I. Présentation

Lorsque l'on crée une arborescence Active Directory pour plusieurs sites au sein du même domaine, il y a de fortes chances pour que l'on essaie de reproduire la même arborescence pour les différents sites afin d'avoir quelque chose d'homogène. Néanmoins, c'est plutôt pénible à faire et très chronophage... Une nouvelle fois, PowerShell va nous sauver la vie 😉

L'idée est la suivante : créer l'arborescence type pour un premier site avec toutes les unités d'organisation et sous-OU et dupliquer cette arborescence d'OU pour vos autres sites grâce à PowerShell. Le script que je vous propose aujourd'hui peut fonctionner qu'il y ait 2, 10 ou même 100 sites à gérer. La seule condition : tous les sites doivent avoir un nom différent. En quelque sorte, nous allons voir comment faire un copier-coller d'OUs.

II. Dupliquer des OUs

Dans cet exemple, je vais prendre l'arborescence de Paris comme modèle et je souhaite dupliquer cette arborescence avec deux autres noms : Caen et Rouen.

Le résultat obtenu après copier-coller de la racine Paris sera :

Voici le script avec les quatre variables à adapter :

# DC cible
$DC = "SRV-ADDS-01.it-connect.local"

# OU à dupliquer
$OUSource = "OU=Paris,OU=Agences,DC=IT-CONNECT,DC=LOCAL"

# OU dans laquelle créer les racines supplémentaires
$RootNewOU = "OU=Agences,DC=IT-CONNECT,DC=LOCAL"

# Liste des racines à créer
$RootDestList = @("Caen","Rouen")

<# SCRIPT #>

# Récupérer la liste des OUs avec récursivité
$GetOUStructure = Get-ADOrganizationalUnit -SearchBase $OUSource -Filter * -SearchScope Subtree -Server $DC

# Récupérer le DN de l'OU Source et le nom de l'OU de plus bas niveau de ce DN
$BaseDNSource = $GetOUStructure.distinguishedname[0]

# Traiter chaque racine
Foreach($RootDest in $RootDestList){

  # Traiter chaque OU de l'arborescence
  Foreach($OU in $GetOUStructure){

    if($OU.DistinguishedName -eq $BaseDNSource){

      # Attention si le terme $RootSource se trouve plusieurs fois dans le $BaseDNSource
      $RootSource = (($BaseDNSource).Split(",")[0]).Split("=")[1]
      $BaseDNDest = $GetOUStructure.distinguishedname[0] -replace $RootSource , $RootDest

      # Créer la racine de la nouvelle arborescence
      New-ADOrganizationalUnit -Name $RootDest -Path $RootNewOU -Server $DC
      Write-Host -f Yellow "Création de l'OU racine '$RootDest' sous la base DN : $RootNewOU"

    }else{

      # On crée l'OU enfant seulement si l'OU racine
      if(Get-ADOrganizationalUnit -Identity "OU=$RootDest,$RootNewOU" -ErrorAction SilentlyContinue -Server $DC){

        $DN = $OU.distinguishedname.replace($BaseDNSource,$BaseDNDest)
        $ParentDN = $DN.trimstart($DN.split(',')[0]).trim(",")
        $OUName = $OU.name

        New-ADOrganizationalUnit -Name $OUName -Path $ParentDN -Server $DC
        Write-Host -f Cyan "Création de l'OU '$OUName' sous la base DN : $ParentDN"

      }else{

        Write-Host -f Red "ERREUR ! La racine $RootDest n'existe pas sous : $RootNewOU"
      }
    }
  }
}

Lorsque les variables sont adaptées, il ne vous reste plus qu'à exécuter le script et à le laisser travailler pour vous ! 😉

The post Active Directory : comment dupliquer plusieurs OUs ? first appeared on IT-Connect.

