I. Présentation

Dans ce tutoriel, nous allons apprendre à désactiver les widgets de Windows 11 avec une GPO grâce au paramètre officiel mis à disposition par Microsoft. Cette nouvelle fonctionnalité de Windows 11, qui en vérité est héritage de Windows Vista (et Windows 7), ne fait pas forcément l'unanimité même si elle va plus loin que la fonctionnalité "Actualités et intérêts" de Windows 11. Certains administrateurs systèmes vont probablement chercher à la désactiver.

Ici, je fais référence à ce bouton accessible à partir de la barre des tâches.

Même si l'on peut faire à partir de l'interface graphique, manuellement, sur une machine, ce n'est pas jouable à l'échelle d'un parc informatique. Au cas où, pour le faire via l'interface graphique, il faut ouvrir les Paramètres de Windows et suivre ce chemin : Personnalisation > Barre des tâches > Widgets (activer ou désactiver).

Pour disposer de ce paramètre de GPO et des autres liés à Windows 11, vous devez ajouter les modèles d'administration (ADMX) de Windows 11 à votre contrôleur de domaine Active Directory.

• Comment installer les templates ADMX de Windows 11 ?

II. Désactiver les widgets Windows 11

A partir de la console de Gestion des stratégies de groupe, vous devez créer une nouvelle GPO ou modifier une GPO existante, tout en sachant qu'il s'agit d'un paramètre à appliquer au niveau ordinateur. Ensuite, il faut modifier la GPO et parcourir les paramètres de cette façon :

Configuration ordinateur > Stratégies > Modèles d'administration > Composants Windows > Widgets

Dans la section "Widgets", il y a un seul et unique paramètre : Allow widgets.

Vous devez configurer ce paramètre en indiquant l'état "Désactivé" puis, validez pour confirmer.

Désormais, la stratégie de groupe est prête ! Il ne reste plus qu'à tester sur un ordinateur sur lequel elle s'applique. Un petit "gpdupate /force" s'impose afin de voir la nouvelle configuration en action. Et là, le bouton "Widgets" n'est plus disponible !

Puisqu'il s'agit d'une configuration déployée par GPO, l'utilisateur n'a pas la possibilité de réactiver lui-même les widgets. Au sein des paramètres, l'option est verrouillée.

D'un point de vue du Registre Windows, cette configuration correspond à la valeur DWORD "TaskbarDa" avec comme donnée "0". Elle se situe à cet emplacement :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

L'alternative consiste à déployer cette valeur dans le Registre Windows mais il y a un paramètre de GPO à disposition, alors pourquoi se priver ?

The post GPO : comment désactiver les widgets de Windows 11 ? first appeared on IT-Connect.

La NSA et ses partenaires ont mis en ligne un guide intitulé "Keeping PowerShell: Security Measures to Use and Embrace" qui regroupe les bonnes pratiques en matière de sécurité lorsque l'on souhaite utiliser PowerShell, de manière à éviter et détecter les activités malveillantes sur une machine Windows.

PowerShell est une excellente solution pour créer des scripts, administrer des serveurs Windows, etc... Mais c'est également un langage très utilisé par les pirates informatiques dans le cadre de cyberattaques. D'un côté, les administrateurs systèmes souhaitent autoriser et utiliser PowerShell, et de l'autre, les cybercriminels aiment s'en servir également sur les machines Windows compromises. Une situation qui n'est pas simple : comment utiliser PowerShell de manière sécurisée ? La NSA, et ses partenaires du jour, à savoir la CISA, le NCSC de Nouvelle-Zélande et le NCSC du Royaume-Uni ont mis en ligne un document qui recense les recommandations à appliquer pour utiliser PowerShell tout en atténuant les risques liés aux cybermenaces plutôt que de le désactiver, comme je l'évoquais dans l'un de mes précédents articles. Pour ne pas se priver de PowerShell en tant qu'outil défensif, il ne faut pas le supprimer ou le désactiver.

Pour les connexions à distance, la NSA et les autres agences à l'origine de ce rapport conseillent d'utiliser le protocole SSH, pris en charge par PowerShell 7, afin d'établir une connexion grâce à une clé publique. On parle de PowerShell Remoting over SSH. Autrement dit, on ne s'appuie pas sur WinRM (donc pas de gestion des Trusted Hosts), pas besoin de mettre en place un certificat SSL pour sécuriser les connexions via HTTPS et pas besoin non plus d'un mot de passe pour la connexion. Par ailleurs, cela permet l'administration d'une machine Windows à partir d'une machine Linux, et inversement.

Une autre recommandation, c'est d'utiliser des solutions comme AppLocker ou Windows Defender Application Control notamment pour utiliser PowerShell en mode CLM (Constrained Language Mode) afin d'avoir plus de contrôles sur les actions possibles via PowerShell.

En ce qui concerne les logs, il est recommandé d'enregistrer l'activité PowerShell et de surveiller les journaux pour être capable de détecter une activité malveillante (PowerShell et la transcription). La NSA mentionne les fonctionnalités suivantes :  Deep Script Block Logging (DSBL), le module Logging, et la fonction de transcription Over-the-Shoulder (OTS). Comme le montre le tableau ci-dessous, toutes les fonctionnalités ne sont pas prises en charge par les différentes versions de PowerShell.

