I. Présentation

Dans ce tutoriel, je vous propose de mettre en place un script PowerShell qui va envoyer une notification par e-mail aux utilisateurs X jours avant l'expiration de leur mot de passe Active Directory, afin de les inviter à changer le mot de passe avant la date butoir.

Selon les environnements, et sous réserve qu'il y ait une politique de mots de passe en place (ce qui, malheureusement, n'es pas si évident que ça), l'expiration du mot de passe sur un compte utilisateur peut poser des problèmes de connexion sur des services basés sur l'authentification Active Directory. D'ailleurs, j'ai abordé cette problématique plus en détail dans mon article "Active Directory et la mise en cache des identifiants".

L'une des "solutions" consiste à notifier les utilisateurs que leur mot de passe va expirer, quelques jours avant le jour J où ils devront impérativement changer le mot de passe. C'est ce que nous allons voir aujourd'hui, en passant par PowerShell.

II. Récupérer la date d'expiration du mot de passe avec PowerShell

Au sein de l'Active Directory, et plus particulièrement des comptes utilisateurs, chaque objet dispose d'un attribut qui contient la date et l'heure d'expiration du mot de passe. Cette valeur est calculée selon la politique de mots de passe appliquée sur l'utilisateur. Voici le nom de l'attribut auquel je fais référence :

msDS-UserPasswordExpiryTimeComputed

Cette valeur est visible avec l'interface graphique, avec la console "Utilisateurs et ordinateurs Active Directory" via l'onglet "Editeur d'attributs", ou via PowerShell. Voici un exemple :

La valeur de cet attribut n'est pas directement modifiable, car il s'agit d'un attribut construit dont la valeur a la particularité d'être calculée à partir d'autres attributs (pwdLastSet) et objets. Tous les détails de cet attribut sont disponibles dans la documentation de Microsoft :

• Microsoft Learn - msDS-UserPasswordExpiryTimeComputed

Cette information est également visible avec la commande historique "net user", en précisant un nom d'utilisateur, puis en regardant le champ "Le mot de passe expire". Voici un exemple avec l'utilisateur "guy.mauve" :

net user guy.mauve /domain

Toutefois, je trouve que la valeur de l'attribut Active Directory est plus fiable que celle renvoyée par cette commande.

Avec PowerShell, on peut afficher la date d'expiration des mots de passe pour un ensemble d'utilisateurs avec cette commande :

Get-ADUser -Filter { (Enabled -eq $True) -and (PasswordNeverExpires -eq $False)} –Properties "DisplayName", "mail", "msDS-UserPasswordExpiryTimeComputed" | 
           Select-Object -Property "Displayname","mail",@{Name="ExpiryDate";Expression={[datetime]::FromFileTime($_."msDS-UserPasswordExpiryTimeComputed")}}

Cette commande retourne l'information pour tous les utilisateurs activés et dont le mot de passe a une date d'expiration. Voici un exemple de sortie :

III. Expiration du mot de passe : notification par e-mail

L'e-mail est un canal de communication privilégié et efficace en entreprise, même s'il y a également d'autres solutions de communication comme Microsoft Teams. Le fait d'envoyer une notification par e-mail à l'utilisateur quelques jours avant l'expiration de son mot de passe va vous permettre de communiquer en direct avec lui, de façon automatique.

Désormais, intéressons-nous au script PowerShell, qui est disponible sur mon GitHub : vous pouvez le réutiliser en l'état ou l'adapter à votre guise. Pour utiliser ce script nommé "Send-ADPasswordExpirationNotifications.ps1", vous avez seulement besoin de modifier ces quelques variables :

# Nombre de jours avant l'expiration pour envoyer la notification
$DateThreshold = 7

# Serveur SMTP - Nom du serveur
$SMTPServer = "smtp.domaine.fr"

# Serveur SMTP - Numéro de port
$SMTPPort = 25

# Serveur SMTP - Adresse e-mail de l'expéditeur
$SMTPSender = "active-directory@domaine.fr"

# Serveur SMTP - Encodage Email
$SMTPEncoding =[System.Text.Encoding]::UTF8

# Envoyer une synthèse aux administrateurs
[boolean]$SendReportAdmin = $true

# Adresse e-mail du destinataire pour la synthèse
$SendReportAdminEmail = "rsi@domaine.fr"

Vous pouvez adapter le script pour la prise en charge du SSL et/ou des Credentials dans les commandes Send-MailMessage (pour envoyer les e-mails) selon votre environnement. Vous pouvez aussi ajouter l'option "-Cc" avec votre adresse e-mail, si vous souhaitez recevoir une copie de l'e-mail envoyé à chaque utilisateur.

