer de nouveau puis relancez la connexion !

The post Comment mettre en place une passerelle RDP sous Windows Server 2022 ? first appeared on IT-Connect.

Windows Server : La gestion des droits de partages et NTFS – Episode 2

Si vous êtes là, c’est que vous avez surement apprécié la première partie de l’article « Windows Server : La gestion des droits » et que vous souhaitez en savoir plus sur la gestion des droits de partages et NTFS dans un environnement Microsoft Windows ! Pour ceux qui n’auraient pas encore lu le premier volet, n’hésitez …

L’article Windows Server : La gestion des droits de partages et NTFS – Episode 2 est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Windows Server supporte les mises à jour automatiques de .NET !

13 avril 2022 à 09:08

Toujours sur le sujet des mises à jour, Microsoft annonce que Windows Server supporte désormais les mises à jour automatiques de .NET Framework et .NET Core !

Cette fonctionnalité est liée à la mise en ligne de nouvelles versions des branches de .NET suivantes : .NET Core 3.1, .NET 5.0, et .NET 6.0. Microsoft, par la voix de Jamshed Damkewala, précise : "Nous sommes heureux d'annoncer qu'à partir d'avril 2022, les mises à jour mensuelles de la version moderne de .NET (.NET Core) seront disponibles pour les systèmes d'exploitation Windows Server via Microsoft Update (MU), sur la base d'une option de participation.".

En fait, il faut comprendre que l'activation des mises à jour automatique de .NET ne sera pas systématique, et que c'est aux administrateurs de choisir. Donc, cela ne change rien pour ceux qui ne souhaitent pas bénéficier des mises à jour automatiques. En fonction de l'environnement et des outils utilisés, l'approche peut être différente donc c'est probablement mieux ainsi.

Si vous souhaitez activer les mises à jour automatiques de .NET sur un serveur où l'installation est déjà effectuée, il va falloir ajuster la configuration de la machine. Comme l'explique Microsoft sur son site, il faut mettre à jour le Registre Windows de cette façon (en fonction de la version) :

.NET Version Clé de Registre Nom Valeur
ALL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NET] "AllowAUOnServerOS" dword:00000001
.NET 6.0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NET\6.0] "AllowAUOnServerOS" dword:00000001
.NET 5.0 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NET\5.0] "AllowAUOnServerOS" dword:00000001
.NET 3.1 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NET\3.1] "AllowAUOnServerOS" dword:00000001

S'il y a plusieurs serveurs à paramétrer, il conviendra d'utiliser une stratégie de groupe pour déployer la valeur de Registre à distance sur un ensemble de serveurs. Les mises à jour automatiques vont être disponibles directement dans WSUS pour les entreprises qui s'appuient sur ce service de distribution des mises à jour.

Pour conclure cet article, je vous rappelle que Microsoft a mis en ligne un Patch Tuesday d'avril 2022 relativement fourni avec 119 vulnérabilités corrigées et 2 zero-day : Patch Tuesday - Avril 2022. Dans le même temps, les mises à jour pour Windows 10 et Windows 11 ont également vu le jour :

- Windows 11 (KB5012592)

- Windows 10 (KB5012599 et KB5012591)

Source

The post Windows Server supporte les mises à jour automatiques de .NET ! first appeared on IT-Connect.

Comment sécuriser un serveur Windows avec CrowdSec ?

7 avril 2022 à 16:30

I. Présentation

Dans ce tutoriel, nous allons voir comment la solution open source CrowdSec peut nous aider à protéger un serveur sous Windows en bloquant les attaques informatiques de différents types : brute force sur la connexion "Bureau à distance" (RDP), scan d'un site Web IIS, etc... 

Ce n'est pas la première fois que je vous parle de CrowdSec, car c'est une solution qui monte clairement en puissance depuis plusieurs mois. Par contre, c'est la première fois que je vous parle de CrowdSec sur Windows et pour cause la version Alpha est disponible ! Une version stable devrait voir le jour prochainement, mais en attendant, n'hésitez pas à tester de votre côté et à remonter les éventuels bugs aux équipes de CrowdSec (il y a un Discord à disposition).

Pour le moment, CrowdSec est capable de surveiller les services suivants :

  • RDP et SMB pour les attaques brute force (exemple : tentative de connexion malveillante sur un partage de fichiers)
  • IIS pour les attaques HTTP/HTTPS notamment les scans de sites à la recherche de vulnérabilités
  • SQL Server pour les attaques brute force
  • Pare-feu Windows pour les scans réseau

Note : cette version Windows supporte la majorité des services déjà pris en charge sur Linux puisque les journaux sont générés selon les mêmes formats. Par exemple, Nginx va générer les mêmes journaux sous Linux et sous Windows.

