BitLocker : Chiffrement BitLocker sans TPM

bitlocker_iconJ’ai eu pour consigne d’effectuer le chiffrement de tous les PCs sous Windows. Pour Windows 7 Pro, le salut fût dans Veracrypt, voir Chiffrement avec veracrypt. Néanmoins, il y avait des postes sous Windows 10 mais qui n’étaient pas équipés de puce TPM. Qu’à cela ne tienne! On peut utiliser BitLocker sans TPM Et voici comment j’ai fait pour chiffrer des ordinateurs Windows 10 pro non standard sans présence ou activation du module de plateforme sécurisée (TPM – puce de sécurité intégrée), et contourner l’exigence de clé de chiffrement de clé USB.

Lire la suite

Publié dans Active Directory, AD DS, Chiffrement, Deploiement, scripts, Tips, Windows 10 | Tagué , , , , , , , , , , | Laisser un commentaire

Chiffrement avec Veracrypt

veracrypt128x128Dans le cadre de mes activités, j’ai dû chiffrer ou crypter (oui, on peut aussi utiliser le mot crypter) les machines… Au sujet des machines sous Windows 10, un article leur est dédié. Pour les machines sous windows 7, cela a été un peu plus « compliqué ». En effet, Microsoft n’a pas inclus Bitlocker dans les versions Pro de Windows 7. Ultimate et Enterprise sont les seuls gagnants du Loto du chiffrement.

J’ai donc dû utiliser Veracrypt  Pour pouvoir déchiffrer (ou décrypter) la machine de l’utilisateur (au cas où. Exemple : réquisition, Police, DGSI, Armée, etc). Il me fallait avoir un moyen de déchiffrement stocké dans un séquestre accessible du service tout en offrant à l’utilisateur la possibilité d’avoir son propre mot de passe. Donc un mot de passe propre à l’utilisateur sur chaque machine mais un moyen de déchiffrer les machines disponible pour le service.
Et j’ai procédé ainsi :

Lire la suite

Publié dans Active Directory, AD DS, Chiffrement, déploiement, Deploiement, Deployment, links, privacy, Tips, WAPT, Windows 10, Windows 7 | Tagué , , , , , , , , , , , , , , , | 1 commentaire

Le montage de mon dernier Raspberry Pi

  • Un raspberry pi 4b 8Go
  • Un module RTC DS3231
  • Une carte Micro SD-Card
  • Un SSD 1 To
  • Une puce TPM
  • Un Hat UPS pour la gestion des batterie et de l’alimentation
  • Un adaptateur secteur 5v 4A adapté à la surconsommation dûe aux batteries
Publié dans Deploiement | Laisser un commentaire

Optimiser son Raspberry Pi 4b

Vitesse de transfert plus rapide du disque dur externe

Appliquez cette astuce si vous stockez des données non importantes sur votre disque. ATTENTION!! Certaines données peuvent être perdues lors d’arrêts inattendus ou de pannes de courant.

noatime,nofail,data=writeback,barrier=0,commit=120

Modifiez le fichier fstab :
sudo nano /etc/fstab

Example : Original code:

UUID=f73e7c93-6ccd-d201-503e-7c736ccad201 /mnt/Torrent ext4 defaults 0 2

New code :

UUID=f73e7c93-6ccd-d201-503e-7c736ccad201 /mnt/Torrent ext4 defaults,noatime,nofail,data=writeback,barrier=0,commit=120 0 2

Augmenter la mémoire VGA

Parfois, la lecture vidéo échoue (écran noir/pas de son). Le problème commun est que la mémoire VGA est trop petite. Vous pouvez le changer en éditant le fichier config.txt :

sudo nano /boot/config.txt

Définissez la valeur « gpu_mem » sur 320. S’il n’existe pas encore, ajoutez-le à la fin du fichier.

gpu_mem=320

Ne pas allumer le téléviseur lorsque le Raspberry Pi redémarre

Editez le fichier « config.txt » :

sudo nano /boot/config.txt

And set the « hdmi_ignore_cec_init » value to 1. If it doesn’t exist yet, add it to the end of file.

hdmi_ignore_cec_init=1

Update eeprom

It can speed up the Raspberry Pi, reach lower temperatures, and get new features. Simply run this command:

sudo apt update ; sudo apt install -y rpi-eeprom

Activer ou Désactiver le SWAP

Dans la plupart des cas, c’est inutile. Désactivez-le en exécutant cette commande :

sudo dphys-swapfile swapoff

sudo dphys-swapfile uninstall

sudo update-rc.d dphys-swapfile remove

sudo apt purge dphys-swapfile -y

Si vous souhaitez utiliser le swap, ne l’utilisez PAS sur la carte Micro SD-Card

Pour activer le fichier Swap du Raspberry Pi

Pour activer le fichier Swap du Raspberry Pi et configurer la taille à 1 GB (1024 MB), Lancez les commandes suivantes dans un terminal :