N'hésitez pas à consulter le rapport complet, accessible à cette adresse : media.defense.gov. Ce document ne parle pas de la mise en oeuvre des différentes recommandations, donc il y a un travail de recherche à effectuer.

Source

The post Comment utiliser PowerShell de façon sécurisée ? Voici les conseils de la NSA first appeared on IT-Connect.

Microsoft a mis en ligne une nouvelle version de Windows 11 pour les membres du programme Windows Insider. Forcément, cette version est accompagnée de changements et il y en a un qui a attiré mon attention tout particulièrement : Windows 11 prend en charge LAPS par défaut.

Pour rappel, LAPS pour Local Administrator Password Solution est une solution gratuite proposée par Microsoft qui permet de renforcer la sécurité du mot de passe du compte Administrateur local d'un ordinateur. Comment ? Et bien, en générant aléatoirement ce mot de passe et en le stockant dans l'annuaire Active Directory, puis il est ensuite régulièrement renouvelé sans aucune intervention de la part du service informatique.

Lors de la mise en place de LAPS, il y a une préparation de l'annuaire Active Directory à effectuer et il faut déployer un agent disponible sous la forme d'un package MSI sur l'ensemble des ordinateurs à gérer avec LAPS. Au sein du canal Dev de Windows 11, Microsoft a publié la Build 25145 et cette version intègre LAPS nativement, ce qui signifie qu'il ne sera plus nécessaire d'installer l'agent LAPS.

Par ailleurs, Microsoft précise qu'il y a de nouveaux paramètres de configuration disponible pour les GPO comme le montre l'image ci-dessous. La firme de Redmond apporte une précision importante quant à la compatibilité entre Microsoft LAPS et Azure Active Directory : "la fonctionnalité est entièrement opérationnelle pour les clients joints à un domaine Active Directory, mais la prise en charge d'Azure Active Directory est limitée pour l'instant à un petit groupe d'Insiders. Nous ferons une annonce lorsque la prise en charge d'Azure Active Directory sera plus largement disponible.". Cela signifie que Microsoft travaille sur la prise en charge de LAPS au sein d'Azure Active Directory !

N'hésitez pas à consulter mon cours gratuit sur Microsoft LAPS si vous souhaitez découvrir cet outil ou le mettre en place dans votre entreprise.

• Cours gratuit - Microsoft LAPS

Source

The post Mot de passe : Windows 11 sur le point d’intégrer LAPS nativement ! first appeared on IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à activer et configurer le pare-feu d'OVHcloud afin de contrôler les accès sur un serveur dédié, tout en sachant que cette fonctionnalité gratuite est également disponible avec les serveurs VPS, les instances Public Cloud et Hosted Private Cloud.

Comme nous l'avons vu dans un précédent article, il est possible d'installer VMware ESXi sur un serveur dédié OVHcloud. Compte tenu du fait que ce serveur bénéficie d'une adresse IP publique et qu'il est exposé sur Internet, il augmente la surface d'attaque de votre infrastructure Cloud et il peut représenter une cible de choix. C'est d'autant plus vrai, car depuis plusieurs mois, il y a de plus en plus de ransomwares qui sont compatibles avec les hyperviseurs VMware ESXi dans le but de chiffrer vos machines virtuelles (une fois le serveur compromis).

La bonne nouvelle, c'est qu'avec la fonctionnalité de pare-feu réseau proposée par OVHcloud, on va pouvoir affiner les flux à destination de notre serveur dédié afin d'autoriser la connexion à l'interface Web de VMware ESXi uniquement à partir de certaines adresses IP publiques. Pour cela, il est nécessaire d'avoir une adresse IP publique dédiée à l'administration de l'hyperviseur et une autre adresse IP (via l'IP fail-over) permettant de communiquer avec les machines virtuelles dans le but de gérer les flux indépendamment.

Il y a une limitation à connaître quant au filtrage des flux avec ce pare-feu : les flux en provenance d'Internet (externe) sont filtrés, mais ce qui provient du réseau interne à OVHcloud ne sera pas filtré. Par exemple, deux serveurs dédiés peuvent communiquer ensemble même après la mise en place du pare-feu et sans qu'il soit nécessaire de créer une règle explicite.

• OVHcloud - Firewall Network - Documentation
• OVHcloud - Serveurs dédiés

II. Créer le pare-feu sur une adresse IP

Pour commencer, vous devez accéder à votre espace client et accéder à la gestion des adresses IP. Par exemple, pour un serveur dédié, il faudra cliquer sur "Bare Metal Cloud" dans le menu principal, puis à gauche sur "IP".

Le pare-feu doit être créé et activé par adresse IP et les règles sont gérées de manière indépendante pour chaque adresse IP. C'est un petit inconvénient, car si vous avez plusieurs serveurs associés à plusieurs adresses IP, il faudra répéter la configuration X fois. Disons que c'est pour la bonne cause et que cela vaut le coup malgré tout.

