Des chercheurs en cybersécurité ont fait la découverte de cinq failles de sécurité importantes dans l'implémentation du protocole TLS au sein de plusieurs modèles de switchs de chez Aruba (HPE) et Avaya. En exploitant ces vulnérabilités, un attaquant pourrait exécuter du code à distance sur les équipements et en prendre le contrôle.
Cet ensemble de vulnérabilités est baptisé TLStorm 2.0 et il regroupe les vulnérabilités listées ci-dessous. Il est surnommé de cette façon, car il touche l'implémentation du protocole TLS, sur le même principe que les vulnérabilités découvertes sur les onduleurs APC de chez Schneider Electric en mars dernier, auxquelles le nom TLStorm est associé. D'après l'entreprise Armis, spécialisée dans la sécurité IoT et qui a fait la découverte de ces vulnérabilités, il y a une source commune entre ces différents problèmes de sécurité : NanoSSL.
CVE-2022-23676 (score CVSS : 9.1) - dans le client RADIUS des commutateurs Aruba
CVE-2022-23677 (score CVSS : 9.0) - dans l'utilisation de NanoSSL des commutateurs Aruba
CVE-2022-29860 (score CVSS : 9.8) - dans l'implémentation du protocole TLS des commutateurs Avaya
CVE-2022-29861 (score CVSS : 9.8) - dans l'analyse des en-têtes HTTP des commutateurs Avaya
Pas de CVE - dans les requêtes HTTP POST au sein d'une gamme de produits Avaya (abandonnée par le fabricant)
Dans son rapport, Armis explique : "L'effet immédiat des vulnérabilités TLStorm 2.0 est la prise de contrôle totale du commutateur connecté, mais les possibilités peuvent varier en fonction des configurations de segmentation du réseau". À ce sujet, deux scénarios sont évoqués :
Un scénario avec un portail captif qui serait exploité par un attaquant et qui lui permettrait d'exécuter du code à distance sur le switch, sans avoir besoin de s'authentifier. Une fois que l'attaquant a pris le contrôle du switch, il désactiver le portail captif afin d'accéder pleinement au réseau local.
Un scénario où le pirate parvient à outrepasser la segmentation réseau mise en place grâce aux VLANs, en passant d'un VLAN "guest" au VLAN de production de l'entreprise grâce aux vulnérabilités TLStorm 2.0
Quels sont les produits vulnérables chez Aruba et Avaya ?
La liste des produits vulnérables contient des références populaires, notamment les séries Aruba 2540 et Aruba 2930F ! Pour être plus précis, voici une liste des produits affectés :
Aruba 5400R Series
Aruba 3810 Series
Aruba 2920 Series
Aruba 2930F Series
Aruba 2930M Series
Aruba 2530 Series
Aruba 2540 Series
Avaya ERS3500 Series
Avaya ERS3600 Series
Avaya ERS4900 Series
Avaya ERS5900 Series
Il ne reste plus qu'à regarder les sites d'Aruba et Avaya pour regarder ce qui est proposé pour se protéger contre ces vulnérabilités. Ce sera probablement une mise à jour du firmware des switchs.
L'installation des imprimantes sur les postes de travail, par l'intermédiaire de stratégie de groupe (GPO), c'est un grand classique et un besoin fréquent en entreprise ! Dans ce tutoriel, nous allons apprendre à déployer des imprimantes par GPO sur des machines Windows, que ce soit du Windows 10, du Windows 11 ou pourquoi pas un Windows Server.
Grâce aux stratégies de groupe, nous allons pouvoir installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique au niveau de l'annuaire Active Directory, voire même, installer l'imprimante A aux utilisateurs membres du groupe de sécurité A, et l'imprimante B aux utilisateurs membres du groupe de sécurité B. Les besoins et scénarios sont nombreux et les GPO vont permettre de répondre à ces différents cas de figure.
Je pars du principe que votre serveur d'impression est déjà en place, et que vous avez déjà une imprimante prêt à être déployée. Pour ma part, je vais utiliser le serveur d'impression "SRV-ADDS-01" sur lequel est partagée l'imprimante "IMPRIMANTE HP" que je souhaite déployer sur les postes de travail au travers d'une GPO.