Avant de rentrer dans le vif du sujet, voici les liens vers mes autres articles CrowdSec :

II. L'objectif du jour

Aujourd'hui, nous allons nous intéresser à deux cas de figure :

  • Le blocage d'une attaque brute force sur une connexion RDP (à partir du client "Bureau à distance" de Windows, par exemple)
  • Le blocage d'un scan d'un site web hébergé sur un serveur IIS

Pour mon lab', je vais utiliser :

  • Une machine à protéger avec CrowdSec : un serveur virtuel sous Windows Server 2022 (mais vous pouvez utiliser une autre version de Windows) hébergé sur le Cloud Azure
  • Une machine qui sert à simuler des attaques : un serveur virtuel sous Kali Linux avec quelques outils (une machine Kali Linux via WSL fonctionnera aussi)

III. Mise en place de CrowdSec sur Windows

Commençons par télécharger les sources d'installation de CrowdSec. Pour le moment, les sources ne sont pas disponibles sur GitHub mais à cette adresse : Crowdsec pour Windows.

A. Installation de CrowdSec sur Windows

Lorsque le MSI est installé sur une machine Windows, il va permettre d'installer CrowdSec dans "C:\Program Files\CrowdSec\", mais aussi de télécharger la collection Windows, d'enregistrer l'instance auprès de l'API Centrale et de créer le service CrowdSec (afin qu'il démarre automatiquement en même temps que Windows).

Je ne vais pas m'attarder sur l'installation, car quelques clics suffisent pour en venir à bout.

CrowdSec Windows

B. Installation du bouncer Pare-feu Windows

Avant de lancer l'installation du bouncer, il faut que l'on installe une dépendance : .NET 6 Runtime. Sinon, l'installation du bouncer ne va pas se dérouler correctement. Par la suite, cette dépendance sera intégrée au package du bouncer pour que ce soit plus simple, mais je vous rappelle qu'il s'agit d'une version alpha.

Il est important de télécharger le ".NET Runtime" et non un autre élément, puis de bien prendre la version Windows au format "Installer". En l'occurrence en x64 dans la colonne "Installers" pour mon serveur Windows en 64 bits.

Télécharger - Framework .NET 6.0 depuis Microsoft.com

L'installation est également très simple, il suffit de suivre l'assistant...

Une fois que c'est fait, on peut enchaîner sur l'installation du bouncer "Windows Firewall" en exécutant le package correspondant. Suivez l'assistant afin de l'installer et nous en aurons terminé avec les installations de packages.

Windows CrowdSec Firewall Bouncer

Ouvrez une console sur la machine Windows et listez les bouncers :

cscli bouncers list

La commande retourne "windows-firewall-bouncer", ce qui est une bonne nouvelle !

CrowdSec windows-firewall-bouncer

CrowdSec est prêt à l'emploi, nous allons pouvoir le tester dans différents cas de figure.

IV. Tester la protection CrowdSec

Pour tester l'efficacité de CrowdSec et voir sa capacité à protéger le serveur Windows, je vais prendre deux exemples :

  • La protection d'un serveur Web "IIS"
  • La protection de l'accès RDP (Bureau à distance)

A. CrowdSec et IIS

Avant de tester CrowdSec, on va s'intéresser au serveur IIS en lui-même, car il faut bien faire les présentations. C'est un serveur tout simple, avec le site par défaut et une page qui affiche un texte, le tout accessible sur une adresse IP publique en HTTP. En image, cela donne :

Quant aux logs de ce serveur IIS, ils sont stockés dans es fichiers de logs à l'emplacement par défaut.

Avec IIS, on peut stocker les logs dans des fichiers, dans l'observateur d'événements ou bien aux deux endroits. Pour connaître l'emplacement des logs du serveur, il faut ouvrir la console IIS, cliquer sur le serveur en haut à gauche, puis sur "Journalisation". Une fenêtre apparaît et il y a deux champs particulièrement intéressants :

  • Répertoire : le chemin vers les fichiers journaux
  • Destination des événements de journal

Voilà, vous en savez un peu plus sur la configuration de mon serveur IIS. Désormais, il est grand temps de passer à l'action.

Actuellement, CrowdSec n'est pas suffisamment configuré pour protéger notre serveur IIS. D'ailleurs, on peut le vérifier assez facilement... Tout d'abord, on va lister les décisions actives afin de voir les adresses IP actuellement bannies :

cscli decisions list

Tiens, il y a quelques adresses IP... Cela signifie que CrowdSec a déjà bloqué des attaques. Concernant la raison, on peut voir "windows-bf", ce qui correspond à du brute force Windows, en l'occurrence ici sur l'accès RDP, car je l'ai volontairement exposé sur Internet (pour le second test).

En revanche, depuis une machine distante, je peux scanner mon serveur IIS avec différents outils tels que Nikto sans être bloqué par CrowdSec !

nikto -h http://ip-publique-serveur-iis

Je tiens à vous rassurer : c'est normal. Il va falloir que l'on modifie la configuration de CrowdSec afin de lui indiquer où se situent les journaux de IIS, et lui faire comprendre qu'il doit surveiller ce service sur le serveur Web. Avant cela, nous devons installer la collection IIS sur le serveur grâce à cette commande :

cscli collections install crowdsecurity/iis

L'installation va s'effectuer en quelques secondes...

