I. Présentation

Dans ce tutoriel, nous allons voir comment gérer et utiliser les Snapshot sous les produits VmWare. Ce tutoriel peut être applicable sur les produits VMware Workstation, VMware ESX et ESXi. Dans un précédent tutoriel, il a déjà été expliqué la fonction et le principe des snapshot, je vous oriente vers ce tutoriel si vous souhaitez plus d’info.

II. Prendre un snapshot

Nous allons donc commencer par prendre une première Snapshot, il faut savoir qu'il est plus sûr de les faire avec les VMtools installés ce qui permet de mieux interagir avec la machine virtuelle. On va donc se rendre sur notre VMware (Workstation ou via notre vShpere Client) puis on va faire un clic droit sur notre machine :

On va ensuite devoir nommer notre snapshot et y ajouter une description ce qui nous permettra de nous repérer quant à la raison de la prise du snapshot ainsi que l'état de la machine lors de la capture :

On va donc voir dans l'avancement des tâches que le snapshot est en train de se faire, cela peut prendre plusieurs minutes selon la taille et le contenu de votre machine virtuelle :

Une fois terminée, on pourra aller voir nos snapshot en faisant un clic droit sur notre machine puis en allant dans “Gestionnaire de snapshot” (J'en ai fait une deuxième pour que vous voyez une arborescence un peu plus développée) :

On remarque donc le “Vous êtes ici” qui indique l'endroit ou se situe la machine virtuelle dans l'arborescence mais également l'endroit où il est possible de revenir. C'est ce que nous allons voir maintenant.

III. Effacer les snapshots

Pour valider notre Snapshot, c'est-à-dire faire en sorte que les modifications faites depuis la capture de la SnapShot fassent partie intégrante de la VM, il faut se rendre dans le Gestionnaire de SnapShot de la VM puis sélectionner la première SnapShot effectuée et cliquer sur « Supprimer ». VMware va alors supprimer la SnapShot et « Combiner » l’ensemble des modifications faites dans la VM principale :

Le message affiché nous explique donc ensuite très bien l'action du “Supprimer” ou “Supprimer Tout” (qui agit dans le cas de plusieurs snapshot à supprimer) :

IV. Restauration à un état antérieur

Pour revenir à un état initial il faut se rendre dans le Gestionnaire de SnapShot de la VM puis sélectionner la première SnapShot effectuée  ou celle faite à la situation où nous souhaitons revenir et cliquer sur « Aller à ». Nous verrons alors ce message que nous confirmerons :

On va alors revenir à l’état initial et les modifications faites depuis la prise du snapshot auquel nous sommes revenus ne seront plus effective, on pourra alors sélectionner à nouveau notre SnapShot dans le gestionnaire et faire « Supprimer » si notre Snapshot n'est plus utile.

I. Présentation

La fonctionnalité d’antivol appelé également anti-theft est présente au sein de Kaspersky Mobile Security 10 for Android et Kaspersky Security for Mobile. Elle permet de gérer votre appareil à distance pour par exemple : le localiser, le verrouiller ou supprimer les données à distance.

Lorsqu’on utilise un serveur d’administration pour gérer les applications Kaspersky déployées sur les smartphones Android, la gestion de l’antivol s’effectue intégralement depuis la console Kaspersky. Voyons le fonctionnement.

II. Préparation de la stratégie

La stratégie que vous avez définie pour l’application KMS 10 et qui est appliquée sur vos smartphones doit être configurée au niveau de la section « Antivol ». Ceci dans le but d’activer et de configurer les fonctionnalités de l’antivol que vous souhaitez utiliser. Il n’est pas conseillé d’utiliser la fonctionnalité « SIM-Surveillance » puisque parfois un changement de SIM est détecté alors qu’il n’y en a pas eu, provoquant un blocage de l’appareil.

III. Utilisation de l’antivol

Pensez à synchroniser votre smartphone avec votre serveur pour appliquer votre stratégie. Imaginons qu’un des smartphones de la flotte a été perdu… nous allons utiliser la fonctionnalité d’antivol pour le retrouver.