Si vous avez besoin d'aide pour mettre en place un serveur d'impression sous Windows Server, suivez ce tutoriel :
II. GPO pour autoriser l'installation de pilotes d'imprimantes
Lorsqu'une imprimante est installée sur une machine Windows, le pilote d'impression associé à cette imprimante doit également être installé. Sinon, le système d'exploitation n'est pas en mesure de prendre en charge correctement l'imprimante, et notamment ses différentes fonctionnalités.
Normalement, l'installation des pilotes (appelés également drivers) est réservée aux administrateurs, ou en tout cas, cela nécessite un compte avec des privilèges élevés. Pour que l'on puisse automatiser le déploiement des imprimantes, y compris l'installation des pilotes, il y a des paramètres de GPO spécifiques à mettre en place. C'est d'autant plus vrai depuis que Microsoft a pris la décision de durcir la configuration par défaut, notamment en réponse aux vulnérabilités PrintNightmare.
Pour commencer, nous devons créer une première GPO qui va s'appliquer aux ordinateurs afin d'autoriser l'installation de pilotes pour les utilisateurs non-administrateurs. Pour ma part, je crée une GPO nommée "Impression Config" et je crée une liaison avec l'OU "PC" de mon Active Directory.
A. RestrictDriverInstallationToAdministrators
Par défaut, l'installation de pilotes d'impression nécessite les privilèges d’administrateur, que la clé de Registre "RestrictDriverInstallationToAdministrators" soit non définie ou définie et égale à 1. Bien que ce soit sécurisé, c'est contraignant lorsque l'on souhaite déployer des imprimantes par GPO et que les pilotes ne sont pas présents sur la machine.
Ainsi, pour contourner cette restriction, nous avons plusieurs possibilités :
Saisir les identifiants administrateurs quand le prompt apparaît (UAC) afin d'effectuer l'installation
Inclure les pilotes directement dans l'image système (faisable dans le cadre d'un déploiement avec un système tel que MDT)
Autoriser temporairement les utilisateurs à installer les pilotes d'impression
Nous allons opter pour la troisième solution puisque c'est la solution la plus pratique et la plus universelle, on va dire. Sur les ordinateurs, nous devons déployer la clé de Registre "RestrictDriverInstallationToAdministrators" avec la valeur 0.
Commençons par modifier la GPO "Impression Config" et à parcourir les paramètres de cette façon :
Configuration ordinateur > Préférences > Paramètres Windows > Registre
Ici, effectuez un clic droit : Nouveau > Élément Registre.
Un assistant va s'ouvrir. Nous devons indiquer où créer la valeur dans le registre, avec quel nom et quelle valeur. Utilisez les valeurs suivantes :
Action : Mettre à jour
Ruche : HKEY_LOCAL_MACHINE
Chemin d'accès de la clé : Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint
Nom de valeur : RestrictDriverInstallationToAdministrators
Type de valeur : REG_DWORD
Données de valeur : 00000000
Base : Hexadécimal
En image, cela donne :
Validez, l'élément de Registre est prêt ! Nous pouvons passer à la suite.
Toujours dans la même GPO, nous devons configurer trois autres paramètres. En effet, nous venons d'autoriser l'installation de pilotes d'impression, mais il faut que l'on restreigne un peu le périmètre en autorisant uniquement l'installation de pilotes correspondants à un certain type, mais aussi en autorisant uniquement cette action à partir de serveurs approuvés.
Nous allons configurer les deux paramètres suivants :
Commençons par le paramètre "Restrictions Pointer et imprimer" que vous devez configurer comme ceci :
1 - Cochez l'option "Activé"
2 - Cochez l'option "Les utilisateurs ne peuvent pointer et imprimer que sur ces serveurs"
3 - Indiquez le nom complet du serveur d'impression (vous pouvez indiquer plusieurs noms, séparés par un point-virgule)
4 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote s'installe silencieusement
5 - Sélectionnez "Ne pas afficher l'avertissement ou l'invite d'élévation" pour que le pilote se mette à jour silencieusement
6 - Cliquez sur "OK" pour valider
Voilà pour ce paramètre, passons au suivant....
C. Autoriser uniquement les serveurs d'impression approuvés
Éditez le paramètre "Pointer et imprimer les packages - Serveurs approuvés", afin de l'activer, (1) puis cliquez sur le bouton "Afficher" afin d'indiquer le nom complet de votre serveur d'impression (3). Une fois que c'est fait, validez (4).
Grâce à ces deux paramètres, on approuve et autorise uniquement notre serveur d'impression, ce qui est important.