Vous pouvez vérifier que c'est OK grâce à la commande suivante :

cscli collections list

Ensuite, il faut modifier le fichier suivant :

C:\Program Files\CrowdSec\config\acquis.yaml

Afin d'ajouter les lignes suivantes à la suite :

---
use_time_machine: true
filenames:
  - C:\inetpub\logs\LogFiles\*\*.log
labels:
  type: iis

Vous pouvez voir la présence d'un chemin "dynamique" : "C:\inetpub\logs\LogFiles\*\*.log". Cette valeur va permettre à CrowdSec de trouver et lire les fichiers de logs situés dans "C:\inetpub\logs\LogFiles\W3SVC1" et de les analyser. Si vous utilisez un autre chemin, voire même un autre volume pour les logs, vous devez adapter cette valeur.

Dans le bout de code que l'on vient d'ajouter, il y a un paramètre sur lequel je souhaite attirer votre attention : use_time_machine. IIS n'écrit pas les logs en temps réel dans le fichier journal, mais il écrit les nouveaux événements en bloc, chaque minute. Grâce à ce paramètre, CrowdSec va lire la date et l'heure de chaque ligne pour se repérer et traiter les événements chronologiquement.

Par contre, si vous n'utilisez pas les fichiers de logs mais l'observateur d'événements, vous devez utiliser ce bout de code et non celui mentionné précédemment :

---
source: wineventlog
event_channel: Microsoft-IIS-Logging/Logs
event_ids:
  - 6200
event_level: information
labels:
  type: iis

Enregistrez le fichier acquis.yaml et vous pouvez le fermer. Pour finir, nous devons redémarrer le service CrowdSec, comme ceci :

Restart-Service crowdsec

Je vous propose que l'on revienne à la charge depuis l'hôte distant et Nikto.

nikto -h http://ip-publique-serveur-iis

Cette fois-ci, les choses se gâtent... Nikto affiche une erreur et il m'indique "can't connect (timeout)". Intéressant.

Sur le serveur IIS protégé par CrowdSec, je vais lister les décisions actives pour voir...

cscli decisions list

Tout s'explique : mon hôte distant est banni par CrowdSec ! On peut voir la raison "http-probing", ce qui signifie bien que l'attaque cible le service Web et donc IIS.

Mon hôte distant n'a plus accès à mon serveur, ce qui explique le "timeout" dans Nikto.

Puisque l'on utilise un bouncer qui s'appelle "Windows Firewall", on devrait en toute logique retrouver des informations sur les adresses IP bannies directement dans les règles de pare-feu Windows. C'est bien le cas, il y a plusieurs règles créées et gérées par CrowdSec. En recherchant dans l'une des règles, je suis parvenu à retrouver l'adresse IP de mon hôte distant depuis lequel j'ai émis le scan Nikto.

Quand une machine est bloquée, elle est totalement bloquée c'est-à-dire sur tous les ports et tous les protocoles.

Note : par défaut, une machine est bannie pour une durée de 4 heures, mais si vous souhaitez ajuster cette valeur, il suffit de modifier le paramètre "duration" du fichier "profiles.yaml". Pensez à redémarrer le service CrowdSec pour appliquer la modification.

B. CrowdSec et RDP

Parlons de notre second cas : la protection de l'accès RDP. Pour les raisons de cette démo, j'ai fait quelque chose de mal : j'ai publié mon serveur sur Internet, sur le port 3389 correspondant au port par défaut du protocole RDP. Ainsi, il est à la merci des bots en tout genre.... Ce qui explique pourquoi mon instance CrowdSec a rapidement banni quelques adresses IP (comme vu précédemment).

Pour effectuer un brute force RDP, on pourrait tout simplement ouvrir le client Bureau à distance de Windows et effectuer des tentatives en boucles. Pour que ce soit un peu plus cool, nous allons utiliser l'outil Crowbar. Nous avons le droit à un match : CrowdSec VS Crowbar. Crowbar est un outil pour faire du brute force qui supporte plusieurs services : RDP, OpenVPN, SSH et VNC.

Afin d'utiliser Crowbar sur ma machine où se situe Nikto et qui tourne sous Kali Linux, je dois installer le paquet :

sudo apt-get install crowbar

Ensuite, il ne reste plus qu'à cibler mon accès RDP de cette façon :

crowbar -b rdp -s <ip publique RDP>/32 -u florian -c MonMotDePasse1

La commande ci-dessus cible l'adresse IP publique de mon serveur, et va essayer l'utilisateur "florian" avec le mot de passe "MonMotDePasse1". Pour que ce soit plus réaliste, on peut utiliser un dictionnaire de mots de passe... Pour ce faire, je crée un petit dictionnaire "dico.txt" sur ma machine :

Puis, je repars à l'assaut de mon serveur en utilisant ce dictionnaire (l'option -c est remplacée par -C). Cette fois-ci, on va effectuer une réelle attaque brute force car Crowbar va tester tous les mots de passe de mon dictionnaire.

crowbar -b rdp -s <ip publique RDP>/32 -u florian -C ~/dico.txt

Visiblement, il n'est pas parvenu à se connecter...