Arrêtez temporairement le Swap:
sudo dphys-swapfile swapoff

Modifier la taille du swap
En tant que root, éditez le fichier /etc/dphys-swapfile et modifier la variable CONF_SWAPSIZE to 1024:

CONF_SWAPSIZE=1024
En utilisant une commande comme celle-là :

sudo nano /etc/dphys-swapfile

Initialisez le fichier Swap
sudo dphys-swapfile setup

Démarrez le Swap
sudo dphys-swapfile swapon

Utiliser Ramdisk pour /tmp

Cette astuce est utile pour prolonger la durée de vie de la carte SD. Pour l’activer, exécutez simplement ces commandes ci-dessous :

sudo cp /usr/share/systemd/tmp.mount /etc/systemd/system/tmp.mount
sudo systemctl enable tmp.mount
sudo systemctl start tmp.mount

Vous pouvez le vérifier en exécutant la commande df.

Se reconnecter automatiquement au WiFi sur Raspberry Pi

Le Raspberry Pi se déconnecte parfois du WiFi.

La principale raison pourrait être la faible alimentation électrique. Assurez-vous que cela suffit en exécutant cette commande :

/bin/dmesg | grep 'Under-voltage detected'

S’il y a un résultat, envisagez d’acheter une alimentation électrique officielle d’Aliexpress ou d’eBay.

Si vous avez une bonne alimentation électrique, j’ai deux façons différentes de contourner ce problème.

Method #1

Désactivez la gestion de l’alimentation Wi-Fi en exécutant cette commande :

sudo /sbin/iwconfig wlan0 power off

Insérez la commande ci-dessous dans crontab en exécutant crontab -e pour la désactiver automatiquement au démarrage :

@reboot /bin/sleep 10 && sudo /sbin/iwconfig wlan0 power off

Method #2

J’ai trouvé un script simple pour contourner ce problème. Il s’exécutera toutes les 5 minutes et reconnectera le Raspberry Pi au réseau WiFi s’il est déconnecté.

Test de connectivité WiFi (et reconnexion si nécessaire)

Source : https://feriman.com

#

Tester la connectivité

if ! ping -c2 8.8.8.8 > /dev/null; then
# Shut down the wlan0 adapter if the network is not reachable
ifconfig wlan0 down
# Sleep 2 seconds to be sure
sleep 2
# Start the wlan0 adapter again
# It will reconnect to the WiFi automatically
ifconfig wlan0 up
# Sleep 10 seconds to be sure
sleep 10
# Put here all services with network dependencies
systemctl restart smbd ssh rpimonitor rtorrent apache2
fi

Copiez le script dans un fichier et donnez lui les droits d’éxécution :

nano /home/pi/reconnect-wifi.sh

chmod +x /home/pi/reconnect-wifi.sh

Et planifiez le dans le crontab:

sudo su

crontab -e

*/5 * * * * /home/pi/reconnect-wifi.sh

Publié dans raspberry, raspberry pi, sécurité, scripts, Tips | Tagué , , , , , | Laisser un commentaire

Suppression contrôleur de Domaine

Lorsqu’on souhaite retirer le rôle de contrôleur de domaine à un serveur Windows, il était de coutume d’utiliser

la commande « dcpromo » pour qu’il redevienne un simple serveur membre.

Sur Windows Serveur 2016 et supérieur, dans notre cas Windows Serveur 2019, la commande dcpromo a été déplacée.

On utilise le Centre d’administration Active Directory ou le Gestionnaire de Serveur

Il y a aussi une méthode, rapide, simple et surtout radicale qui en général est utilisé pour les serveurs hors service ou corrompu.

Sur les anciennes versions de Windows serveur, si le serveur hors service disposait d’un ou de plusieurs rôles FSMO, il fallait faire un seizing des rôles FSMO depuis le serveur sur lequel on voulait les transférer et il le faisait en forcant.

Pour le controleur de domaine à supprimer. On accède à l’annuaire Active Directory grâce à la console « Utilisateurs et ordinateurs Active Directory ».

On développe l’arborescence, on sélectionne « Domain Controllers ». « Domain Controllers » est l’OU (unité d’organisation) qui contient les serveurs contrôleurs de domaine.

On fait un click droit sur le DC à supprimer puis cliquez sur « Supprimer » dans le menu contextuel.

Un message vous demandant de valider la suppression apparaîtra :

On click sur « Oui » puis un second message apparait.

Cochez la case « Supprimer… » puisque c’est ce qui est souhaité.

Pour finir clickez sur « Supprimer ».

Le DNS (de l’AD DS) sera nettoyé. Les enregistrements DNS liés au contrôleur seront supprimés et retirés des fichiers de zone.

AD DS, lui aussi sera nettoyé afin de retirer les traces concernant le contrôleur qui n’en est plus un.

On valide la suppression

Le transfert de rôles FSMO est automatiquement proposé et réalisé si on click sur OK

On passe à la suppression dans Sites et services Active Directory

La suppression n’est pas parfaite et faut faire à la « main » la suppression du serveur « obsolète » des connexions dans la console « Sites et services Active Directory ».

