Windows Admin 1903 en Prévisualisation

Bonjour à tous petit article concernant Windows Admin Center.

J'avais fait plusieurs articles sur le sujet.

Sur le blog de Windows, Microsoft annonce la sortie en prévisualisation de la version 1903 de Windows Admin Center.

https://blogs.windows.com/windowsexperience/2019/03/26/announcing-windows-admin-center-preview-1903/

Cette nouvelle version amène son lot de nouveautés à savoir:

- Gestion Active Directory (Créer des groupes, gestion des membres, Recherche d'objets AD, Activation/Désactivation/suppression d'utilisateurs...).
- Gestion DNS (Création de différentes zones DNS, Création des différents enregistrements DNS.
- Gestion DHCP (Afficher les étendues, créer les scopes, exclusions...).
- Azure Monitor (suivis de vos serveurs..).

Si vous avez créé un compte Microsoft Insider, vous pourrez donc le tester (Top pour la gestion de serveurs Core) en allant sur le lien ci-dessous:

https://www.microsoft.com/en-us/software-download/windowsinsiderpreviewserver

Je vous souhaite de bon tests et à très bientôt pour un nouvel article. 😏

Azure Information Protection (présentation)

Bonjour à tous, nouvel article sur un outil que j’apprécie "Azure Information Protection".

Dans ce premier article, nous ferons la présentation du produit et nous verrons dans les prochains articles différentes démonstrations.

 Rappel de l'historique:

Pour protéger les documents de l'entreprise et les éventuelles fuites d'informations, Microsoft avait à l'époque fournis un produit appelé "Active Directory Rights Management Services (AD RMS)"

AD RMS permettait donc la restriction de droits et le chiffrement des documents office ou des mails Outlook.

AD RMS est un bon outil mais compliqué à gérer en dehors de l'entreprise.

Un lien permettant de comparer les deux produits: https://docs.microsoft.com/fr-fr/azure/information-protection/compare-on-premise

Le présent:

Depuis l'arrivée du cloud, le fonctionnement des utilisateurs a complètement changé.

Un exemple que j'aime évoquer c'est le partage de documents OneDrive.

Un utilisateur, peut, si il en a les droits d'accès, enregistrer, copier partager des documents ou mails confidentiels.

Pour protéger cela, Microsoft à mis en place la solution Azure Information Protection (ex: Azure RMS).

Azure Information Protection permet donc:

- De protéger tous types de documents (Office, PDF....), emails (Protéger l'édition, imprim-écran, copie de documents...).

- De protéger des documents cloud Microsoft ou on-premises (serveur de fichiers).

- De classifier des documents selon leur sensibilité.

- De tracker les différents documents échangés

- De révoquer certains accès aux différents documents

- D'échanger en toute sécurité des documents avec des personnes ne faisant pas partie de l'entreprise (fournisseurs, clients...)

De plus en plus d'entreprises souhaitent mettre en place Azure Information Protection pour les raisons suivantes:

 

Ci-dessous le schéma d'une configuration Azure Information Protection recommandée:

Pour pouvoir utiliser Azure Information Protection il faudra acquérir les licences ci-dessous:

Une fois l’acquisition de licences effectuées, il ne nous reste plus qu'à nous connecter au portail d'azure: https://portal.azure.com

Dans la barre de recherche Azure taper "Information Protection"

Nous sommes maintenant arrivé dans Azure Information Protection.

La présentation d'Azure Information Protection est maintenant terminée.
Dans les prochains articles, nous rentrerons dans le vif du sujet avec les différentes démonstrations qui permettrons de comprendre en détail le produit.

A bientôt. 😏

Console série de machine virtuelle Azure pour Windows

Bonjour à tous, aujourd'hui juste un petit article sur la "console série de machine virtuelle Azure pour Windows".

En effet Microsoft donne maintenant la possibilité accéder au serveur physiquement via un port "COM1".

C'est très pratique en cas d'indisponibilité réseau ou autre problèmes de démarrage.

Pratique également pour récupérer des données en cas d'indisponibilité de du serveur.

Nous allons maintenant voir ensemble comment accéder à cette console.

Nous allons nous connecter sur le portail Azure: https://portal.azure.com

Et ensuite se connecter sur une machine virtuelle Azure.

En bas sur la partie de gauche, cliquez sur "Diagnostics de démarrage" 

On peut voir sur l'écran ci-dessous la "capture d'écran" montrant l'état actuel du serveur.

