Dans ce tutoriel, nous allons apprendre à désactiver le gestionnaire de mots de passe de Microsoft Edge en utilisant une stratégie de groupe (GPO). Ainsi, l'utilisateur ne pourra pas enregistrer ses mots de passe dans le navigateur Edge puisque la fonction sera désactivée, et il ne pourra la réactiver. Une action d'autant plus justifiée si vous utilisez un gestionnaire de mots de passe dans votre établissement. Par ailleurs, de nombreux logiciels malveillants cherchent à dérober les identifiants et mots de passe mémorisés dans les navigateurs.
En local sur une machine, le gestionnaire de mots de passe se désactiver de cette façon : dans les paramètres, cliquez sur "Profils" puis "Mots de passe" sur la droite afin de désactiver l'option "Proposer l'enregistrement des mots de passe".
II. Les fichiers ADMX de Microsoft Edge
Pour désactiver le gestionnaire de mots de passe d'Edge sur un ensemble de machines, il faut configurer une GPO en environnement Active Directory (à moins de passer par un autre système). Vous devez commencer par télécharger et importer les modèles d'administration (ADMX) de Microsoft Edge sur votre serveur contrôleur de domaine. Voici le lien :
III. Désactiver le gestionnaire de mots de passe de Microsoft Edge
À partir de la console de gestion des stratégies de groupe, créez une nouvelle GPO ou éditez une GPO existante. Puis, parcourez les paramètres de cette façon :
Configuration utilisateur > Stratégies > Modèles d'administration > Microsoft Edge > Gestionnaire de mot de passe et protection
A cet endroit, vous pouvez trouver le paramètre nommé "Activer l'enregistrement des mots de passe pour le Gestionnaire de mot de passe" que vous devez configurer sur l'état "Désactivé". Précision importante, ce paramètre va empêcher l'utilisateur d'enregistrer de nouveaux mots de passe, mais ne va pas effacer les mots de passe déjà enregistrés.
Même s'il y a beaucoup d'autres paramètres (vous pouvez en profiter pour désactiver d'autres fonctions), cela est suffisant pour répondre à la question de l'enregistrement des mots de passe.
Une fois la GPO appliquée sur une unité d'organisation qui contient les utilisateurs ciblés par la restriction, on peut voir que le paramètre "Proposer l'enregistrement des mots de passe" dans Edge est désactivé et qu'il n'est pas possible de l'activer. Ainsi, l'utilisateur ne pourra plus stocker ses mots de passe dans Edge !
IV. Conclusion
Cette astuce très facile à mettre en œuvre vous permettra de vous débarrasser du gestionnaire de mots de passe de Microsoft Edge ! Vous n'avez pas besoin de cette fonction ? Désactivez-là pour être certain qu'elle n'est pas utilisée. J'insiste sur le fait que de plus en plus de malwares (style RedLine) n'hésitent pas à se servir dans les navigateurs.
Dans un autre article, nous verrons comment appliquer la même restriction à Google Chrome.
Une nouvelle faille de sécurité a été découverte dans le gestionnaire de mots de passe KeePass. En exploitant cette vulnérabilité, il est possible de récupérer en clair le mot de passe maître d'une base KeePass.
Associée à la référence CVE-2023-32784, cette faille de sécurité permet de récupérer le mot de passe maître d'une base KeePass, qu'elle soit déverrouillée ou verrouillée, à partir d'un dump de la mémoire sur la machine locale. Cette méthode, associée à PoC "KeePass Master Password Dumper" fonctionne que ce soit à partir d'un dump mémoire de la RAM complète, du processus, du SWAP (pagefile.sys), ou du fichier d'hibernation de Windows (hiberfil.sys).
Un certain Viktor est à l'origine de cette découverte et il affirme que cette méthode fonctionne sur Windows avec la dernière version de KeePass, à savoir la version 2.53.1 à l'heure actuelle. Il affirme aussi que ça devrait fonctionner sur le même principe sur macOS et Linux.