Dans la console d’administration accédez au groupe contenant vos smartphones Android. Faites un clic droit sur le smartphone concerné puis « Propriétés ».

Sur la gauche cliquez sur « Applications », sélectionnez « Kaspersky Security 10 for Mobile » et cliquez sur « Propriétés ». Une fenêtre supplémentaire s’ouvre, cliquez sur « Antivol » sur la gauche.

Vous pouvez alors effectuer plusieurs actions : Suppression de toutes les données, suppression des données personnelles, verrouillage et localisation.

Pour utiliser l’une d’entre elle, par exemple la localisation puisque nous avons perdu ce smartphone… cochez la case correspondante puis cliquez sur « Appliquer ».

Lors de la prochaine synchronisation de votre smartphone (qui se fait normalement à intervalle régulier), l’action de localisation sera déclenchée et vous recevrez un message électronique de ce type :

« Your phone is located here:
Latitude:****
Longitude:****

To see your phone's location on the map, click the following link:
http://maps.google.com/maps?q=xx,yy

This message was created automatically. Please do not reply to this message.

Kaspersky Mobile Security »

Le message électronique sera envoyé à l’adresse indiqué dans le paramétrage de l’action « Localisation » au sein de la stratégie de l’application pour Android.

Si vous utilisez l’action de verrouillage, le smartphone sera bloqué suite à une synchronisation puis vous devrez saisir le « Code à usage unique » indiqué pour le déverrouiller.

Note : Pensez à désactiver le verrouillage (ou l’action concernée) une fois qu’il est déclenché sinon le smartphone se verrouillera à nouveau.

Pour que les actions proposées par l’antivol Kaspersky soient efficaces, il faut bien entendu que la puce GPS du smartphone soit activé ainsi que le transfert des données. Sinon, la communication entre le smartphone et le serveur ne pourra pas fonctionner et la géolocalisation non plus.

I. Présentation

Nous allons ici voir comment mettre à jour PHP vers sa dernière version au moment de l'écriture de ce billet c'est à dire de la version 5.5.8 (sortie le 9 janvier 2014). Dans le contexte du tutoriel, je vais effectuer les manipulations sur une Debian 7 et une CentOS 6 dont les versions stables de PHP sont respectivement 5.4.4 et 5.3.3. La version “stable” est la version que nous allons trouver par défaut lorsque nous installons PHP (ou un autre paquet) sans modifier les dépôts d'une quelconque manière.

Note : Il est important, dans la mesure du possible, de faire une sauvegarde du serveur (un snapshot si c'est une machine virtuelle par exemple).

Pour rappel, il est possible de voir rapidement la version de PHP installée en ligne de commande avec la commande suivante :

php -v

Lorsque nous utilisons les versions standards, nous verrons ce résultat sous CentOS :

On voit donc bien ici la version de PHP, et sous Debian :

II. Désinstallation de PHP

On va ici passer par une désinstallation de PHP afin d'éviter les conflits entre les versions de paquet. On doit donc sauvegarder par précaution nos fichiers de configuration dans un répertoire que nous allons également créer :

mkdir /root/configphp
cp -Rf /etc/php* /root/configphp

On supprime ensuite la version de PHP présente sur notre machine, utiliser cette ligne de commande sous CentOS :

yum remove php php-cli php-common && yum clean all

On verra alors que la version  5.3.3 de PHP et ses dépendances vont être désinstallées :

Pour désinstaller PHP sous Debian :

apt-get remove --purge php5

III. Téléchargement des dépôts

Nous allons à présent télécharger et installer les dépôts contenants  la dernière version de PHP. Il faut savoir que si par défaut lors de l'installation de PHP nous n'avons pas la dernière version qui s'installe, c'est parce que les dépôts qui sont par défaut présents dans les distributions ne contiennent que la version dite “stable” qui n'est donc jamais la dernière version (qu'on appelle unstable ou testing car encore en développement et en test).