On parcours l’AD, on va dans le sous domaine qui nous concerne.

On retrouve le serveur obsolète et on fait un clic droit sur le serveur hors connexion puis « Supprimer ».

On valide en clikant sur « Oui »

On peut terminer en faisant un repadmin /showrepl

Publié dans Active Directory, AD DS, Powershel, PowerShell, Server 2016, Server 2019, Windows Server | Tagué , , , , , , , , | Laisser un commentaire

Nexcloud sur Raspberry Pi,

Lorsque vous hébergez Nexcloud sur votre Raspberry Pi, vous obtenez non seulement un serveur de stockage en nuage privé, mais également un ensemble d’excellentes applications à toutes fins utiles.

L’auto-hébergement de sites Web et/ou de services sur un Raspberry Pi à la maison est un excellent outil pédagogique et réduit votre dépendance à l’égard des sociétés technologique offrant des services gratuit en échange de publicités et de vente de données vous concernant, telles que Facebook, Google, Linked in, Microsoft, etc. Si vous télétravaillez, ou travaillez à domicile ou même dirigez une entreprise, Nextcloud et ses intégrations d’applications fournissent presque tout ce dont vous avez besoin pour vous retirer complètement des grandes technologies.

Allez sur la pas de Makeuseof dot com suivre le how to comment installer nextcloud sur un Raspberry Pi et fonctionne sur des SBC (Single Board Computer) des netbooks, et même des systèmes très bas de gamme. Sur un Raspberry Pi 4B, même les processus intensifs en calcul fonctionnent bien, évidemment si vous n’avez pas plus d’une poignée d’utilisateurs. Au delà, il faut envisager sérieusement l’acquisition d’un matériel plus puissant. Vous pouvez accéder à votre instance Nextcloud sur votre bureau via WebDAV, via un navigateur ou avec des applications dédiées. C’est easy.

L’attrait de Nextcloud réside dans son extensibilité. Vous pouvez étendre ses fonctions au moyen d’applications intégrées qui peuvent tout ajouter, des lecteurs de musique en streaming et des gestionnaires de stations de radio aux réseaux sociaux et aux gestionnaires de budget partagé. Toutes les applications peuvent être installées dans votre propre instance…

Publié dans Nextcloud, raspberry, raspberry pi | Laisser un commentaire

Chiffrement S/MIME dans Outlook sur le web

Chiffrer ses messages à l’aide de S/MIME dans Outlook webmail

Commençons

Vous voulez ajouter un cadenas à vos e-mails ? 

Vous pouvez utiliser S/MIME dans Outlook webmail pour augmenter la sécurité des messages. 

Un message crypté numériquement ne peut être ouvert que par les destinataires qui possèdent la bonne clé. 

Une signature numérique garantit aux destinataires que le message n’a pas été falsifié.

Prérequis

  • Outlook webmail nécessite un ordinateur sous Windows pour prendre en charge S/MIME. S/MIME n’est pas disponible dans Outlook webmail pour Mac, iOS, Android ou d’autres appareils non Windows.
  • S/MIME peut ne pas être disponible pour votre compte.
  • Si vous configurez S/MIME dans Outlook webmail classique, vous devrez installer le nouveau contrôle S/MIME pour utiliser S/MIME dans le nouveau Outlook webmail. 

Quelle version d’Outlook sur le Web est-ce que j’utilise ?

SI VOTRE BOÎTE AUX LETTRES RESSEMBLE À…

Outlook sur le Web bêta

Vous utilisez le nouveau Outlook webmail

SI VOTRE BOÎTE AUX LETTRES RESSEMBLE À…

Outlook sur le Web

Vous utilisez la version classique d’Outlook webmail

Installer le contrôle S/MIME

  1. Obtenez un certificat, parfois appelé clé ou identifiant numérique. La première étape pour utiliser S/MIME consiste à obtenir un certificat auprès de votre administrateur informatique ou de votre service d’assistance. Votre certificat peut être stocké sur une carte à puce ou être un fichier que vous stockez sur votre ordinateur. Suivez les instructions fournies par votre organisation pour utiliser votre certificat.
  2. Installez le contrôle S/MIME.

  1. Accédez à Icône ParamètresParamètres > Messagerie > S/MIME . Recherchez Pour utiliser S/MIME, vous devez installer le contrôle S/Mime. Pour l’installer, cliquez ici . Sélectionnez Cliquez ici .Remarque :  Si vous recevez un message chiffré avant d’avoir installé le contrôle S/MIME, vous serez invité à installer le contrôle lorsque vous ouvrirez le message.Remarque :  Pour utiliser S/MIME sur Chrome, votre ordinateur doit être joint à un domaine Microsoft Active Directory et disposer d’une politique Chrome pour inclure l’extension S/MIME. Vérifiez auprès de votre administrateur informatique ou de votre service d’assistance pour confirmer que votre ordinateur est joint à un domaine et dispose de la stratégie requise. Les instructions destinées aux administrateurs informatiques se trouvent dans Configurer les paramètres S/MIME dans Exchange Online pour Outlook sur le Web .
  2. Lorsque vous êtes invité à exécuter ou à enregistrer le fichier, sélectionnez Exécuter ou Ouvrir (le choix varie en fonction du navigateur Web que vous utilisez).
  3. Vous serez peut-être invité à nouveau à confirmer que vous souhaitez exécuter le logiciel. Sélectionnez Exécuter pour continuer l’installation.

