La solution Microsoft Defender basée sur le Cloud à destination du grand public est désormais disponible, aussi bien pour les ordinateurs que pour les smartphones personnels.
Cette solution, baptisée Microsoft Defender for Individuals, est disponible sans surcoût en tant qu'avantage supplémentaire pour les personnes qui disposent déjà d'un abonnement Microsoft 365 Personnel (7 euros TTC par mois) ou Microsoft 365 Famille (10 euros TTC par mois). Ainsi Defender for Individuals vient s'ajouter aux autres fonctionnalités : stockage OneDrive, applications Office en ligne (Word, Excel, PowerPoint), etc... Avec un compte Personnel, il est possible de gérer jusqu'à 5 appareils, tandis qu'avec un compte Famille, cela monte à 30 appareils.
Microsoft Defender for Individuals est disponible pour Windows, mais aussi macOS, Android et iOS, ce qui couvre un maximum d'appareils, aussi bien mobile que desktop, à part la partie Linux. Toutefois, il est à noter qu'il y a des différences au niveau des fonctionnalités entre ces différents systèmes, car Microsoft précise que la fonction de protection contre les logiciels malveillants n'est disponible que sur Windows, macOS et les smartphones Android. A contrario, la protection web est disponible sur les smartphones iOS et Android, et pour Windows, c'est la solution intégrée au système qui agit sur cette partie. La solution est disponible en France, mais elle n'est pas encore disponible partout (voir ici).
Vasu Jakkal de chez Microsoft se félicite de l'arrivée de Microsoft Defender for Individuals : "Il rejoint notre gamme complète de produits et services de sécurité en tant que nouveau membre de notre famille de solutions Microsoft Defender et étend la protection déjà intégrée dans Windows Security."
Quelles sont les fonctionnalités principales de Microsoft Defender for Individuals ?
Cette solution propose un tableau de bord à partir duquel vous pouvez surveiller l'état de la sécurité sur les appareils des membres de votre famille. En complément, Defender for Individuals fournit également des alertes et des recommandations de sécurité. Pour développer cette solution, Microsoft s'est appuyé sur les technologies Microsoft Defender for Endpoint afin de proposer au grand public des fonctionnalités de sécurité identiques aux entreprises.
Pour résumer les fonctionnalités, voici ce qui est indiqué par Microsoft :
Gérez la protection de vos appareils et consultez l'état de la protection de tous les membres de votre famille à partir d'un seul tableau de bord centralisé et facile à utiliser.
Affichez votre protection antivirus existante (telle que Norton ou McAfee). Defender reconnaît ces protections dans le tableau de bord.
Étendez les protections des appareils Windows aux appareils iOS, Android et macOS pour une protection multiplate-forme contre les logiciels malveillants, sur les appareils que vous et votre famille utilisez le plus.
Recevez des alertes de sécurité instantanées, des stratégies de résolution et des conseils d'experts pour assurer la sécurité de vos données et de vos appareils.
Pour rappel, au début du mois dernier, Microsoft a rendu disponible sa solution Microsoft Defender for Business, destinée aux PME et accessibles par l'intermédiaire d'abonnements Microsoft 365.
Dans ce tutoriel sur PsExec, je vais évoquer quelques pistes afin de bloquer PsExec, car c'est un outil très puissant, mais qui peut effrayer certaines personnes. En même temps, c'est tout à fait compréhensible compte tenu de son potentiel, alors si on en fait pas l'usage, pourquoi laisser la possibilité de l'utiliser ? N'oublions pas qu'il n'y a pas de que des gentils...
Ce n'est pas parce que vous n'utilisez pas PsExec sur votre infrastructure que les logiciels malveillants ne pourront pas l'utiliser, mais dans ce cas, il peut être intéressant de mettre en place des mesures de protection pour tenter de le bloquer.
Avant de lire cet article, je vous recommande la lecture de mon premier article au sujet de PsExec :
Chaque machine Windows, que ce soit du Windows desktop ou du Windows Server est livrée par défaut avec des partages administratifs, dont le partage "admin$" sur lequel s'appuie PsExec.