D. Autoriser uniquement certaines classes de pilotes
Ce dernier paramètre nommé "Autoriser les non-administrateurs à installer des pilotes pour ces classes d'installation de périphériques" peut-être ajoutée à la même GPO, et il se situe à l'emplacement suivant :
Configuration ordinateur > Stratégies > Modèles d'administration > Système > Installation de pilotes
Vous devez l'éditer afin de l'activer (1), puis cliquer sur le bouton "Afficher" (2) pour gérer les classes de pilotes à autoriser. Pour les imprimantes, il y a deux classes à autoriser et à renseigner dans la fenêtre qui s'affiche (3) :
{4658ee7e-f050-11d1-b6bd-00c04fa372a7}
{4d36e979-e325-11ce-bfc1-08002be10318}
Une fois que vous obtenez le même résultat que sur l'image ci-dessous, cliquez sur OK (4).
Avant que les vulnérabilités PrintNightmare soient révélées, ce paramètre suffisait pour autoriser l'installation de pilotes. Désormais, il faut ajouter la valeur dans le Registre que nous avons créé précédemment.
Notre GPO pour configurer les ordinateurs est prête ! Nous pouvons passer à la suite : le déploiement de l'imprimante par GPO !
III. GPO "Préférences" : déployer une imprimante
À titre d'exemple, nous allons déployer l'imprimante "IMPRIMANTE HP" de mon serveur d'impression "SRV-ADDS-01" à tous les utilisateurs membres du groupe "GG-Imprimante-HP". Si vous souhaitez installer l'imprimante à tous les utilisateurs appartenant à une unité d'organisation spécifique, vous n'avez pas à gérer ce groupe de sécurité.
Cette fois-ci, nous allons utiliser une seconde GPO qui s'appliquera à des objets "utilisateurs". Pour ma part, ce sera sur l'unité d'organisation "Personnel".
A. Déployer l'imprimante partagée
Pour déployer une imprimante partagée sur un serveur d'impression, il faut accéder à :
Configuration utilisateur > Préférences > Paramètres du Panneau de configuration
Ensuite, il faut effectuer un clic droit : Nouveau > Imprimante partagée.
Un assistant s'ouvre... La première étape consiste à rechercher l'imprimante partagée. Pour cela, on clique sur "..." afin de rechercher l'imprimante dans l'annuaire Active Directory (dans les propriétés de l'imprimante, sur le serveur d'impression, l'option "Lister dans l'annuaire" est cochée). On peut également définir cette imprimante par défaut en cochant la case "Définir en tant qu'imprimante par défaut".
Si vous souhaitez déployer l'imprimante à tous les utilisateurs qui sont dans le périmètre de la GPO, et que vous souhaitez laisser l'imprimante installée dans la session même si la GPO n'est plus appliquée (liaison retirée, par exemple), vous pouvez valider et c'est terminé !
Par contre, si vous souhaitez que l'imprimante soit supprimée si la GPO ne s'applique plus sur l'utilisateur, cliquez sur l'onglet "Commun" puis cochez l'option "Supprimer l'élément lorsqu'il n'est plus appliqué". Ainsi le paramètre de préférence (GPP) va fonctionner comme un paramètre de GPO classique.
B. Déployer l'imprimante uniquement aux membres
L'option "Supprimer l'élément lorsqu'il n'est plus appliqué" est d'autant plus intéressante si l'on s'appuie sur un groupe de sécurité Active Directory pour installer ou non l'imprimante. Si l'utilisateur est membre du groupe, alors l'imprimante sera ajoutée, mais si vous le retirez du groupe de sécurité, alors l'imprimante sera supprimée de sa session.
Prenons un exemple avec l'utilisateur "Guy Mauve" qui est membre du groupe "GG-Imprimante-HP". Comme ceci :
Toujours dans l'onglet "Commun" (1) dans les propriétés de notre imprimante dans la GPO, cochez l'option "Ciblage au niveau de l'élément" (2) puis cliquez sur "Ciblage" (3). Ici, cliquez sur "Nouvel élément" puis "Groupe de sécurité" et indiquez le groupe "IT-CONNECT\GG-Imprimante-HP". Cliquez sur "OK". Grâce à cette condition, il n'y a que les membres de ce groupe qui auront l'imprimante dans leur session.
