dcpromo
ipconfig /registerdns
Dimitri installe son AD, il met qu'il rejoint un domaine existant: domain1.be Quand c'est fait, vérifier dans AD sites and Services qu'on a bien un connecteur. Synchroniser. Nous avons rencontré un problème: Carl avait mis de prendre en compte l'heure d'été et Dimitri pas → pas possible de synchroniser.
Plusieurs techniques
On n'utilise pas windows update parce que:
On utilise:
On fait le patching à la main (suivant publications MS et l'environnement dans lequel on se trouve), puis on vérifie avec le MBSA
Exemple: on prend un DC avec Windows 2000 Server.
1. on télécharge (depuis une autre machine)un fichier XML qui compare l'existant avec la machine: msxml.msi
2. installer msxml.msi (installation standard) 3. vérifier qu'il existe: C:\program files\Microsoft Baseline Security Analyzer\mbsacli.exe 4. scan de la machine comme avec hfnetchk: <code>"C:\program files\Microsoft Baseline Security Analyzer\mbsacli.exe" /hf</code> output: note MS03 998712 -> il ne sait pas si c'est hotfix ou patch: aller voir le knowledge base patch not found MS03 88751 -> lire le bulletin de sécurité, puis télécharger (choisir le bon OS et la bonne langue) 5. télécharger tous les patches 6. appliquer les patches dans l'ordre dans lequel ils sont listé par mbsacli.exe /hf 7. on ne reboote pas entre les applications 8. pour que tous les patches soient pris en compte pas l'OS, lancer qchain.exe qui va modifier la registry pour que tous les changements soient pris en compte: <code>qchain.exe</code> 10. reboot 11. <code>mbsacli.exe /hf</code> vérifier que le patching s'est bien passé 12. interface graphique MBSA vérification de la //security checklist//
Le faire pour ma machine…
D'abord désactiver Windows Update: control panel → automatic update → décocher la checkbox du haut → apply
C:\>"C:\program files\Microsoft Baseline Security Analyzer\mbsacli.exe" /hf Microsoft Baseline Security Analyzer Version 1.2.1 (1.2.4013.0) (C) Copyright 2002-2004 Microsoft Corporation. All rights reserved. HFNetChk developed for Microsoft Corporation by Shavlik Technologies, LLC. (C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com Please use the -v switch to view details for Patch NOT Found, Warning and Note messages Scanning DC11 Attempting to get CAB from http://go.microsoft.com/fwlink/?LinkId=18922 XML successfully loaded. Done scanning DC11 ---------------------------- DC11 (10.10.3.11) ---------------------------- * WINDOWS 2000 SERVER SP4 Note MS02-064 327522 Patch NOT Found MS03-023 823559 Note MS03-030 819696 Patch NOT Found MS03-034 824105 Patch NOT Found MS03-041 823182 Patch NOT Found MS03-042 826232 Patch NOT Found MS03-043 828035 Patch NOT Found MS03-044 825119 Patch NOT Found MS03-049 828749 Patch NOT Found MS04-011 835732 Patch NOT Found MS04-012 828741 Patch NOT Found MS04-014 837001 Note MS04-016 839643 Patch NOT Found MS04-019 842526 Patch NOT Found MS04-020 841872 Patch NOT Found MS04-022 841873 Patch NOT Found MS04-023 840315 Patch NOT Found MS04-024 839645 Patch NOT Found MS04-031 841533 Patch NOT Found MS04-032 840987 Patch NOT Found MS04-036 883935 Patch NOT Found MS04-037 841356 Patch NOT Found MS04-041 885836 Patch NOT Found MS04-043 873339 Patch NOT Found MS04-044 885835 Patch NOT Found MS05-001 890175 Patch NOT Found MS05-003 871250 Note MS05-009 887472 Patch NOT Found MS05-010 885834 Patch NOT Found MS05-011 885250 Patch NOT Found MS05-012 873333 Patch NOT Found MS05-013 891781 Patch NOT Found MS05-015 888113 Patch NOT Found MS05-016 893086 Patch NOT Found MS05-018 890859 Patch NOT Found MS05-019 893066 * INTERNET INFORMATION SERVICES 5.0 SP4 Patch NOT Found MS04-030 824151 * INTERNET EXPLORER 5.01 SP4 Patch NOT Found MS05-020 890923 * WINDOWS MEDIA PLAYER 6.4 FOR WINDOWS 2000 SP4 Information There are no security updates available for this product. * MDAC 2.5 SP3 Patch NOT Found MS04-003 832483 * MSXML 2.5 GOLD Information This product is no longer supported by Microsoft. The latest version of MSXML should be installed. * MSXML 4.0 SP2 Information There are no security updates available for this product.
