I. Présentation

Dans ce tutoriel, nous allons voir comment mettre en place une passerelle RDP, appelée Remote Desktop Gateway, sur Windows Server 2022.

Remote Desktop Gateway est un rôle de Windows Server qui fournit une connexion sécurisée aux serveurs Windows de votre infrastructure, par l'intermédiaire du protocole RDP, auquel s'ajoute la connexion à la passerelle sécurisée par le protocole TLS. La particularité d'une passerelle RDP, c'est que le trafic réseau transite non pas par le port 3389 par défaut, mais utilise une surcouche TLS, afin que l'intégralité des flux soit encapsulée par cette surcouche protocolaire. On peut nommer ça de cette manière aussi de cette façon : "RDP over HTTPS". Autrement dit, les flux entre le poste client et la passerelle RDP sont chiffrés.

Généralement, on met en place une passerelle RDP afin d'accéder, depuis l'extérieur (et donc depuis Internet), à un ou plusieurs serveurs situés sur son infrastructure interne. Plutôt que d'exposer un serveur en RDP directement,  on le rend accessible via cette passerelle qui s'appuie sur une connexion HTTPS, comme je le mentionnais précédemment.

Néanmoins, même si cela peut s'avérer utile, il faut garder à l'esprit qu'il y a un toujours un risque à exposer un service publiquement. Autrement dit, gardez en tête qu'un minimum de services de votre réseau d'entreprise doit être accessible depuis Internet. La passerelle RDG peut-être publiée sur Internet par l'intermédiaire d'un reverse proxy ou d'une DMZ publique.

Si l'on met en place une passerelle RDP sur un réseau local (réseau privé), on peut en quelque sorte obfusquer le service RDP, en n'exposant pas directement ce service (cf. la capture d'écran du scan Nmap en fin d'article).

II. Environnement

Avant de passer à la pratique, voici une présentation de l'environnement que je vais utiliser dans le cadre de cette démo.

• Une machine sous Windows Server 2022 qui va devenir ma passerelle RDG, dans mon cas cette machine est un contrôleur de domaine, mais cela peut très bien être un autre serveur faisant partie du domaine.
  • Rôles installés avant de procéder à l'installation de la RDG : ADDS/DNS)
  • DNS : dc.lgds.local - IP : 192.168.130.100/24
• Une machine Windows 10 21H2 et aussi avec Windows 11. Dans le cadre du tutoriel : nom de mon domaine est LGDS.LOCAL. Dans mon cas, les machines seront intégrées dans le domaine mais ce n'est pas une obligation car on autorisera des utilisateurs.

Le serveur Windows Server 2022 va héberger le rôle de Remote Desktop Gateway, mais également un serveur IIS nécessaire au bon fonctionnement de ce rôle.

Dans le cadre de ce tutoriel, je vais utiliser un certificat auto-signé pour la connexion à ma passerelle "Bureau à distance" (RDG). Néanmoins, il est tout à fait possible d'utiliser un certificat généré à partir d'une autorité de certification d'entreprise, telle que ADCS. Il est également possible d'acheter un certificat SSL sur Internet si vous envisagez d'utiliser un nom de domaine public (par exemple : domaine.fr).

• Comment mettre en place une autorité de certification Active Directory ?

III. Installation du rôle

Même si vous pouvez automatiser l'installation du rôle avec PowerShell, je vous propose de suivre l'installation du rôle pas à pas à partir de l'interface graphique. En effet, je trouve que cela est plus pédagogique que de "balancer du code" dans une console, sans chercher à comprendre ce qu'il fait réellement. C'est parti !

Depuis, le Server Manager, ouvrez l'assistant d'ajout de rôles et fonctionnalités. Passez les différentes étapes, jusqu'au le choix des rôles, afin d'ajouter le rôle "Remote Desktop Services".

À l'étape suivante, sélectionnez le service "Remote Desktop Gateway" que nous souhaitons installer aujourd'hui.