Lorsque ce script tourne, il va récupérer la date d'expiration du mot de passe pour tous les utilisateurs activés et dont l'option "Le mot de passe n'expire jamais" n'est pas cochée. Ensuite :

• Dans le cas où le seuil de notification est définit à "7", un e-mail sera émis à l'utilisateur si son mot de passe expire dans 7 jours ou moins de 7 jours.
• Dans le cas où le mot de passe est déjà expiré, la notification n'est pas envoyée.

Chaque utilisateur recevra une notification similaire à celle-ci :

Le service informatique recevra une synthèse par e-mail avec la liste des utilisateurs dont le mot de passe expire bientôt. Cet e-mail est envoyé uniquement si "$SendReportAdmin = $true" donc vous pouvez activer ou non ce rapport supplémentaire.

Le script est disponible ici :

• GitHub - Send-ADPasswordExpirationNotifications.ps1

Pour que ces notifications soient envoyées automatiquement, il convient d'exécuter ce script dans une tâche planifiée. Sur le contrôleur de domaine avec les rôles FSMO, ce sera très bien à mon sens. Quant au compte utilisé pour l'exécution de la tâche planifiée, un gMSA est conseillé.

L'action à lancer ressemblera à ceci :

powershell.exe -File "C:\Scripts\Send-ADPasswordExpirationNotifications.ps1"

Comme ceci :

Si vous n'êtes pas très à l'aise avec cette partie de la configuration, consultez ces deux articles :

• Tâche planifiée - Exécuter un script PowerShell
• Tâche planifiée - Utiliser un gMSA

IV. Conclusion

Grâce à la mise en place de ce script, vos utilisateurs seront notifiés que leur mot de passe expire prochainement et pourront procéder à la réinitialisation de celui-ci avant l'échéance précisée dans l'e-mail.

Si vous avez des suggestions pour améliorer le script "Send-ADPasswordExpirationNotifications.ps1", n'hésitez pas à m'en faire part.

The post Active Directory : notification par e-mail pour l’expiration de mot de passe first appeared on IT-Connect.

Sur plusieurs centaines d'instances SQL Server, des analystes en sécurité ont la découverte d'une nouvelle porte dérobée nommée Maggie ! Grâce à elle, les pirates exécutent des commandes à distance sur l'hôte compromis à l'aide de requêtes SQL malveillantes.

Tout d'abord, il faut savoir que ce sont les analystes en sécurité Johann Aydinbas et Axel Wauer de chez DCSO CyTec qui ont fait la découverte de cette backdoor. Une fois en place sur un serveur qui exécute une instance SQL Server, la porte dérobée Maggie est contrôlée grâce à des requêtes SQL qui lui donnent des instructions, notamment pour exécuter des commandes ou interagir avec des fichiers. Elle peut également servir à effectuer des attaques par brute force sur d'autres instances SQL.

En s'appuyant sur les données de télémétrie, les chercheurs en sécurité de chez DCSO CyTec ont pu créer une heatmap qui montrent où se situent les serveurs infectés par cette porte dérobée. On peut voir que les instances infectées se situent partout dans le monde, même s'il y a quelques pays plus touchés comme l'Inde, le Vietnam, la Russie, la Corée du Sud, l'Allemagne ou encore les Etats-Unis.

Sur un total de 600 000 serveurs analysés au niveau mondial, il s'avère que 285 serveurs sont infectés par la porte dérobée Maggie.

D'après l'analyse effectuée par Johann Aydinbas et Axel Wauer, cette porte dérobée se déguise sous la forme d'une DLL "Extended Stored Procedure" nommée "sqlmaggieAntiVirus_64.dll" ajoutée à SQL Server.

Ainsi, des fonctions supplémentaires sont ajoutées à SQL Server afin de prendre en charge de nouvelles commandes exécutables via une API à distance : Maggie apporte un ensemble de 51 commandes ! Il y a la possibilité de lire le contenu de fichiers, de mettre en place une redirection de ports, un reverse shell ou encore d'activer le Bureau à distance sur le serveur. La liste fait également référence à 4 exploits mais ils ne sont pas inclus avec la porte dérobée donc les chercheurs en sécurité n'ont pas pu les tester.