Brute force RDP crowbar

Par contre, il s'est fait repérer par CrowdSec ! Du coup, l'adresse IP publique utilisée par l'hôte Crowbar est bannie à son tour !

cscli decisions list

Pour détecter les attaques par brute force sur l'hôte Windows, CrowdSec regarde l'observateur d'événements de la machine, et plus particulièrement les événements avec l'ID 4625 du journal sécurité. En effet, une ouverture de session en échec génère un événement de ce type.

Fin de partie : le grand gagnant de ce duel est CrowdSec !

Note : en complément de la protection assurée par CrowdSec, je vous recommande d'activer le verrouillage des comptes de l'Active Directory comme je l'expliquais dans un précédent article.

V. Conclusion

Nous venons de voir, au travers de ces deux exemples, l'intérêt de mettre en place un outil de sécurité tel que CrowdSec sur un serveur Windows afin d'augmenter le niveau de sécurité. Le portage de CrowdSec sur Windows s'annonce prometteur et l'outil fonctionne bien même s'il ne s'agit que d'une version alpha.

Même si j'ai simulé des attaques provenant de l'extérieur et que tous les serveurs Windows ne sont pas publiés sur Internet (surtout en RDP comme je l'ai fait), CrowdSec peut très bien vous protéger contre une attaque qui émane de l'intérieur de votre réseau local. Sinon, pour en revenir à IIS, CrowdSec peut s'avérer très utile pour protéger les applications qui utilisent ce serveur Web comme c'est le cas du webmail d'Exchange (Outlook Web Access).

Article rédigé en collaboration avec CrowdSec.

The post Comment sécuriser un serveur Windows avec CrowdSec ? first appeared on IT-Connect.

Installer et configurer IIS 10 sur Windows Server 2022

1 avril 2022 à 11:22

I. Présentation

Dans ce tutoriel, nous allons apprendre à installer et configurer IIS sur Windows Server 2022 dans le but de pouvoir héberger un site Web ou une application. Microsoft IIS (Internet Information Services) est le serveur web fonctionnant sous Windows Server, et qui représente une alternative à d'autres solutions populaires comme Apache ou Nginx que l'on va plutôt faire tourner sur Linux.

Lors de la mise en place de certains rôles sur Windows Server, notamment WSUS, SharePoint, ou encore un serveur de messagerie Exchange, un serveur Web IIS sera systématiquement mis en place pour héberger l'application Web. Lorsque l'on met en place un serveur Exchange et que l'on accède à ses e-mails via le Webmail (Outlook Web Access - OWA) à partir de son navigateur, on s'appuie sur le serveur web IIS.

Aujourd'hui, l'objectif est d'installer IIS 10 sur Windows Server 2022, et de voir quelques notions de base pour configurer un site dans IIS. Cet article nous servira de point de départ pour les prochains articles où nous verrons comment exploiter un peu plus IIS.

Note : IIS s'installe également sur les autres versions de Windows Server, mais aussi Windows 10 et Windows 11 !

II. Installation de IIS sur Windows Server 2022

Bien que l'installation de IIS soit possible avec PowerShell et un fichier de réponse, nous allons procéder via l'interface graphique. Lors de l'installation de IIS, il y a de nombreuses options possibles, allant même jusqu'à transformer IIS en serveur FTP. Ouvrez le gestionnaire de serveur, et cliquez sur "Gérer" puis "Ajouter des rôles et fonctionnalités".

Passez le premier écran, puis sur le second passez également sans changer le choix par défaut, à savoir "Installation basée sur un rôle ou une fonctionnalité".

Passez l'étape de sélection du serveur sans faire de changement, et au moment de choisir un rôle pour ce serveur, cochez "Web Server (IIS)" dans la liste (1) puis cliquez sur "Ajouter des fonctionnalités" (2) afin d'installer également la console de management de IIS. Ensuite, poursuivez et passez l'étape "Fonctionnalités" car nous n'avons rien à installer en supplément.

Installation IIS Windows Server 2022

Maintenant, nous allons avoir l'opportunité de personnaliser l'installation du rôle IIS. Cliquez sur "Suivant".

Différentes fonctionnalités sont cochées par défaut. Disons qu'il y a l'essentiel pour utiliser IIS : vous pouvez laisser comme ceci. Pour des usages spécifiques, comme l'activation du WebDAV ou encore la mise en place du service FTP, il faudra cocher les options adéquates. De toute façon, il est possible d'ajouter des fonctions par la suite.

Nous sommes à la fin de l'assistant, cliquez sur "Installer" et patientez un moment.