Au niveau de l'adresse IP concernée, cliquez sur le menu "..." à droite puis choisissez "Créer Firewall".

Cliquez sur "Valider" pour confirmer. Sachez que le pare-feu peut être supprimé par la suite.

III. Activer et configurer le pare-feu OVHcloud

Le pare-feu étant créé sur cette adresse IP, dans le menu, il y a deux nouvelles entrées : Activer le firewall et Configurer le firewall. Commencez par cliquer sur "Activer le pare-feu".

Une nouvelle fois, confirmez l'opération.

Ensuite, dans le menu, choisissez "Configurer le firewall" pour passer à la création des règles. Ajoutez une règle via le bouton "Ajouter une règle".

Le pare-feu prend en charge un total de 20 règles, avec chacune un numéro de priorité allant de 0 à 19. La règle avec le numéro 0 sera traitée en première, tandis que la règle avec le numéro 19 sera traitée en dernière. Lorsque le flux correspond à une règle, le pare-feu ne traite pas les suivants. Voilà pour le principe de fonctionnement.

Pour la règle avec la priorité 0, OVHcloud recommande ce qui suit : "nous vous conseillons d’autoriser le protocole TCP sur toutes les adresses IP avec une option établie. Celle-ci vous permet de vérifier que le paquet fait partie d’une session précédemment ouverte (déjà initiée). Si vous ne l’autorisez pas, le serveur ne recevra pas les retours du protocole TCP des requêtes SYN/ACK."

Ce qui donne :

Validez, et répétez l'opération pour autoriser certains flux. Par exemple, vous pouvez autoriser le protocole TCP sur le port 443, uniquement à partir d'une adresse IP publique source spécifique. De ce fait, il n'y a que cette adresse IP source qui pourra se connecter sur l'interface de gestion de l'hyperviseur (à l'exception des serveurs adressés sur le réseau OVHcloud).

La dernière règle, avec la priorité 19, est là pour refuser tout le trafic IPv4 afin de bloquer tous les flux non autorisés par les règles avec une priorité inférieure.

Voici un exemple :

Le pare-feu OVHcloud est configuré sur cette adresse IP ! À tout moment, il est possible d'ajuster la configuration de ce pare-feu et la prise en compte des règles ne prend que quelques secondes donc c'est appréciable. Cette astuce est intéressante pour protéger l'accès à l'interface de gestion d'un hyperviseur, d'un logiciel, etc... À vous de jouer !

The post Comment protéger son serveur dédié avec le pare-feu OVHcloud ? first appeared on IT-Connect.

Le gestionnaire d'archives 7-ZIP prend désormais en charge la fonctionnalité "Mark-of-the-Web", attendue depuis longtemps par les utilisateurs. Grâce à la prise en charge de cette fonction de sécurité de Windows, c'est une manière de lutter un peu plus contre les fichiers malveillants.

Mark-of-the-Web, c'est quoi ? En fait, sous Windows, quand vous téléchargez un fichier à partir d'Internet, le système ajoute une valeur spéciale au champ "Zone.Id" qui permet d'identifier l'origine du fichier. Dans le cas présent, il s'agit du marqueur "Mark-of-the-Web" (MoTW) qui permet d'indiquer au logiciel qui ouvre le fichier que celui-ci provient d'Internet. En effet, s'il s'agit d'un fichier qui provient d'un serveur de fichiers local, il y a moins de risques qu'il soit malveillant qu'un fichier en provenance d'Internet. Par exemple, Windows affiche cet avertissement lorsque vous lancez un exécutable téléchargé à partir d'Internet, et pour Word, cela ouvre le document en mode protégé.

Avant la sortie de cette nouvelle version de 7-Zip, ce logiciel, bien que très populaire, ne prenez pas en charge le marqueur MoTW. Autrement dit, 7-Zip ne faisait pas la différence entre un fichier provenant d'Internet ou d'une source locale, et donc le marqueur n'était pas propagé aux fichiers extraits de l'archive ! Cela signifie que si vous téléchargez une archive sur Internet et que vous l'extrayez avec 7-zip, Windows ne considère pas les fichiers extraits de l'archive comme étant risqué.

Par exemple, si une archive ZIP contient un fichier Word malveillant, il ne s'ouvrir pas en mode protégé, car le marqueur n'est pas propagé. Désormais, cette nouvelle version de 7-Zip change la donne et c'est une très bonne nouvelle ! Cette nouvelle fonctionnalité est intégrée à 7-Zip 22.0, disponible depuis quelques jours et téléchargeable à partir du site officiel. Une fois que cette version est installée, dans les options de 7-Zip, vous devez activer le paramètre "Propagate Zone.Id stream" afin de la positionner sur "Oui".

Depuis plusieurs années, cette fonctionnalité était réclamée par de nombreux développeurs, chercheurs en sécurité, etc... C'est chose faite à présent ! Une option à connaître, assurément ! Rendez-vous sur 7-zip.org.

Source

The post Windows : 7-Zip supporte le marqueur « Mark-of-the-Web », un bon point pour la sécurité first appeared on IT-Connect.