Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP] : Knowledge Base

Avis de sécurité 2641690

Benoît SAUTIERE — Mon, 14 Nov 2011 21:49:00 GMT

Microsoft a publié l’avis de sécurité 2641690 concernant l’émission frauduleuse de certificats numériques. Le problème, c’est que ces certificats sont reconnus par nos systèmes d’exploitation et qu’en plus, la longueur de la clé de chiffrement est relativement faible : 512 bits. Conclusion, il ne faut pas faire confiance à ces certificats. Même si le bulletin ne fait référence à aucune menace particulière, Microsoft a publié la mise à jour KB2641690 qui invalide les certificats émis par les autorités de certifications suivantes :

Digisign Server ID – (Enrich) issued by Entrust.net Certification Authority (2048)
Digisign Server ID (Enrich) issued by GTE CyberTrust Global Root

Une fois la mise à jour installée, les certificats numérique de ces autorités de certifications seront déclarés dans le magasin “Untrusted Certificates”.

Benoits – Simple and Secure by Design but Business compliant

Une KB pour les contrôleurs de domaine sous Windows 2008 R2

Benoît SAUTIERE — Sat, 12 Nov 2011 18:11:00 GMT

Depuis Windows 2000, le fait de pouvoir créer un objet dans un annuaire Active Directory impose de disposer d’un identifiant unique. Dans chaque domaine, un contrôleur de domaine est responsable d’assigner des pools de RID aux autres contrôleurs de domaine. En temps normal, chaque contrôleur de domaine dispose d’un certain nombre de pools de RID d’avance (en fait deux par défaut), cela permet de palier à une indisponibilité temporaire du maitre d’attribution des RID.

Microsoft vient de mettre à disposition la KB2618669 : An update is available to detect and prevent against too much consumption of the global RID pool on a domain controller that is running Windows Server 2008 R2 qui s’adresse uniquement aux contrôleurs de domaine Windows 2008 R2. L’objectif est de détecter les situations de surconsommation de pools de RID.

Benoits – Simple and Secure by Design but business compliant

ADFSv2 Update Rollup 1

Benoît SAUTIERE — Sun, 16 Oct 2011 07:46:00 GMT

Il commençait à être temps. L’Update 1 regroupe un certain nombre de correctifs déjà connus mais il elle inclus aussi son lot de nouveautés concernant les scénarios Office 365. Les problématiques de congestion (forte sollicitation du serveur ADFS) sont maintenant prise en compte. Il sera maintenant plus facile de suivre l’évolution de la performance / réactivité d’ADFS qui est un composant qui va devenir de plus en plus sollicité avec les scénarios autour du Cloud.

La KB2607496 est disponible depuis peu.

BenoîtS – Simple and Secure by Design but Business Compliant

One more reason to apply UAG SP1 Update 1

Benoît SAUTIERE — Sat, 15 Oct 2011 12:04:00 GMT

In a recent bog post, Yuri Diogenes gave five reasons to apply Forefront TMG SP2. many new feature already covered by the TMG team.

I wont enumerate a lot of reasons for UAG, only a single one : MS11-079. KB2544641 provide additional information on these vulnerabilities. And the first reason to apply Update 1 to our UAG box, is that update is included in Update 1.

Keep your UAG secure.

Benoits – Simple and Secure by Design but Business compliant

DirectAccess and the KB977377

Benoît SAUTIERE — Mon, 16 Aug 2010 23:26:00 GMT

According to KB977377 that provides additional information regarding “Vulnerability in TLS/SSL could allow spoofing”, this update will cause the DirectAccess IP-HTTPS interface to stop function on the Windows 7 operating system.

If the update is already installed on your environment, check the proposed workaround to correct the problem.