"C:\program files\Microsoft Baseline Security Analyzer\mbsacli.exe" /hf
C:\Documents and Settings\Administrator>"C:\program files\Microsoft Baseline Sec urity Analyzer\mbsacli.exe" /hf Microsoft Baseline Security Analyzer Version 1.2.1 (1.2.4013.0) (C) Copyright 2002-2004 Microsoft Corporation. All rights reserved. HFNetChk developed for Microsoft Corporation by Shavlik Technologies, LLC. (C) Copyright 2002-2004 Shavlik Technologies, LLC. www.shavlik.com Please use the -v switch to view details for Patch NOT Found, Warning and Note messages Scanning DC11 Attempting to get CAB from http://go.microsoft.com/fwlink/?LinkId=18922 XML successfully loaded. Done scanning DC11 ---------------------------- DC11 (10.10.3.11) ---------------------------- * WINDOWS 2000 SERVER SP4 Patch NOT Found MS02-050 329115 Note MS02-064 327522 Note MS03-030 819696 Patch NOT Found MS03-043 828035 Patch NOT Found MS03-044 825119 Note MS04-016 839643 Patch NOT Found MS04-031 841533 Patch NOT Found MS05-003 871250 Note MS05-009 887472 Warning MS05-016 893086 * INTERNET INFORMATION SERVICES 5.0 SP4 Information All necessary hotfixes have been applied. * INTERNET EXPLORER 6 SP1 Note MS04-028 833987 Patch NOT Found MS05-020 890923 * WINDOWS MEDIA PLAYER 6.4 FOR WINDOWS 2000 SP4 Information There are no security updates available for this product. * MDAC 2.5 SP3 Information All necessary hotfixes have been applied. * MSXML 3.0 SP5 Information There are no security updates available for this product. * MSXML 4.0 SP2 Information There are no security updates available for this product.
Il en resort qu'il faut encore faire:
Après on refait la commande avec -v à la fin pour avoir le détail du warning pour 893086:
Warning MS05-016 893086 File version is greater than expected. [C:\WINNT\system32\shlwapi.dll, 6.0.2800.1584 > 5.0.3900.7032]
Réappliquer l'update, rebooter et c'est bon.
Problème, il marque toujours
* INTERNET EXPLORER 6 SP1 Note MS04-028 833987
→ http://support.microsoft.com/default.aspx?scid=kb;en-us;306460:
#|
MS04-028 | Windows XP (original release and SP1), Windows Server 2003 (original release), Internet Explorer 6.0 SP1 | Not supported | Note | ||
Donc, MBSA ne peut pas vérifier si le patch a été appliqué. Je l'ai fait, donc c'est bon.
Ensuite, lancer MBSA: Start → Program → Microsoft Baseline Security Analyzer 1.2.1 Faire un scan de la machine et voir ce qu'il en dit.
29/04/05
Security checklist
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg
SYSKEY encrypte une 2e fois les mots de passe. Activé par défaut en 2000. A configurer.
password cracker: LC3: il compare les hashs (hash du password à trouver vs hash du password testé) Il travaille par groupe de 7 caractères.
Security Configuration Templates
Regarde la sécurité par défaut: Start → Program Files → Administrative Tools → Domain Controller Security Policy Account Policy → password policy
Attention: il faut avoir du NTFS natif (pas FAT et pas FAT convertie en NTFS)
Selon le rôle de la machine, il faut définir les critères de sécurité: exemple: pour un DC: sécurité maximum
On peut distribuer les templates de sécurité par GPO.