Comme le trafic RDP va être encapsulé via HTTPS (TLS), vous devez obligatoirement installer un serveur IIS. Ce service fera donc office de portail de connexion "fictif" avant de pouvoir atteindre votre machine via RDP. Il va agir comme un relai entre votre PC et le serveur distant sur lequel vous souhaitez établir une connexion "Bureau à distance".

Note : Dans le cadre de ce tutoriel, nous n'accéderons à aucun moment au service web IIS.

Cliquez ensuite sur l'option "Restart the destination server automatically if required" afin de redémarrer le serveur à la fin de l'installation du rôle.

Une fois que le rôle s'est bien installé, et que votre serveur a appliqué les changements requis à la suite de son redémarrage automatique, ouvrez la console : Remote Gateway Manager

Nous devons configurer les règles de bases de notre RD Gateway. Pour cela nous allons créer une nouvelle "Politique" en sélectionnant le mode  "Wizard".

Il s'agit d'un mode pas-à-pas qui se décompose en plusieurs étapes :

• Authorization Policies (type de politique à choisir : cf l'image ci-dessous)
• Connection Authorization Policy
• Ressource Authorization Policy

Donnez un petit nom à cette "Politique d'autorisation de connexion" :

Puis sélectionnez un groupe d'utilisateurs que vous allez autoriser explicitement à accéder à la passerelle de bureau à distance. Évitez d'ajouter "tous les utilisateurs" (Groupe Users), mais choisissez un groupe de personnes restreint comme le groupe des administrateurs du domaine (Domain Admins dans mon cas).

La deuxième zone nommée "Client computer group membership" vous permet d'ajouter un groupe d'ordinateurs. Dans mon cas, je ne vais pas ajouter de groupe d'ordinateurs, car la passerelle RDP va me servir simplement pour accéder à mon ADDS à savoir le même serveur qui héberge ma passerelle RDP (il s'agit d'un lab pour des tests).

Les deux prochaines fenêtres vous permettront de pouvoir gérer :

• La portée du presse-papier (copier/coller)
• Le nombre maximum de minutes d'inactivités autorisées pour la connexion RDP (timeout)

Ajustez cela en fonction de votre configuration.

Puis, donnez un nom à Politique d'autorisation des ressources.

Choisissez-le ou les groupes d'utilisateurs que vous avez renseignés plus haut (dans mon cas : Domain Admins). En production, n'utilisez pas le groupe "Domain Admins" mais plutôt un groupe de sécurité spécifique permettant de contrôler l'accès à la passerelle RDG.

Comme je n'ai pas choisi d'ajouter un groupe d'ordinateurs, choisissez la dernière option "Allow users to connect to any network resource (computer)".

Modifiez ou non le port par défaut, tout en sachant que par défaut le protocole RDP fonctionne sur le port 3389/TCP (port obfusqué, non visible par défaut depuis l'extérieur à moins d'utiliser la connexion au travers de notre passerelle RDG). En cochant "Allow connections only to port 3389", on autorise seulement la connexion à des ressources via le port 3389.

Enfin, cliquez sur "Finish" :

Suite à cette action, cliquez sur le nom de votre serveur en haut à gauche puis :

• Clic-droit Properties > SSL Certificate > Create a self-signed certificate
  • Puis, choisissez-lui un nom et un emplacement pour stocker celui-ci.

Dans mon cas, le certificat sera stocké ici : C:\Users\Administrator\Documents\dc.lgds.local

Une fois que cela est fait, cliquez sur Apply et OK.

Ensuite, rendez-vous dans la console de gestion des services afin de rechercher le service nommé "Remote Desktop Gateway". À partir des propriétés, modifiez le type de démarrage de ce service pour le passer de "Automatic (Delayed)" à "Automatic".

Note : Cela vous évitera d'attendre parfois de longues minutes après le redémarrage de votre serveur que le service passerelle RDP démarre.

Vérifier bien que le service Remote Desktop Gateway est toujours actif suite à vos modifications. Si ce n'est pas le cas, démarrez-le manuellement avec la fenêtre ci-dessus. Voici le statut que doit avoir votre service Remote Desktop Gateway après les actions précédentes.