Il explique aussi que c'est lié à .NET et à la façon dont sont stockées les chaînes en mémoire. Il parvient à récupérer les caractères les uns après les autres, et au final, à reconstituer le mot de passe maître permettant d'accéder à la base KeePass. Toutefois, il précise que le premier caractère du mot de passe n'est pas récupéré, mais quand il n'y a qu'un seul caractère à deviner, soyons honnêtes : ce n'est qu'une question de temps pour le trouver.
Sur son GitHub, Viktor précise : "KeePass Master Password Dumper est un simple outil de démonstration de concept utilisé pour extraire le mot de passe principal de la mémoire de KeePass. A l'exception du premier caractère du mot de passe, il est généralement capable de récupérer le mot de passe en clair."
Comment se protéger ?
Dominik Reichl, le créateur de KeePass, a déjà développé un correctif. D'après Viktor, ce correctif est opérationnel et permet de se protéger de cette faille de sécurité. Toutefois, il va falloir attendre avant d'en profiter, car il sera intégré à KeePass 2.54 dont la sortie est prévue au plus tard au mois de juillet 2023.
Dominik Reichl précise : "Les améliorations seront incluses dans la prochaine version de KeePass (2.54). Actuellement, je travaille encore sur quelques autres fonctionnalités (également liées à la sécurité) et dès qu'elles seront terminées, je sortirai la version 2.54 de KeePass."
Dans ce tutoriel, nous allons apprendre à configurer Windows LAPS avec l'Active Directory pour sécuriser le compte administrateur local des machines grâce à la rotation automatique du mot de passe.
Windows LAPS, pour WindowsLocal Administrator Password Solution, est un composant intégré à Windows, développé par Microsoft, et qui va venir se greffer à un domaine Active Directory ou Azure Active Directory pour renforcer la sécurité des comptes "Administrateur" locaux des postes de travail et des serveurs.
Windows LAPS va générer un mot de passe robuste et unique pour le compte administrateur local de chaque machine qu'il gère, tout en effectuant une rotation automatique de ces mots de passe. Ensuite, les sésames seront chiffrés et stockés dans l'Active Directory ou l'Azure Active Directory, selon la configuration mise en place.
C'est une solution facile à mettre en place et qui permet de renforcer la sécurité de son infrastructure, sans pour autant que ce soit trop contraignant pour les administrateurs système. En soit, Windows LAPS n'est pas une solution nouvelle puisque LAPS existe depuis plusieurs années.
Toutefois, Windows LAPS, c'est le nom du nouveau produit de Microsoft qui prend la suite de LAPS (legacy) et qui apporte un certain nombre de nouveautés. À commencer par le fait que Windows LAPS est intégré à Windows, contrairement à LAPS qui est un agent à déployer.
Avant d'entamer la configuration, parlons des nouveautés de Windows LAPS en comparaison de LAPS legacy, même si au fond, l'objectif reste le même. Voici les points clés :
L'agent Windows LAPS est intégré à Windows (après avoir installé la bonne mise à jour) contrairement à l'agent LAPS legacy qui est un package indépendant (à installer par GPO, par exemple)
Les mots de passe stockés dans l'Active Directory sont chiffrés
Les mots de passe peuvent être stockés dans l'Active Directory ou dans Azure Active Directory
L'historique des mots de passe est configurable (activé pour un certain nombre de mots de passe, ou désactivé)
La rotation des mots de passe est personnalisable par GPO, avec la possibilité de faire une rotation automatique (mot de passe utilisé = mot de passe renouvelé)
Le mot de passe de restauration des services d'annuaire Active Directory (DSRM) peut être géré
Un nouvel onglet nommé "LAPS" prendra place dans les consoles Active Directory (dans les propriétés des objets ordinateurs)
Un nouveau module PowerShell plus complet
Un nouveau fichier ADMX avec plus de paramètres pour la configuration par GPO
Un nouveau journal nommé "LAPS" sera disponible dans l'Observateur d'événements de Windows
Enfin, sachez que Windows LAPS n'a pas besoin de LAPS (legacy) pour fonctionner : c'est un produit entièrement indépendant. En théorie, les deux peuvent cohabiter le temps de faire la transition, mais Windows LAPS prendra le dessus quand il sera actif (c'est-à-dire configuré).