Par ailleurs, Maggie sert de relais pour atteindre n'importe quelle machine du réseau que l'hôte SQL Server est en mesure de contacter ! Ceci est possible grâce à une fonctionnalité de redirection TCP. Les analystes précisent : "Lorsqu'elle est activée, Maggie redirige toute connexion entrante (sur n'importe quel port sur lequel le serveur MSSQL est en train d'écouter) vers une IP et un port précédemment définis, si l'adresse IP source correspond à un masque IP spécifié par l'utilisateur".

Pour le moment, il reste des informations à déterminer : quel est le groupe de cybercriminels à l'origine de ces attaques ? Quelle est ou quelles sont les vulnérabilités exploitées initialement pour compromettre l'instance SQL Server afin de déployer la porte dérobée ?

Source

The post Cyberattaques : des instances SQL Server infectées par la porte dérobée Maggie first appeared on IT-Connect.

Les utilisateurs de Windows 11 22H2 sont impactés par un nouveau problème qui concerne la copie de gros fichiers, notamment avec le protocole SMB. Microsoft travaille sur ce bug afin de proposer une solution aux utilisateurs.

Par l'intermédiaire d'un post officiel, Microsoft, par l'intermédiaire de Ned Pyle, a confirmé qu'il y avait des problèmes avec la copie de gros fichiers sous Windows 11 22H2. En effet, on peut lire : "Il y a une réduction des performances dans 22H2 lors de la copie de fichiers volumineux d'un ordinateur distant vers un ordinateur Windows 11." - On parle ici de fichiers volumineux de plusieurs Giga-octets, et si l'on copie ce même fichier vers une machine qui ne tourne pas sur Windows 11 22H2, le problème ne se présente pas.

En termes de performances, on parle d'une perte de débit d'environ 40% sous Windows 11 22H2, ce qui n'est pas négligeable et peut considérablement augmenter le temps de transfert de certains fichiers.

Bien que l'exemple du protocole SMB soit donné, ce bug n'est pas exclusif au transfert de fichiers sur le réseau en SMB. En effet, les utilisateurs peuvent constater des baisses de performances même lors de la copie de fichiers locaux. 

Quelle est la solution proposée par Microsoft ?

En attendant de trouver une solution, via un correctif par exemple, Microsoft propose à ses utilisateurs d'effectuer la copie des fichiers volumineux avec la ligne de commande, soit avec Robocopy ou Xcopy, en ajoutant l'option "/J". Voici un exemple :

robocopy \\someserver\someshare c:\somefolder somefile.ned /J

Actuellement, il y a également un problème avec les connexions Bureau à distance sous Windows 11 22H2, comme je l'évoquais dans un précédent article. Un peu moins récemment, il y avait également eu un problème de performances avec les jeux vidéo sur les machines équipées d'une carte graphique NVIDIA.

Source

The post Windows 11 22H2 : des problèmes de performances pour la copie des fichiers volumineux ! first appeared on IT-Connect.

Suite aux problèmes rencontrés par de nombreux utilisateurs avec les connexions "Bureau à distance" sous Windows 11 22H2, Microsoft effectue des recherches de son côté pour corriger ce nouveau bug. Faisons le point.

Suite à l'installation de Windows 11 22H2, le client Bureau à distance de Windows fait des siennes sur les postes de travail équipés de cette version de Windows. En effet, il se déconnecte de façon aléatoire, se bloque ou même pire encore, il ne se connecte même pas au serveur distant. De nombreux témoignages sont lisibles sur le forum answers.microsoft.com.

Par exemple, un admin Windows affirme : "Tous nos utilisateurs du Bureau à distance utilisant Windows 11 ont des problèmes de connexion au Bureau à distance après avoir installé cette mise à jour. Il se bloque à la connexion."

Autre exemple : "Nous avons découvert qu'il y a un bug dans le client Remote Desktop, qui n'essaie que la connexion UDP et non la connexion TCP. Nous n'autorisons que la connexion par le port 443 sur notre pare-feu." - Ou encore : "J'ai plusieurs clients sous Windows 11, et après la mise à jour 22H2, ils n'ont pas pu se connecter à nos serveurs RDS. J'ai essayé sans le pare-feu, mais rien n'a changé. Le problème a disparu après le rollback, ils ont pu se connecter à nouveau."