Pour désactiver les partages Administratifs de Windows, en l'occurrence "admin$" qui est utilisé par PsExec, il ne suffit pas d'accéder aux paramètres de Windows et d'arrêter de partager. En effet, ces partages sont liés au service "LanmanServer" (Serveur) et à chaque fois que ce service va redémarrer, il va recréer les partages. C'est le cas aussi à chaque fois que l'on va redémarrer le serveur.
Pour désactiver les partages administratifs de Windows, il faut s'appuyer sur le Registre Windows.
Il y a une valeur de Registre différente à créer sur les postes de travail (Windows 7, Windows 10, Windows 11) et les serveurs (Windows Server), mais le résultat est le même : les partages administratifs "admin$" et "c$" seront désactivés, ce qui empêche PsExec de fonctionner !
Attention, certaines applications s'appuient sur les partages administratifs pour fonctionner. Par exemple, c'est le cas de la solution PDQDeploy qui est un logiciel tiers de déploiement de logiciels à distance. Avant de désactiver les partages administratifs à grande échelle, il est fortement recommandé de tester et de mesurer l'impact de ce changement.
Bien entendu, ces valeurs de Registre peuvent être déployées par l'intermédiaire d'une GPO pour nous faciliter la tâche.
B. La clé de Registre "Debugger"
Sous Windows, il existe la clé de Registre "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" qui sert à définir le programme de débogage pour chaque exécutable présent sur la machine. C'est une fonctionnalité pratique pour les développeurs, mais qui peut être détournée par les pirates informatiques (MITRE ATT&CK) et que, nous aussi, on va pouvoir détourner pour empêcher l'exécution de PsExec.
De cette façon, lorsque "psexec.exe" sera exécuté sur la machine locale (même si c'est pour cibler une machine distante), ce sera l'exécutable associé au débogage de PsExec qui sera lancé !
À partir de l'éditeur du Registre Windows (regedit), il faut créer une nouvelle nommée "psexec.exe" à cet emplacement :
Au sein de cette clé, une nouvelle "Valeur chaîne" nommée "Debugger" doit être créée avec la valeur "svchost.exe" (même si l'on pourrait mettre autre chose). Ce qui donne :
À la place de "svchost.exe", vous pouvez mettre "calc.exe" et vous verrez, lorsque PsExec est utilisé, c'est la Calculatrice qui va s'exécuter à sa place ! Vous pouvez tester rapidement, car il n'est pas nécessaire de redémarrer pour appliquer cette modification. PsExec n'est plus exploitable, car dès qu'on l'exécute, c'est "calc.exe" qui s'ouvre !
Bien entendu, cette clé et cette valeur peuvent être créées à partir d'une GPO :
Configuration ordinateur > Préférences > Paramètres Windows > Registre
L'inconvénient de cette méthode basée sur la valeur "Debugger", c'est qu'elle s'applique uniquement sur les serveurs et postes de travail de votre domaine Active Directory (ou ceux de votre entreprise en groupe de travail). Ainsi, si l'une de vos machines est compromise, l'utilisation de PsExec sera plus difficile et l'exécution pourrait même être déjouée sur une attaque automatisée. Néanmoins, si la personne malintentionnée est connectée à votre réseau via sa propre machine, elle pourra exploiter PsExec sans aucune difficulté. L'autre inconvénient de cette méthode, c'est que l'on peut la contourner facilement : il suffit de renommer "psexec.exe" en "psexec2.exe" et le tour est joué !
C. La stratégie AppLocker
La solution de protection AppLocker, disponible sur les versions Entreprise et Education de Windows, permet de bloquer l'exécution de certaines applications (exécutables ou Modern App), certains scripts, etc... Grâce à ces règles définies par GPO. Il y a quelques mois, j'ai mis en ligne un article complet au sujet de cette fonctionnalité : Tutoriel AppLocker. Pour bloquer un exécutable, on peut s'appuyer sur un chemin d'accès, mais aussi le hash de cet exécutable, ce qui sera intéressant dans le cas de PsExec.