Une fois que l'installation est terminée, je vous invite à ouvrir un navigateur puis à saisir l'adresse IP de votre serveur IIS dans la barre d'adresse. Normalement, vous devez obtenir la page par défaut de IIS, comme ceci :

IIS 10 sur Windows Server 2022

Le serveur IIS est opérationnel ! Félicitations ! Regardons sa configuration d'un peu plus près...

III. Configuration de IIS 10

Pour manager le serveur IIS, nous avons la console "Gestionnaire des services Internet (IIS)" accessible à partir du menu "Outils" du gestionnaire de serveur, ou via les outils d'administration.

Cette console permet de gérer le serveur, et notamment d'effectuer les actions suivantes :

  • Arrêter, démarrer ou redémarrer le serveur web IIS (sans redémarrer Windows)
  • Arrêter, démarrer ou redémarrer un site (pour le mettre en ligne ou hors ligne, par exemple)
  • Créer, supprimer ou modifier un site
  • Installer des modules complémentaires
  • Etc...

Par défaut, IIS est livré avec un site nommé "Default Web Site" et il est stocké à l'emplacement suivant :

C:\inetpub\wwwroot

D'ailleurs, dans ce répertoire nous retrouvons deux fichiers : "iisstart.htm" et "iisstart.png" correspondant au contenu de la page d'accueil par défaut que nous avons vu précédemment. Lorsque l'on effectue un clic droit sur un site, par exemple le site par défaut, on accède à un ensemble d'actions (nous en verrons quelques-unes par la suite). Dans le même esprit, lorsque l'on sélectionne le serveur IIS en lui-même ou un site, la partie de droite de la console donne accès à la configuration des différents modules de ce site.

Il faut savoir que les options ont une valeur par défaut définie au niveau du serveur en lui-même. De cette façon, lorsque l'on crée un nouveau site, il hérite de cette configuration par défaut. Toutefois, rien n'empêche de modifier la configuration au niveau du site en lui-même.

A. Modifier l'emplacement d'un site IIS

Comme je le disais précédemment, par défaut, IIS stocke les données du site par défaut dans "C:\", sur le même volume que les programmes et Windows. Il est préférable d'héberger les données du site sur un autre volume dédié à cet usage. Pour modifier l'emplacement d'un site, ou la racine d'un site si vous préférez, il faut :

  • Effectuer un clic droit sur le nom du site, ici "Default Web Site"
  • Sous "Gérer le site Web" (1) cliquez sur "Paramètres avancés..." (2)

Le premier paramètre de la liste se nomme "Chemin d'accès physique" et c'est lui qui nous intéresse, cela tombe bien. Cliquez sur le bouton "..." en bout de ligne pour définir un nouvel emplacement. Créez un nouveau répertoire, par exemple "www" sur un autre volume de votre serveur (sur mon serveur, je n'ai qu'un seul volume, mais vous voyez l'idée) et cliquez sur "OK".

Si c'est un site existant, vous devez copier-coller le contenu de "C:\inetpub\wwwroot" vers le nouveau chemin. Pour finir, je vous recommande de redémarrer le site web via la console IIS pour être sûr que le changement est pris en compte.

Pour redémarrer le site, il suffit d'effectuer un clic droit dessus dans la console IIS, puis sous "Gérer le site Web", cliquer sur "Redémarrer".

B. Les documents par défaut

Quand on accède à un site Web, c'est généralement le contenu de la page "index" qui est chargée, soit "index.htm", "index.html" ou encore "index.php". Néanmoins, ce n'est pas obligatoire : tout dépend de la configuration du site.

En cliquant sur le site dans la console, on peut voir à droite une section nommée "Document par défaut". Double-cliquez dessus.

Nous pouvons voir différents noms de fichiers. Lorsque l'on accède à la page d'accueil du site, on ne précise pas le nom de la page, alors IIS va regarder s'il y a l'un de ces fichiers présents dans le répertoire du site afin de le présenter au client. L'ordre est important : le premier fichier trouvé sera affiché. On peut voir aussi la valeur "Héritée", cela signifie que ces valeurs sont héritées de la configuration par défaut de IIS.

Si l'on veut que la page d'accueil du site soit "index.html" et uniquement cela, on peut sélectionner les entrées et cliquer sur "Supprimer" à droite. On obtient ce résultat :

Notre répertoire "www" est vide actuellement. On va donc créer un fichier "index.html" avec le bout de code HTML suivant :

<html>
<head></head>
<body>
<h2>IIS 10 pour IT-Connect</h2>
</body>
</html>

Ce qui donne :

Sur l'image ci-dessus, vous pouvez voir la présence du fichier "web.config". Il s'agit d'un fichier de configuration IIS propre à ce site qui a été généré suite à la modification de la configuration des options "Document par défaut" afin de prendre en compte le fait que nous avons supprimé des valeurs héritées.

Désormais, si l'on accède à la page d'accueil de notre site IIS, toujours avec l'adresse IP, on peut voir le contenu de notre page "index.html" :

Là, c'est une page HTML toute simple, mais on peut bien sûr utiliser du PHP, de l'ASP, etc... En configurant le serveur IIS en conséquence. Je vais aborder la partie PHP dans un prochain article.