• Procédure de téléchargement des dépôts sous Centos :

On utilise la commande yum qui est capable de télécharger et installer des dépôts via son option “install” :

yum install -y http://dl.iuscommunity.org/pub/ius/stable/CentOS/6/x86_64/epel-release-6-5.noarch.rpm
yum install -y http://dl.iuscommunity.org/pub/ius/stable/CentOS/6/x86_64/ius-release-1.0-11.ius.centos6.noarch.rpm

• Procédure de téléchargement des dépôts sous Debian :

On va, sous Debian, ajouter deux lignes de dépôts qui sont de simples URL dans le fichier contenant les dépôts (“/etc/apt/sources.list“) :

echo "deb http://packages.dotdeb.org wheezy-php55 all" >> /etc/apt/sources.list
echo "deb-src http://packages.dotdeb.org wheezy-php55 all" >> /etc/apt/sources.list

On télécharge et installe ensuite la clé de signature du dépôt ce qui permet d'éviter des erreurs lors des installations et mises à jour :

wget http://www.dotdeb.org/dotdeb.gpg && apt-key add dotdeb.gpg

Puis on met à jour les dépôts en question :

apt-get update

IV. Installation de PHP 5.5.x

On réinstalle les paquets PHP 5.5.8 , voici la ligne de commande sous CentOS, j'installe ici beaucoup d'extensions et de modules qui ne sont pas forcément utiles, vous pouvez les enlever de la ligne de commande si vous n'en n'avez pas besoin :

yum install -y php55u php55u-soap php55u-process php55u-pear \
php55u-mysql php55u-mcrypt php55u-mbstring php55u-gd php55u-devel php55u-json

On voit donc l'ensemble des paquets qui vont être installés ainsi que leur version (5.5.8 dans notre cas sous CentOS) :

et la ligne de commande sous Debian, j'installe ici beaucoup d'extensions et de modules qui ne sont pas forcément utiles, vous pouvez les enlever de la ligne de commande si vous n'en n'avez pas besoin :

apt-get install php5 php5-mysql php5-common php5-mcrypt php5-dev php5-gd

On peut ensuite s’assurer que la version de PHP est bien la bonne avec la commande suivante :

php –v

On doit ensuite rétablir la configuration (« /etc/php.ini ») car celle-ci a été supprimée lors de la désinstallation de PHP . Il est préférable de ne pas backuper l’ancienne configuration mais plutôt de réécrire les valeurs modifiées à la main dans la nouvelle configuration.

On pourra, pour finir, redémarrer le service web Apache2 qui est le service le plus utilisé en couplage avec PHP, pour CentOS :

service httpd restart

Pour Debian :

service apache2 restart

Note : Il est important de faire un test sur l’ensemble des types de services web hébergés (CMS WordPress, Applications web, site web développé à la main) pour être sûr qu’il ne manque pas de modules PHP ou d’extensions particulières. Et, à contrario, de ne pas installer d'extensions inutilisées comme les commandes ci-dessus l'indiquent. Vérifiez donc les extensions utilisées sur votre système avant la mise à jour.

Pensez à regarder vos logs lors de l'utilisation des services web après la mise à jour afin de voir si des extensions sont manquantes ou si des problèmes apparaissent.

Le billet ci-dessous sort un peu du cadre de la DSI, néanmoins quand on s'interroge sur son métier, il est bon aussi de pouvoir chercher ailleurs ses sources d'inspirations…

A chaque fois qu'un nouvel objet « numérique » ou une nouvelle technologie, voire un nouveau service, apparaît dans le paysage, on parle de « révolution » mais est-ce bien là le mot le plus approprié ?

Que ce soit à la radio, à la télévision, dans les journaux ou bien sur n'importe quel site d'informations, il ne se passe pas une journée sans que l'on parle de l'arrivée d'une nouvelle « révolution » numérique…

Franchement, s'il y avait tant de « révolutions », le monde ne serait-il pas meilleur ?

