Sur Amazon, le disque SSD Transcend 220S avec une capacité de 480 Go passe à 44 euros au lieu de 57 euros ! Une baisse de prix intéressante pour ce disque SSD au format 2,5 pouces !
Ce disque SSD s'appuie sur une mémoire flash 3D NAND et le constructeur Transcend indique les performances suivantes : jusqu'à 540 Mo/s en lecture et 500 Mo/s en écriture. Au format 2,5 pouces, il est équipé d'une interface SATA III 6Gb/s comme les autres disques SSD avec ce format. Il est compatible avec d'autres fonctionnalités : SMART, commande TRIM, DevSleep qui est un mode veille intelligent, et la fonction wear-leveling pour prolonger la durée du disque SSD en répartissant les données uniformément au sein des cellules mémoires. Enfin, ce disque SSD bénéficie d'une garantie de 3 ans.
Par l'intermédiaire du programme Windows Insider for business, Microsoft a mis en ligne la première version preview de Windows 10 version 22H2 afin de permettre aux entreprises de tester la future version de Windows 10. La version finale sera disponible courant 2022.
C'est par l'intermédiaire de Brandon LeBlanc et Aria Carley de chez Microsoft que s'est propagée cette information : "Windows 10 Build 19045.1865 (KB5015878) est maintenant disponible dans le canal Release Preview pour les participants au programme Windows Insider for Business afin de permettre aux entreprises de le valider sur les appareils de leur organisation.".
Ils ajoutent également : "Les appareils configurés pour utiliser le canal Release Preview via les paramètres du programme Windows Insider ou via la stratégie Windows Update for Business, que ce soit par le biais de Microsoft Intune ou d'une GPO, se verront automatiquement proposer Windows 10, version 22H2 en tant que mise à jour facultative.". Autrement dit, cela ne concerne pas les machines sous Windows 10 Famille, mais plutôt les machines avec un ID commercial et une clé de licence en volume.
Windows 10 22H2 est également disponible via le service de mise à jour Windows Server, à savoir WSUS, et sur Azure Marketplace.
Il est à noter que Windows 10 22H2 est aussi disponible pour les membres du programme Windows Insider accessible à tous à partir d'un compte Microsoft. La firme de Redmond précise : "Cela signifie que les Insiders actuellement dans le canal Release Preview peuvent aller dans Paramètres et Windows Update pour choisir de télécharger et d'installer Windows 10, version 22H2 s'ils le souhaitent." - A vous de faire le choix. Une fois que la machine tourne sur Windows 10 22H2, elle continue de recevoir les mises à jour mensuelles du programme Windows Insider.
Même s'il y a Windows 11 et qu'il y a peut-être un Windows 12 en préparation, Microsoft a déclaré que Windows 10 sera pris en charge jusqu'au 14 octobre 2025. Avec cette annonce, Microsoft confirme que Windows 10 22H2 sera bien la prochaine version majeure de Windows 10.
Dans ce tutoriel, nous allons apprendre à établir une connexion PowerShell distante au travers du protocole SSH, entre deux machines sous Windows. PowerShell étant multi plateforme comme SSH, on peut imaginer appliquer cette configuration entre deux machines Linux, entre une machine Linux et une machine Windows, mais aussi avec macOS. Dans un document publié récemment, l'agence américaine NSA recommandel'utilisation du SSH pour l'administration à distance avec PowerShell, plutôt que d'utiliser WinRM. Le fait d'utiliser SSH permet d'utiliser l'authentification par clé et le support de différents systèmes, contrairement à WinRM qui nécessite la mise en place d'un certificat pour passer les connexions en HTTPS.
Je vais vous expliquer comment installer le serveur SSH, le client SSH, mais aussi comment configurer le serveur SSH pour faire du PowerShell SSH remoting. Nous verrons l'authentification par mot de passe, puis l'authentification par clé. Mon serveur SSH est la machine SRV-ADDS-01 sous Windows Server 2019 tandis que le client SSH est SRV-APPS sous Windows Server 2022 (mais il pourrait être sur une autre version, un autre système). Il est à noter que l'administration avec PowerShell au travers de SSH est une fonctionnalité disponible depuis PowerShell 7. Vous devez donc installer la bonne version de PowerShell, côté client et côté serveur, avant toute chose.