Note importante : il se peut qu'en fonction de votre configuration, vous soyez obligé d'ouvrir le port 443, sur votre routeur/firewall.

Pour rappel, même si le service RDG obfusque RDP et que cela réduit votre surface d'attaque, le fait d'exposer de manière indirecte (le trafic transite uniquement par HTTPS/443), un service RDP sur internet constitue toujours une porte d'entrée très intéressante pour un attaquant.

Ci-dessous, après un petit scan de mon serveur Windows, vous pouvez constater que le port 443 est seulement accessible. Le port 3389 quant à lui n'est pas ouvert même si sur le serveur en lui-même le service RDP fonctionne par l'intermédiaire de ce port.

Le firewall de mon serveur Windows Server 2022 est bien entendu actif.

IV. Connexion à la passerelle depuis un client Windows

Le certificat que nous avons généré précédemment doit être importé sur le poste client puisqu'il s'agit d'un certificat autosigné. Je vous laisse choisir la méthode d'import en fonction de votre environnement.

Double-cliquez sur le certificat, puis suivez les étapes surlignées en jaune en partant de la gauche. Après avoir sélectionné le "magasin de certificat", cliquer sur suivant puis terminer.

Cliquez sur OK et confirmez bien l'importation du certificat en ignorant de message d'avertissement.

Afin d'établir une connexion "Bureau à distance", nous devons ouvrir l'outil "Connexion Bureau à distance" intégré à Windows, même si l'on pourrait utiliser un utilitaire de gestion de connexions RDP. Une fois que l'outil est ouvert, cliquez sur l'onglet "Avancé" puis sur "Paramètres...".

Renseignez le nom d'hôte de votre passerelle, dans mon cas dc.lgds.local, puis :

• décochez la case "Ignorer le serveur de passerelle Bureau à distance pour les adresses locales."
• cocher la case "Utiliser mes informations d'identification de passerelle bureau à distance pour l'ordinateur distant"
  • Dans mon cas : Administrator (Compte faisant partie du groupe autorisé lors de la configuration de la passerelle RDP)

Retournez dans l'onglet Général et renseignez le nom/ip du serveur que vous souhaitez atteindre en RDP et cliquez sur connexion :

Entrez vos informations d'identification.

Une erreur de certificat s'affiche, ce qui est normal donc cliquez sur "Oui" pour établir la connexion.

Voilà, on peut voir qu'à partir de mon PC, j'accède bien à mon serveur distant au travers d'une connexion RDP qui passe par ma passerelle "RDG".

Vous pouvez effectuer la même démarche à partir d'un poste client qui tourne sur Windows 11. Aucune étape ne varie entre Windows 10 et Windows 11, à l'exception de la surcouche graphique de Windows 11 que je trouve plutôt sympathique :

V. Tests complémentaires

Pour vérifier si la passerelle autorise bel et bien uniquement les utilisateurs du groupe LGDS\Domain Admins, essayez de renseigner un autre compte ne faisant pas partie du groupe "Domain Admins" (ou du groupe que vous avez explicitement autorisé lors de la configuration).

Après quelques secondes, vous vous faites éjecter de la passerelle, car votre compte n'est pas reconnu comme un compte "autorisé".

A. Certificat invalide (non signé par une autorité de confiance)

Si vous obtenez l'erreur "Cet ordinateur ne peut pas vérifier l'identité de la passerelle Bureau à distance...", c'est que vous êtes allez trop vite et que vous n'avez pas importé le certificat correctement sur votre poste client. "Try Again"

Essayez de l'importer de nouveau puis relancez la connexion !

• Microsoft Docs - Access from everywhere

The post Comment mettre en place une passerelle RDP sous Windows Server 2022 ? first appeared on IT-Connect.

De fausses mises à jour de Windows 10 sont actuellement distribuées dans le cadre de campagnes d'attaques. En réalité, l'utilisateur récupère le ransomware Magniber sur sa machine !