IV. Comment sécuriser un serveur IIS 10 ?

Pour maintenir un bon niveau de sécurité sur son serveur IIS 10, il y a quelques règles de base à respecter.

  • Utiliser le HTTPS pour accéder aux sites pour bénéficier du chiffrement, plutôt que le protocole HTTP
  • Maintenir à jour le système d'exploitation Windows pour bénéficier des derniers correctifs de sécurité
  • Journaliser les accès aux différents sites du serveur IIS
  • Ne pas activer des fonctionnalités IIS dont vous n'avez pas besoin (comme vu lors de l'installation)
  • Sauvegarder le serveur et les données des sites web
  • Ne pas utiliser des pages d'erreurs trop bavardes (celles par défaut sont à éviter)
  • Utiliser un système de protection pour bloquer les attaques informatiques (en local ou en amont)

Rendez-vous dans le prochain article IIS pour approfondir la configuration IIS. En attendant, je vous invite à regarder l'article ci-dessous si vous souhaitez passer un site IIS en HTTPS.

The post Installer et configurer IIS 10 sur Windows Server 2022 first appeared on IT-Connect.

Windows : comment activer la compression SMB pour le transfert de fichiers ?

31 mars 2022 à 17:31

I. Présentation

Dans ce tutoriel, nous allons apprendre à activer la compression SMB sur un partage sous Windows Server 2022 et nous allons exploiter ce partage à partir d'un poste client sous Windows 11. Il s'agit de l'une des nouvelles fonctionnalités de Windows Server 2022, prise en charge également sur Windows 11.

Grâce à la compression SMB, les données sont compressées à la volée avant d'être transférées vers l'hôte distant dans le but de réaliser le transfert plus rapidement. En effet, la compression va permettre de réduire la quantité de données à transférer, donc logiquement le temps de transfert devrait être réduit. Au niveau de la machine, le processeur sera un peu plus sollicité, car il faut compresser les données avant de les envoyer, et de l'autre côté, la machine doit les décompresser à la réception.

Au sein de sa documentation, Microsoft précise que la compression SMB utilise l'algorithme de compression XPRESS (LZ77) par défaut, mais que d'autres algorithmes sont disponibles :  XPRESS Huffman (LZ77+Huffman), LZNT1 ou PATTERN_V1.

La compression SMB est compatible avec les transferts de fichiers notamment avec des outils comme Robocopy ou Xcopy, ainsi que les lecteurs réseaux, mais également des fonctions plus avancées : chiffrement SMB, SMB over QUIC, SMB multichannel ou encore Hyper-V Live Migration.

Pour ma part, je vais utiliser le serveur SRV-APPS qui est bien sûr sous Windows Server 2022 et je vais agir sur un partage nommé "Partage".

II. Activer la compression SMB

Sur Windows Server 2022, il y a deux manières d'activer la compression SMB sur un partage :

  • À partir de Windows Admin Center, dans les options du partage
  • À partir d'une commande PowerShell

Nous allons voir les deux méthodes dans ce tutoriel, car tout le monde n'utilise Windows Admin Center même si c'est un outil de gestion à la mode ! À partir du gestionnaire de serveur et des options avancées d'un partage, il n'est pas possible d'activer la compression SMB.

A. La compression SMB avec Windows Admin Center

Je ne vais pas m'attarder sur l'installation de Windows Admin Center, car je l'ai déjà évoquée dans un autre article et ce n'est pas l'objet du jour. Au sein de l'interface, après avoir cliqué sur le serveur "SRV-APPS", il faut cliquer sur "Partage mutuel de fichiers" à gauche puis sur l'onglet "Partages de fichiers". La liste des partages présents sur le serveur s'affiche et nous pouvons voir le fameux "Partage".

Tout à droite, il y a une colonne "Compresser des données" positionnée à "false" pour chaque partage. Cela signifie que la compression SMB est désactivée et que c'est la configuration par défaut.

Pour activer l'option sur un partage, c'est tout simple : il faut cliquer sur le partage dans la liste puis cliquer sur le bouton "Modifier le partage". Un panneau latéral va s'afficher sur la droite avec plusieurs options, dont "Compresser des données". Vous l'aurez compris, il faut cocher la case et valider ! C'est tout !

Windows Admin Center - Compression SMB

B. La compression SMB avec PowerShell

Pour activer la compression SMB sur un partage avec PowerShell, c'est également très simple ! Si le partage existe déjà, il suffit de modifier sa configuration avec Set-SmbShare et le paramètre "-CompressData" qui agit directement sur cette option. Ce paramètre doit être définit à "$true" pour activer et "$false" pour désactiver.

Ce qui donne :

Set-SmbShare -Name "Partage" -CompressData $true

Lorsque la commande est exécutée, il faut valider avec "O" puis "Entrée". Ce n'est pas plus compliqué.