Le prix des identifiants RDP volés est en baisse... Ce qui n'est pas anodin : les pirates informatiques ont moins de mal qu'auparavant à les récupérer. Les mots de passe faibles continuent de nuire à la sécurité des entreprises.

Pour rappel, le RDP sert à se connecter à un serveur ou un ordinateur à distance à l'aide du client "Bureau à distance" de Windows, ou à partir d'un autre logiciel tiers compatible avec le protocole RDP. Depuis le confinement, ce type d'accès est beaucoup plus utilisé qu'avant, et certains accès ont étaient mis en place sans précaution, dans l'urgence.

Un nom d'utilisateur, un mot de passe, une adresse IP de serveur et ça y est on peut se connecter à distance sur un serveur de l'entreprise. Si ces informations fuitent, cela peut être dramatique.

Les chercheurs en cybersécurité de chez Armor ont pris la peine d'analyser 15 différents marchés du Dark Web pour déterminer le prix moyen des identifiants RDP. Résultat : la moyenne est comprise entre 16 et 25 dollars par identifiant selon les marchés. À titre de comparaison, en 2019, le prix était au minimum de 20 dollars. Certains identifiants disponibles à l'achat seraient non exploités à ce jour.

Pour récupérer massivement des identifiants de connexion, des bots effectuent des tentatives de connexion par brute force sur des serveurs ouverts sur Internet. Un nom d'utilisateur commun et un mot de passe faible, et les problèmes peuvent vite arriver.

📌 Commencez par une chose, modifiez le port par défaut du RDP.

📌 Une autre manière de sécuriser son serveur RDP, c'est d'utiliser l'authentification multifacteur.

The post Les identifiants RDP volés vendus moins cher qu'avant ! first appeared on IT-Connect.

I. Présentation

Il vous est arrivé très souvent, sans doute de devoir installer un package dans une version antérieure à celle proposée par les dépôts officiels de la distribution courante. Je vous propose dans ce nouveau billet de vous dévoiler comment procéder, pour un package quelconque d’une distribution Red Hat. Imaginons que nous ayons besoin d’installer le package Utilv63.x86_64.rpm alors que nous disposons d’une package Utilv70.x86_64.rpm.

Nous allons voir comment forcer ce genre d’installation à l’aide d’une simple commande ou d’une ligne spécifique au sein du fichier de configuration yum.conf.

II. Les opérations unitaires

De façon standard, on va commencer par désinstaller le package récent en exécutant la commande suivante :

# yum remove Util70.x86_64.rpm

REMARQUE: le package appartient forcément à un dépôt officiel de la distribution Red Hat. Si la recherche via la commande yum search <Package> ne remonte pas d’enregistrement concernant notre Utilvx.x86_64.rpm, c’est qu’il faut activer le dépôt manquant via la commande :

# subscription-manager repos --enable=<Identifiant du Dépôt>

Ça c’était la partie évidente. Ce qui l’est moins c’est comment faire en sorte d’empêcher, la fonction yum de recharger la version récente du package. Pour se faire, il suffit d’éditer le fichier /etc/yum.conf pour y ajouter la ligne suivante :

…
exclude=Util70.x86_64

S’il existait aussi une version encore plus récente Util71.x86_64.rpm, il faudrait aussi l’exclure en ajoutant :

exclude=Util70.x86_64,Util71.x86_64

Maintenant, on peut alors relancer une recherche du package à installer et procéder alors à son installation :

# yum search Util63
…
# yum install Util63

 

III. Les opérations enchaînées

Outre le mode manuel en deux temps que l’on vient de voir, on peut également exécuter la commande suivante de façon directe :

# yum install Util63.x86_64 -y --exclude=Util70.x86_64,Util71.x86_64

REMARQUE : cela n’empêche pas d’éditer le fichier /etc/yum.conf. Car, si l’on dispose d’opérations sous forme de tâches planifiées mettant à jour le système le package pourrait alors être automatiquement réinstallé dans sa version récente.