De nombreux utilisateurs, à travers le monde, sont victimes de cette attaque ! Ils pensent installer une mise à jour de sécurité pour Windows 10 ou une mise à jour cumulative pour Windows 10, mais en fait, leur machine se retrouve infectée par le ransomware Magniber ! Ces deux fausses mises à jour sont distribuées via des fichiers ayant différents noms, et notamment les deux noms suivants qui seraient relativement populaires :

• Win10.0_System_Upgrade_Software.msi
• Security_Upgrade_Software_Win10.0.msi

Deux noms peu rassurants pour les utilisateurs avertis, d'autant plus que ces deux fichiers utilisent l'extension ".MSI" qui n'est pas le format habituel des mises à jour Windows. On retrouve également les noms suivants, qui intègrent un numéro de KB, mais qui sont toujours au format MSI :

• System.Upgrade.Win10.0-KB47287134.msi
• System.Upgrade.Win10.0-KB82260712.msi
• System.Upgrade.Win10.0-KB18062410.msi
• System.Upgrade.Win10.0-KB66846525.msi

D'après les informations du site VirusTotal, et si l'on se base sur la date des échantillons analysés par ce service en ligne, la campagne de distribution de ce logiciel malveillant aurait débuté le 8 avril 2022. Ce qui reste flou pour le moment, c'est comment les attaquants parviennent à piéger les utilisateurs : peut-être par l'intermédiaire d'une campagne de phishing ? Un canal de diffusion classique.

Le ransomware Magniber

Lorsque le ransomware Magniber infecte un poste informatique, il va chiffrer les données en utilisant une extension de fichiers aléatoire basée sur 8 caractères, comme ".gtearevf" par exemple. L'habituelle note est également laissée sur la machine, via un fichier nommé "README.html" et qui contient les instructions pour le paiement de la rançon.

Le site de Magniber permettant de payer la rançon est accessible via le réseau Tor. Il permet de déchiffrer un fichier gratuitement (probablement pour montrer à l'utilisateur que l'opération fonctionne), mais également de payer la rançon pour obtenir la clé de déchiffrement.

Pour cela, si l'utilisateur paie dans les 5 jours qui suivent l'infection, le montant de la rançon est de 0,068 bitcoin, soit 2511 euros à l'heure où j'écris cet article. Ensuite, le montant de la rançon sera doublé puisqu'il passera à 0,13600 bitcoin soit 5022 euros.

En soi, le montant est faible pour une entreprise, mais il s'avère que cette campagne cible plutôt les étudiants et les particuliers, et là c'est plus difficile à digérer.... Dans tous les cas, il est recommandé de ne pas payer la rançon pour ne pas encourager les actions malveillantes de ce type !

Source

The post De fausses màj Windows 10 infectent votre PC avec le ransomware Magniber ! first appeared on IT-Connect.

Qui n'a jamais perdu plusieurs heures à rechercher un document, en ne sachant pas s'il était stocké sur le serveur de fichiers, sur l'intranet ou accessible par l'intermédiaire d'une application ? Probablement personne. Pour répondre à cette problématique réelle, il existe des moteurs de recherche spécialisés pour les entreprises : on parle d'Enterprise Search.

Grâce à l'Enterprise Search, les employés d'une entreprise sont en mesure de trouver la bonne information, très rapidement, et peu importe la source de données.

Avant de rentrer dans l'intérêt d'une telle solution, partons du constat suivant : les entreprises utilisent et créent au quotidien des quantités de données plus ou moins importantes.

Ces données correspondent à des informations, qui selon leur nature, sont stockées sur un serveur de fichiers, dans une base de données, sur un intranet SharePoint, dans les e-mails, etc... Ce qui est tout à fait normal, car les pratiques évoluent avec le temps et les entreprises sont susceptibles d'intégrer de nouveaux outils pour gagner en productivité. Pour être précis et faire le lien avec les exemples cités ci-dessus, ces données peuvent être structurées comme c'est le cas dans une base de données, ou non structurées, comme dans un document Word, des emails ou les messageries instantanées.

Au quotidien, les salariés d'une entreprise ont besoin d'accéder à ces informations, mais bien souvent la recherche d'une information est associée à une perte de temps. En effet, pour trouver l'information, il faut déjà savoir où elle est stockée. Plusieurs études affirment que les salariés peuvent perdre plusieurs heures par semaine à rechercher des données : une mauvaise nouvelle en termes de productivité.