Aller dans Paramètres et vérifiez que le "diagnostics de démarrage" soit bien "Activé"

Une fois l'élément ci-dessus vérifié, nous allons pouvoir revenir sur la partie "Support et dépannage"  et cliquer sur "Console Série".

La console "SAC" s'ouvre.

La commande "HELP"  permet d'afficher les commandes.

Petit exemple ci-dessous, la commande "Restart" permet de forcer le redémarrage d'un serveur qui serait en difficulté.

Nous pouvons à nouveau vérifier la "capture d'écran" dans "Diagnostics de démarrage" de l'état du serveur.

Nous retournons maintenant sur notre "console série"  pour nous connecter à la console "CMD" du serveur.

Taper "CMD" et nous constatons qu'un "channel" vers le serveur a été créé.

Il nous suffit maintenant de se connecter et de s'authentifier à ce "channel"

Lancer la commande "ch -si 1"

Une fenêtre d'authentification vous sera demandée.

Me voilà maintenant connecté à la console "CMD" de mon serveur.

Donc si je n'ai pas accès au réseau de la machine virtuelle, je pourrais quand même accéder aux informations réseau par l'accès channel depuis la console série. 😏👍

On peut également lancer PowerShell.

Dans cet article, nous avons pu voir l'accès à la "console série" d'une machine virtuelle dans Azure.

Je vous laisse tester et jouer avec les différentes commandes.

A bientôt. 😏😉

Configuration de Microsoft Advanced Threat Analytics (ATA)

Bonjour à tous, suite au  premier article ou nous avions vu la découverte et l'installation de Microsoft Advanced Threat Analytics (ATA), aujourd'hui nous allons voir la configuration de celui ci.

Pour que Microsoft Advanced Threat Analytics (ATA) puisse recevoir et surveiller les informations du trafic nous avons la possibilité d'installer deux types de passerelle:

- Passerelle ATA (full gateway): Cette passerelle est installée sur un serveur dédié qui va s'intercaler entre les différents contrôleurs de domaine pour y capturer tout le trafic grâce à la mise en miroir de ports.

- Passerelle Lightweight: C'est une alternative à la Full Gateway, sauf que cette passerelle dite "légère" s'installe directement sur les contrôleurs de domaines et évite d'avoir un serveur dédié.

Même si je recommande un serveur dédié, pour ce laboratoire nous utiliserons la "Passerelle Lightweight".

Pour la configuration de Microsoft Advanced Threat Analytics (ATA) nous devrons avoir les éléments suivants:

- Un compte de service pour pouvoir connecter le centre "ATA" à l'Active Directory"
- Les sources d'installation de la passerelle "ATA Lightweight" (il suffit de les récupérer depuis la console "ATA").
- Nos deux contrôleurs de domaine.

Création d'un compte de service avec seulement des droits de lecture.
Pour l'article je l'ai nommé "ATA" par simplicité mais ce n'est pas une bonne pratique (voir article précédent).

Nous configurons le compte de service dans la gestion "ATA" et nous pouvons constater le bon fonctionnement.

Toujours sur la passerelle "ATA" nous allons récupérer le setup d'installation 

Nous allons maintenant nous connecter sur nos serveurs Active Directory en mode Core et y installer notre passerelle.

Lancer simplement le "setup.exe"






Il est possible aussi de l'installer à distance en winrm.





Sur le mode core l'installation se passe en arrière plan.

Comme on peut le constater ci-dessous, le résultat est concluant car nos serveurs remontent correctement dans le centre de gestion "ATA"

Sur nos deux contrôleurs nous les cochons comme "candidat synchroniseur de domaine", ce qui permet la synchronisation entre l'Active Directory et le centre "ATA" et de remonter tous les informations.

Point d'attention: 

- Ne cochez pas cette fonction pour tous les contrôleurs de domaine car cela peut amener des problèmes de performances.
- La passerelle ne doit en aucun cas être installée sur un RODC.
- Les informations synchronisées entre "ATA" et "Active Direcory" mettent un peu de temps à remonter donc patience.

Dans la partie "Mise à jour", nous aurons la possibilité de mettre automatique à jour nos passerelles.

Rappel: La documentation sur le produit pour voir en détails les différentes options: https://docs.microsoft.com/fr-fr/advanced-threat-analytics/

Une fois ces petites configurations terminées nous allons pouvoir faire des tests d'intrusions et vérifier la bonne remontée d'informations.

