Depuis plusieurs années, Synology propose une application de sauvegarde pour les environnements Microsoft 365 baptisée Active Backup for Microsoft 365. La nouvelle version, actuellement en bêta, intègre une fonctionnalité très attendue : la sauvegarde de Microsoft Teams.

L'application Active Backup for Microsoft 365 est proposée gratuitement aux utilisateurs de NAS Synology, à condition d'avoir un NAS compatible (la liste est disponible sur le site de Synology). Cette solution peut sauvegarder un nombre illimité de comptes Microsoft 365, dans la limite des capacités de l'espace de stockage de votre NAS. Elle prend en charge la sauvegarde des e-mails, de SharePoint, des espaces de stockage OneDrive, etc... Mais elle ne prenait pas encore en charge Microsoft Teams.

Bien que la sauvegarde des données Teams était en partie possible grâce au fait que Teams s'appuie sur des sites SharePoint et que cette solution sauvegarde les données de SharePoint, Synology a souhaité aller plus loin en ajoutant la sauvegarde et la restauration des publications de canal dans Microsoft Teams. Autrement dit, cela vous permet de sauvegarder les messages publiés sur Microsoft Teams par les utilisateurs. C'est une fonctionnalité importante et qui aujourd'hui est encore manquante dans certaines solutions de sauvegardes d'Office 365.

Pour le moment, cette fonctionnalité est disponible dans la version bêta de l'application Active Backup for Microsoft 365, en version 2.4.0. Vous pouvez tester cette fonctionnalité en rejoignant le programme bêta de Synology.

En plus de cette fonctionnalité liée à Teams, Synology a intégré une autre nouveauté : la possibilité de supprimer des données de sauvegarde par lots afin de pouvoir gagner du temps lorsque vous souhaitez supprimer les données de X comptes utilisateurs ou X équipes Teams.

En début d'année, j'avais publié un article et une vidéo sur la sauvegarde d'un environnement Microsoft 365 avec Active Backup for Microsoft 365.

Que pensez-vous de ces deux nouveautés ajoutées à l'application Active Backup for Microsoft 365 ?

The post NAS Synology : Active Backup for Microsoft 365 peut désormais sauvegarder Teams ! first appeared on IT-Connect.

I. Présentation

Par défaut, l'Active Directory autorise tous les utilisateurs du domaine à intégrer des ordinateurs dans le domaine, peu importe qu'il s'agisse d'un compte administrateur ou d'un compte utilisateur classique. Pour des raisons de sécurité et pour se protéger contre certaines attaques, il est recommandé de révoquer cette permission aux utilisateurs standards afin que ce soit permis uniquement à certains utilisateurs (les administrateurs ou aux membres d'un groupe spécifique). C'est que nous allons voir dans ce tutoriel afin que les non-administrateurs ne puissent pas ajouter de machines au domaine Active Directory.

Cela s'explique par le fait que la stratégie de groupe "Default Domain Controllers Policy" contient un paramètre nommé "Ajouter des stations de travail au domaine" avec la valeur "Utilisateurs authentifiés" définie.

II. Le quota et l'attribut ms-DS-MachineAccountQuota

Chaque utilisateur standard peut intégrer 10 ordinateurs au domaine. Ce quota est défini dans l'attribut "ms-DS-MachineAccountQuota" présent dans le schéma Active Directory. Si vous souhaitez vérifier le quota actuel sur votre annuaire Active Directory, vous pouvez exécuter cette commande PowerShell :

Get-ADDomain | Select-Object -ExpandProperty DistinguishedName | Get-ADObject -Properties 'ms-DS-MachineAccountQuota' | Select-Object -ExpandProperty ms-DS-MachineAccountQuota

Ce qui retournera une valeur, comme ceci :

Vous pouvez aussi utiliser cette commande en précisant votre domaine :

Get-ADObject -Identity "DC=it-connect,DC=local" -Properties MS-DS-MachineAccountQuota