L'Enterprise Search et l'Intelligent Search

Avec la mise en place d'une solution d'Enterprise Search, les employés peuvent bénéficier d'une vue d'ensemble des informations, c'est-à-dire d'une vue unifiée, sans pour autant se débarrasser des applications et des différentes sources de données. En fait, la solution d'Enterprise Search va se connecter sur vos différentes sources de données afin de réaliser un important travail d'indexation pour vous permettre de trouver facilement la bonne information, au bon moment. En complément, une telle solution permettra de catégoriser les données selon divers critères.

Un moteur de recherche d'entreprise doit être en mesure de se connecter à une multitude d'applications pour lire les données, donc ces solutions prennent en charge plusieurs centaines de connecteurs et de formats de documents. C'est important puisque dans une même entreprise, on peut avoir besoin de se connecter à une bonne dizaine de sources de données.

Maintenant, je vais vous parler du principe de l’Intelligent Search qui va permettre de rendre la fonction de recherche encore plus performante et pertinente. Autrement dit, l'Enterprise Search se retrouve dopée avec de l'intelligence artificielle.

L'intelligent Search, ou recherche intelligente, s'appuie sur de l'intelligence artificielle et du machine learning afin de mieux interpréter la recherche d'un utilisateur et d’augmenter la pertinence des résultats obtenus. En complément, certains éditeurs s'appuient sur le traitement du langage naturel (NLP).

Par exemple, la recherche pourra être réalisée en plusieurs langues, permettant à l'employé d'utiliser sa langue maternelle. Il pourra aussi poser une question de manière naturelle, plutôt que de saisir quelques mots clés. En fait, on peut dire que le moteur de recherche devient plus flexible à l'utilisation, tout en étant plus précis grâce aux différents algorithmes.

La gestion des données est un véritable enjeu pour les entreprises ! Grâce à l'Enterprise Search et l'Intelligent Search, les employés ont un meilleur accès à l'information, ce qui leur permet de gagner en productivité et en réactivité !

The post L’Enterprise Search : la solution pour rendre la recherche d’information plus efficace ? first appeared on IT-Connect.

I. Présentation

Vous souhaitez afficher un message d'avertissement sur les postes de votre domaine pour rappeler quelques règles de bonne conduite sur l'utilisation des postes informatiques ou pour avertir les utilisateurs d'un changement ? Vous pouvez utiliser les stratégies de groupe (GPO) de Windows pour paramétrer cela, c'est d'ailleurs ce que nous allons voir, tout en sachant que cette configuration fonctionne sur les différentes versions de Windows : Windows 7, Windows 10 ou encore Windows 11 (mais aussi les versions "Server").

Ce message s'affichera avant que l'utilisateur ouvre sa session. Si l'on prend l'exemple de Windows 10 ou Windows 11, le message apparaît lorsque l'on fait disparaître l'écran de verrouillage afin d'atteindre la mire d'ouverture de session.

II. Configuration de la GPO

La mise en place de ce message d’avertissement avant la connexion de l’utilisateur implique la modification de deux paramètres, l'un pour définir le titre de message, et l'autre pour définir le contenu du message. Pour cela, créez une nouvelle GPO qui doit s'appliquer sur des objets "ordinateurs". Pour ma part, ce sera la GPO "Message ouverture de session" et elle sera liée à l'OU "PC" de mon annuaire Active Directory.

Ensuite, parcourez les paramètres de cette façon : « Configuration ordinateur », « Paramètres Windows », « Paramètres de sécurité », « Stratégies locales » et « Options de sécurité ». A cet emplacement, il y a deux paramètres intéressants par rapport à notre objectif du jour :

• Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter.
• Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter.