Maintenant, si l'on imagine que le partage n'existe pas, on pourrait le créer avec New-SmbShare et définir le paramètre "-CompressData" à "$true" dès la création. Comme ceci :

New-SmbShare -Name "Partage" -Path "C:\Partage" -CompressData $true

Sur une machine, la commande Get-SmbShare est capable de lister les partages, donc c'est un excellent moyen de vérifier notre configuration. C'est d'autant plus simple que cette commande contient aussi le paramètre "-CompressData" ! Si l'on veut lister tous les partages avec la compression active, il suffit d'exécuter cette commande :

Get-SmbShare -CompressData $true

Notre partage est bien retourné !

Get-SmbShare -CompressData $true

III. Comment exploiter la compression SMB ?

Pour que la compression SMB s'applique lors d'un échange de données, il faut que la machine cliente (client SMB) qui communique avec le serveur de fichiers (serveur SMB), ici SRV-APPS, soit configurée pour utiliser la compression SMB. Autrement dit, la compression SMB doit être activée côté client, et donc côté Windows 11.

A. Configuration de la compression SMB sur Windows 11

L'activation de la compression SMB

La commande ci-dessous permet de récupérer la configuration SMB de Windows 11 et plus précisément la propriété "DisableCompression". Normalement, la compression SMB est activée par défaut (mais pas exploitée). La commande ci-dessous doit retourner "false".

Get-SmbClientConfiguration | ft DisableCompression

Si ce n'est pas le cas, voici comment activer la compression SMB (ou la désactiver, à l'inverse) :

Set-SmbClientConfiguration -DisableCompression $false

B. Créer un fichier pour tester (facultatif)

Pour effectuer un test de transfert des données avec et sans compression SMB, on peut utiliser un fichier ISO assez volumineux, un disque virtuel VHD/VMDK, etc... ou créer son propre fichier "vide" d'une taille définie. Sous Windows, on peut créer un fichier vide d'une taille définie avec la commande fsutil. Voici comment créer un fichier de 8 Go :

fsutil file createnew c:\8Go.txt 8589934592

Vous pouvez aussi créer un fichier VHD de taille fixe à l'aide de diskpart (ensuite, l'initialiser, le monter, et ajouter quelques fichiers JPG, par exemple). Pour créer un VHD de 8 Go :

diskpart
create vdisk file="C:\SMB.vhd" maximum=8096 type=fixed

Cette étape est facultative si vous avez déjà des données.

C. Compression SMB avec Robocopy

La compression SMB est exploitable par les administrateurs de différentes façons : sur un cluster Hyper-V via la Live Migration, au travers de l'excellent (et indémodable) Robocopy, mais aussi xcopy.

Commençons par Robocopy qui intègre un nouveau paramètre nommé "/compress" (comme xcopy) sur Windows Server 2022 et Windows 11 afin d'exploiter la compression SMB.

Je vais transférer le fichier "8Go.txt" de mon hôte local sous Windows 11 vers SRV-APPS. Voici la commande :

ROBOCOPY "C:\" "\\srv-apps.it-connect.local\Partage" 8Go.txt

On peut voir qu'en 31 secondes, l'affaire est bouclée, sans compression SMB.

Maintenant, je vais supprimer le fichier sur SRV-APPS et relancer Robocopy en ajoutant le paramètre "/compress" pour activer la compression des données. Cela donne :

ROBOCOPY "C:\" "\\srv-apps.it-connect.local\Partage" 8Go.txt /COMPRESS

La copie est à peine plus rapide : 28 secondes au lieu de 31 secondes. Pour avoir fait différents tests, l'écart n'est pas flagrant, voire même inexistant, dans certains cas, mais quoi qu'il en soit cela reste avantageux pour la congestion du réseau.

Robocopy compression SMB

Pour expliquer ce faible écart au niveau des performances, je dirais que c'est parce que mes deux machines virtuelles sont hébergées sur le même hôte VMware ESXi. Le bénéfice devrait être plus important et visible sur un transfert entre deux machines avec un réseau standard à 1 Gbit/s (si quelqu'un a le matos pour tester et me faire un retour 🙂).

Il faut savoir également que la compression SMB ne s'applique pas sur des données déjà compressées. Si vous transférez une archive ZIP, elle ne s'appliquera pas, car il n'y a pas d'intérêt les données à transférer étant déjà compressées. Cela ne ferait qu'alourdir le transfert inutilement.

D. Compression SMB avec un lecteur réseau

Pour les utilisateurs finaux, il va falloir faire autrement, car je ne pense pas qu'il travaille avec Robocopy donc on va pouvoir utiliser Net Use pour monter un lecteur réseau avec l'option de compression SMB activée. Si l'on veut monter le partage "Partage" de "SRV-APPS" en local avec la lettre "S" et activer la compression, voici la commande à utiliser :

net use S: \\srv-apps.it-connect.local\Partage /requestcompression:yes

Pour comparer les performances, je l'ai monté sans cette option de compression et j'ai copié une centaine de Mo de fichiers JPG. Ensuite, j'ai déconnecté le lecteur réseau et je l'ai reconnecté avec l'option de compression SMB afin de comparer les performances. Là, la différence est un peu plus évidente.