Précédemment, j'ai mis en ligne deux articles (et vidéos) au sujet de l'utilisation du SSH sur Windows :
Une fois que c'est fait, il faut démarrer le service :
Start-Service sshd
Puis, on configure le service pour qu'il démarre automatiquement :
Set-Service -Name sshd -StartupType "Automatic"
Le fait de lancer le service va permettre de générer la configuration de base de SSH et de mettre en ligne le serveur SSH. Le fichier de configuration "sshd_config" est situé dans "C:\ProgramData\ssh" : nous allons le modifier.
cd c:\ProgramData\ssh
notepad .\sshd_config
Grâce au Bloc-notes de Windows, on peut modifier la configuration du serveur SSH. Pour le moment, autorisez la connexion par mot de passe en retirant le caractère "#" en début de ligne, car l'option est actuellement commentée.
PasswordAuthentication yes
Nous devons ajouter la prise en charge de PowerShell en l'intégrant en tant que sous-système, sinon il n'y a que quelques commandes qui vont fonctionner (non PowerShell). Vous devez ajouter cette nouvelle ligne à la suite de ces deux lignes :
# override default of no subsystems
Subsystem sftp sftp-server.exe
La ligne ci-dessous est celle que vous devez ajouter à votre fichier de configuration SSH. Si vous n'avez pas installé PowerShell dans son emplacement par défaut, il faudra adapter le chemin. Comme le précise Microsoft dans sa documentation, il faut utiliser un nom abrégé au format 8.3 puisque le nom contient des espaces.
Voilà, le fichier de configuration est prêt pour le moment. Libre à vous de le personnaliser un peu plus, pour changer le port d'écoute de SSH par exemple (attention à la règle de pare-feu Windows). Pour que la modification soit effective, il faut redémarrer le service SSH :
Restart-Service sshd
Maintenant, passons à la machine qui jouera le rôle de client SSH.
III. Préparer le client SSH sur Windows
Là encore, une commande PowerShell exécutée avec les droits administrateur permet d'installer le client OpenSSH :
Une fois que le client OpenSSH est installé, on peut utiliser la commande "ssh" pour se connecter sur un hôte distant, mais aussi New-PSSession et Enter-PSSession pour utiliser SSH au travers de PowerShell. Sur Windows 10 et Windows 11, le client SSH est préinstallé.
IV. Connexion PowerShell distante via SSH
Avec la commande "New-PSSession", je vais initier une session SSH vers mon serveur SRV-ADDS-01 en prenant un compte de mon domaine Active Directory. L'état de cette session sera stocké dans la variable $Session que l'on va pouvoir réutiliser.
Pour la première fois, il faut indiquer le mot de passe du compte, mais aussi accepter la connexion. Une fois que c'est fait, si l'on regarde le contenu de la variable $Session, on peut clairement voir que cette connexion PowerShell s'appuie sur le protocole SSH !
$Session
Pour se connecter dans cette session et administrer le serveur SRV-ADDS-01, on utilise "Enter-PSSession" et on appelle la variable $Session. À partir de là, le prompt change puisque l'on se retrouve connecté au serveur distant.
Enter-PSSession -Session $Session
Pour revenir sur l'hôte local :
exit
Plutôt que de se connecter à la session distante PowerShell, on peut simplement exécuter une commande PowerShell (ou un petit bloc de code) par l'intermédiaire du cmdlet Invoke-Command. Voici un exemple pour exécuter la commande "Get-Service sshd" sur l'hôte SRV-ADDS-01.
Pour terminer cet article, nous allons voir comment établir une connexion avec une clé publique.
V. Connexion SSH par clé publique sous Windows
A. Générer la paire de clés
Tout d'abord, sur le client SSH, c'est-à-dire le serveur SRV-APPS dans mon exemple, il faut configurer le service "ssh-agent". On va le paramétrer en démarrage automatique et le démarrer dans la foulée.