Tout d'abord, avec PowerShell et le cmdlet Get-FileHash, on peut obtenir le hash d'un fichier très simplement :
Get-FileHash PsExec.exe
Nous pouvons voir, et c'est normal, que PsExec.exe et PsExec64.exe ont un hash différent.
Dans une stratégie AppLocker, nous pouvons ajouter une nouvelle règle basée sur le hachage du fichier pour bloquer l'utilisation de PsExec. Ainsi, on spécifiera les deux exécutables et Windows va calculer le hash tout seul comme un grand.
Si l'on prend une stratégie AppLocker basique, nous obtenons le résultat suivant :
Une fois la GPO appliquée sur les ordinateurs de mon domaine, si j'essaie d'utiliser PsExec, que ce soit avec un compte utilisateur lambda ou administrateur, j'obtiens un message qui m'indique que ce programme est bloqué ! Une excellente nouvelle.
Cette méthode s'applique sur les machines que vous gérez (en groupe de travail ou domaine) donc elle ne vous protège pas si une personne malveillante se connecte à votre réseau afin d'utiliser PsExec. Il faut savoir également que le hash d'un exécutable peut être modifié, et que d'une version à l'autre de PsExec, il va varier (heureusement Microsoft met à disposition uniquement la dernière version, sans donner accès à l'historique des versions). Néanmoins, AppLocker reste une solution recommandée et très intéressante pour sécuriser ses machines.
Note : si vous souhaitez vous orienter vers la mise en place d'AppLocker, j'insiste sur le fait que vous devez regarder mon tutoriel à ce sujet pour bien configurer la GPO.
D. Les autres solutions à explorer
En complément des trois solutions évoquées dans cet article, il y a d'autres pistes à explorer, notamment le pare-feu local de la machine. Que ce soit à partir du pare-feu Windows ou à partir du pare-feu de votre Endpoint (antivirus), la gestion des flux au sein du pare-feu local est importante, car pour fonctionner, le pare-feu doit autoriser les accès sur le port 445/TCP (groupe de règles "Partage de fichiers et d’imprimantes").
Sur un contrôleur de domaine ou un serveur de fichiers, ce flux sera forcément autorisé, car les postes clients ont besoin d'accéder à des fichiers via le réseau. Néanmoins, ce n'est pas forcément vrai pour d'autres types de serveurs et pour les postes de travail. En vous appuyant sur l'Endpoint qui protège vos machines, et selon ses fonctionnalités, vous avez peut-être la possibilité de créer une règle afin de bloquer PsExec.
Plus largement, c'est l'architecture de votre système d'information qui doit être pensée de façon à interdire ou limiter les communications entre des appareils inconnus (personnes externes) et vos postes de travail et serveurs. Ainsi, vous pouvez interdire l'utilisation de PsExec sur vos machines (via AppLocker, par exemple), tout en évitant qu'une machine externe soit en mesure de contacter vos serveurs. Cette règle ne s'applique pas uniquement à PsExec qui dans ce cas n'est qu'un exemple, mais c'est plutôt un grand principe afin d'avoir un réseau sécurisé en appliquant cette règle de base.
Si vous connaissez d'autres solutions pour bloquer PsExec ou si vous souhaitez faire un retour d'expérience, n'hésitez pas à laisser un commentaire sur cet article.
Depuis plusieurs années, Synology propose une application de sauvegarde pour les environnements Microsoft 365 baptisée Active Backup for Microsoft 365. La nouvelle version, actuellement en bêta, intègre une fonctionnalité très attendue : la sauvegarde de Microsoft Teams.
L'application Active Backup for Microsoft 365 est proposée gratuitement aux utilisateurs de NAS Synology, à condition d'avoir un NAS compatible (la liste est disponible sur le site de Synology). Cette solution peut sauvegarder un nombre illimité de comptes Microsoft 365, dans la limite des capacités de l'espace de stockage de votre NAS. Elle prend en charge la sauvegarde des e-mails, de SharePoint, des espaces de stockage OneDrive, etc... Mais elle ne prenait pas encore en charge Microsoft Teams.