Pour n'en citer que quelques-unes – de ces « révolutions » – voilà à quoi je pense :

Facebook = sorte d'évolution de « Paris Match » (né en 1949) qui permet à des gens, qui ne sont pas des « peoples », d'avoir leur trombine sur un écran et de dire quelques banalités ou de donner quelques « scoops » qui visent leur entourage ou leur village…

Twitter = sorte de télégramme ou de telex, que l'on envoie dans la nature à qui voudra bien le lire…

Linkedin = sorte de club qui se veut mondain et qui regroupe des gens qui sont en général bien placés dans une entreprise et qui mettent au grand jour leur réussite…

iTV (Télévision interactive) = sorte de nouvelle version de l'émission télé « La Une est à Vous » de 1973 qui permet au téléspectateur d’interagir avec le programme qu'on diffuse ou que l'on va diffuser…

Meetic = sorte d'annuaire de mâles cherchant des femelles (ou inversement) qui permet de s'accoupler entre humains plus rapidement car l'Homme n'a plus le temps de courtiser compte-tenu du temps qu'il passe sur Facebook, Twitter, Linkedin, ITV…

Vous me direz : il pousse le bouchon un peu loin non ? Oui, c'est volontaire…histoire de réveiller quelques consciences…néanmoins avouez qu'il s'agit plus d'évolutions que de révolutions non ?

Une Révolution c'est bien plus que cela… Quand j'étais petit, on dessinait l'an 2000 avec des voitures qui volent… On est en retard ou quoi ?

Tout ce que fait la voiture aujourd'hui c'est : de la pollution !

La Civilisation (l'espèce humaine) n'a encore rien retirée de ces avancées technologiques, toujours autant de violences, toujours autant d'injustices, encore plus de différences entre les pauvres et les riches…et d'ailleurs, faut-il qu'elle en attende quelque chose ? Ce sont les Hommes qui font et qui feront les Révolutions et non les « machines »…

I. Présentation

Par défaut, sur l’objet de stratégie de groupe (GPO) « Default Domain Policy » une politique de complexité des mots de passe et des verrouillages de compte est appliquée. Toutefois, avec Windows Server 2008, Windows Server 2008 R2 et maintenant Windows Server 2012/2012 R2, il est désormais possible de faire ce qu’on appelle une « Stratégie de mot de passe affinée » afin de créer plusieurs politiques de complexité des mots de passe et des verrouillages de compte puis ensuite de les appliquer uniquement sur certains objets.

Ainsi, on peut obliger les comptables à mettre un mot de passe de 12 caractères minimum et les secrétaires un mot de passe de 8 caractères minimum, par exemple.

Ces stratégies de mot de passe affinées permettent une plus grande flexibilité dans la gestion des mots de passe et du verrouillage de compte.

Dans ce tutoriel, nous allons voir comment créer une stratégie de mot de passe affinées sous Windows Server 2012/2012 R2 afin de l’appliquer sur le groupe « Admins du domaine » afin de protéger au mieux les comptes utilisateurs ayant des privilèges élevés au sein du domaine « it-connect.fr ».

II. Ce qu’il faut savoir

Les stratégies de mots de passe affinées correspondent à des objets « Paramètres de mots de passe » et sont également appelées « PSO » pour « Password Settings Object ».

• PSO (Password Settings Object) : Objet de Paramètres de mot de passe
• PSC (Password Settings Container) : Conteneur de paramètres de mot de passe

Un PSO peut être appliqué directement sur un utilisateur mais également sur un groupe, ce qui sera plus intéressant en termes de souplesse d’administration. Un utilisateur/groupe peut être lié à plusieurs PSO.

En cas de conflit de PSO, un attribut de priorité nommé « valeur de précédence » permet de définir une priorité quant à l’application de la stratégie.

En l’absence d’une politique PSO, la stratégie de mots de passe du domaine s’applique.

Pour utiliser cette fonctionnalité, le niveau fonctionnel de votre domaine et de la forêt doit être au minimum « Windows Server 2008 ». Sachez qu’avec Windows Server 2012 et 2012 R2, Microsoft a simplifié la gestion des stratégies de mots de passe affinées.

III. Création d’une stratégie

Sur votre contrôleur de domaine, ouvrez le « Centre d’administration Active Directory » qui est accessible dans les Outils d’administration ou via « dsac.exe ».