Ensuite, il faut que l'on génère un couple de clés pour l'authentification, afin d'obtenir une clé privée qui restera toujours en local sur le serveur et une clé publique qui sera copiée sur les serveurs sur lesquels on veut s'authentifier. L'utilitaire ssh-keygen va permettre de générer nos clés, et pendant ce processus, il faudra nommer les clés et définir une passphrase afin de protéger la clé privée.
cd ~\.ssh\
ssh-keygen -t ed25519
Une fois que c'est fait, toujours à partir du dossier "~\.ssh", on charge nos clés dans l'agent SSH :
ssh-add id_rsa
B. Envoyer la clé publique sur l'hôte distant
Maintenant, il faut que l'on interagisse avec le serveur cible, à savoir SRV-ADDS-01. Sur ce serveur, je veux me connecter avec le compte "Admin.fb@it-connect.local", donc il faut que j'envoie ma clé publique sur ce serveur. Première étape, créer un dossier ".ssh" dans le répertoire du profil de l'utilisateur sur le serveur distant :
Quand c'est fait, on va pouvoir envoyer le fichier "id_rsa.pub" correspondant à la clé publique vers le serveur SRV-ADDS-01, dans le fichier "authorized_keys". SSH se réfère à ce fichier pour obtenir la liste des clés publiques autorisées.
Pour cette première phase, nous avons eu recourt à l'authentification par mot de passe, car bien sûr il faut s'authentifier lors de l'usage des commandes "ssh" et "scp".
À partir de là, il nous reste encore à affiner la configuration du serveur SSH (SRV-ADDS-01).
C. Activer l'authentification par clé publique
Sur le serveur SSH, nous devons modifier le fichier de configuration de SSH :
cd c:\ProgramData\ssh
notepad .\sshd_config
Dans ce fichier, activez l'authentification par clé publique :
PubkeyAuthentication yes
Puis, profitez-en pour désactiver l'authentification par mot de passe :
PasswordAuthentication no
Enregistrez le fichier et redémarrez le service SSH pour prendre en compte les changements.
Restart-Service sshd
Le serveur SSH est configuré et sur ce même serveur, le profil du compte "admin.fb" contient le fichier "authorized_keys". Il ne reste plus qu'à tester.
D. Connexion par clé SSH avec New-PSSession
Reprenons le principe utilisé précédemment avec la commande New-PSSession et la variable $Session. Sauf que cette fois-ci, nous devons ajouter le paramètre "IdentityFilePath" afin de préciser le chemin vers la clé (même si SSH peut trouver la clé comme un grand si elle est dans le répertoire par défaut). On précise aussi le nom de l'utilisateur pour que les deux correspondent (le bon fichier "authorized_keys" doit être lu).
Grâce à cette nouvelle configuration, la connexion est établie sans même que l'on ait besoin de saisir le mot de passe du compte utilisateur ! La connexion est sécurisée puisque sans la clé privée, il est impossible de s'authentifier. Si l'on essaie de s'authentifier avec un autre compte non autorisé, un message d'erreur s'affiche :
New-PSSession: [srv-adds-01] The background process reported an error with the following message: The SSH client session has ended with error message: guy.mauve@IT-Connect@srv-adds-01: Permission denied (publickey,keyboard-interactive)..
Voilà, nous venons de voir comment utiliser une connexion SSH pour l'administration à distance PowerShell ! Pour en savoir plus sur la gestion des clés, vous pouvez lire cette documentation de Microsoft : Gestion des clés SSH.
CrowdSec 1.4 est dès à présent disponible ! Cette nouvelle version apporte plusieurs nouveautés, dont la prise en charge de Windows de manière officielle ! Faisons le point.
Support officiel de Windows
Après plusieurs mois en phase de tests, CrowdSec est disponible en version stable pour Windows, ce qui signifie que CrowdSec supporte officiellement Linux et Windows ! Sous Windows, CrowdSec supporte déjà des services critiques comme le RDP (Bureau à distance), le SMB, IIS, SQL Server, Exchange, et le pare-feu de Windows. Pour bloquer les adresses IP malveillantes, CrowdSec s'appuie sur un bouncer pour le pare-feu du système d'exploitation Windows.