Autoriser le domaine Outlook sur le Web à utiliser le contrôle S/MIME

  • Internet Explorer : vous pouvez voir le message suivant lorsque vous ouvrez Outlook sur le Web dans Internet Explorer pour la première fois après avoir installé la mise à jour du contrôle S/MIME :Voulez-vous autoriser le domaine <votre domaine de messagerie> à utiliser le contrôle S/MIME pour chiffrer et déchiffrer les messages dans votre boîte de réception ? N’autorisez que les domaines auxquels vous faites confiance. Si vous sélectionnez Oui, vous ne serez plus invité pour ce domaine. Si vous sélectionnez Non, le domaine n’aura pas accès à S/MIME.Sélectionnez Oui pour approuver le domaine.
  • Edge et Chrome : vous pouvez voir le message suivant la première fois que vous essayez d’utiliser S/MIME dans Outlook sur le Web sur Edge ou Chrome après avoir installé l’extension S/MIME :S/MIME n’est pas configuré pour fonctionner avec le domaine actuel. Vous pouvez l’ajouter dans la page des options d’extension S/MIME dans les paramètres de votre navigateur.Sélectionnez le lien pour accéder à la page des paramètres et autorisez votre domaine professionnel ou scolaire à utiliser S/MIME. Le domaine est généralement la partie après le signe @ dans votre adresse e-mail. Vérifiez auprès de votre administrateur informatique si cela ne fonctionne pas.Remarque :  Vous devrez fermer et rouvrir Outlook sur le Web avant de pouvoir utiliser le contrôle S/MIME.

Que dois-je savoir d’autre ?

Crypter et signer numériquement les messages sortants

Comment chiffrer ou signer numériquement tous les messages ?

Comment chiffrer des messages individuels ?

Comment signer numériquement des messages individuels ?

Lecture de messages cryptés et signés numériquement

Comment lire un message crypté ?

Comment vérifier la signature d’un message signé numériquement ?

Publié dans Deploiement | Laisser un commentaire

Miner du Monero

Guide d’exploitation du minage Monero

Commencer

Avec Monero, le minage n’a jamais été aussi simple et aussi « abordable ».


Étape 1 : Procurez-vous une adresse Monero vers laquelle miner! Je vous recommande d’utiliser le portefeuille officiel avec GUI si vous n’avez pas encore de portefeuille Monero.


Étape 2: Téléchargez le mineur que vous souhaitez utiliser. Monero peut actuellement être exploité sur les processeurs et sur les GPU AMD (il faut mettre la carte graphique en mode compute). Des documentations « trompeuses » indiquent que l’on peut utiliser des GPU NVidia. Cela est faux. Monero n’utilise que la puissance CPU et les GPU ont des performances si basse que c’est une perte d’argent. Le minage sur GPU n’est actuellement pas très efficace. L’unique avantage d’avoir des GPU NVidia, c’est que vous pouvez miner quasi simultanément du monero par le CPU et une autre crypto-monnaie par les GPU. Toutefois, dans ce cas de figure, l’investissement financier pour démarrer est particulièrement lourd. Comptez une carte mère multi-processeur Xeon (à ma connaissance il n’existe pas de CM bi-CPU Ryzen AMD ou i5, i7, i9) + le rig GPU NVidia. A ce jour, bi-cpu Intel Xeon + rig GPU Nvidia, en gros 24 000 € HT. Je vous recommande d’utiliser XMRig, disponible sur xmrig.com.


Étape 3 : Configurez votre mineur. Exemple de ligne de commande pour xmrig :
xmrig -o pool.minexmr.com:4444 -u 47yjn9ShdYqFFQsPWc6wiHaFNQhuKgFQVRkVXz5hr7gzEjjR8F43pc7GG9JitksiPiFf4HmT3Ucf7FwtEGCj9fAwRiVvNX3
vous pouvez également utiliser l’assistant de configuration XMRig.
Ensuite, laissez tourner et attendez que votre solde en attente commence à augmenter sur votre tableau de bord

Mises en garde

En terme de portefeuille, il est notoirement recommandé de ne pas utiliser Freewallet, Changelly ou Coinfloor.

Le pool Minergate est aussi notoirement connu pour se faire de l’argent sur votre dos de manière abusive. C’est le plus facile et le plus simple d’accès mais la simplicité et la facilité ont, semble t-il, un cout.

Paiements

Vous pouvez voir votre solde en attente sur votre tableau de bord de votre pool . 

