I. Présentation

Dans ce tutoriel, nous allons voir comment télécharger et intégrer les modèles d'administration ADMX de Windows 11 22H2 afin de bénéficier des nouveaux paramètres de GPO sur son environnement Active Directory. Windows 11 22H2 est officiellement disponible depuis le mardi 20 septembre 2022, ce qui est l'occasion pour Microsoft de proposer des paramètres additionnels pour les administrateurs système.

• Les nouveautés de Windows 11 22H2

II. Windows 11 22H2 : quels sont les nouveaux paramètres de GPO ?

Si l'on se réfère au fichier Excel qui liste l'intégralité des paramètres de GPO et que l'on applique un filtre pour afficher uniquement les paramètres introduits avec la version "22H2", on obtient une liste de 79 paramètres. Ce fichier est disponible sur le site de Microsoft, en cliquant sur le lien ci-dessous.

• Windows 11 - Modèles ADMX - Fichier Excel

Dans ce fichier, au sein de l'onglet "Administrative Templates", vous devez appliquer un filtre sur la colonne "New in Windows 11" dans le but de choisir uniquement la valeur "22H2". De cette manière, il n'y a que les nouveaux paramètres associés à Windows 11 22H2 qui sont listés.

Voici la liste des paramètres inclus :

Hide messages when Windows system requirements are not met

Hide and disable all items on the desktop

Enable App Installer

Enable App Installer Settings

Enable App Installer Experimental Features

Enable App Installer Local Manifest Files

Enable App Installer Hash Override

Enable App Installer Default Source

Enable App Installer Microsoft Store Source

Set App Installer Source Auto Update Interval In Minutes

Enable App Installer Additional Sources

Enable App Installer Allowed Sources

Enable App Installer ms-appinstaller protocol

Configure Discovery of Designated Resolvers (DDR) protocol

Configure NetBIOS settings

Turn off files from Office.com in Quick access view

Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects

Turn off Adobe Flash in Internet Explorer and prevent applications from using Internet Explorer technology to instantiate Flash objects

Enable global window list in Internet Explorer mode

Enable global window list in Internet Explorer mode

Reset zoom to default for HTML dialogs in Internet Explorer mode

Reset zoom to default for HTML dialogs in Internet Explorer mode

Disable HTML Application

Disable HTML Application

Configure hash algorithms for certificate logon

Configure hash algorithms for certificate logon

Allow retrieving the Azure AD Kerberos Ticket Granting Ticket during logon

Request traffic compression for all shares

Disable SMB compression

Use SMB compression by default

Disable SMB compression

Allow Custom SSPs and APs to be loaded into LSASS

Configures LSASS to run as a protected process

Suppress the display of Edge Deprecation Notification

Suppress the display of Edge Deprecation Notification

Only allow device authentication for the Microsoft Account Sign-In Assistant

Enable ESS with Supported Peripherals

Limits print driver installation to Administrators

Manage processing of Queue-specific files

Manage Print Driver signature validation

Manage Print Driver exclusion list

Configure RPC listener settings

Configure RPC connection settings

Configure RPC over TCP port

Always send job page count information for IPP printers

Configure Redirection Guard

Fully disable Search UI

Allow search highlights

Force Instant Dim

Do not sync accessibility settings

Remove Run menu from Start Menu

Prevent changes to Taskbar and Start Menu Settings

Remove access to the context menus for the taskbar

Prevent users from uninstalling applications from Start

Remove Recommended section from Start Menu

Remove Recommended section from Start Menu

Simplify Quick Settings Layout

Disable Editing Quick Settings

Remove Quick Settings

Remove pinned programs from the Taskbar

Hide the TaskView button

Hide the TaskView button

Do not allow WebAuthn redirection

Disable Cloud Clipboard integration for server-to-client data transfer

Service Enabled

Notify Malicious

Notify Password Reuse

Notify Unsafe App

Device Control

Select Device Control Default Enforcement Policy

Define Device Control evidence data remote location

Control whether or not exclusions are visible to Local Admins.

Select the channel for Microsoft Defender monthly platform updates

Select the channel for Microsoft Defender monthly engine updates

Select the channel for Microsoft Defender daily security intelligence updates

Configure time interval for service health reports

CPU throttling type

Disable gradual rollout of Microsoft Defender updates.