Bien que la sauvegarde des données Teams était en partie possible grâce au fait que Teams s'appuie sur des sites SharePoint et que cette solution sauvegarde les données de SharePoint, Synology a souhaité aller plus loin en ajoutant la sauvegarde et la restauration des publications de canal dans Microsoft Teams. Autrement dit, cela vous permet de sauvegarder les messages publiés sur Microsoft Teams par les utilisateurs. C'est une fonctionnalité importante et qui aujourd'hui est encore manquante dans certaines solutions de sauvegardes d'Office 365.
En plus de cette fonctionnalité liée à Teams, Synology a intégré une autre nouveauté : la possibilité de supprimer des données de sauvegarde par lots afin de pouvoir gagner du temps lorsque vous souhaitez supprimer les données de X comptes utilisateurs ou X équipes Teams.
En début d'année, j'avais publié un article et une vidéo sur la sauvegarde d'un environnement Microsoft 365 avec Active Backup for Microsoft 365.
Que pensez-vous de ces deux nouveautés ajoutées à l'application Active Backup for Microsoft 365 ?
Par défaut, l'Active Directory autorise tous les utilisateurs du domaine à intégrer des ordinateurs dans le domaine, peu importe qu'il s'agisse d'un compte administrateur ou d'un compte utilisateur classique. Pour des raisons de sécurité et pour se protéger contre certaines attaques, il est recommandé de révoquer cette permission aux utilisateurs standards afin que ce soit permis uniquement à certains utilisateurs (les administrateurs ou aux membres d'un groupe spécifique). C'est que nous allons voir dans ce tutoriel afin que les non-administrateurs ne puissent pas ajouter de machines au domaine Active Directory.
Cela s'explique par le fait que la stratégie de groupe "Default Domain Controllers Policy" contient un paramètre nommé "Ajouter des stations de travail au domaine" avec la valeur "Utilisateurs authentifiés" définie.
II. Le quota et l'attribut ms-DS-MachineAccountQuota
Chaque utilisateur standard peut intégrer 10 ordinateurs au domaine. Ce quota est défini dans l'attribut "ms-DS-MachineAccountQuota" présent dans le schéma Active Directory. Si vous souhaitez vérifier le quota actuel sur votre annuaire Active Directory, vous pouvez exécuter cette commande PowerShell :
Pour modifier ce quota, vous pouvez utiliser PowerShell également ou passer par la console "Modification ADSI". En PowerShell, on peut s'appuyer sur Set-ADDomain pour modifier la valeur de cet attribut. Par exemple pour ajuster le quota et le positionner sur "0", ce qui revient à retirer le droit :
Pour les personnes plus à l'aise avec l'interface graphique, ouvrez "adsiedit.msc" (Modification ADSI) sur votre serveur. Effectuez un clic droit sur la racine de votre domaine, en étant avec le mode "Contexte d'attribution de noms par défaut" et cliquez sur "Propriétés".
Dans la liste des attributs, recherchez "ms-DS-MachineAccountQuota" et modifiez la valeur en indiquant celle que vous souhaitez. Validez et le tour est joué !
Désormais, si l'on essaie d'ajouter un ordinateur au domaine avec un utilisateur classique, le message suivant s'affiche : "Votre ordinateur n’a pas pu joindre le domaine. Vous avez dépassé le nombre maximal de comptes d’ordinateur que vous êtes autorisé à créer dans ce domaine.". En utilisant un compte Administrateur du domaine, cela fonctionne toujours !
Une alternative consiste à agir sur la GPO directement, car pour rappel, lors de la création d’un domaine, deux objets de stratégies de groupe (GPO) sont créés :
- Default Domain Policy (s’applique au domaine),
- Default Domain Controllers Policy (s’applique au(x) contrôleur(s) de domaine).
Dans la stratégie "Default Domain Controllers Policy", le paramètre « Ajouter des stations de travail au domaine » est défini et permet à tous les utilisateurs authentifiés sur le domaine d’ajouter et de retirer des machines du domaine.
Sur votre serveur, accédez à la console « Gestion des stratégies de groupe » en cliquant sur « Démarrer » puis « Outils d’administration ».