Ce filtrage pourrait être appliqué au niveau de la GPO directement, via le "Filtrage de sécurité". L'intérêt de le faire comme ci-dessus, c'est que vous pouvez déployer plusieurs imprimantes avec la même GPO, et pour chaque imprimante préciser un groupe de sécurité différent grâce à une règle de ciblage. Bien sûr, vous pouvez ne pas utiliser de règle de ciblage et déployer plusieurs imprimantes : dans ce cas, tous les utilisateurs auront les différentes imprimantes.
IV. Tester la GPO
Avant de passer au test, voici un aperçu de la console "Gestion des stratégies de groupe" de mon serveur où l'on voit bien les deux GPO et les deux OU où elles sont liées.
Ensuite, je me connecte sur une machine concernée par la GPO "Impression Config" afin d'effectuer un "gpupdate /force" et de redémarrer. D'ailleurs, si la GPO imprimante ne s'applique pas, c'est peut-être parce que vous n'avez pas fait ce "gpupdate".
Une fois que c'est fait, je me connecte avec l'utilisateur "Guy Mauve", membre du groupe de sécurité "GG-Imprimante-HP" et dans la liste des imprimantes, j'ai bien "IMPRIMANTE HP sur SRV-ADDS-01" : nos GPO fonctionnent à merveille !
Si je le supprime du groupe "GG-Imprimante-HP" et que je ferme puis rouvre sa session, l'imprimante n'apparaît plus !
Dans ce tutoriel, nous venons de voir comment déployer dans les sessions des utilisateurs une imprimante partagée sur un serveur d'impression ! Vous n'avez plus qu'à tester de votre côté et à gérer vos imprimantes de cette façon !
La nouvelle solution de sécurité de Microsoft à destinations des petites et moyennes entreprises, baptisée Microsoft Defender for Business, est officiellement disponible !
Microsoft Defender for Business est un produit autonome, à destination des PME, dans la limite de 300 salariés et qui va permettre de protéger différents types d'appareils : Windows, macOS, iOS et Android. Autrement dit, cette solution de sécurité protège aussi bien les ordinateurs que les smartphones et tablettes. Pour le moment, les serveurs ne sont pas pris en charge, mais c'est déjà prévu courant 2022.
Microsoft Defender for Business dispose d'un assistant d'installation qui facilite la configuration des clients, car oui, au-delà des fonctions liées à la sécurité, Microsoft veut que sa solution soit simple à mettre en œuvre. D'ailleurs, cet assistant permet également d'activer toutes les politiques de sécurité recommandées pour les entreprises ne disposant pas d'une équipe compétente sur le sujet.
Voici les fonctionnalités clés de cette solution :
- Déploiement et gestion simplifiés pour les administrateurs qui n'ont pas forcément l'expertise nécessaire pour faire face à l'évolution des menaces actuelles.
- Protection antivirus de nouvelle génération et détection et EDR pour détecter les attaques sophistiquées et effectuer de l'analyse comportementale.
- Investigation et remédiation automatisées pour aider les clients à réagir rapidement aux menaces.
- La gestion des menaces et des vulnérabilités alerte de manière proactive les utilisateurs sur les faiblesses et les mauvaises configurations des logiciels.
- Intégration de Microsoft 365 Lighthouse avec Microsoft Defender for Business pour que les fournisseurs de services informatiques puissent visualiser les événements de sécurité de tous les clients. Des fonctionnalités supplémentaires seront ajoutées par la suite.
Combien coûte une licence Microsoft Defender for Business ?
Tout d'abord, il faut savoir que Microsoft Defender for Business est inclus avec les licences Microsoft 365 Business Premium, facturées 18,60 euros par mois et par utilisateur. Pour rappel, cette licence s'appuie sur les services Cloud Microsoft 365 (Office 365) et elle intègre la messagerie via Exchange Online, un espace de stockage de 1 To sur OneDrive, ainsi qu'Office, SharePoint, Teams, ou encore Intune.
Par ailleurs, Microsoft Defender for Business est disponible même si vous n'avez pas d'abonnement Office 365. Dans ce cas, la licence est facturée 3 dollars par mois et par utilisateur. Ce qui fait environ 30 euros sur une année.
Microsoft Edge continue sa progression sur le marché des navigateurs pour desktop puisqu'il vient de dépasser le seuil symbolique des 10% de part de marché ! Même si ce marché reste largement dominé par Google Chrome, Microsoft Edge creuse l'écart avec le navigateur Safari d'Apple et Firefox de chez Mozilla.