Pour modifier ce quota, vous pouvez utiliser PowerShell également ou passer par la console "Modification ADSI". En PowerShell, on peut s'appuyer sur Set-ADDomain pour modifier la valeur de cet attribut. Par exemple pour ajuster le quota et le positionner sur "0", ce qui revient à retirer le droit :

Set-ADDomain -Identity "DC=it-connect,DC=local" -Replace @{"ms-DS-MachineAccountQuota"="0"}

Pour les personnes plus à l'aise avec l'interface graphique, ouvrez "adsiedit.msc" (Modification ADSI) sur votre serveur. Effectuez un clic droit sur la racine de votre domaine, en étant avec le mode "Contexte d'attribution de noms par défaut" et cliquez sur "Propriétés".

Dans la liste des attributs, recherchez "ms-DS-MachineAccountQuota" et modifiez la valeur en indiquant celle que vous souhaitez. Validez et le tour est joué !

Désormais, si l'on essaie d'ajouter un ordinateur au domaine avec un utilisateur classique, le message suivant s'affiche : "Votre ordinateur n’a pas pu joindre le domaine. Vous
avez dépassé le nombre maximal de comptes d’ordinateur que vous êtes autorisé à créer dans ce domaine.". En utilisant un compte Administrateur du domaine, cela fonctionne toujours !

• Microsoft Docs - ms-DS-MachineAccountQuota

III. Modification de la GPO

Une alternative consiste à agir sur la GPO directement, car pour rappel, lors de la création d’un domaine, deux objets de stratégies de groupe (GPO) sont créés :

- Default Domain Policy (s’applique au domaine),
- Default Domain Controllers Policy (s’applique au(x) contrôleur(s) de domaine).

Dans la stratégie "Default Domain Controllers Policy", le paramètre « Ajouter des stations de travail au domaine » est défini et permet à tous les utilisateurs authentifiés sur le domaine d’ajouter et de retirer des machines du domaine.

Sur votre serveur, accédez à la console « Gestion des stratégies de groupe » en cliquant sur « Démarrer » puis « Outils d’administration ».

Développez l’arborescence de votre domaine, jusqu’à trouver « Objets de stratégie de groupe ». C’est dans cette section que vous trouverez l’intégralité de vos objets GPO.

Afin de modifier l’objet « Default Domain Controllers Policy » effectuez un clic droit dessus puis « Modifier… ».

Vous devez maintenant développer l’arborescence de la manière suivante :

« Configuration ordinateur », « Stratégies », « Paramètres Windows », « Paramètres de sécurité », « Stratégies locales » puis « Attribution des droits utilisateurs ». Une fois que vous y êtes, vous devriez voir le paramètre « Ajouter des stations de travail au domaine » comme je vous l’ai dit dans la présentation.

Double cliquez dessus, sélectionnez « Utilisateurs authentifiés » et cliquez sur « Supprimer » pour supprimer cette autorisation.

Il faut désormais ajouter le groupe « Administrateurs » dans la liste. Cliquez sur « Ajouter un utilisateur ou un groupe » et saisissez « Administrateurs » et cliquez sur « OK ».

Note : Attention aux fautes de frappe !

Vous pouvez éventuellement cliquer sur « Parcourir » afin de rechercher dans l’Active Directory le groupe que vous souhaitez ajouter pour l’autoriser.

Il ne vous reste plus qu’à cliquer sur « Appliquer » et « OK » pour valider le paramétrage. Vous pouvez fermer les différentes fenêtres ouvertes.

Grâce à la modification de cette stratégie de groupe, les utilisateurs du domaine ne peuvent plus ajouter de machines au domaine même si le quota n'est pas modifié ("ms-DS-MachineAccountQuota"). Néanmoins, gardez à l'esprit qu'il vaut mieux éviter de modifier les GPO par défaut et que la modification du quota comme expliqué en première partie suffira à restreindre l'ajout de machines au domaine. Si vous avez besoin d'autoriser des comptes non-administrateurs, vous devez mettre en place une délégation de contrôle Active Directory sur une ou plusieurs unités d'organisation.