Il existe des templates fournis par MS. Pour les étudier, cf. le ressource kit (Group Policy Reference) http://www.microsoft.com/windows2000/techinfo/reskit/default.asp
Pour appliquer un template:
secedit
D'abord, créer son niveau de sécurité (celui à atteindre). Ensuite comparer avec l'existant:
Prendre le high security dc template et comparer les différences avec l'existant.
mmc
Console → Add / Remove Snap-in → button add… → Security Configuration and Analysis → OK Security configuration → clic droit → Open Database → donner un nom → choisir le template hisecdc.inf Security configuration → clic droit → Anaylze Computer Now → OK
Sur chaque DC, il y a une SAM (security account manager) qui est l'interface graphique pour accéder à la SAD (security account database) quand laquelle il y a
Fenêtre de winlogon:
Tant que la fenêtre de winlogon est là, on ne peut pas lancer d'exécutable
Il y a 2 modes de fonctionnement:
Les sous-systèmes sont indépendants les uns des autres (isolés et protégés)
Quand on se loggue, c'est le security sub-system qui appelle le security reference monitor qui va interroger la SAD. Quand c'est vérifié, le security reference monitor dit OK au security sub-system qui va générer un jeton d'accès (access token) qui reprend:
L'administrateur installe un logiciel Tous les fichiers et répertoires sous NTFS ont des ACLs (access control list). Pour le logiciel installé, les ACLs:
L'administrateur se déloggue.
Un utilisateur (user1) s'identifie → il reçoit un access token (avec son SID)
Il veut lancer le logiciel → le security descriptor compare le contenu de la liste des ACLs avec le jeton d'accès: ici, user1 n'a pas le droit d'exécuter le logiciel, donc il ne se lance pas.
Si on rajoute un utilisateur dans un groupe pour qu'il ait accès à une ressource, il faut qu'il se déloggue et se reloggue pour y avoir accès.
Soit une workstation et un un DC avec l'AD et le KDC (key distributor center: TGS et TGT)).
User1 veut se logguer sur la workstation:
Rappel
Note: si dans les ACLs on voit un SID au lieu d'un nom d'utilisateur, c'est un problème de migration: l'utilisateur n'a pas été migré dans l'AD (ou dans la SAM)
user1: full control
user2: deny full control * s'il est en local, user2 y aura accès (share ne s'applique pas) * s'il est en réseau, il n'y aura pas accès * un répertoire Data (share: user1 = FC) avec des sous-répertoires test1 (share: user1 = read), test2 (share: user1 = change), test3 (share: user1: FC deny) * dans son Explorer, il va voir 4 shares non imbriqués: * s'il clique sur test1, il pourra que lire * s'il clique sur test2, il pourra que changer * s'il clique sur test3, il aura full control * s'il clique sur data, il verra test1, test2, test3 en local: il aura FC sur les 3 *> partager le répertoire au niveau le plus bas de la hiérarchie * est-ce que dans le cas ci-dessus le user1 peut effacer le répertoire Data? * non, on ne peut pas effacer une ressource partagée sur le réseau * par contre, s'il double clique sur Data, il pourra effacer les sous-répertoires test1, test2 et test3 (qui sont vus en local) * un répertoire data contient: * HR (avec un fichier fiche1.txt) * sales (avec un fichier test1.txt et test2.txt) * IT (contenant un fichier it1.txt) * le groupe dlgcom doit pouvoir * modifier tout HR * modifier salles sauf test2.txt (auquel il ne faut pas qu'il ait accès) * read IT * le groupe dlgsales * modifier HR * modifier sales (sauf test2.txt: lire) * IT: pas d'accès * solution isoler le fichier test2.txt dans un répertoire dans Data * un répertoire Data est partagé: * everyone: full control * dlgcom: change * dlgit: read * user1 (qui appartient à tous les groupes): change * quelle est la permission effective de user1? Full Control: la somme des permissions sharing sauf deny qui prime
AGDLP: Account dans Global group dans Domain Local group sur lequel on applique des Permissions
#|
user | Data 1 | Data 2 | Data 3 | ||
user1 | |||||
user2 | |||||
user3 | |||||
user4 | |||||
user5 | |||||
#|
Sharing | NTFS | |
répertoire | répertoire et fichier | |
pas d'héritage | héritage | |
read, change, full control (allow / deny) | permissions moléculaires: standard (6) permissions atomiques: R W X D O P … (13) ||
a travers le réseau | en local et à travers le sharing | ||
ouvrir des portes d'accès | brider | ||
éviter le full control (attention aux exceptions) | éviter le full control (attention aux exceptions) | ||
Les permissions moléculaires sont des sommes de permissions atomiques. Dans la mesure du possible, travailler avec des permissions moléculaires standards.
