BitLocker : Chiffrement BitLocker sans TPM

bitlocker_iconJ’ai eu pour consigne d’effectuer le chiffrement de tous les PCs sous Windows. Pour Windows 7 Pro, le salut fût dans Veracrypt, voir Chiffrement avec veracrypt. Néanmoins, il y avait des postes sous Windows 10 mais qui n’étaient pas équipés de puce TPM. Qu’à cela ne tienne! On peut utiliser BitLocker sans TPM Et voici comment j’ai fait pour chiffrer des ordinateurs Windows 10 pro non standard sans présence ou activation du module de plateforme sécurisée (TPM – puce de sécurité intégrée), et contourner l’exigence de clé de chiffrement de clé USB.

Lire la suite

Publié dans Active Directory, AD DS, Chiffrement, Deploiement, scripts, Tips, Windows 10 | Tagué , , , , , , , , , , | Laisser un commentaire

Chiffrement avec Veracrypt

veracrypt128x128Dans le cadre de mes activités, j’ai dû chiffrer ou crypter (oui, on peut aussi utiliser le mot crypter) les machines… Au sujet des machines sous Windows 10, un article leur est dédié. Pour les machines sous windows 7, cela a été un peu plus « compliqué ». En effet, Microsoft n’a pas inclus Bitlocker dans les versions Pro de Windows 7. Ultimate et Enterprise sont les seuls gagnants du Loto du chiffrement.

J’ai donc dû utiliser Veracrypt  Pour pouvoir déchiffrer (ou décrypter) la machine de l’utilisateur (au cas où. Exemple : réquisition, Police, DGSI, Armée, etc). Il me fallait avoir un moyen de déchiffrement stocké dans un séquestre accessible du service tout en offrant à l’utilisateur la possibilité d’avoir son propre mot de passe. Donc un mot de passe propre à l’utilisateur sur chaque machine mais un moyen de déchiffrer les machines disponible pour le service.
Et j’ai procédé ainsi :

Lire la suite

Publié dans Active Directory, AD DS, Chiffrement, déploiement, Deploiement, Deployment, links, privacy, Tips, WAPT, Windows 10, Windows 7 | Tagué , , , , , , , , , , , , , , , | 1 commentaire

Windows 2008 Server – Mot de passe local perdu

Windows-Server-2008-Logo-microsoft-windows-37078846-926-339
Il m’est arrivé une drôle d’histoire. J’avais une machine sur laquelle je n’arrivais à rien. Comme si aucune GPO ne passait, comme si elle était dans l’AD sans y être.

De guerre las, je l’ai sorti du domaine et je me suis dit qu’en la joignant à nouveau au domaine, elle récupérerai les GPO, les stratégies et les policies. Mais… Oui! Pas de chance. Le mot de passe administrateur local n’avait pas été enregistré. J’ai en quelque sorte, fait mon noob, et je me suis retrouve le bec dans l’eau.

Bref! Comment s’en sortir.

Lire la suite

Publicités
Publié dans Active Directory, AD DS, déploiement, Deploiement, Deployment, restore, sécurité, scripts, Windows Server | Tagué , , , , , , , , , | Laisser un commentaire

Vider le fichier d’échange à chaque arrêt de Windows

Windows-10-logoA notre époque où nous avons pour habitude de chiffrer nos disque. Il y a un détail que l’on oublie. Faire un clear du fichier d’échange à l’extinction pour ne pas laisser de données à la portée d’un quelconque pirate.

Il y a 2 manières de le faire :
* En éditant la base de registre
* En faisant un paramétrage via les stratégies de groupe (GPOs).

En utilisant par la base de registre.

Pour implémenter le nettoyage du fichier à chaque arrêt de Windows.
Editez la base de registres.
Cliquez sur le bouton Démarrer, puis sur Exécuter…
Saisissez « Regedit » et validez par OK.

Vous allez dans :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management

Faites un double click sur la valeur ClearPageFileAtShutdown puis saisissez la valeur « 1 »

Fermez la base de registres. Redémarrez l’ordinateur pour la prise en compte des modifications au démarrage.

A savoir :

* On perd 10 à 20 secondes l’extinction de votre PC. En fait, cela est proportionnel à la taille du fichier d’échange. Plus il est conséquent plus il faut du temps au système pour le « clearer ».

* Globalement cela apporte de meilleures performances : sécurité, zéro scories, etc.