Lorsque Microsoft a publié la première version d'Edge, appelée désormais Edge Legacy, il faut avouer que le navigateur a rapidement eu du mal à séduire les utilisateurs : peu optimisé, problèmes d'incompatibilité, etc.... C'est probablement pour ces différentes raisons, qu'il y a environ deux ans, Microsoft a pris la décision de proposer une nouvelle version d'Edge, basée sur Chromium, à l'instar de Google Chrome, mais également Brave.
Désormais, Microsoft Edge est une véritable et sérieuse alternative à Google Chrome et consort sur le marché des navigateurs, bien aidé par son intégration native à Windows 10 et Windows 11. Même si l'on associe Microsoft Edge à Windows, il ne faut pas oublier qu'il est disponible sur les autres systèmes : macOS, Linux, iOS et Android. Personnellement, j'aime beaucoup le nouveau Microsoft Edge, alors que je n'utilisais jamais Edge Legacy : un sentiment qui est probablement partagé par de nombreuses personnes.
Navigateurs - Part de marché - Avril 2022
Ainsi, sur le marché des navigateurs, Microsoft Edge continue sa progression ! Certes il progresse lentement, mais il progresse constamment. D'après StatCounter, Microsoft Edge compte désormais 10,07% de part de marché sur desktop en avril 2022, soit une progression de 0,42 point ! Dans le même temps, Google Chrome a perdu 0,65 point, Apple Safari a augmenté de 0,05 point tout comme Firefox qui bénéficie d'une augmentation de 0,29 point.
Ce qui donne sur desktop :
Google Chrome : 66,64%
Microsoft Edge : 10,07%
Apple Safari : 9,61%
Mozilla Firefox : 7,86%
Opera : 2,43%
Internet Explorer : 0,97%
Il s'agit de statistiques à l'échelle mondiale. Si l'on regarde les statistiques pour la France, le classement est différent et on peut voir que les Français sont moins friands de Chrome, ce qui profite essentiellement à Firefox et Edge :
Google Chrome : 56,16%
Mozilla Firefox : 17,3%
Microsoft Edge : 12,55%
Apple Safari : 9,92%
Opera : 2,42%
Internet Explorer : 0,8%
Sur mobile, il n'y a pas de réel changement : Google Chrome et Safari restent les deux navigateurs les plus utilisés, et les parts de marchés ne bougent que très très peu.
Du nouveau pour les administrateurs système ! Microsoft a mis en ligne une nouvelle version de Windows 11 dans les canaux Dev et Beta, et elle intègre de nouveaux paramètres de stratégies de groupe qui permettent de personnaliser le menu Démarrer, la barre des tâches et la barre d'état du système.
Ces nouveaux paramètres sont disponibles sur Microsoft Endpoint Manager, mais également en local par l'intermédiaire des modèles d'administration de Windows 11, ce qui permet une configuration sur un Active Directory avec les GPO classiques. Ces paramètres sont disponibles dans : Configuration utilisateurs > Modèles d'administration > Menu démarrer et barre des tâches. D'après le site de Microsoft, il y aurait les nouveaux paramètres suivants (j'essaie de vous mettre les noms en français rapidement) :
Disable Quick Settings flyout
Disable Notification Center and calendar flyouts
Disable all taskbar settings
Disable search (across Start & taskbar)
Hide Task View from taskbar
Block customization of ‘Pinned’ in Start
Hide ‘Recommended’ in Start
Disable Start context menus
Hide ‘All apps’ in Start
Grâce à ces paramètres supplémentaires, les administrateurs système vont avoir un peu plus de possibilités pour personnaliser les machines Windows 11, notamment pour épurer le menu Démarrer. Néanmoins, je ne pense pas que Windows 11 soit très répandu en entreprise pour le moment : Windows 10 est bien en place !
Au sein de Windows 11 Insiders Preview Build 22610, Microsoft a également apporté d'autres changements, notamment le widget "Family Safety" qui permet aux différents membres d'une même famille de se géolocaliser. Par exemple, les parents peuvent géolocaliser leurs enfants et voir la position facilement. Cela permet aussi de voir le temps passé par vos enfants sur les différentes applications.
Comme prévu, c'est également dans cette version de Windows 11 Famille que Microsoft a désactivé le SMBv1 par défaut. Une bonne nouvelle d'un point de vue de la sécurité afin de durcir la configuration par défaut de Windows 11 ! Toutes les informations sur cette nouvelle build sont disponibles sur le site de Microsoft.