BenoîtS – Simple and Secure by Design (I emphasize on “Secure”)

Les petites galères du Robocopy Windows 2008 / Windows 2008 R2

Benoît SAUTIERE — Sat, 31 Jul 2010 19:53:00 GMT

Robocopy, c’est vieux comme le monde. C’est fiable, jusqu’à un certain point, à savoir les derniers systèmes d’exploitation. En ayant fait l’amère expérience sur une bascule DFS (NTFRS vers DFS-R), il convient de clarifier un peu les choses :

Avec cela, c’est fou ce que c’est plus facile de recopier les permissions NTFS. Au passage :

Robocopy.exe <source> <destination> /CopyAll /b /e /r:6

J’ai pas trouvé mieux pour la bascule DFS.

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

Active Directory a plus de 10 ans

Benoît SAUTIERE — Wed, 07 Jul 2010 13:18:00 GMT

Nan, et son premier représentant était Windows 2000 (ça fait loin déjà, que de souvenirs, …). Bref, si on se réfère à la politique du cycle de vie des produits Microsoft, et bien le vieux arrive en fin de support étendu ce mardi 13 juillet 2010.

Si par le plus grand des hasards, vous avez toujours du Windows 2000 en production, on ne peut que conseiller la KB qui va bien. A noter qu’il n’y a plus de support. Les incidents sont donc facturés à partir du mardi 13 Juillet 2010.

Note : Pour ceux qui opèrent toujours du NT 4.0, la situation est plus que critique du point de vue de la sécurité.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Quelques KB sur DirectAccess

Benoît SAUTIERE — Fri, 18 Jun 2010 15:08:00 GMT

DirectAccess est une nouvelle fonctionnalité, pour laquelle on voit arriver les premiers retours. De mon point de vue, s’il y a des KB publiées chez Microsoft, c’est que des clients sont tombés sur les problèmes lors des phases d’étude ou mise en production. DirectAccess doit donc intéresser beaucoup les entreprises au vue des retours.

Ce billet a donc pour objectif de résumer les KB les plus intéressantes à connaitre avant de se lancer dans le grand bain de DirectAccess :

KB979373 (The DirectAccess connection is lost on a computer that is running Windows 7 or Windows Server 2008 R2 that has an IPv6 address). Le cas est vicieux. Pour l’instant, il ne devrait pas impacter beaucoup de personnes, à moins que celles-ci ne disposent d’une connexion Internet IPV6 native.
KB978738 (You cannot use DirectAccess to connect to a corporate network from a computer that is running Windows 7 or Windows Server 2008 R2). Le cas est lui aussi vicieux car ne concerne pas toutes les ressources.
KB978837 (The Group Policy Management Editor window crashes when you apply some changes for NRPT policy settings). Une KB obligatoire à mon avis.
KB972516 (A DirectAccess access failure occurs after the DNS servers that are running Windows Server 2008 return empty responses for AAAA queries in a WINS zone). Coriace le WINS, il ne veut pas mourir le bourge.
KB974080 (DirectAccess Workaround for reaching IPv4 address checking sites). Si un site web demande notre adresse IP, il risque d’être surpris
KB973982 (The certificate for IP-HTTPS does not rebind if the certificate is changed after the configuration is applied one time in Windows Server 2008 R2). Celui-la ne m’a pas fait rire du tout.
KB968920 (Windows Vista and Windows Server 2008 DNS clients do not honor DNS round robin by default). Attention au Round and Robbin sous Windows 7, il va surprendre.
KB958194 (The DNS server does not listen on the ISATAP interface on a Windows Server 2008-based computer). Normalement ne devrait plus arriver sauf si on oublie de mettre à jour ses serveurs.
KB977342 (ISATAP and 6to4 tunneled addresses cannot be used by the NLB feature on a computer that is running Windows Server 2008 R2), juste pour que le NLB UAG/DirectAccess fonctionne avec son interface 6to4.
KB978309 (IPv6 transition technologies, such as ISATAP, 6to4 and Teredo do not work on a computer that is running Windows Server 2008 R2 Server Core), Windows 2008 R2 Core est il tellement si léger que Microsoft aurait oublié de conserver IPV6? Nan, …
KBAlex117 (The adapter configured as external-facing is connected to a domain). Merci Alex pour la solution, maintenant, il manque plus que la KB Microsoft.
KB980674 (Elle concerne TMG en NLB mais par extension, elle concerne aussi UAG)
KB2288297 Pour adresser la problématique de la demande d’authentification sur WebDav/SharePoint.