En installant CrowdSec sur une machine Windows, vous bénéficiez d'une protection contre différents types d'attaques, notamment les attaques par brute force sur la connexion "Bureau à distance" (RDP), le scan d'un site Web IIS, etc... À ce sujet, vous pouvez visionner ma vidéo de démonstration de CrowdSec sous Windows.
CrowdSec 1.4, les autres nouveautés
Parmi les autres nouveautés, sachez qu'il est maintenant possible d'avoir des fichiers de configuration alternatifs (en .local) qui seront traités en priorité par CrowdSec et qui ne seront pas altérés par les mises à jour de CrowdSec. Autrement dit, cela permet de surcharger une ou plusieurs valeurs de configuration sans que ces valeurs personnalisées soient écrasées lors d'une mise à jour. Ce mécanisme fonctionne avec les fichiers suivants : config.yaml, local_api_credentials.yaml, simulation.yaml et profiles.yaml.
CrowdSec prend en charge une nouvelle option réclamée par la communauté qui permet d'avoir une durée de décision "dynamique" basée sur le nombre d'alertes (duration_expr). Ainsi, une adresse IP qui insiste un peu trop pourrait être bannie pendant une très longue, pour ne pas dire pour toujours. Pour les adaptes d'infrastructure as code, CrowdSec prend en charge l'authentification par certificat pour contacter l'API local afin de faciliter le déploiement d'instances.
Enfin, les développeurs ont intégré quelques améliorations pour avoir de meilleures performances sur les instances très sollicitées, ainsi qu'une meilleure prise en charge de l'IPv6.
La console CrowdSec
Récemment, les équipes de CrowdSec ont dévoilé une autre nouveauté importante : la console CrowdSec. Pour rappel, il s'agit d'une interface Web aux allures de cockpit, hébergée par CrowdSec sur des serveurs situés en Europe qui va vous permettre de connecter vos différentes instances CrowdSec pour avoir une vue d'ensemble de l'état de vos serveurs, notamment les alertes, les adresses IP bloquées, etc. Là encore, c'est une fonctionnalité à découvrir avec ma vidéo de démonstration :
Voici mes précédents articles au sujet de CrowdSec :
Une nouvelle version de LibreOffice est disponible et il s'agit d'une mise à jour de sécurité qui corrige trois failles de sécurité, dont l'une pourrait être exploitée pour réaliser une exécution de code malveillant sur les machines équipées de la suite bureautique.
Ces trois vulnérabilités sont associées aux références suivantes : CVE-2022-26305, CVE-2022-26306, et CVE-2022-26307. Les trois vulnérabilités, qui ont été signalées par l'OpenSource Security GmbH ont été corrigées dans les versions 7.2.7, 7.3.2 et 7.3.3 de LibreOffice.
La vulnérabilité la plus dangereuse et celle associée à la référence CVE-2022-26305. Elle correspond à un problème de validation du certificat lors de la vérification de la signature d'une macro créée par un auteur approuvé. En exploitant cette faille de sécurité, un attaquant peut exécuter du code malveillant à partir des macros. Sur son site, l'équipe de The Document Foundation, qui gère LibreOffice, précise : "Un attaquant pourrait donc créer un certificat arbitraire avec un numéro de série et une chaîne d'émetteur identique à un certificat de confiance que LibreOffice présenterait comme appartenant à un auteur approuvé, ce qui pourrait amener l'utilisateur à exécuter du code arbitraire contenu dans des macros approuvées alors qu'elles ne devraient pas l'être."
Même si je n'en parle pas régulièrement, LibreOffice publie des mises à jour de sécurité plusieurs fois par an. Ces nouveaux correctifs sont disponibles 5 mois après que les développeurs du projet LibreOffice aient corrigé un autre bug de sécurité lié à la validation des certificats (référencé CVE-2021-25636). Par ailleurs, et même si cela remonte un peu plus, sachez qu'en octobre 2021, trois failles d'usurpation d'identité ont été corrigées et elles pouvaient être utilisées pour modifier des documents et les faire apparaître comme signés numériquement par une source fiable.
Si vous utilisez LibreOffice : à vos mises à jour ! La dernière version de LibreOffice disponible à ce jour, à savoir LibreOffice 7.3.5 intègre ces correctifs bien entendu.