Dans ce tutoriel, l'objectif est d'utiliser Windows LAPS avec l'Active Directory. Sachez qu'avec Azure Active Directory, il est possible de s'appuyer sur le portail Azure, Intune et les politiques Azure RBAC.
III. Versions de Windows compatibles avec Windows LAPS
Plusieurs systèmes d'exploitation de Microsoft sont compatibles avec le nouveau Windows LAPS. Voici la liste :
Windows 11 21H2 et Windows 11 22H2 (Pro, Education, Enterprise)
Windows 10 (Pro, Education, Enterprise)
Windows Server 2022 (y compris en mode Core)
Windows Server 2019
Toutefois, au-delà d'utiliser une version d'OS prise en charge par Windows LAPS, vous devez surtout installer la mise à jour cumulative d'avril 2023. Cette mise à jour a pour effet d'ajout le composant Windows LAPS à Windows.
Ce qui implique d'installer les mises à jour suivantes :
Ces mises à jour sont disponibles via les canaux habituels : Windows Update en local, WSUS, Microsoft Catalog Update, etc.
IV. Prérequis de Windows LAPS
Avant de commencer à envisager la configuration de Windows LAPS, vous devez vous assurer de respecter les prérequis suivants :
Utiliser des systèmes d'exploitation compatibles
Mettre à jour les machines à gérer avec Windows LAPS
Mettre à jour les contrôleurs de domaine Active Directory
Vérifier la sauvegarde de l'Active Directory
Si tout est bon de votre côté, vous pouvez passer à la suite.
V. Configuration de Windows LAPS
La configuration de Windows LAPS s'effectue en plusieurs étapes, sur un principe similaire à celui de LAPS legacy, si ce n'est que l'on n’aura pas besoin de déployer le client LAPS puisqu'il est désormais intégré à Windows.
A. Mettre à jour le schéma Active Directory pour Windows LAPS
Tout d'abord, ouvrez une console PowerShell en tant qu'administrateur et exécutez cette commande pour lister les commandes disponibles dans le module LAPS. Un moyen de vérifier qu'il est bien accessible sur votre serveur.
Get-Command -Module LAPS
Puisque l'on s'apprête à mettre à jour le schéma Active Directory, on veille à disposer d'une sauvegarde de son environnement et surtout on utilise un compte membre du groupe "Administrateurs du schéma" si l'on ne veut pas se prendre un mur.
Toujours dans la console PowerShell, exécutez ces commandes :
Import-Module LAPS
Update-LapsADSchema -Verbose
Le fait d'ajouter le paramètre "-Verbose" est facultatif, mais cela permet d'obtenir plus de détails dans la sortie de la commande. Vous verrez passer quelques lignes qui montrent que le schéma Active Directory a été mis à jour : la class "computer" va bénéficier d'attributs supplémentaires.
Vous pouvez fermer la console PowerShell s'il n'y a pas eu d'erreur apparente.
B. Vérifier la présence des attributs Windows LAPS
Avant d'aller plus loin, vous devez vérifier la présence des attributs Windows LAPS dans votre annuaire AD. Par exemple, à partir de la console "Utilisateurs et ordinateurs Active Directory", que vous devez rafraîchir si elle était déjà ouverte. En passant en mode d'affichage avancé, vous devriez voir 6 nouveaux attributs dans l'onglet "Editeur d'attributs" de n'importe quel objet "ordinateur" de votre annuaire :
msLAPS-PasswordExpirationTime
msLAPS-Password
msLAPS-EncryptedPassword
msLAPS-EncryptedPasswordHistory
msLAPS-EncryptedDSRMPassword
msLAPS-EncryptedDSRMPasswordHistory
La preuve en image :
Par ailleurs, et c'est nouveau avec Windows LAPS, il y a un nouvel onglet nommé "LAPS" qui a fait son apparition. Il sera votre allié pour obtenir des informations sur le compte administrateur géré d'un ordinateur (nom du compte, mot de passe, expiration, etc.).