Les accès RDP sont très utilisés en entreprise, notamment pour accéder à des serveurs applicatifs, alors on peut imaginer que ce bug pose de sérieux problèmes à certaines organisations.

• Nouveautés de Windows 11 22H2

Quelle est la solution pour corriger ce problème ?

Bien qu'il n'y ait pas de correctif officiel de la part de Microsoft, il y a tout de même une solution en attendant. Alors oui, vous pouvez faire machine arrière et revenir sur la version précédente de Windows mais ce n'est pas la solution la plus simple à mettre en œuvre sur un ensemble de machines... Vous pouvez aussi désactiver les connexions UDP dans le client RDP de Windows. Ainsi, le client RDP n'a pas d'autres choix que de se connecter en TCP.

Sur les machines Windows 11 22H2 affectées, vous devez effectuer ceci :

1 - Ouvrir l'éditeur de Registre Windows

2 - Accéder à la clé : HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client

3 - Créer une nouvelle valeur DWORD nommée "fClientDisableUDP" avec la valeur 1

4 - Redémarrer la machine

Vous pouvez aussi déployer cette clé de Registre par GPO ou à partir d'une ligne de commande :

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client" /v fClientDisableUDP /d 1 /t REG_DWORD

Il y a aussi un paramètre de GPO nommé "Désactiver UDP sur le client" et situé à cet emplacement :

Configuration ordinateur > Stratégie > Modèle d'administration > Composants Windows > Services Bureau à distance > Client Connexion Bureau à distance

Avez-vous rencontré ce problème de votre côté ?

Source

The post Windows 11 22H2 : de gros problèmes avec les connexions RDP first appeared on IT-Connect.

Depuis la rentrée de septembre 2022, l'État a régulièrement mis à jour son Socle interministériel de logiciels libres en ajoutant pas moins de 19 logiciels libres supplémentaires à la liste existante.

Le gouvernement français continue de faire évoluer l'édition 2022 du Socle interministériel de logiciels libres (SILL). Pour rappel, il s'agit d'un document qui référence les logiciels libres recommandés. Elle est déterminée par la Direction interministérielle du numérique (DINUM) et par un ensemble de référents. Cela donne également un aperçu des logiciels utilisés au sein de certaines administrations publiques et certains établissements scolaires.

En août 2022, le gouvernement avait mis en ligne l'édition 2022 du SILL. Depuis, la liste continue de bouger avec un total de 19 ajouts depuis le 1er septembre 2022, ainsi que la suppression de 2 logiciels. Preuve que c'est en mouvement, le dernier ajout date du 4 octobre 2022.

• Voir le SILL 2022

Quels sont les nouveaux logiciels ajoutés au SILL ?

Voici la liste des logiciels ajoutés au SILL depuis le 1er septembre 2022 :

• INSECA
• DBeaver
• Angular
• GNU Octave
• GNU TeXmacs
• OCaml
• FreeFem++
• PHPBB3
• Arduino IDE
• ShredOS
• SYGEFOR
• Trivy
• Zim
• Kanboard
• Sugarizer
• Iparapheur
• XMIND
• cal.com
• Osuny

Personnellement, certains logiciels comme XMIND, ShredOS, Kanboard et PHPBB3 me parlent, mais pas les autres. D'ailleurs, ShredOS est basé sur Linux et il est intéressant pour effacer des supports de stockage en masse. Certains logiciels ont des versions commerciales, comme DBeaver et XMIND, par exemple, mais ici le SILL fait référence aux versions libres.

Quels sont les logiciels retirés du SILL ?

Deux logiciels ne font plus partie du SILL à ce jour :

• DBAN (Darik’s Boot and Nuke) qui était présent depuis le 1er janvier 2018, mais qui n'est plus maintenu depuis 2015 et qui fonctionne de moins en moins bien avec le matériel moderne si l'on se réfère aux précisions apportées dans le SILL
• AngularJS qui était présent depuis le 24 mai 2022 mais qui est déjà retiré, car il n'est plus maintenu depuis janvier 2022 (pour le coup, on peut se demander pourquoi il a été ajouté).

Source

 

The post SILL 2022 : 19 logiciels libres ajoutés à la liste depuis le 1er septembre first appeared on IT-Connect.