 

IV. Conclusion

Mine de rien, cette astuce permet de ne plus se creuser les méninges pour savoir comment procéder à l’installation d’un package dans une de ses versions antérieures. C’est simple, mais il fallait y penser.

The post Installation de package de version inférieure avec yum first appeared on IT-Connect.

Le code source de Windows XP a fait l'objet d'une fuite puisqu'il s'est retrouvé diffusé sur le site 4chan. D'autres systèmes d'exploitation sont concernés !

Sur le forum 4chan, nous pouvons retrouver le téléchargement de ces codes sources sous la forme d'un fichier torrent qui contient une archive de 42,9 Go. Il y a d'autres systèmes d'exploitation concernés par cette fuite, notamment Windows Server 2003, mais aussi :

- Windows 2000
- Windows Embedded Compact (plusieurs versions)
- Windows NT 3.5 et 4
- MS-DOS 3.5
- MS-DOS 6
- Le premier OS XBOX
- Quelques composants de Windows 10

Précision importante : Microsoft n'a pas confirmé la fuite et que ces fichiers étaient légitimes. Néanmoins, plusieurs experts de Windows ont analysé les fichiers et d'après eux ils seraient légitimes. En fait, certains fichiers de cette fuite correspondent à des fichiers divulgués il y a plusieurs années : pour les composants de Windows 10, il s'agit d'une fuite qui a eu lieu en 2017.

Il y a quand même de vraies nouveautés dans cette fuite : les codes sources de Windows XP, Server 2003 et Windows 2000.

Les experts précisent que l'accès aux codes sources de ces OS est nouveau pour le grand public, mais pas pour les éditeurs de logiciel, les équipes universitaires ou les gouvernements. En effet, les gouvernements du monde entier ont notamment accès au code source pour réaliser des audits de sécurité.

Reste à voir si les fichiers publiés sont suffisants pour permettre de compiler le système d'exploitation afin de l'installer et démarrer dessus sur un PC.

Quoi qu'il en soit, cette fuite ne semble pas dramatique : Windows XP a une part de marché d'environ 1% donc il est moins attrayant qu'auparavant pour les hackers. De toute façon, les utilisateurs de Windows XP sont sous la menace depuis la fin du support du système d'exploitation, le 8 avril 2014.

The post Windows XP : son code source publié en ligne ! first appeared on IT-Connect.

I. Présentation

Lorsque l'on crée un domaine Active Directory, nous définissons un nom de domaine, par exemple : it-connect.local. Ce nom de domaine sera utilisé pour contacter les différentes ressources et notamment résoudre les noms des serveurs sous la forme "serveur1.it-connect.local". Ce nom de domaine est également utilisé pour construire l'attribut UserPrincipalName (UPN) de chaque utilisateur, sous la forme "<login>@it-connect.local".

Pour plusieurs raisons, notamment la mise en oeuvre d'Azure AD Connect pour synchroniser les utilisateurs de l'Active Directory vers Office 365, il peut être nécessaire de déclarer un nouveau suffixe UPN afin d'utiliser cet attribut pour créer l'adresse e-mail associée au compte Cloud. L'intérêt c'est d'avoir le même identifiant pour l'utilisateur que ce soit pour se connecter en local sur un poste ou sur le Cloud Microsoft : l'utilisateur pourra se connecter partout avec son adresse e-mail 😉

Ainsi, sur le domaine it-connect.local, nous pouvons créer un nouveau suffixe UPN "it-connect.fr" pour que l'UPN d'un utilisateur soit "<login>@it-connect.fr" : à la fois son identifiant et son e-mail, plutôt bien, non ?

Voyons comment créer un nouveau suffixe UPN sur un domaine Active Directory.

📌 SamAccountName VS UserPrincipalName

II. Créer un suffixe UPN

Ouvrez la console "Domaines et approbations Active Directory", et faites un clic droit sur cette même phrase dans le haut à gauche de la console. Cliquez sur "Propriétés".