À titre de comparaison, lorsque l'on mettait en place LAPS (Legacy), la mise à jour du schéma permettait d'ajouter deux attributs aux objets "ordinateurs" de l'annuaire AD :
- ms-MCS-AdmPwd pour stocker le mot de passe en clair
- ms-MCS-AdmPwdExpirationTime pour stocker la date d’expiration du mot de passe
Ce qui donnait ceci :
On voit clairement qu'il y a une évolution positive sur ce point, notamment parce que le mot de passe est chiffré. Sur un environnement où LAPS est présent (comme c'est le cas sur mon lab), Windows LAPS viendra se greffer en parallèle : on a vu qu'il utilisait des noms d'attributs différents.
C. Attribuer les droits d'écriture aux machines
Quand une machine va devoir effectuer une rotation du mot de passe du compte administrateur géré par Windows LAPS, elle devra sauvegarder ce mot de passe dans l'Active Directory. De ce fait, la machine doit pouvoir écrire/modifier son objet correspondant dans l'Active Directory.
La commande ci-dessous donne cette autorisation sur l'unité d'organisation "PC" (au sein de laquelle il y a mes postes de travail). Même si ce n'est pas obligatoire, je vous recommande de préciser le DistinguishedName de l'OU ciblée pour éviter les erreurs (notamment si vous avez plusieurs OUs avec le même nom).
La suite consiste à configurer Windows LAPS à partir d'une stratégie de groupe. Cette GPO va permettre de définir la politique de mots de passe à appliquer sur le compte administrateur géré, l'emplacement de sauvegarde du mot de passe (Active Directory / Azure Active Directory), mais aussi le nom du compte administrateur à gérer avec Windows LAPS.
Tout d'abord, nous devons importer les modèles d'administration (ADMX) de Windows LAPS (c'est nécessaire s'il y a déjà un magasin central sur votre domaine, car Windows n'ira pas lire le magasin local). Ce processus n'est pas automatique. Sur le contrôleur de domaine, vous devez récupérer deux fichiers :
C:\Windows\PolicyDefinitions\LAPS.admx qui correspond aux modèles d'administration de Windows LAPS
C:\Windows\PolicyDefinitions\fr-FR\LAPS.adml qui correspond au fichier de langue FR du fichier ADMX
Ces fichiers sont à déposer dans le magasin central de votre partage SYSVOL ("PolicyDefinitions") : à la racine pour le fichier ADMX et dans le répertoire "fr-FR" pour le fichier de langue.
Une fois cette opération indispensable effectuée, une nouvelle GPO peut être créée à partir de la console "Gestion de stratégies de groupe". Elle contiendra des paramètres de configuration ordinateur. De mon côté, cette GPO s'appelle "Sécurité - Windows LAPS - Config" et elle est liée à l'unité d'organisation "PC". Actuellement, cette OU est concernée par deux GPOs liées à LAPS legacy : deux liens à supprimer.
Désormais, vous allez devoir configurer plusieurs paramètres dans cette GPO... Ces paramètres se situent dans :
Configuration ordinateur > Stratégies > Modèles d'administration > Système > LAPS
J'insiste sur le fait que les paramètres de Windows LAPS se situent bien à cet endroit (sous "Système"). L'autre conteneur "LAPS" situé au même niveau que "Système" dans l'arborescence correspond au LAPS Legacy.
Configurer le répertoire de sauvegarde de mot de passe
Commencez par configurer le paramètre "Configurer le répertoire de sauvegarde de mot de passe" qui est indispensable pour activer Windows LAPS sur la machine. Vous devez passer ce paramètre sur l'état "Activé" et choisir "Active Directory". S'il s'agirait d'une configuration basée sur Azure Active Directory, on ferait un choix différent bien entendu.