Voila pour les KB les plus importantes. Dès que j’aurai un peu de temps, le billet sera actualisé avec les KB spécifiques à UAG

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)

Baisse des performances des hôtes Hyper-V R2

Benoît SAUTIERE — Wed, 16 Jun 2010 15:51:00 GMT

Suite à un appel à contribution de Ben Armstrong (Aka Virtual PC Guy), Virtualization Program Manager chez Microsoft, un certain nombre de clients ont fait remonté une problématique commune autour de la sauvegarde des machines virtuelles Hyper-V.

Après investigations, il est apparu que tous ces clients partageaient une problématique commune, plus précisément au niveau du module Volume Shadow Copy Service (VSS), avec pour conséquence une baisse significative des performances du serveur hôte.

Il est vivement conseillé de lire le billet à ce sujet ainsi que ka KB982210 qui en découle.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Hyper-V et les cartes vidéo hautes performances

Benoît SAUTIERE — Tue, 01 Jun 2010 14:56:00 GMT

Un de mes collègues a récemment renouvelé son portable, un nouveau modèle à base de Intel Core i5-700. Tout comme moi, il a besoin d’Hyper-V, il a donc active le rôle et a constaté un superbe BSOD. Sa première réaction a été de suivre les recommandations de Microsoft, mais peine perdue.

Après quelques recherches supplémentaires, il est tombé sur la KB961661. Pour plus d’informations, je recommande le billet de Ben Armstrong, Virtualization Program Manager.

Conclusion, ce sera Dual boot sur ce portable, je vais donc perdre le dual Screen pour mes sessions.

Merci beaucoup pour l’information Emmanuel.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

DirectAccess/UAG et l’équilibrage de charge

Benoît SAUTIERE — Tue, 11 May 2010 04:58:00 GMT

Pour ceux qui ont suivi le Step-by-step guide DirectAccess avec UAG, vous avez peut être rencontré un problème si vous avez tenté de mettre en œuvre la ferme UAG. Une fois la ferme installé et configurée, l’interface réseau 6to4 avait disparu coté Internet.

Après quelques recherche, il y a une KB qui décrit la problématique : KB977342 : ISATAP and 6to4 tunneled addresses cannot be used by the NLB feature on a computer that is running Windows Server 2008 R2. Une fois le correctif installé, l’interface 6to4 réapparait.

Pour plus d’information sur le sujet, rien ne vaux la source Technet : Configuring NLB for a Forefront UAG DirectAccess array.

Au passage, je rappelle que si vous déployez une ferme UAG sur un environnement virtuel Hyper-V, pensez à activer la fonctionnalité “Enable spoofing of MAC addresses” dans les caractéristiques de la machine virtuelle. Cela fonctionnera tout de suite mieux.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Cluster et Teaming réseau : Etat des lieux

Benoît SAUTIERE — Sat, 03 Apr 2010 09:21:00 GMT

Qui dit cluster applicatif Microsoft, dit haute disponibilité. Lors de la conception d’une infrastructure en cluster, on passe pas mal de temps sur les SPOF (Single point of failure) pour en minimiser l’importance. Les interfaces réseaux représentent un SPOF de première importance.

Pour adresser cette problématique, le teaming de cartes réseau semble être la réponse la plus appropriée. Cependant, chaque constructeur implémente le Teaming à sa manière. Pour cette raison, Microsoft ne supporte pas le Teaming en tant que tel, c’est donc à la charge du constructeur. Pourtant, Microsoft tolère et même autorise son usage. Si on se réfère à la KB254101 :

Le teaming de cartes réseau privée n’est pas supporté sous Windows 2003 SP2
Le teaming de cartes réseau publique est toléré mais pas recommandé sous Windows 2003 SP2
Le teaming de cartes réseau est pleinement supporté pour Windows 2008 et Windows 2008 R2 quelque soit le type d’interface.