Développez l’arborescence de votre domaine, jusqu’à trouver « Objets de stratégie de groupe ». C’est dans cette section que vous trouverez l’intégralité de vos objets GPO.
Afin de modifier l’objet « Default Domain Controllers Policy » effectuez un clic droit dessus puis « Modifier… ».
Vous devez maintenant développer l’arborescence de la manière suivante :
« Configuration ordinateur », « Stratégies », « Paramètres Windows », « Paramètres de sécurité », « Stratégies locales » puis « Attribution des droits utilisateurs ». Une fois que vous y êtes, vous devriez voir le paramètre « Ajouter des stations de travail au domaine » comme je vous l’ai dit dans la présentation.
Double cliquez dessus, sélectionnez « Utilisateurs authentifiés » et cliquez sur « Supprimer » pour supprimer cette autorisation.
Il faut désormais ajouter le groupe « Administrateurs » dans la liste. Cliquez sur « Ajouter un utilisateur ou un groupe » et saisissez « Administrateurs » et cliquez sur « OK ».
Note : Attention aux fautes de frappe !
Vous pouvez éventuellement cliquer sur « Parcourir » afin de rechercher dans l’Active Directory le groupe que vous souhaitez ajouter pour l’autoriser.
Il ne vous reste plus qu’à cliquer sur « Appliquer » et « OK » pour valider le paramétrage. Vous pouvez fermer les différentes fenêtres ouvertes.
Grâce à la modification de cette stratégie de groupe, les utilisateurs du domaine ne peuvent plus ajouter de machines au domaine même si le quota n'est pas modifié ("ms-DS-MachineAccountQuota"). Néanmoins, gardez à l'esprit qu'il vaut mieux éviter de modifier les GPO par défaut et que la modification du quota comme expliqué en première partie suffira à restreindre l'ajout de machines au domaine. Si vous avez besoin d'autoriser des comptes non-administrateurs, vous devez mettre en place une délégation de contrôle Active Directory sur une ou plusieurs unités d'organisation.
Microsoft affirme que certaines applications peuvent avoir des difficultés à sauvegarder leurs données en utilisant VSS, suite à l'installation des mises à jour de juin 2022. Que se passe-t-il ?
Au sein du Patch Tuesday de juin 2022, Microsoft a introduit un correctif pour la faille de sécurité CVE-2022-30154, correspondante à une élévation de privilèges dans le service de clichés instantanés de serveurs de fichiers Windows (RVSS), lié directement à la fonctionnalité VSS très utilisée par les fonctions de sauvegarde. Ce correctif est la cause directe des problèmes rencontrés par certains utilisateurs.
Voici ce que précise Microsoft à ce sujet : "Après l'installation de la mise à jour Windows du 14 juin 2022 ou d'une mise à jour ultérieure, les opérations liées à VSS (création ou suppression d'un cliché instantané) sur un serveur exécutant des applications VSS-aware qui stockent des données sur des partages de fichiers SMB 3.0 (ou supérieurs) distants peuvent échouer pour les partages SMB hébergés sur un serveur de fichiers Windows".
Sur les systèmes où cette erreur se produit, l'application de sauvegarde Windows génère une erreur "E_ACCESSDENIED" pendant la création du cliché instantané et un événement "FileShareShadowCopyAgent Event 1013" est généré sur le serveur de fichiers.
Que faire pour corriger le problème ?
Pour le coup, la solution est très simple : il faut installer la mise à jour de juin 2022 sur les deux serveurs, c'est-à-dire sur le serveur d'application où se situent les données à sauvegarder et sur le serveur de fichiers où se situent les partages. Si la mise à jour est installée uniquement sur l'un des deux serveurs, alors vous pouvez rencontrer ce dysfonctionnement lors des sauvegardes !
Attention tout de même, Microsoft précise que ce bug peut également se produire si le compte utilisé pour réaliser l'opération VSS est un compte local avec les privilèges "Administrateurs" ou "Opérateurs de sauvegarde" sur le serveur de fichiers. Dans ce cas, Microsoft recommande de basculer sur un compte du domaine et lui donner les bons droits sur le serveur de fichiers (administrateur local ou opérateur de sauvegarde).