Une fois qu’il est au-dessus de votre seuil, il sera envoyé automatiquement sans frais de tx.
Si vous souhaitez un paiement avant d’atteindre votre seuil, vous pouvez utiliser l’option Envoyer maintenant sur votre tableau de bord. Votre solde sera envoyé instantanément, mais vous devrez payer 0,0004XMR pour les frais de tx. Le paiement minimum est de 0,004XMR.

Frais de pool

Les pools facturent des frais de 1% sur les récompenses minières. 

Détails de connexion

Il existe plusieurs serveurs de pool de minage à divers endroits. Sélectionnez le plus proche de chez vous afin de réduire le nombre d’actions expirées.

https://moneroocean.stream/

pool.minexmr.com

France: fr.minexmr.com

Allemagne : de.minexmr.com

Singapour : sg.minexmr.com

Canada (East Coast): ca.minexmr.com

États-Unis (côte ouest) : us-west.minexmr.com

Ports pour miner

Lors de la configuration de votre mineur, vous pouvez choisir parmi les ports de pool suivants

4444 Standard port

443 TLS port

Si vous utilisez Nicehash, vous devez utiliser

3333 Nicehash port

La difficulté s’ajuste automatiquement sur tous les ports à l’exception du 3333. Ne mettez pas en dur les adresses IP dans votre fichier hosts ou dans vos DNS locaux car elles peuvent changer.

Utilisation des identifiants de plate-forme

Chaque portefeuille peut avoir de nombreux identifiants de plate-forme qui vous permettent de visualiser leur hashrate individuellement, alors qu’ils contribuent tous au même portefeuille pour les paiements. Vous pouvez utiliser la fonction rig-id dans les mineurs qui la prennent en charge. Les ID de plate-forme doivent être alphanumériques et comporter moins de 20 caractères.
Les travailleurs (ou workers) inactifs seront automatiquement supprimés au bout d’une semaine.

Portefeuille et logiciel démon

Il existe un certain nombre de portefeuilles monero disponibles. Sur les PC, nous vous recommandons d’utiliser MyMonero si vous souhaitez configurer rapidement un portefeuille, ou le démon et le portefeuille officiels Monero de getmonero.org pour une meilleure sécurité.
Sur mobile, nous vous recommandons d’utiliser CakeWallet .

Applications minières

Nous recommandons actuellement XMRig ou SRBMINER

PPLNS

Pay Per Last N Shares (PPLNS) est une méthode de distribution des bénéfices entre les mineurs. Il répartit les paiements pour chaque bloc parmi les N dernières actions, quel que soit le moment où le bloc précédent a été trouvé. Cela résout le problème du pool hopping, où il est plus rentable de miner juste après la découverte d’un bloc. Avec PPLNS, les mineurs fidèles obtiendront les meilleurs profits.
Minexmr fonctionne en utilisant PPLNS avec une fenêtre d’environ 30 minutes (en fonction de facteurs tels que le hashrate du pool). Cela signifie qu’il y aura une augmentation et une diminution des paiements lorsque vous démarrez ou arrêtez l’exploitation minière.

Partages invalides

Les partages invalides ne devraient pas se produire avec un mineur correctement configuré. Ils sont généralement causés par une ancienne version du logiciel de mineur ou des overclocks instables. Les actions ne seront pas créditées et votre mineur en sera informé. Il n’y a aucune pénalité pour la soumission de partages invalides, cependant si vous en soumettez trop, vous serez temporairement banni.

Publié dans Bitcoin, Blockchain, Chiffrement, déploiement, Deploiement, Etherium, linux, Minage, Monero, privacy, sécurité, scripts, Server 2016, Server 2019, Tips, Windows 10, Windows 7, Windows Server | Tagué , , , , , , , , , , , , , , | Laisser un commentaire

Planifier les mises à jours sur les serveurs windows

Planification de l’installation des mise à jour

Il y a des serveurs dont le rôle ne nécessite pas une attention particulière et donc pour lesquels une stratégie de mise à jours automatique, planifiée est intéressante.

Dans mon cas, ce ne sont que 1 ou 2 serveurs qui sont concernés. Je ne vais pas faire une GPO uniquement pour 2 machine.

Je vais dans « éxécuter » et je saisi « gpedit.msc ». Je vais dans « Stratégie Ordinateur local« , puis « Configuration ordinateur« , puis « Modèles d’administration« , puis « Composants Windows« , puis « Windows Update« 

Pour définir l’heure, il faut accéder à Configuration du service Mises à jour automatiques, sélectionner l’option 4- Téléchargement automatique et planification des installations, puis entrer une heure dans la zone déroulante Heure de l’installation planifiée

On peut aussit indiquer que cette installation surviendra lors de la période de maintenance automatique (configurer à l’aide de Configuration de l’ordinateur\Modèles d’administration\Composants Windows\Planificateur de maintenance).