Paramètres du mot de passe
Le second paramètre à configurer se nomme "Paramètres du mot de passe" et il permet de personnaliser la complexité du mot de passe pour le compte administrateur géré par Windows LAPS. Vous devez activer ce paramètre et définir la politique de mot de passe. Pour avoir un mot de passe fort, je vous recommande de choisir :
Complexité du mot de passe : Lettres majuscules + lettres minuscules + chiffres + spéciaux
Longueur du mot de passe : 16 caractères
Âge du mot de passe (jours) : 30 (soit par défaut)
Configurer la taille de l'historique des mots de passe chiffrés
Ce paramètre est facultatif, mais il me semble intéressant puisqu'il permet d'activer l'historique des mots de passe. En le passant sur l'état "Activé" et en mettant la taille de l'historique à "1", on s'assure de pouvoir lire le mot de passe actuel et le mot de passe précédent. S'il y a un "bug" et que le mot de passe est mis à jour dans l'AD, mais pas sur le poste (sait-on jamais...), on ne perd pas l'accès, car on peut toujours lire le précédent mot de passe.
Activer le chiffrement du mot de passe
Le quatrième paramètre à activer se nomme "Activer le chiffrement du mot de passe", même si c'est le comportement par défaut, il vaut mieux le forcer. Comme son nom l'indique, il permet de dire si oui ou non, le mot de passe stocké dans l'Active Directory doit être chiffré.
Nom du compte administrateur à gérer
Par défaut, Windows LAPS va gérer le compte "Administrateur" natif et intégré à Windows. Ce n'est pas nécessaire de lui préciser, il le fera de lui-même (il peut identifier ce compte grâce au SID qui est déjà connu). Si l'on souhaite gérer un autre compte avec un nom personnalisé, il est indispensable d'activer le paramètre "Nom du compte administrateur à gérer" et de préciser le nom du compte administrateur que vous souhaitez gérer avec LAPS.
Au final, notre stratégie de groupe est configurée de cette façon :
La stratégie de groupe est prête, il ne reste plus qu'à faire une actualisation des GPO sur un poste, ici "PC-01", afin de tester.
gpupdate /force
Au redémarrage, la machine "PC-01" va appliquer la stratégie de groupe, changer le mot de passe du compte administrateur géré par Windows LAPS et le stocker dans l'annuaire. Dans le cas où vous avez besoin de forcer la machine à appliquer la politique LAPS, vous pouvez exécuter cette commande PowerShell (en local) :
Invoke-LapsPolicyProcessing
Remarque : la GPO de configuration de Windows LAPS pour gérer la rotation du mot de passe du compte administrateur ne doit pas être appliquée sur les contrôleurs de domaine (et donc sur "Domain Controllers").
VI. Récupérer le mot de passe généré par Windows LAPS
Avec LAPS legacy, il était possible de consulter le mot de passe du compte Administrateur d'un ordinateur à partir de l'application LAPS UI. Avec Windows LAPS, vous devez oublier cette application (notamment parce que les deux versions de LAPS n'utilisent pas les mêmes attributs). L'affichage d'un mot de passe s'effectue avec PowerShell ou les consoles d'administration de l'Active Directory.
Avec PowerShell, la commande "Get-LapsADPassword" du module LAPS permet de récupérer les informations sur le mot de passe actuel du compte administrateur géré d'une machine Windows. Dans l'exemple ci-dessous, on récupère le mot de passe du compte de la machine "PC-01" :
Get-LapsADPassword "PC-01" -AsPlainText
Ce qui donne la sortie suivante dans laquelle nous avons le nom du compte (Account), le mot de passe (Password) ainsi que la date de mise à jour du mot de passe (PasswordUpdateTime) et la date d'expiration de ce même mot de passe (ExpirationTimestamp).
Ces informations sont aussi visibles dans l'onglet "LAPS" de l'objet ordinateur en question à partir des consoles d'administration de l'Active Directory. Éventuellement, on pourrait aussi regarder les valeurs dans l'éditeur d'attributs, où l'on verrait le mot de passe chiffré (contrairement au LAPS legacy).