L'héritage est actif par défaut: les permissions se propagent sur les sous-répertoires, les répertoires et les fichiers.
Si à la base de l'arborescence, on ajoute la permission modify pour l'utilisateur user 1, les fichiers et les répertoires sous cette arborescence vont aussi avoir modify pour l'utilisateur user 1.
L'héritage ne permet pas de modifier les permissions → checkboxes en grisé Pour modifier: décocher la checkbox de l'héritage:
On peut changer comme s'applique (se propage) l'héritage: Advanced Folder NTFS Permissions → bouton View / Edit → onglet Object → Apply onto
→ Ne jamais faire de move, faire un copy + delete
Ne pas utiliser Full Control dans la mesure du possible (à la limite avec des authenticated users).
#|
Sharing | NTFS | |
everyone = full control |user = modify everyone = write ||
somme sharing → Full control | somme NTFS → modify | ||
Avec les 2: c'est le plus restrictif qui gagne.
Quand on veut encrypter un fichier avec Microsoft, on l'encrypte avec une clef symétrique Encrypté une fois avec un DDF (data decryption field) avec la clef publique de l'utilisateur. Si l'utilisateur meurt, on a perdu les données. En fait, on va encrypter une 2e fois avec le DRF (data recovery field) pour le recovery agent (qui est l'administrateur du domaine ou l'administrateur local en workgroup). Clefs en local sauf si PKI installé sur le domaine. Si décrypte sur le serveur, ça passe en clair sur le réseau.
Si on copie un fichier encrypté en NTFS sur une partition FAT (ex: disquette): il est décrypté!
A voir: modules 2 + 4 + certificats
02/05/05
NT Lan Manager Existe toujours en 2000 pour les clients NT. En 2000, on va utiliser Kerberos. On garde NTLM au cas où on n'arrive pas à s'authentifier en Kerberos. Moins sécure que Kerberos. Winlogon = local: SAD locale interrogation de la SAM + SAD Netlogon = remote: SAD du DC: tunnel vers SAM + SAD du DC On appelle ça l'authentication package. Quand on accède à un share, c'est pareil: on envoie login et password sur le réseau → plus faible point de vue sécurité. Taille d'un mot de passe: 0 à 14 (2 fois hash DES 128 bits de 7 caractères). Depuis le SP4, NTLM v2, HMAC-MD5 128 bits, rarement fait le rollout (disponible pour Windows 9x avec le client AD). Pour activer le NTML v2 et refuser les plus vieux systèmes: DC Security Policy → Security Settings → Local Policies → Security Options → LAN Manager Authentication Level
Utilisé par défaut par Windows 2000. cf. Walibi: on paie à l'entrée, on reçoit un ticket / bracelet. On contrôle juste le ticket pour accéder aux attractions. Le ticket a une validité d'une journée.
Pareil avec Kerberos. Au logon, on fait une demande de ticket. Le KDC (Kerberos Distribution Center) donne le ticket (gardé en cache, valable toute la session). Lorsqu'il faut de nouveau montrer patte blanche, on montre le ticket plutôt que de renvoyer logon / password: Le KDC donne un ticket valable 5 minutes pour aller sur un member server. Ensuite la session peut être établie. En cas de désynchronisation entre KDC et la ressource à laquelle on veut accéder, on n'a plus accès à la ressource. Donc, le PDC emulator s'assure de la synchronisation entre le KDC et les member servers. Domaine = ensemble de machines qui partagent la même sécurité (point de vue connexion d'objets) Royaume Kerberos (inclut les member servers) = ensemble de machines qui partagent la même sécurité (point de vue authentification)
Tous les DC sont des KDC.