Le paramètre Toujours redémarrer automatiquement à l’heure planifiée force le redémarrage après l’heure d’installation définie et vous permet de configurer un minuteur permettant d’avertir un utilisateur connecté qu’un redémarrage va avoir lieu.

On peut aussi obtenir le même résultat avec une édition du Registre mais ce n’est pas propre. Il vaut mieux laisser Windows manipuler lui même la base de registre via les GPO locales ou domaine. 

Avec regedit : HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU

On défini AuOptions sur 4, puis ondéfini l’heure d’installation avec ScheduledInstallTime, ensuite on active AlwaysAutoRebootAtScheduledTime pour terminer on donne le délai en minutes par l’intermédiaire de AlwaysAutoRebootAtScheduledTimeMinutes

Pour obtenir une description détaillée de ces clés de registre, voir Clés de registre utilisées pour gérer le redémarrage.

Publié dans Active Directory, AD DS, Server 2016, Server 2019, Tips, Windows Server, wsus | Tagué , , , , , , , , , , , | Laisser un commentaire

Installation de WSUS en Powershell

Installation de WSUS

sur

Windows Server 2019

Peu le savent mais on peut faire l’installation de WSUS sans avoir besoin de passer par l’interface graphique, qui à mon goût est un peu limitée. En effet, on peut effectuer l’installation à l’aide de l’applet de commande Install-WindowsFeature et en spécifiant les noms de fonctionnalités appropriés que l’on souhaite installer. 

Dans le cas de WSUS, nous nous focalisons uniquement sur la fonctionnalité des services de mise à jour. 

On obtient les sous-fonctionnalités possibles et disponibles à l’aide de la cmdlet Get-WindowsFeature et en spécifiant UpdateServices * pour le paramètre Name .

Get-WindowsFeature –Name UpdateServices *

Vous pouvez essayer de tout installer, mais cela se terminera mal pour vous car il y aura un conflit entre l’utilisation de la base de données interne Windows (WID) et l’utilisation d’une autre base de données SQL Server (locale ou distante) pour stocker la base de données SUSDB.

Image du message d'erreur

On a le choix entre l’utilisation de WID ou l’utilisation de SQL Server. Chose à savoir mais c’est une solution non pérenne, SLQ Express server est utilisable avec WSUS. Néanmoins, l’utilisation de SQL Server Express est limité (taille mémoire, taille database, etc). Il vaut mieux éviter.

Moi. J’ai choisi WID. Le premier argument. Il n’y a pas d’argent. Le second, je ne veux pas de SQL Express. Et puis… C’est plus simple avec la base de données WID. Plus simple parce qu’il n’y a qu’une seule ligne de code pour tout installer. 

Juste pour voir ce qui peut être installé, on utilise le commutateur WhatIf .

Install-WindowsFeature -Nom UpdateServices -IncludeManagementTools –WhatIf

À première vue, cela installera WSUS, ainsi que la base de données WID et certains composants IIS qui sont utilisés pour les enregistrements client et d’autres choses. Ca me semble probant. Je supprime WhatIf et je relance la commande.

C’est un chouia long, il faut patienter un peu…

L’installation est terminée. On a un message indiquant qu’une configuration supplémentaire est nécessaire. Pour les habitués, c’est la fameuse postinstall que l’on a en mode graphique. Elle existe aussi en mode POSH.

A partit de la, on va utiliser wsusutil.exe que peu utilisent bien que ce soit un outil puissant. Il se trouve dans C:\Program Files\Update Services\Tools. Il y a les paramètres habituels que l’on utulise usuellement mais il y en a d’autres dédiés à la configuration PostinstallIl suffit juste d’utiliser l’ argument PostInstall .

.\wsusutil.exe postinstall /?

Bien sûr, il faut avoir les paramètres pour spécifier où stocker le contenu et où créer la base de données. 

Avant de spécifier l’endroit où je veux stocker le contenu, il faut créer le répertoire pour le stockage. Dans mon infra, nous avons un NetApp pour ce type d’utilisation. JE ne stocke rien dans le disque de l’OS. On crée le lecteur « D:\ ».

New-Item -Path D: -Nom WSUS -ItemType Répertoire

One exécute la commande suivante pour configurer le répertoire de stockage, pour télécharger et enregistrer tous les fichiers de mise à jour dans D:\WSUS.

.\wsusutil.exe postinstall CONTENT_DIR=D:\WSUS

Après tout ça, on a configuré le répertoire de stockage sur un autre lecteur sur lequel sera enregistrer les fichiers de mise à jour. 

Utilisation avec un serveur SQL alternatif

Si on veut utiliser un serveur SQL différent pour enregistrer les données au lieu de se fier à WID C’est une option utilisable avec WSUSUtil.exe PostInstall. 

Install-WindowsFeature -Nom UpdateServices-Services, UpdateServices-DB -IncludeManagementTools

Il faudra spécifier à WSUSUtil le répertoire Content, ainsi que la base de données SQL Server que l’on souhaite utiliser je souhaite utiliser pour mon serveur WSUS. Note. Le serveur WSUS doit se trouver sur un domaine pour que la génération de base de données SQL Server distante fonctionne. 