Maintenant que le mot de passe du compte est en notre possession, il ne reste plus qu'à tenter une connexion pour valider le bon fonctionnement. Que ce soit en local devant la machine, ou en Bureau à distance.
Du côté de ce poste client, il y a aussi des journaux Windows LAPS qui sont accessibles dans l'Observateur d'événements à cet emplacement :
Journaux des applications et des services > Microsoft > Windows > LAPS > Operational
Ces journaux sont assez complets puisque l'on a des informations sur la stratégie appliquée, à chaque fois que le mot de passe est mis à jour (ID 10020), le contrôleur de domaine sur lequel LAPS s'est connecté, etc...
VII. Forcer la réinitialisation du mot de passe Windows LAPS
Pour forcer la réinitialisation d'un mot de passe manuellement, on peut utiliser une console d'administration Active Directory afin de cliquer sur le bouton "Expirer maintenant" qui se situe dans l'onglet "LAPS" de l'ordinateur en question. Sinon, on peut aussi utiliser la commande PowerShell qu'il faut exécuter sur la machine cible, en local :
Reset-LapsPassword
Une fois la rotation effectuée, il est intéressant de constater que l'on peut encore consulter le précédent mot de passe. Ceci est possible grâce à la configuration du paramètre "Configurer la taille de l'historique des mots de passe chiffrés" dans la GPO, avec la valeur "1". Ainsi, on a toujours accès au précédent mot de passe.
Avec PowerShell, on peut consulter l'historique des mots de passe de cette façon :
Dans la sortie ci-dessous, on peut visualiser le mot de passe actuel et le précédent mot de passe. Je trouve que c'est pertinent d'avoir accès au précédent mot de passe, même si en théorie il n'est plus censé fonctionner, sait-on jamais...
Pour jouer sur la rotation automatique du mot de passe, il y a aussi le paramètre "Actions de post-authentification" qui peut être configuré dans la GPO.
VIII. Windows LAPS : qui peut lire et déchiffrer les mots de passe ?
Avec Windows LAPS, il y a deux niveaux d'autorisations sur la nouvelle fonction de chiffrement des mots de passe. Pour qu'un administrateur des postes de travail puisse lire et déchiffrer les mots de passe stockés dans l'annuaire Active Directory, il doit :
Avoir les droits de lire les attributs de l'ordinateur dans l'annuaire AD, ce qui est accordé avec la commande Set-AdmPwdReadPasswordPermission
Avoir les droits de déchiffrer le mot de passe en faisant partie de la liste des "AuthorizedDecryptor", à savoir par défaut uniquement les membres du groupe "Admins du domaine"
Si l'on part du principe que les membres d'un groupe de sécurité spécifique (pour le T2, par exemple) doivent pouvoir accéder aux mots de passe, comment faire ?
Dans cet exemple, l'objectif sera de donner cette permission au groupe "IT-CONNECT\GDL-LAPS-Pwd-Read" de mon annuaire AD.
Attention : veillez à bien utiliser la nouvelle commande, et non "Set-AdmPwdReadPasswordPermission" qui sert à gérer les permissions du LAPS Legacy. Ne faites pas comme moi qui ait perdu du temps sur cette bêtise !
Après avoir accordé cette autorisation, on espère pouvoir accéder aux mots de passe, mais non ! Si l'on clique sur l'onglet "LAPS" d'un objet ordinateur avec un compte membre du groupe "GDL-LAPS-Pwd-Read", on obtient le message suivant : "Le mot de passe du compte est chiffré, mais vous n'êtes pas autorisé à le déchiffrer".
En PowerShell, le résultat serait le même. D'ailleurs, si l'on regarde le résultat de Get-LapsADPassword, on voit une information intéressante : "AuthorizedDecryptor : IT-Connect\Admins du domaine". Par défaut, seuls les administrateurs du domaine ont le droit de lire et déchiffrer les mots de passe !