Avec les clusters Hyper-V et le stockage iSCSI, le nombre d’interfaces réseaux sur nos serveurs va vite grimper à au moins six si on considère un seul réseau publique.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

KB importante pour les clusters Hyper-V

Benoît SAUTIERE — Thu, 28 Jan 2010 13:11:00 GMT

Nos clusters Hyper-V devant héberger un nombre de plus en plus grand de machines virtuelles, il n’est plus possible d’utiliser les lettres de lecteurs. De ce fait, on passe aux identifiants GUID.

Selon la KB970529, il peut avoir un problème avec ces disques gérés par le cluster. Lorsque le volume disque est associé au cluster, il se voit associé un GUID. Or, si on déplace cette ressource disque du cluster vers un autre nœud et qu’on étend le volume disque (suite resizing du LUN sur le SAN), alors, le GUID change.

Ce comportement pose problème puisque la machine virtuelle mise en cluster n’a plus de disque VHD/PassThrought associé. Dans SCVMM, cela se traduit par le fait que la machine virtuelle n’est plus éligible à la haute disponibilité car le volume disque n’est plus accessible.

Pour corriger cette problématique, il est vivement conseillé d’installer la KB970529 sur tous les hôtes du cluster Hyper-V. A noter que cette problématique ne semble pas affecter Windows Server 2008 R2.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Problème de Sid-Filtering avec Windows Server 2008

Benoît SAUTIERE — Sun, 24 Jan 2010 16:19:00 GMT

Pour ce billet, un cas concret rencontré par un de mes collègues sur notre projet actuel. Un scénario de migration inter-forêt. Dans la mise en œuvre, dès que les domaines “source” et “destination” sont interconnectés, on continue en désactivant le filtrage de SID (Actif par défaut depuis Windows 2000 SP3) pour bénéficier de la fonctionnalité Sid-History. Pour rappel, la commande NETDOM.EXE ressemble à cela et elle fonctionne très bien :

Le premier blanc correspond au nom du domaine “destination” et le second au nom du domaine “source”. On constate que la commande fonctionne bien lorsqu’elle est exécutée sous Windows Server 2003.

Maintenant, essayons sous Windows Server 2008, plus précisément une édition localisée “française” :

C’est étrange, que l’on demande d’activer ou désactiver le filtrage de SID, on obtient la même réponse : “Le filtrage des SID est activé pour cette approbation”. Et en plus tout s’est bien passé? Déjà cela ne ressemble plus beaucoup à ce qu’on obtenait sous Windows Server 2003.

Quelques recherches plus tard (Merci François L de MCS), on tombe sur la KB969030 qui comme son titre nous l’indique rapporte que “Some Netdom commands do not work correctly in localized versions of Windows Server 2008”. Nan pas possible? Si on teste la solution proposée, cela ne change pas grand chose à notre problème :

Par contre, si on utilise “Oui” et “Non” à la place de “Yes” et “No” pour le paramètre “Quarantine”, là, on retrouve un comportement normal :

Un grand merci à mon collègue Yassine B pour avoir identifié cette problématique et la solution qui va avec.

BenoîtS – Simple and Secure by Design (j’insiste sur le Secure)

Echéance de support Windows XP

Benoît SAUTIERE — Sun, 24 Jan 2010 15:49:00 GMT

Après Windows 2003, c’est maintenant le tour de Windows XP d’atteindre l’âge de raison, sa fin de période de support principale. Cela interviendra le 14 Avril 2009. A partir de cette date, seuls les correctifs de sécurité seront proposés par Microsoft jusqu’au 08 Avril 2014.

On peut dire que Windows XP aura vécu bien plus longtemps que prévu.

BenoîtS – Simple and Secure by Design (J’insiste sur le Secure)