.\ wsusutil.exe postinstall SQL_INSTANCE_NAME="APCWINDB1\SQL2016" CONTENT_DIR=D:\WSUS

Et après quelques minutes, la configuration est terminée avec le répertoire Content sur « D:\WSUS » et la base de données SUSDB configurée sur mon serveur SQL distant.

Inspectez l’état d’installation de WSUS

En utilisant mon installation actuelle de WSUS et la base de données SQL Server distante, nous pouvons maintenant vérifier l’analyseur des meilleures pratiques pour voir si quelque chose d’autre est nécessaire avant de configurer le serveur WSUS et de lancer la synchronisation pour obtenir toutes les métadonnées de mise à jour.

Invoke-BpaModel -ModelId Microsoft/Windows/UpdateServices

Voyons maintenant les résultats de notre scan…

Get-BpaResult -ModelId Microsoft/Windows/UpdateServices | Select Title,Severity,Compliance | Format-List

Le serveur WSUS n’est pas configurer pour utiliser le module linguistique. Ca peut se régler plus tard. Il est presque conforme (la Base données est stockée au mauvais endroit)

On configure les langues et on indique au serveur où on veux faire la synchronisation. 

#Obtenir les objets WSUS Server
$wsus = Get-WSUSServer
#Connection à la configuration de WSUS server
$wsusConfig = $wsus.GetConfiguration()
#Régler le téléchargement des updates à partir de Microsoft Updates
Set-WsusServerSynchronization –SyncFromMU
#Régler la langue des mise à jours en français et sauvegarder la configuration
$wsusConfig.AllUpdateLanguagesEnabled = $false           
$wsusConfig.SetEnabledUpdateLanguages(“fr”)           
$wsusConfig.Save()
#Obtenir les enregistrement WSUS et démarrer la synchronisation initiale pour avoir les dernières catégories
$subscription = $wsus.GetSubscription()
$subscription.StartSynchronizationForCategoryOnly()
While ($subscription.GetSynchronizationStatus() -ne ‘NotProcessing’) {
    Write-Host “.” -NoNewline
    Start-Sleep -Seconds 5
}
Write-Host “Sync is done.”

L’exécution du script.

J’ai bossé sur un script pour WSUS se synchronise automatiquement une fois par jour à minuit et lancer une autre synchronisation pour extraire les métadonnées de mise à jour mais je n’ai pas eu le temps de le finir. Si l’envie vous en prends.

Get-WsusProduct | where-Object {
    $_.Product.Title -in (
    'CAPICOM',
    'Silverlight',
    'SQL Server 2016',
    'SQL Server 2012',
    'SQL Server 2019',
    'Exchange Server 2010',
    'Windows Server 2012r2',
    'Windows Server 2016',
    'Windows Server 2019',
    'Windows 10')
} | Set-WsusProduct
#Configurer les classifications
Get-WsusClassification | Where-Object {
    $_.Classification.Title -in (
    'Mettre à jour les correctifs',
    'Mises à jour de sécurité',
    'Mises à jour critiques',
    ‘Service Packs’,
    'Mises à jour')
} | Set-WsusClassification
#Configurer les synchronisations
$subscription.SynchronizeAutomatically = $true
#Régler la synchronisation prévue à minuit chaque nuit
$subscription.SynchronizeAutomaticallyTimeOfDay = (New-TimeSpan -Hours 0)
$subscription.NumberOfSynchronizationsPerDay = 1
$subscription.Save()
#Lancer une synchronisation
$subscription.StartSynchronization()

La synchronisation peut prendre un certain temps. Une fois l’opération terminée, vous pouvez commencer à examiner les mises à jour disponibles

Un grand merci au forum des scripteurs en POSH

Postez vos questions sur le forum officiel des scripteurs . 

Publié dans Active Directory, AD DS, déploiement, Deploiement, Deployment, Powershel, PowerShell, sécurité, scripts, Server 2016, Server 2019, SQL Server, telemetry, Tips, Windows 10, Windows Server, wsus | Tagué , , , , , , , , , , , , , | Laisser un commentaire

Importer des utilisateur d’un LDAP vers un Active Directory

Il est courant d’avoir un LDAP pour les utilisateur Linux/*nix et un Active Directory pour les utilisateurs sous Windows. Parfois, c’est intéressant d’exporter les utilisateurs du ldap avec quelques infos pour les importer vers l’active directory.

Voici un exemple de fichier qui permet de faire cela. Le fichier a été nettoyé d’informations de mon infra du boulot mais l’idée est là et ça fonctionne. Dans mon cas, il fonctionne de manière quotidienne. Il est lancé par une tâche planifiée.

Avec quelques notions en POSH aka Powershell vous pourrez l’améliorer et le modifier à votre convenance.