Pour ajuster cette permission, il est nécessaire de modifier la GPO une nouvelle fois. Toujours au même endroit, c'est le paramètre "Configurer les déchiffreurs de mot de passe autorisés" qui doit être activé et configuré. Pour la configuration, indiquez le nom du groupe à autoriser en précisant son SID ou son nom avec le domaine en préfixe. Dans mon cas, ce sera "IT-CONNECT\GDL-LAPS-Pwd-Read".
Remarque : pour le moment, il ne semble pas possible d'ajouter plusieurs groupes dans ce paramètre, donc si besoin, créez un groupe de sécurité et dans ce groupe ajoutez d'autres groupes.
Validez... Actualisez la GPO sur le poste client. Si on essaie de lire le mot de passe avec un compte qui n'est pas membre du groupe "IT-CONNECT\GDL-LAPS-Pwd-Read", il y a le statut "Unauthorized", mais la valeur AuthorizedDecryptor a bien évoluée !
Une fois que le compte est ajouté à ce groupe, il peut lire le mot de passe :
En plus de l'autorisation de lecture du mot de passe, si vous souhaitez permettre à ce groupe ou un autre groupe de forcer la réinitialisation d'un mot de passe, vous devez utiliser la commande "Set-LapsADResetPasswordPermission" sur le même principe. Car, actuellement, le groupe "IT-CONNECT\GDL-LAPS-Pwd-Read" peut lire les mots de passe mais pas forcer la réinitialisation, ce qui en soit n'est pas plus mal.
IX. Suivre le déploiement de Windows LAPS
Comment suivre le déploiement de Windows LAPS ? Pour répondre à cette question, je vous propose d'utiliser un script PowerShell ! Ce script est proposé par l'excellent Loïc Veirman (MSSEC) et il est accessible sur son GitHub :
Suite à l'exécution de ce script, vous obtenez un rapport HTML (et un fichier CSV) qui vous donne un état des lieux. Ces fichiers seront générés au même endroit que le script. Voici un exemple :
Ainsi, vous pouvez savoir quelles sont les machines avec Windows LAPS, LAPS legacy, ou les deux, ou aucun des deux. Vous pouvez tout à fait exécuter ce script dans une tâche planifiée qui s'exécutera tous les jours pour avoir un suivi dans le temps.
X. Conclusion
Suite à la lecture de ce tutoriel, vous êtes en mesure de mieux appréhender la configuration de Windows LAPS, et surtout, vous êtes capable d'améliorer la sécurité de vos machines en bénéficiant d'un mot de passe administrateur local unique sur chacune d'elle. Cela est d'autant plus intéressant qu'il y a une rotation automatique de ces mots de passe.
Dans un prochain tutoriel, nous verrons probablement comment utiliser et configurer Windows LAPS avec Azure Active Directory. La sécurisation du mot de passe DSRM pourrait être abordée également.
Si vous avez des remarques ou des questions, n'hésitez pas à laisser un commentaire ou à venir en discuter sur notre serveur Discord.
À cause d'une mise à jour logicielle, certaines imprimantes HP n'acceptent plus certaines cartouches d'encre non officielles. Forcément, cela ne plait pas aux clients.
Si vous utilisez une imprimante HP et que vous avez l'habitude d'acheter des cartouches alternatives proposées par d'autres marques, vous avez peut-être eu la mauvaise surprise de constater que l'imprimante n'accepte plus votre cartouche. Cette nouvelle mesure fait suite à l'installation d'un nouveau firmware sur certains modèles HP (qui doit être déployé automatiquement).
La guerre des cartouches d'encre n'est pas nouvelle et elle risque de continuer encore longtemps... En même temps, c'est là-dessus que les fabricants gagnent de l'argent, car, généralement, l'imprimante ne coûte pas très cher, au contraire du prix des consommables qui est très élevé. De ce fait, les cartouches compatibles sont intéressantes pour le consommateur, car elles sont moins chères que celles vendues officiellement par la marque.