Enable MPR notifications for the system

Pour plus de détails, il convient de regarder le fichier Excel.

III. Modèles ADMX de Windows 11 22H2

Si vous désirez intégrer les nouveaux modèles d'administration pour Windows 11 22H2 à votre environnement Active Directory, vous devez télécharger les fichiers ADMX. Pour cela, c'est toujours sur le site de Microsoft, avec le lien suivant :

• Télécharger les modèles ADMX - Windows 11 22H2

Ce téléchargement donne lieu à un package MSI que vous devez installer sur votre machine dans le but de "décompresser" son contenu. Ensuite, les fichiers qui nous intéressent seront disponibles à l'emplacement suivant :

C:\Program Files (x86)\Microsoft Group Policy\Windows 11 September 2022 Update (22H2)\PolicyDefinitions

L'objectif est simple : copier tous les fichiers ".ADMX" situés à la racine de ce dossier, ainsi que les dossiers de langues "fr-fr" et "en-US" afin d'avoir les traductions française et anglaise (utile si un paramètre n'est pas traduit), dans le but de les coller dans le magasin central de l'Active Directory.

Pour rappel, le magasin central correspond au dossier "PolicyDefinitions" sur le partage SYSVOL de l'Active Directory et il sert à stocker les modèles d'administration ainsi que les fichiers de traduction. Puisque c'est stocké dans le répertoire SYSVOL, les fichiers seront répliqués sur les différents contrôleurs de domaine.

• GPO : magasin central et les fichiers ADMX / ADML

Si l'on prend l'exemple du domaine "it-connect.local", cela signifie qu'il faut stocker les fichiers à cet endroit :

\\IT-CONNECT.LOCAL\SysVol\IT-CONNECT.LOCAL\Policies\PolicyDefinitions

Désormais, si vous créez une nouvelle GPO ou que vous modifiez une GPO existante, les sections "Modèles d'administration" sous utilisateur et ordinateur vont intégrer les nouveaux paramètres, ainsi que tous les paramètres déjà existants. Par exemple, il y a les nouveaux paramètres associés à la fonctionnalité "Enhanced Phishing Protection" évoquée dans un précédent article.

A vous de jouer...

The post GPO Windows 11 22H2 : comment télécharger les modèles ADMX ? first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons parler des bonnes pratiques sur l’utilisation des GPOs au niveau des contrôleurs de domaine. Comme nous le savons tous, les GPOs permettent d’appliquer les paramètres de manière automatique sur les objets de l’annuaire. Une mauvaise gestion peut impacter le fonctionnement de notre infrastructure et mettre en péril sa sécurité. Nous allons voir ensemble comment éviter cela sur les contrôleurs du domaine qui jouent un rôle très important dans un environnement Microsoft.

Cet article a été écrit en collaboration avec Mehdi DAKHAMA, et c'est un retour d'expérience relevé chez plusieurs clients. Le but est d'améliorer et optimiser la gestion des GPOs pour les contrôleurs de domaine.

Relecture par Florian BURNEL.

II. Rappel sur l’application des GPOs

A. Hiérarchie d’application des mises à jour

Pour rappel, la hiérarchie d’application des OU est la suivante: stratégie locale > site >> domaine >> OU. Dans la hiérarchie précédente, le symbole ">>" signifie que l'héritage est appliqué.

• L'ordre d'application des GPOs

Deux stratégies de groupes sont créées par défaut lors de l’installation du domaine :

• Default Domain Policy liée à la racine du domaine
• Default Domain Controller Policy liée sur l’OU "Domains Controllers"

B. Risques potentiels

Au vu de la hiérarchie présentée ci-dessus, nous constatons que si une GPO est appliquée au niveau du site ou à la racine d’un domaine, elle sera aussi appliquée aux contrôleurs de domaine via le conteneur "Domain controllers".

Est-ce une bonne ou une mauvaise pratique ? Voyons cela ensemble.

Intéressons-nous aux deux scénarios suivant:

• Une première GPO machine est créée et liée à la racine du domaine
• Une seconde GPO liée à une unité d’organisation comprenant un compte administrateur du domaine

C. Exemple n°1 - GPO liée à la racine

Nous allons créer une GPO qui désactive l’UAC (User Account Control) sur Windows. Vous savez, l'UAC c'est la fenêtre de confirmation qui s'affiche quand on a besoin de réaliser une action qui implique des privilèges élevés (administrateur).