J'obtiens :

Compression SMB avec un lecteur réseau
Sans compression SMB

Et :

Avec compression SMB

PowerShell, au travers de New-SmbMapping est capable aussi de monter un lecteur réseau avec la compression SMB activée, mais il ne sera pas visible dans l'explorateur de fichiers (contrairement à New-PSDrive, mais l'option, n'est pas disponible). Voici tout de même un exemple :

New-SmbMapping -LocalPath "S:" -RemotePath "\\srv-apps.it-connect.local\Partage" -CompressNetworkTraffic $true

Il existe aussi une méthode qui consiste à créer la valeur de Registre "EnableCompressedTraffic" et lui affecter la valeur "1" pour compresser le trafic SMB autant que possible. Je n'ai pas encore bien cerné l'effet de cette valeur dans le Registre.

Set-ItemProperty -Path HKLM:\System\CurrentControlSet\Services\LanManWorkstation\Parameters\ -Name EnableCompressedTraffic -Value 1

IV. Conclusion

Nous venons de voir comment activer la compression SMB sur Windows Server 2022 et comment exploiter cette fonctionnalité au travers différentes méthodes (robocopy, net use, etc.). On peut voir que ce n'est pas si évident que ça de constater une différence significative au niveau des performances, et que cela dépend de la qualité du réseau entre les deux machines, mais aussi des types de données à transférer. Pour réduire la congestion du réseau, cette option me semble intéressante dans tous les cas.

Si vous effectuez quelques tests, n'hésitez pas à partager vos résultats en commentaire ! 😉

The post Windows : comment activer la compression SMB pour le transfert de fichiers ? first appeared on IT-Connect.

Windows Server 2019 : Microsoft corrige un bug lié au DNS

25 mars 2022 à 08:31

Microsoft a corrigé un bug sur Windows Server 2019 qui affecte les serveurs DNS et plus particulièrement le chargement des zones de stub. Résultat, vous pouvez constater des problèmes de résolution DNS.

Pour rappel, un serveur DNS sous Windows Server permet de créer différents types de zones, notamment les zones de stub qui sont des copies de zones dans lesquelles on retrouve des enregistrements de type ressources pour identifier les serveurs DNS faisant autorité sur la zone en question. Autrement dit, c'est une sorte de redirecteur dynamique.

D'après Microsoft, les utilisateurs ont pu rencontrer ce bug connu s'ils ont installé la mise à jour KB5009616 sortie le 25 janvier 2022, ou une version plus récente, c'est-à-dire la KB5010427 (sortie le 15 février 2022) ou la KB5011551 (sortie le 22 mars 2022).

En lisant le message publié sur le site de Microsoft, on apprend que ce bug a été corrigé par l'intermédiaire de la fonctionnalité Known Issue Rollback (KIR) mais que le correctif ne sera pas diffusé automatiquement sur les machines affectées. Pourtant, il me semble que c'est le but de la fonctionnalité KIR justement.

Les administrateurs système doivent mettre en place de stratégies de groupe pour que KIR soit opérationnel, tel qu’expliqué dans cette documentation officielle. Voici les liens vers les packages MSI à télécharger :

Avez-vous rencontré ce bug qui affecte uniquement Windows Server 2019 ?

Source

The post Windows Server 2019 : Microsoft corrige un bug lié au DNS first appeared on IT-Connect.

Windows Server : La gestion des droits de partages et NTFS – Episode 1

Contexte :  Après un long moment d’absence, me revoilà avec un nouvel article. Nous allons voir comment bien gérer les accès aux dossiers partagés en entreprise. En effet, vous n’êtes sans doute pas sans savoir que les infections par virus de type « Ransomware » (ou rançongiciel en Français) sont en constante évolution et qu’il faut à …

L’article Windows Server : La gestion des droits de partages et NTFS – Episode 1 est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Comment récupérer le résultat d’un CHKDSK ?

Hey ! Bonjour à toutes et à tous ! Ceci est mon premier article pour 2022 et c’est pourquoi avant de rentrer dans le vif du sujet du jour, je vous souhaite une bonne et heureuse année ! Que celle-ci vous amène pleine de bonnes choses positives (sauf les tests COVID) ! Aujourd’hui, nous allons …

L’article Comment récupérer le résultat d’un CHKDSK ? est apparu en premier sur Tech2Tech | News, Astuces, Tutos, Vidéos autour de l'informatique.

Veeam Agent for Microsoft Windows – Création d’un média de restauration

Bonjour à toutes et tous ! Nous voici de nouveau ensemble, afin de clôturer, notre découverte de la solution Veeam Agent for Microsoft Windows. Jusqu’à présent, nous avons vu  la présentation et l’installation de cette solution ainsi que les étapes à suivre afin de faire la configuration d’un job de sauvegarde et également la procédure …
❌