Concrètement, avec ce changement, si la cartouche n'est pas équipée d'une puce HP, l'imprimante refusera d'imprimer votre document ! Cela va bien plus loin que le simple avertissement que l'on pouvait rencontrer jusqu'ici...!
Les modèles d'imprimantes HP concernés par cette "nouveauté"
En ce qui concerne les modèles concernés par cette mesure, il s'agit de ceux équipés de la fonctionnalité "Sécurité dynamique" décrite de cette façon par HP : "Les imprimantes HP sont conçues pour fonctionner avec des cartouches d’encre et de toner HP authentiques. Comme il est courant de le faire dans le domaine de l’imprimerie, les imprimantes HP utilisent une méthode d’authentification des cartouches. Sur certaines imprimantes HP, cette méthode d’authentification comprend des mesures desécurité dynamique". Cette information est fournie sur la boite de l'imprimante ou sur le site officiel HP.
HP admet tout de même que le blocage de ces cartouches lui permet de protéger sa propriété intellectuelle et de maintenir l'intégrité de ses systèmes d'impression. HP va même plus loin en affirmant : "Les cartouches tierces qui utilisent des puces ou des circuits non HP peuvent présenter des risques pour les performances matérielles, la qualité d’impression et la sécurité."
Un porte-parole de HP a également précisé que certaines marques tierces équipent leurs cartouches avec une puce HP, donc elles sont toujours compatibles. Par ailleurs, dans certains cas, et cela dépend du modèle d'imprimante, il est toujours possible de se rendre dans les paramètres pour désactiver le bloquer des cartouches non officielles.
Quoi qu'il en soit, de nombreux utilisateurs de HP risquent de "rager" dans les prochaines semaines. Ce qui est compréhensible.
De nombreux gangs de cybercriminels s'appuient sur le code source du ransomware Babuk pour créer leur propre version et s'attaquer aux serveurs VMware ESXi. Une menace qui n'est pas nouvelle, mais qui s'intensifie avec le temps.
Le ransomware Babuk n'est plus en circulation depuis 2021, et son code source avait même fuité en septembre 2021 suite à une embrouille en interne entre certains membres de l'équipe. Même si aujourd'hui le ransomware Babuk n'existe plus officiellement, le code source est utilisé par plusieurs groupes de cybercriminels... En effet, cette tendance a été observée par les chercheurs en sécurité de chez Sentinel One qui ont repéré 9 ransomwares basés sur le code source de Babuk, entre le second semestre 2022 et le premier semestre 2023.
Grâce au code source de Babuk, les pirates disposent d'une très bonne base pour créer un ransomware avec un module de chiffrement compatible Linux et VMware ESXi, même s'ils n'ont pas une grande expertise technique sur ces systèmes. Lorsqu'il s'agit d'un groupe sans beaucoup de ressources, il est très facile de détecter la réutilisation du code source de Babuk. Dans son rapport, Sentinel One précise : "Ceci est particulièrement évident lorsqu'il est utilisé par des acteurs disposant de moins de ressources, car ces acteurs sont moins susceptibles de modifier de manière significative le code source de Babuk."
D'ailleurs, voici la liste des groupes de cybercriminels qui utilisent un ransomware basé sur Babuk :
Play (fichiers chiffrées en .FinDom),
Mario (fichiers chiffrées en .emario),
Conti POC (fichiers chiffrées en .conti),
REvil alias Revix (fichiers chiffrées en .rhkrc),
Cylance Ransomware,
Dataf Locker,
Rorschach alias BabLock,
Lock4,
RTM Locker
Cette liste de ransomwares basés sur Babuk s'ajoute à la longue liste de ransomwares qui s'attaquent aux hyperviseurs sous VMware ESXi. Ce type de rapport de sécurité est là pour nous rappeler la présence constante de cette menace : ce qui n'est pas étonnant, car avec la compromission d'un seul serveur, l'attaquant peut chiffrer X machines virtuelles et avoir un impact fort sur le SI de l'entreprise.