Informations en clair:
Informations encryptées:
Un user d'un domaine veut s'authentifier dans un autre domaine (dans la même forêt qui a un trust kerberos). Chaque domaine a une interdomain key avec son parent. Il faut donc passer par les parents (remonter jusqu'au root et redescendre jusqu'au domaine sur lequel l'utilisateur veut s'identifier).
Ajoute “quelque chose que j'ai” à “quelque chose que je sais”.
Clef privée de la smartcard reste sur la smartcard (pas sur machine). Clef publique sur serveur certificat.
Plus facile de synchroniser le mot de passe smartcard et logon Windows.
A changer pour tout le domaine: Start → Programs → Administrative tools → Domain security policy 3 elements:
Que logguer?
Sur les 2 DCs, activer l'audit sur le DC uniquement en success et failure: Start → Program → Administrative Tools → Domain Controller Security Policy → Security Settings → Local Policies → Audit Policy → Audit account logon events → tout cocher ou Audit Logon events → tout cocher
secedit /refreshpolicy machine_policy /enforce
On remarque que les erreurs de logon de Dimitri (sur DC12 donc) sont aussi dans le journal de DC11. Explication?
Rappel: Domain Security Policies > DC Security Policies > Local Security Policies
Peut s'appliquer sur une Organisational Unit (OU). Il existe des templates: securité, administratif. On peut lancer des scripts au logon et au logoff Redirection de desktop: cf. administration Windows 2000
Deux parties à une GPO:
Si on a un domaine sur 2 sites: réplication de l'AD
On peut séparer les réplication du SYSVOL (exemple: toutes les 2 heures).
Problème: group policy container synchronisé, mais group policy template pas synchronisée. On a un objet incomplet, ce qui peut amener des incohérences.
Donc, attention avec la réplication du SYSVOL en stand alone.
Group policy inheritance: Site > Domain > OUs
S'il y a conflit:
Où appliquer les GPO suivantes? GPO1: user1, user2, user3 GPO2: user2, user4, user6 GPO3: computer1, computer4, computer5 GPO4: computer2, computer3, computer6
Tentative de solution: créer une GPO sur OU1: problème: u4, u5 et u6 en bénéficient aussi. On pourrait bloquer l'inheritance sur OU3, mais toujours problème avec u4.
Solution: On peut définir le champ d'application dans l'OU: On crée 4 global groups: GG1: user1, user2, user3 GG2: user2, user4, user6 GG3: computer1, computer4, computer5 GG4: computer2, computer3, computer6
On met les 4 GPO dans OU1 et on spécifie que GPO1 s'applique sur GG1 GPO2 s'applique sur GG2 GPO3 s'applique sur GG3 GPO4 s'applique sur GG4
Question: est-ce que lorsque user1 se loggue sur pc1, gpo1 s'applique? Réponse: uniquement la partie utilisateur de gpo1, pas la partie ordinateur.
Composants:
Il y a 4 CAs différents:
Il faut:
On ne peut pas renommer la machine ni la migrer de domaine tant que le service tourne.
Transport Layer Security: couche 5 du modèle OSI. Il est indépendant du protocole d'application. Utilisé avec SMB et SSL (HTTPS, LDAP, IMAPS, POP3) Sécurité au niveau applicatif (on crée un canal de sécurisation).
IP-layer security: au niveau IP → transparent pour les applications. Couche 3 du modèle OSI.
Mode AH: On rajoute un header d'authentification (AH authentication header) et on le signe, ce qui garantit l'authenticité et l'intégrité des données → pas d'IP spoofing Les données ne sont pas encryptées.
Mode ESP: Les données sont encryptées.
Problème: quand il y a du natting.
Configuration: Control Panel → Network and Dial-up Connexions → Local Area Connection → clic droit → propriétés → Internet protocol → Properties → advanced → onglet Options → IP Security → Properties
voir aussi 45)