# Importer le module active directory pour utiliser les cmdlets AD 
Import-Module activedirectory

#copier le fichier csv du ldap ou d'une ressource partagée sur le réseau à partir d'une url

Invoke-WebRequest -Uri "http://intra.deployadmin.com/ldap/ldap.csv" -OutFile "C:\ldap2adds\ldap.csv"

#Chemin complet du path
$pathldap2adds = "C:\ldap2adds"
$SourceFilePath = "C:\ldap2adds\ldap.csv" 

# $ADServer = "ad3.deployadmin.com"
# $csvreportfile = $SourceFilePath

$SearchLoc ="CN=users,Dc=deployadmin,DC=com"

$ADServer = "ad4.deployadmin.com"
# Diverses informations utiles 

# Stocker les données de ldap.csv dans la variable $ADUsers
 
# Une boucle sur chaque ligne utilisateur contenant les infos de l'utilisateur dans le fichier csv  

$ADUsers = Import-csv $SourceFilePath -Delimiter "|"
foreach ($User in $ADUsers)
{
	$Username = $User.uid
	$Password 	= "c6nW484EiFX3"
    $Firstname = $User.givenname
    $Lastname = $User.sn
    $UserMailName = $User.mail
    $OU 		= "Dc=deployadmin,DC=com" 
    $path="CN=Users,Dc=deployadmin,DC=com"

	if (Get-ADUser -F {SamAccountName -eq $Username})
	{
     #Si l'utilisateur existe envoyer un warning
		 Write-Warning "le compte utilisateur avec le nom d'utilisateur $Username existe déjà dans l'Active Directory."
	}
	else
	{
    #Si l'utilisateur n'existe pas alors creer le compte utilisateur
		
        # Le compte sera cree dans l'OU fourni par la variable $OU
		New-ADUser `
            -SamAccountName $Username `
            -UserPrincipalName $UserMailName `
            -Name "$Firstname $Lastname" `
            -GivenName $Firstname `
            -Surname $Lastname `
            -EmailAddress $UserMailName `
            -Enabled $True `
            -DisplayName "$Lastname $Firstname" `
            -Path $path `
            -AccountPassword (convertto-securestring $Password -AsPlainText -Force) `
            -ChangePasswordAtLogon $true `
            
             
	}
}

# Feature : sauvegarde du fichier ldap.csv avec la date du jour d'importation

$DateNow = Get-Date -Format "yyyyMMdd" #Date 20210224

$FileName = [io.path]::GetFileNameWithoutExtension($SourceFilePath) #Récupérer le nom de fichier sans son extension
$FileExtension = [io.path]::GetExtension($SourceFilePath) 
#Récuperer l'extension du fichier

Rename-Item -Path $SourceFilePath -newname $FileName$DateNow$FileExtension #Rename filename

Publié dans Active Directory, AD DS, déploiement, Deploiement, Deployment, linux, Migration, Powershel, PowerShell, scripts, Server 2016, Server 2019, Tips, Windows Server | Tagué , , , , , , , , , , , , , , | Laisser un commentaire

Groupe de sécurité des utilisateurs protégés « Protected users »

Le groupe de sécurité Utilisateurs protégés a été introduit avec Windows Server 2012 R2 et est toujours d’actualité dans Windows Server 2019. Ce groupe utilisateurs a été développé pour apporter une meilleure protection des comptes à privilèges élevés (administrateurs, comptes admin fonctionnels, etc) contre les attaques de vol d’informations d’identification. Les membres de ce groupe ont une protection non configurable appliquée. Pour utiliser le groupe Utilisateurs protégés, Le contrôleur e Domaine doit être sous Windows Server 2012r2 minimum et les clients doivent être sous Windows 8.1 minimum ou Windows 2012 R2.

Les comptes de service et les ordinateurs ne peuvent pas être membres du groupe de sécurité des utilisateurs protégés. Ces comptes peuvent être protégés à l’aide de différentes fonctionnalités, telles que les silos de règles, que j’expliquerai plus loin dans ce chapitre.

Pour commencer, nous pouvons examiner le groupe de sécurité Utilisateurs protégés à l’aide de la commande suivante:

Get-ADGroup -Identity "protected users"

Ce groupe se trouve dans le conteneur Utilisateurs par défaut dans AD.

Ici, nous allons ajouter le compte d’utilisateur Adam au groupe Utilisateurs protégés à l’aide de la commande suivante:

Get-ADGroup -Identity "Protected Users" | Add-ADGroupMember -Members "CN=wstaff,OU=Utilisateurs,DC=apc,DC=in2p3,DC=fr"

La première partie de la commande récupère le groupe et la seconde partie y ajoute l’utilisateur wstaff.

Une fois l’utilisateur ajouté au groupe, nous pouvons vérifier l’appartenance au groupe à l’aide de la commande suivante:

Get-ADGroupMember -Identity "Protected users"

Publié dans Active Directory, AD DS, Powershel, PowerShell, privacy, sécurité, scripts, Server 2016, Server 2019, Tips, Windows 10, Windows Server | Tagué , , , , , , , , , , , , , , , , , | Laisser un commentaire