Commençons par le paramètre permettant de configurer le titre, qu'il suffit d'éditer, d'activer en cochant l'option "Définir ce paramètre de stratégie" et de renseigner en indiquant le titre dans la zone de saisie. Par exemple, pour le titre "Avertissement" :

Sur exactement le même principe, le second paramètre va permettre de définir le contenu du message. Pour ma part, je vais indiquer le message suivant : "Merci d'utiliser cet ordinateur en respectant la charte informatique de l'entreprise.".

La GPO est prête ! Vous voyez, c'était simple !

Désormais, il ne reste plus qu'à faire un "gpupdate /force" sur une machine ciblée par la GPO et à redémarrer. Au moment de faire disparaître l'écran de verrouillage, comme sur l'image ci-dessous, notre message va apparaître.

Ainsi, sur ma machine Windows 11, j'obtiens le rendu suivant :

Tandis que sur Windows 10, on obtient ceci :

Voilà, le tour est joué ! Je vous rappelle que mon cours sur les bases des stratégies de groupe est toujours en ligne !

The post Comment afficher un message avant l’ouverture de session Windows par GPO ? first appeared on IT-Connect.

Synology a publié un nouveau bulletin de sécurité au sujet de vulnérabilités critiques qui affectent Netatalk, aussi bien sur les NAS que les routeurs de la marque puisque les systèmes DSM et SRM sont concernés. Faisons le point.

Dans son bulletin de sécurité, Synology précise : "De multiples vulnérabilités permettent à des attaquants distants d'obtenir des informations sensibles et éventuellement d'exécuter du code arbitraire grâce à une version vulnérable de Synology DiskStation Manager (DSM) et Synology Router Manager (SRM).".

DSM et SRM : Quelles sont les versions affectées ?

Pour être plus précis quant aux versions affectées et pour faire simple, il n'y a que la toute dernière version de DSM, à savoir DSM 7.1-42661-1 qui permet d'être protégé. Pour les autres versions de DSM et SRM, il faut patienter en attendant qu'un correctif soit disponible.

En termes de timing, Synology publie généralement les correctifs sous 90 jours une fois que le bulletin de sécurité est mis en ligne. Actuellement, les développeurs de Netatalk ont déjà mis en ligne des correctifs de sécurité donc cela pourrait être assez rapide, en fonction de la réactivité de Synology.

Récemment, QNAP a également publié un bulletin de sécurité pour ces mêmes vulnérabilités dans Netatalk, en demandant aux utilisateurs de désactiver le protocole AFP de leur NAS, en attendant que ce soit patché (ce qui est facile si l'on n'utilise pas ce service). On peut imaginer, et c'est légitime, que la même recommandation s'applique aux NAS Synology.

L'occasion pour moi de rappeler que pour bien sécuriser un NAS, c'est important de désactiver les services que vous n'utilisez pas ! D'ailleurs, j'ai évoqué ce sujet au sein de mon cours et de ma vidéo sur la sécurisation d'un NAS Synology.

Quelques précisions sur Netatalk et AFP

Sur les NAS, le service de fichiers AFP est généralement pris en charge, afin de permettre le partage de fichiers avec les systèmes Apple, car l'AFP pour Apple Filing Protocol est le partage de fichiers pris en charge nativement par Mac.

Afin d'implémenter ce service sur un système tiers, en l'occurrence ici sur des NAS qui utilisent un système basé sur Linux, il faut s'appuyer sur Netatalk qui est une implémentation open source du protocole AFP. C'est un peu comme le paquet Samba qui permet de mettre en place un partage de fichiers SMB sous Linux, et sur lequel s'appuient les NAS également.

Concernant les vulnérabilités dont on parle ici, l'équipe de développement de Netatalk les a corrigées à l'occasion de la sortie de la version 3.1.1, publiée le 22 mars. Cela correspond à un délai de trois mois après la compétition de hacking Pwn2Own 2021, où elles ont été divulguées et exploitées pour la première fois. D'ailleurs, lors de cette compétition, ils ont fait une démonstration sur un NAS Western Digital équipé du système My Cloud OS, où ils ont pu exécuter du code arbitraire sur l'appareil sans être authentifiés.

Source

The post Synology : les systèmes DSM et SRM affectés par une faille dans Netatalk first appeared on IT-Connect.