Version originale : 5 décembre 2012

The post Comment empêcher les non-administrateurs d’ajouter des machines à l’Active Directory ? first appeared on IT-Connect.

Microsoft affirme que certaines applications peuvent avoir des difficultés à sauvegarder leurs données en utilisant VSS, suite à l'installation des mises à jour de juin 2022. Que se passe-t-il ?

Au sein du Patch Tuesday de juin 2022, Microsoft a introduit un correctif pour la faille de sécurité CVE-2022-30154, correspondante à une élévation de privilèges dans le service de clichés instantanés de serveurs de fichiers Windows (RVSS), lié directement à la fonctionnalité VSS très utilisée par les fonctions de sauvegarde. Ce correctif est la cause directe des problèmes rencontrés par certains utilisateurs.

Voici ce que précise Microsoft à ce sujet : "Après l'installation de la mise à jour Windows du 14 juin 2022 ou d'une mise à jour ultérieure, les opérations liées à VSS (création ou suppression d'un cliché instantané) sur un serveur exécutant des applications VSS-aware qui stockent des données sur des partages de fichiers SMB 3.0 (ou supérieurs) distants peuvent échouer pour les partages SMB hébergés sur un serveur de fichiers Windows".

Sur les systèmes où cette erreur se produit, l'application de sauvegarde Windows génère une erreur "E_ACCESSDENIED" pendant la création du cliché instantané et un événement "FileShareShadowCopyAgent Event 1013" est généré sur le serveur de fichiers.

Que faire pour corriger le problème ?

Pour le coup, la solution est très simple : il faut installer la mise à jour de juin 2022 sur les deux serveurs, c'est-à-dire sur le serveur d'application où se situent les données à sauvegarder et sur le serveur de fichiers où se situent les partages. Si la mise à jour est installée uniquement sur l'un des deux serveurs, alors vous pouvez rencontrer ce dysfonctionnement lors des sauvegardes !

Attention tout de même, Microsoft précise que ce bug peut également se produire si le compte utilisé pour réaliser l'opération VSS est un compte local avec les privilèges "Administrateurs" ou "Opérateurs de sauvegarde" sur le serveur de fichiers. Dans ce cas, Microsoft recommande de basculer sur un compte du domaine et lui donner les bons droits sur le serveur de fichiers (administrateur local ou opérateur de sauvegarde).

• Voir cette page du support pour plus d'informations

Voici la liste des versions de Windows affectées par ce bug et la mise à jour correspondante :

• Windows Server 2022 : KB5014678
• Windows 10, version 20H2 : KB5014699
• Windows Server 2019 : KB5014692
• Windows Server 2016 : KB5014702
• Windows Server 2012 R2 : KB5014746
• Windows Server 2012 : KB5014747

Pour en savoir plus sur le Patch Tuesday :

• Patch Tuesday Juin 2022

Source

The post Windows Server : la mise à jour de juin peut faire planter les sauvegardes first appeared on IT-Connect.

Microsoft a confirmé qu'une mise à jour de Windows, pas encore disponible à ce jour, allait désactiver de manière permanente le navigateur Internet Explorer sur les machines Windows.

Pour rappel, Internet Explorer est officiellement à la retraite depuis ce mercredi 15 juin 2022, car il n'est plus supporté par Microsoft sur Windows. Cette décision affecte les versions de Windows 10 livrées via le canal semi-annuel c'est-à-dire Windows 10 20H2 et supérieur, ainsi que Windows 10 IoT 20H2 et supérieur.

Hier, j'ai vu quelques messages passer du style "Internet Explorer fonctionne toujours pourtant nous sommes le 15 juin" : ce qui n'est pas étonnant en soit, car même si le support est terminé, et donc que le navigateur est en fin de vie, il reste actif sur les machines en tout cas pour le moment. Microsoft s'est exprimé pour apporter quelques précisions.