Pour cela, nous créons une GPO à la racine du domaine en la nommant "Disabled UAC", nous allons ensuite la modifier via un clic droit "Modifier".

Dans la partie Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Contrôle de compte d’utilisateur  nous avons modifié le paramètre "Contrôle de compte d'utilisateur : comportement de l'invite d'élévation pour les administrateurs en mode d'approbation Administrateur", comme indiqué sur les images ci-dessous :

 

Une fois que c'est fait, nous appliquons la GPO avec la commande gpupdate /force sur le contrôleur de domaine Active Directory. De par son positionnement, la GPO s'applique sur les contrôleurs de domaine et les autres machines du domaine.

Nous constatons que les paramètres ont été appliqués et changés sur le contrôleur du domaine.

Il est clair que ce paramètre est dangereux pour un contrôleur de domaine ! De ce fait, il faudrait éviter de lier les GPOs à la racine en vue de limiter les conséquences d’une telle action ! On peut considérer qu'il y a eu une mauvaise analyse de l'impact sur l’ensemble des objets concernés. Cependant, cette recommandation ne suffit pas, voyons pourquoi...

D. Exemple n°2 - GPO pour connecter un lecteur réseau

Réalisons le second exemple basé sur le mappage d'un lecteur réseau dans une session et analysons le résultat.

• Comment mapper un lecteur réseau par GPO ?

Sur l'OU IT-Connect, nous allons créer une GPO nommée "mapper_lecteur_user". Comme ceci :

Nous modifions les paramètres pour mapper un dossier partagé sur le DC comme lecteur perso "Z:". Ce qui donne :

Pour rappel, notre OU contient des admins du domaine :

Après application de la GPO, nous constatons que le lecteur réseau remonte lors de la connexion sur le contrôleur de domaine avec un compte de cette OU. En effet, les paramètres utilisateurs suivent l’utilisateur et s’appliquent là où ils ouvrent leur session.

Imaginez que ce lecteur contient un fichier suspect et que ce dernier correspond à un ransomware ?! Était-il nécessaire d’avoir ce lecteur réseau "Perso" lors d’une connexion sur le contrôleur du domaine ? Ce cas peut s’appliquer sur plein de paramètres des GPOs, parfois un paramètre s’applique par récursivité à un groupe lointain, ce qui accroît le risque de dysfonctionnement ou d’erreur sur les DCs.

Maintenant, intéressons-nous aux recommandations.

III. Recommandations pour l'OU "Domain Controllers"

L'objectif va être de bloquer l'héritage sur l'OU "Domain Controllers" de notre annuaire Active Directory pour isoler, en quelque sorte, les contrôleurs de domaine puisqu'ils sont regroupés dans cette OU. De plus, pour mieux contrôler les paramètres utilisateurs qui s’appliquent sur les contrôleurs de domaine, il faudrait que les paramètres utilisateurs liés aux GPO liés à l’OU "Domains Controllers" prennent précédence sur le reste. Microsoft a prévu cette configuration : le traitement par boucle de rappel.

Le schéma ci-dessous résume les étapes :

Nos recommandations sont les suivantes:

• Recommandation n°1 : bloquer l'héritage sur l’OU "Domain Controllers" : cela permettra d'éviter toutes configurations issues de la racine. Pour empêcher l’application des configurations utilisateurs des administrateurs qui se connectent, cette recommandation doit être effectuée
• Recommandation n°2 : dupliquer la GPO "Default Domain Policy" et l’appliquer sur l’OU "Domain Controllers" : dans le but de conserver et d’appliquer les paramètres de mot de passe et Kerberos

Pour bloquer l'héritage, effectuer un clique droit sur l’OU "Domain Controllers", et choisissez "Bloquer l'héritage".

Ce qui donne :

Note : attention si vous "Appliqué" (Enforced en anglais) une GPO à la racine, cela forcera l’héritage et les paramètres seront configurés sur les Contrôleurs de domaine. Malheureusement, ce paramètre est trop souvent utilisé à mauvais escient.