Vous pouvez copier ces lignes dans un fichier texte portant l’extension .reg et ensuite le faire fusionner en faisant un double click dessus :

REGEDIT4
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"ClearPageFileAtShutdown"=dword:00000001

Publié dans Active Directory, AD DS, Chiffrement, déploiement, Deploiement, Deployment, privacy, sécurité, scripts, Server 2016, Server 2019, Tips, Windows 10, Windows 7, Windows Server | Tagué , , , , , , , , , , , , , , , , | Laisser un commentaire

Express deployment tool edt pour Windows 10 r 1903

Express Deployment Tool (EDT) para Windows 10 1903

Publié dans Deploiement | Laisser un commentaire

Windows – Activer/désactiver Découverte réseau

windows-server-2019-standard-licence-16-coeurs-open-gouvernement

Ne vous est-il jamais arrivé de ne pas réussir à activer la découverte réseau sur votre serveur windows 2008 à Windows 2019?

J’ai eu cette expérience… Déroutante…

Cela peut arriver lorsque certains services ne sont pas démarrés.

En effet, de manière native de Windows Server 2008 / 2008 R2 à 2019, la découverte réseau n’est pas activée.

Si on va dans dans :

Panneau de configuration => Centre Réseau et partage => Paramètres avancés

On a ceci :

decouverte_reseau-001

Effectivement, en natif, si vous activez la découverte réseau sous un Windows 2008 ou 2008r2, cela ne fonctionnera pas directement.

Il faut activer les services suivant afin de pouvoir activer ce paramètre.

Pour cela on accède aux services locaux en exécutant : services.msc

  • Client DNS : type de démarrage automatique/démarré
  • Publications des ressources de découverte de fonctions : type de démarrage automatique/démarré
  • Découverte SSDP : type de démarrage automatique/démarré
  • Hôte périphérique UPnP : type de démarrage automatique/démarré

Ensuite revient dans :

Panneau de configuration => Centre Réseau et partage => Paramètres avancés

Et on active l’option « Activer la découverte réseau ».

decouverte_reseau-002

Publié dans Active Directory, AD DS, Deploiement, Server 2016, Server 2019, Windows Server | Tagué , , , , , , , , , , , , , , | Laisser un commentaire

WAPT – Déployer l’agent par tâche planifiée

logo_wapt_all2

Dans ma nouvelle affectation, les utilisateurs ont le pouvoir. En effet, bien qu’ils n’aient pas la moindre compétences en informatique ni en gestion de parc, qu’ils sont des béotiens, mieux ils sont la démonstration du terme « Pebcak« , ils décident comment où et avec quoi le service informatique doit faire son travail. En d’autres mots  les utilisateurs ont refusé l’emploi d’outils de gestion de parc.
Ma règle est la suivante : « All users are deceitful ».
Je suis de la vieille école. L’utilisateur est là pour faire un travail et non se préoccuper de l’informatique : »Chacun son pré et les vaches seront bien gardées ».
J’ai donc mis en place GLPI avec l’agent Fusion Inventory.
Je finalise, maintenant, le déploiement de WAPT et je met tout en oeuvre pour qu’il soit déployé et installé, que l’utilisateur le veuille ou non.
Ici, là, je le déploie par tâche planifiée.

Pour rappel : WAPT (prononcez WaPiTi) permet de gérer un parc informatique relativement simplement à travers une console de gestion centralisée. WAPT permet d’administrer un parc informatique, de déployer des logiciels ainsi que des configurations et des scripts (de maintenance ou pas). Il permet de réaliser l’inventaire des machines néanmoins, (IMHO), il n’est pas aussi détaillé que le couple Fusion Inventory + GLPI. Il possède une feature intéressante pour les allergiques de Windows, il peut aussi contrôler les mises à jour Windows et se substituer à un serveur WSUS. Etc, etc.

Lire la suite

Publié dans Active Directory, AD DS, Deploiement, links, scripts, Server 2016, Server 2019, WAPT, Windows 10, Windows 7, Windows Server | Tagué , , , , , , , , , , , , , , , , , , , , , , , | Laisser un commentaire

GLPI

GLPI

Dans les précédents articles, j’ai parlé de GLPI, de son installation et de sa configuration (basique).

La grande question. GLPI, qu’est ce que c’est pour un gestionnaire de parc… Oups! On dit Gestionnaire d’infrastructure.

Lire la suite

Publié dans déploiement, Deploiement, Deployment, links, sécurité, telemetry, Tips | Tagué , , , , , , , , , , , | Laisser un commentaire

Powershell – Comment chiffré et stocké les mots de passe avec PowerShell

powershell2

 

Avec Windows Powershell, on peut faire beaucoup de choses.

Entre autre, chiffrer les mots de passe et les sockés en sécurité.

 

 

Lire la suite

Publié dans Deploiement, Powershel, PowerShell, privacy, sécurité, scripts, Tips | Tagué , , , , , , , | Laisser un commentaire