Sean Lyndersay, manager principal pour Microsoft Edge Enterprise a tout d'abord évoqué les redirections d'Internet Explorer vers Edge : "Les utilisateurs verront toujours l'icône d'Internet Explorer sur leurs appareils (par exemple dans la barre des tâches ou dans le menu Démarrer), mais s'ils cliquent pour ouvrir Internet Explorer, Microsoft Edge s'ouvrira à la place avec un accès facile au mode IE.". Lorsque l'utilisateur est redirigé pour la première fois d'IE vers Edge, le système importe les données de l'utilisateur dans le nouveau navigateur (paramètres, favoris, mots de passe).

Microsoft précise également qu'Internet Explorer va être désactivé complètement et que les icônes seront supprimées : "À terme, Internet Explorer sera désactivé de manière permanente dans le cadre d'une future mise à jour de Windows, et les icônes Internet Explorer sur les appareils des utilisateurs seront alors supprimées.". On peut imaginer qu'Internet Explorer restera présent sur le système malgré tout, car il est nécessaire au bon fonctionnement du mode IE qui est pris en charge jusqu'en 2029 à minima.

Par ailleurs, Microsoft Edge va intégrer à sa barre d'outils un bouton "Recharger avec le mode IE" qui va permettre aux utilisateurs de lancer facilement un site avec le mode IE, à partir du nouveau navigateur. Depuis octobre 2020, certains sites populaires et incompatibles avec Internet Explorer sont déjà lancés automatiquement avec Edge même si l'on effectue un accès avec IE. Au total, 1 427 sites sont référencés dont Twitter, Facebook, Microsoft Teams, Google Drive, etc.

Reste à savoir quand sera disponible cette mise à jour, car aucune date n'est spécifiée.

Source

The post Internet Explorer : Microsoft affirme qu’une mise à jour va désactiver le navigateur ! first appeared on IT-Connect.

L'infrastructure de Cloudflare vient de prouver une nouvelle fois qu'elle était robuste : son système de protection est parvenu à atténuer une attaque DDoS HTTPS avec  un pic à 26 millions de requêtes par seconde ! D'après Cloudflare, c'est un record sur ce type d'attaque DDoS.

Cette attaque record par déni de service distribué (DDoS) a eu lieu la semaine dernière et elle visait l'un des clients de Cloudflare utilisant le plan Free. D'après Cloudflare, l'attaquant à l'origine de l'attaque a utilisé un botnet de 5 067 appareils relativement puissant puisque chaque machine a pu générer environ 5 200 requêtes par seconde au moment du pic. Preuve que ce botnet est petit d'un point de vue du nombre d'appareils qui le constitue, mais très puissant, Omer Yoachimik, Product Manager chez Cloudflare affirme : "Pour contraster la taille de ce botnet, nous avons suivi un autre botnet beaucoup plus grand, mais moins puissant de plus de 730 000 appareils."

Pour expliquer cette différence, il faut s'intéresser aux appareils qui constituent ce botnet. Dans le cas présent, ce sont des machines virtuelles et des serveurs compromis qui ont participé à l'attaque, tandis que dans d'autres cas, il s'agit d'objets connectés qui sont nettement moins puissants. Au total, lors de cette attaque, le botnet a atteint le chiffre record de 26 millions de requêtes par seconde, a généré plus de 212 millions de requêtes HTTPS en 30 secondes en s'appuyant sur plus de 1 500 réseaux distincts répartis dans 121 pays du monde entier (une partie des serveurs se situe en France).

Les attaques par déni de service distribué HTTPS sont difficiles à réaliser, car elles sont très coûteuses en ressources, car il faut établir une connexion sécurisée avec l'hôte distant, ce qui n'est pas le cas des attaques DDoS avec de simples paquets malveillants.

En avril dernier, Cloudflare était parvenue à atténuer une attaque par déni de service distribué (DDoS) avec un pic à 15,3 millions de requêtes par seconde !

Source

The post DDoS HTTPS : Cloudflare a bloqué une attaque de 26 millions de requêtes par seconde first appeared on IT-Connect.