Nous arrivons directement dans l'onglet "Suffixes UPN". Au niveau de "Autres suffixes UPN", indiquez votre nouveau suffixe et cliquez sur "Ajouter". Validez...

III. Attribuer le suffixe sur un utilisateur

Puisqu'un utilisateur peut avoir seulement un suffixe UPN, il va falloir lui attribuer le nouveau que l'on vient de lui déclarer, car ce n'est pas automatique. Il n'y a pas de notion d'alias comme pour une adresse e-mail.

Ouvrez la console "Utilisateurs et ordinateurs Active Directory". Effectuez un clic droit sur un compte utilisateur et cliquez sur "Propriétés".

Dans l'onglet "Compte", vous allez pouvoir modifier le domaine associé à son UPN, comme ceci :

Validez : le tour est joué pour cet utilisateur. Bien sûr, cette manipulation peut être réalisée également à partir du Centre d'administration Active Directory (ADAC).

IV. Modifier l'UPN en masse

Pour modifier l'UPN sur plusieurs utilisateurs, PowerShell va être bien utile : pas question de repasser sur l'ensemble des utilisateurs à la main...! La commande ci-dessous va définir le domaine "it-connect.fr" dans l'UPN de tous les utilisateurs de l'OU "OU=Personnel,DC=IT-CONNECT,DC=LOCAL".

Attention : dans cet exemple, pour reconstruire l'UPN, on reprend le SamAccountName de l'utilisateur et on ajoute le domaine ➡ si vous utilisez une valeur différente pour votre identifiant UPN et votre SamAccountName, vous devez faire autrement (voir deuxième méthode).

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{ Set-ADUser -UserPrincipalName "$($_.SamAccountName)@it-connect.fr" -Identity $_.SamAccountName }

Pour remplacer simplement le domaine dans l'UPN et conserver l'identifiant actuel, on préfèrera cette méthode (domaine à adapter) :

Get-ADUser -Filter * -SearchBase "OU=Personnel,DC=IT-CONNECT,DC=LOCAL" | Foreach{ 

   $UPNNew = $_.UserPrincipalName -replace "@it-connect.local","@it-connect.fr"
   Set-ADUser -UserPrincipalName $UPNNew -Identity $_.SamAccountName

}

Vous pouvez laisser un commentaire sur cet article si vous avez besoin d'aide pour votre commande de modification des UPN avec PowerShell.

V. Routage des suffixes UPN

Si vous utilisez des relations d'approbations, il est nécessaire d'inclure le routage de votre nouveau suffixe UPN sinon les requêtes d'authentification échoueront. En effet, elles ne seront pas routées correctement, car le suffixe UPN ne sera pas inclus dans la relation d'approbation.

Si vous créez une relation d'approbation après avoir créé votre suffixe UPN, alors il faudra penser à le cocher au sein de l'assistant de création d'une nouvelle approbation. Si votre relation d'approbation existe déjà, vous devez activer le routage depuis la forêt approuvée.

➡ Au sein de la console "Domaines et approbation Active Directory", effectuez un clic droit sur le domaine puis cliquez sur "Propriétés".

➡ Dans l'onglet "Approbations", sélectionnez le domaine approuvé et cliquez sur "Propriétés".

➡ Dans les propriétés, vous retrouvez l'onglet "Routage des suffixes de noms" : sélectionnez le nouveau suffixe UPN dans la liste et cliquez sur le bouton "Activé".

➡ Il ne reste plus qu'à valider en cliquant sur "OK" !

Si vous n'activez pas le routage du suffixe UPN, l'authentification reste toujours possible au travers d'une relation d'approbation en utilisant l'identifiant sous la forme "DOMAINE\identifiant" où "DOMAINE" correspond au nom NETBIOS du domaine.

The post Active Directory : comment ajouter un suffixe UPN ? first appeared on IT-Connect.