• Recommandation n°3 : activer le traitement par boucle de rappel

Pour configurer ce paramètre, suivez le chemin suivant dans une nouvelle GPO : Configuration de l'ordinateur > Modèles d'administration > Système > Stratégie de groupe

Ici, choisissez le paramètre nommé "Configurez le mode de traitement par bouclage de la stratégie de groupe utilisateur" et cochez "Activé" ainsi que "Remplacer".

• Recommandation n°4 : renommer les GPOs appliquées sur les contrôleurs de domaine

Nous devons partir du principe que les GPOs appliqués sur l’OU "Domain Controllers" ne doivent pas être utilisées sur une autre OU. Pour les identifier, il convient d'utiliser un nom différent en respectant une nomenclature spécifique pour vos contrôleurs de domaine. Ainsi, pour une même GPO, vous pouvez faire la différence entre la version qui s'applique aux ordinateurs et autres serveurs, et la version pour les contrôleurs de domaine.

Pour en savoir plus sur ces différentes notions, vous pouvez consulter ces pages :

• GPO - Traitement par boucle de rappel
• Les stratégies de groupe et l’option « Appliqué » (Enforced)
• LinkedIn Learning - Désactiver l'héritage GPO

IV. Conclusion

Les contrôleurs de domaine doivent être extrêmement protégés, le blocage de l'héritage et des paramètres utilisateurs constituent une solution. A cela doit s’accompagner la surveillance, ce sera le focus de notre prochain article.

The post Sécurité Active Directory : gestion des GPO sur l’OU Domain Controllers first appeared on IT-Connect.

Des cybercriminels s'appuient sur une nouvelle technique d'exécution de code pour infecter les ordinateurs sous Windows à partir d'une simple présentation PowerPoint et d'un mouvement de souris ! Explications.

D'après un rapport de l'entreprise Cluster25, cette nouvelle campagne d'attaques est dirigée par le groupe APT28, surnommé "Fancy Bear" et associé à la Russie. Cette attaque se veut particulièrement furtive, car elle ne nécessite pas l'utilisation d'une macro malicieuse pour télécharger et exécuter la charge malveillante, en l'occurrence ici le malware Graphite.

Les cybercriminels utilisent un fichier PowerPoint malveillant aux couleurs de l'organisation OECD (Organisation de coopération et de développement économiques). D'après Wikipédia, il s'agit "d'une organisation internationale d'études économiques, dont les pays membres — des pays développés pour la plupart — ont en commun un système de gouvernement démocratique et une économie de marché."

Dans ce fichier PowerPoint, il y a deux diapos, l'une avec des instructions en anglais et l'autre en français, dans le but de fournir des informations sur l'utilisation de l'option d'interprétation dans l'application de vidéoconférence Zoom. Ce fichier contient un lien hypertexte qui permet d'appeler un script PowerShell malveillant à partir de l'utilitaire SyncAppvPublishingServer. Visiblement, il s'agit d'une technique connue et déjà documentée en 2017, comme le montre cet article.

D'après les chercheurs, cette campagne d'attaques vise les pays de l'Union européenne, et plus précisément des entités dans le secteur de la défense, ainsi que des entités gouvernementales.

Comment s'effectue l'infection de la machine ?

En ouvrant le document PowerPoint en mode présentation, la machine d'un utilisateur peut être infectée simplement en passant sa souris au mauvais endroit ! En effet, si l'utilisateur passe sa souris sur le lien hypertexte intégré à la présentation, un script PowerShell s'exécute et il télécharge le fichier JPEG "DSC0002.jpeg" à partir d'un compte OneDrive. Ce fichier n'est pas une simple image puisqu'il s'agit d'une DLL chiffrée (lmapi2.dll) qui est alors déchiffrée et stockée dans le dossier "C:\Program Data\" avant d'être lancée par rundll32.exe. En complément, une clé de registre est créée pour le côté persistance.

Ce premier processus télécharge et déchiffre une seconde image JPEG, sur le même principe que la première. Au final, la souche malveillante Graphite est exécutée sur la machine infectée. Pour communiquer avec l'infrastructure C2, le malware s'appuie sur Microsoft Graph API et OneDrive, en utilisant une authentification basée sur un jeton OAuth2. Cet espace OneDrive sert de dépôt pour déployer de nouvelles charges utiles sur la machine infectée. L'exécution de commande à distance est également possible.