Choisissez la vue arborescence sur la gauche, déroulez l’arborescence au niveau de votre nom de domaine, puis « System » et « Password Settings Container ».

Dans le volet de droite, cliquez sur « Nouveau » puis « Paramètres de mot de passe » comme ceci :

Un formulaire complet s’affiche à l’écran, attelez-vous il va falloir le compléter.

Voici quelques indications pour vous aider :

- Nom : Nom du PSO

- Priorité : Valeur supérieur à 0 qui servira à faire l’arbitrage en cas de conflit entre deux PSO qui s’appliquent sur un même objet. Pensez à espacer les valeurs de vos différents PSO afin de pouvoir jouer sur les priorités facilement.

Pour cela deux règles sont à connaître :

La valeur la plus faible sera prioritaire sur la valeur la plus haute.

Un PSO appliqué au niveau d’un utilisateur sera prioritaire appliqué au niveau du groupe.

- Appliquer la longueur minimale du mot de passe : Chiffre entier pour définir la longueur minimale que doit faire le mot de passe. Pour les admins, ce sera 15 caractères minimum.

- Appliquer l’historique des mots de passe : Permet de définir le nombre d’anciens mots de passe qu’un utilisateur ne peut pas réutiliser, cela le force à « inventer » un nouveau mot de passe un certain nombre de fois. Par défaut, la valeur est de 24 ce qui me semble très correct.

- Le mot de passe doit respecter des exigences de complexité : Indiquez si oui ou non le mot de passe doit respecter ces exigences (conseillé par sécurité).

- Stocker le mot de passe en utilisant un chiffrement réversible : Il est préférable de ne pas activer cette option, là aussi par sécurité.

- Protéger contre la suppression accidentelle : Permet de se protéger contre une éventuelle suppression involontaire.

- Appliquer l’âge minimal de mot de passe : Durée de vie minimale d’un mot de passe, ce qui permet d’empêcher un utilisateur de changer successivement plusieurs fois son mot de passe. Cela pourrait lui permettre de dépasser la limite de l’historique des mots de passe et de redéfinir son mot de passe initial…

Doit être écrit sous la forme suivante (exemple pour 1 jour de durée de vie minimale) : 1:00:00:00

Cela permet de définir une durée de vie minimale en heure, minute ou même seconde…

- Appliquer l’âge maximal de mot de passe : Même principe que le paramètre précédent mais là pour la durée de vie maximale.

- Nombre de tentatives échouées autorisé : Une fois le nombre de tentatives autorisées sera dépassé, le compte sera verrouillé automatiquement. Cela permet d’éviter les attaques par brute force où de nombreuses tentatives seraient tentées…

- Réinitialiser le nombre de tentatives de connexion échouées après (mins) : Une fois ce délai écoulé, le nombre de tentatives échouées est remis zéro.

- Le compte va être verrouillé :

Lors du verrouillage d’un compte, ce dernier peut être verrouillé :

• Pendant une durée de (mins) : Définissez une valeur de verrouillage du compte qui sera automatiquement déverrouillé une fois le délai terminé.

• Jusqu’à ce qu’un administrateur déverrouille manuellement le compte : Une action d’un administrateur est requise pour déverrouiller le compte

Quant à la section « S’applique directement à » vous devez ajouter les utilisateurs et/ou les groupes sur lesquels vous souhaitez appliquer cette stratégie PSO. Pour cela, cliquez sur le bouton « Ajouter » situé en bas à droite.

Cliquez sur « OK » une fois la configuration terminée.

Pour finir, si vous désirez voir quelle stratégie s’applique à un utilisateur, toujours dans le « Centre d’administration Active Directory » sélectionnez « Users » dans l’arborescence. Ensuite, recherchez votre utilisateurs dans la liste, sélectionnez-le puis sur la droite cliquez sur « Afficher les paramètres de mot de passe ».

Vous êtes désormais en mesure de mettre en place une stratégie de mot de passe affinée au sein de votre infrastructure Microsoft.