Nous allons tester un transfert de zone DNS.

nslookup

set q=all

ls -d labo.local

Je reçois un accès refusé.

 

Nous allons maintenant vérifier la tentative d'intrusion.

Dans le centre de gestion "ATA"  nous allons aller sur "intégrité"

Nous constatons les différentes attaques.

Dans cet article nous avons pu voir la configuration globale de "Microsoft Advanced Threat Analytics (ATA)"

Dans un prochain article de "Microsoft Advanced Threat Analytics (ATA)"  nous essaierons de faire une utilisation avancée du produit (Honeytoken accounts, SIEM, SYSLOG....).

A bientôt. 😏

Installation de Microsoft Advanced Threat Analytics (ATA)

Bonjour à tous, aujourd'hui nouvel article sur l'Installation de "Microsoft Advanced Threat Analytics (ATA)".

Pour commencer, petite présentation du produit.

Microsoft Advanced Threat Analytics (ATA) est une solution locale (On-premise) qui permet l'analyse et la protection contre les cyber-attaques.

Il est capable d'analyser: 

- Les protocoles (DNS, Kerberos...).
- Les authentifications.
- Les autorisations d'accès.
- Les comportements anormaux.
- Les attaques malveillantes ( golden ticket, man in the middle...).

Pour plus de précisions: https://docs.microsoft.com/fr-fr/advanced-threat-analytics/what-is-ata

Fonctionnement de  "Microsoft Advanced Threat Analytics (ATA)":

Ci-dessous le schéma expliquant le fonctionnement d'ATA.

Explications en détails sur le site de Microsoft.

Prérequis pour l'installation de "Microsoft Advanced Threat Analytics (ATA)":

Ports:

Le tableau ci-dessous énumère les ports minimums qui doivent être ouverts pour que l'ATA Center fonctionne correctement.

Déploiement:

- Version d'évaluation (90 jours) de "Microsoft Advanced Threat Analytics (ATA)"
- Windows 2012 R2 Minimum (GUI ).
- La gestion principale ATA ne peut pas s'installer sur un serveur core (seulement la gateway)..
- Compatible virtualisation (la mémoire dynamique n'est pas supportée. 
- Si Windows 2012 R2 GUI, vérifier que la KB2919355 soit bien installé
- Si Windows 2012 R2 Core, vérifier que la KB3000850 soit bien installé.
- Navigateurs d'accès à la console: Internet Explorer 10 et versions ultérieurs, Microsoft Edge, Google Chrome 40 et versions ultérieurs


Bonnes pratiques d'installation:

Avant d'installer Microsoft Advanced Threat Analytics (ATA) en production il est nécessaire de mettre en place les bonnes pratiques ci-dessous recommandées par Microsoft:

- Le serveur ATA devra être à jour avec les derniers cummulatifs.
- L'idéale est de déployer la solution dans une forêt dédiée.
- Nommer les serveurs avec et les comptes de configuration avec un autre nom que "ATA"
- Le par-feu matériel de l'entreprise doit respecter seulement les ports décrits dans le tableau ci-dessus.
- Utiliser un certificat d'une autorité de certification publique.
- Installer principalement les passerelles complètes. 
- Configurer correctement votre antivirus (exclusions bases de données).
- Si vous utilisez le syslog, il faudra le configurer en TLS.
- Si vous utilisez la messagerie, il faudra le configurer en SSL.
-Limiter l'accès à la console ATA (scope ip).

Installation:

Le laboratoire ci-dessous sera utilisé:

- 1 serveur Microsoft Advanced Threat Analytics (ATA).
- 2 contrôleurs de domaine Windows 2019 Serveur Core avec les gateway ATA installées.
- 1 station Windows 10

Nous allons maintenant lancer l'installation de Microsoft Advanced Threat Analytics (ATA).

Lancer le setup ci-dessous

Choisir la langue

Très important, je recommande fortement d'utiliser Windows Update.

Choisir les répertoires d'installation et de base de données.
Choisir votre certificat ou utiliser le certificat auto-signé.

 Installation de la base de données "Mango DB"

 L'installation est maintenant terminée.

Vous pouvez lancer la console et vérifier le bon fonctionnement.













Dans cette première partie, nous avons pu voir l'installation de Microsoft Advanced Threat Analytics (ATA).

Dans le prochain article nous verrons la configuration du produit.

A bientôt.