Source

The post Ce fichier PowerPoint infecte votre machine avec un simple survol de la souris sur un lien first appeared on IT-Connect.

Depuis ce lundi 26 septembre, le système informatique de la Mairie de Caen est paralysé à cause d'une attaque informatique. Faisons le point.

C'est en préambule du conseil municipal de rentrée que la nouvelle est tombée : la Mairie de Caen a subi une cyberattaque, ce lundi 26 septembre, en plein après-midi. Joël Bruneau, Maire de Caen, a indiqué à l'Assemblée : « Nous avons dû tout arrêter », en parlant des serveurs informatiques qui ont été arrêtés suite à cette intrusion. Conséquence directe sur le conseil municipal, l'habituelle retransmission en direct n'a pas pu être mise en place, mais malgré tout la séance a pu avoir lieu. Le Maire l'a confirmé sur son compte Twitter : "En raison de contraintes techniques, la retransmission du conseil municipal de ce soir n’est pas assurée".

Cette attaque informatique semble conséquente et les perturbations devraient durer plusieurs jours. On apprend que le site Internet officiel de la ville de Caen est indisponible, tout comme le service de messagerie utilisé par les salariés. Néanmoins, les services publics sont maintenus d'après le cabinet du maire, même si le service État civil est désormais fermé jusqu'à nouvel ordre. Même si les services publics sont ouverts, ils vont fonctionner en mode dégradé en attendant que les services informatiques soient remis en ligne.

Pour le moment, nous ne connaissons pas l'origine de l'attaque, ni même le type de logiciel malveillant qui a infecté les serveurs de la Mairie de Caen.

Bon courage aux équipes !

Je vous laisse avec une photo de la belle Mairie de Caen, car oui, Caen c'est ma ville !

Source

The post La mairie de Caen victime d’une cyberattaque : les serveurs sont arrêtés ! first appeared on IT-Connect.

On avance sur la solution du problème de performances qui affecte les machines sous Windows 11 22H2 équipées d'une carte graphique NVIDIA, puisque le fabricant a reconnu ces problèmes. Une première solution est apportée aux utilisateurs.

Windows 11 22H2 est disponible depuis quelques jours, et les premiers retours négatifs et positifs sont déjà disponibles sur la toile. Un premier problème est rapidement remonté et il concerne les performances des cartes graphiques NVIDIA sur cette nouvelle version de Windows : gros ralentissements, CPU qui ne tourne pas suffisamment, etc... On peut imaginer que certains utilisateurs n'ont pas apprécié que leur soirée gaming soit gâchée !

Conscient du problème, NVIDIA a communiqué sur son site à ce sujet : "Certains utilisateurs peuvent observer une baisse des performances dans les jeux ou les applications après la mise à jour vers Microsoft Windows 11 2022 Update". Pour corriger le problème, NVIDIA mit en ligne une version bêta de son logiciel NVIDIA GeForce Experience : il s'agit de la version 3.26. L'entreprise précise également qu'une version stable sera disponible dans le courant de la semaine, avec également la mise à jour du pilote GeForce Game Ready.

Pour les personnes pressées, sachez qu'il est possible d'appliquer l'une des deux méthodes suivantes :

• Télécharger la version beta sur le site de NVIDIA et l'installer directement (via ce lien de téléchargement)
• Accéder aux paramètres du logiciel NVIDIA GeForce Experience > activer l'option pour bénéficier des fonctionnalités expérimentales > fermer l'application > attendre 30 secondes > rouvrir l'application > ceci doit permettre d'avoir la mise à jour

Si vous avez constaté ce problème et que vous testez cette solution temporaire, n'hésitez pas à nous faire un retour. Pour ceux qui peuvent patienter encore un peu, il est préférable d'attendre la version stable et définitive.

Si vous souhaitez en savoir plus sur les nouveautés de Windows 11 22H2, vous pouvez lire mon article dédié, ainsi qu'un second article qui évoque la fonction de sécurité "Enhanced Phishing Protection".

• Les nouveautés de Windows 11 22H2
• Windows 11 22H2 - Enhanced Phishing Protection

Source

The post Windows 11 22H2 : une version bêta de NVIDIA GeForce Experience rétablit les performances first appeared on IT-Connect.