Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP] : Windows Server 2008

SID History bis repetita

Benoît SAUTIERE — Thu, 03 Nov 2011 07:34:00 GMT

Voila presque deux ans j’avais publié un article sur les problèmes de SID-HISTORY. Alors que je suis de nouveau sur un projet de migration Active Directory avec ADMT, j’ai voulu savoir si Microsoft avait corrigé la problématique de l’époque avec Windows 2008. On pourrait penser qu’avec Windows 2008 R2 et même un Service Pack 1, Microsoft aurait corrigé le problème. Et bien il n’en est rien.

Microsoft a juste actualisé la KB969030 pour indiquer que la problématique concerne aussi Windows 2008 R2 dans son édition française. Au passage, j’ai trouvé un workaround au problème : Réaliser la désactivation du filtrage de SID depuis le domaine source fonctionnant sous Windows 2003. La au moins la commande fonctionne.

Règle à noter pour les futurs projets de migration : Les bugs de migration restent constants!

Benoits – Simple and Secure by Design but business compliant

Subtilité ADMT et Windows 2008 R2

Benoît SAUTIERE — Thu, 27 Oct 2011 00:13:00 GMT

ADMT, ca fait longtemps que je le pratique (NT4 vers Windows 2000). A force, on ne réfléchit même plus et on déroule. L’outil n’a pas vraiment changé, donc j’ai déroulé jusqu’à tenter de migrer mon premier poste de travail Windows XP, avec une surprise :

“ERR3:7075 Failed to change domain affiliation, hr=800704f1 The system detected a possible attempt to compromise security. Please ensure that you can contact the server that authenticated you.”

Après quelques recherches, je confirme, ADMT n’a pas beaucoup changé. Pour corriger cette problématique, il faut réactiver les algorithmes cryptographiques de Windows NT 4.0 : KB942564. Ceux-ci sont désactivés depuis Windows 2008 pour des raisons évidentes de sécurité. Conclusion, l’agent ADMT n’a donc pas beaucoup changé, je confirme, …

J’ai pas eu le temps de tester mais il semble que cette problématique ait été adressée dans le pack de mise à jour RODC Compatibility Pack pour Windows XP. De mon point de vue, c’est effectivement une alternative plus intéressante que de dégrader la sécurité du système d’information. Encore faut-il pouvoir déployer cette mise à jour avant la migration.

Benoits – Simple and Secure by Design but Business compliant.

Une histoire de mot de passe AD

Benoît SAUTIERE — Sun, 09 Oct 2011 11:53:00 GMT

Cela fait quelques années que je conçoit et dépanne des infrastructures d’annuaire Active Directory (pour donner une idée, j’ai commencé avec NT 4.0). On pourrait croire que c’est une routine et bien non, on a toujours quelque chose à apprendre de chaque projet de mise en œuvre ou de migration.

Le changement de mot de passe dans AD

Lorsqu’un utilisateur change son mot de passe dans l’AD depuis son poste de travail, cette information est immédiatement transmise au contrôleur de domaine hébergeant le rôle de PDCE. Le but est de pouvoir traiter l’authentification de l’utilisateur avec son nouveau mot de passe alors que ce dernier n’est pas nécessairement répliqué sur tous les contrôleurs dans le domaine. Donc normalement, lorsqu’un utilisateur change son mot de passe, il peut immédiatement l’utiliser pour s’authentifier.

Question, peut-il encore utiliser l’ancien?

Voila une bonne question. Du point de vue de l’authentification d’un utilisateur au niveau de la mire d’authentification Windows, la réponse est non. Par contre pour les accès réseaux, c’est une autre histoire. Dans le cas de mon dernier projet, mon client constatait qu’après avoir changé son mot de passe sur un contrôleur de domaine, il était toujours possible d’établir une connexion LDAP authentifiée avec l’ancien mot de passe. Le comportement était reproductible pendant une période de temps d’environ une heure. Voila déjà pas mal d’informations pour qualifier la problématique rencontrée.

Ce comportement est du à une fonctionnalité qui a été introduite avec le Service Pack 1 de Windows 2003. Celle-ci est documenté par la KB906305. L’utilisateur est effectivement capable d’utiliser son ancien mot de passe mais uniquement pour les accès réseaux. Ce comportement permet aux utilisateurs connectés de ne pas être bloqué, c’est surtout intéressant pour les comptes de services utilisés par des processus distribués. Sans cette fonctionnalité, changer un mot de passe de compte de service peut s’avérer complexe car tous les services devront être arrêtés et reconfigurés.

Selon la KB906305, cela ne concerne que les accès réseau effectués en NTLM. On peut même ajouter les accès LDAP/LDAPS, ce qui était le cas de mon client, dont les contrôleurs de domaine installés avec la dernière génération de systèmes d’exploitation Microsoft. La période pendant laquelle il est possible d’utiliser les deux mots de passe est d’une heure. C’est une clé de registre qui doit impérativement être configurée sur tous les contrôleurs de domaine.

Est-ce une faille de sécurité?

Du point de vue de la KB906305, non. Seul l’utilisateur qui a changé son mot de passe connait à la fois son mot de passe actuel et son ancien mot de passe. Dans certains environnements, où la sécurité doit être renforcée, il peut être tentant de réduire la durée de vie pendant laquelle l’ancien mot de passe est utilisable. Si une telle exigence existe, c’est peut être qu’il y a un besoin d’authentification forte des utilisateurs, que ceux-ci se connecte depuis les réseaux de l’entreprise ou depuis l’extérieur.

Conclusion

On a effectivement toujours quelque chose à apprendre. C’est une fonctionnalité que je pensais bien connaitre mais je ne pensais pas qu’elle puisse aussi s’appliquer au contexte de mon client.

Benoits – Simple and Secure by Design but Business compliant

Capture de traces réseau sous Core

Benoît SAUTIERE — Sat, 18 Jun 2011 05:58:00 GMT

C’est le chalenge que j’ai eu chez un client cette semaine. Comment faire une capture de trace sur un serveur Windows 2008 R2 installé sous Core. Mon premier réflexe a été de dire Facile : NETSH TRACE START CAPTURE=YES TRACEFILE=c:\CAPTURE.ETL. C’est simple et en plus cette méthode permet de collecter un grand nombre d’informations complémentaires qui peuvent nous aider à comprendre ce qui se passe au niveau du système d’exploitation. Manque de bol, sous Core, c’est pas implémenté!

Bon ben on va installer le Network Monitor sous Core. Une fois installé, on constatera qu’il est possible de réaliser la capture à l’aide de l’outil NMCAP.EXE

Avec un peu de recherche, on verra qu’il est possible de mettre en place un filtre pour capturer uniquement le trafic recherché.

La grande surprise, c’est qu’il est réellement possible d’utiliser le Network Monitor dans une installation de Windows Server 2008 R2 Core. Il semble donc qu’il subsiste en beaucoup de composants de l’interface graphique sous Core. C’est toujours bon à savoir.

Par contre autre chalenge, comment désinstaller le Network Monitor. Microsoft livre un exécutable et non un package Windows Installer. Avec un peu de recherche, on découvre qu’il est possible de décompresser l’exécutable pour retrouver les packages Windows Installer. Reste plus qu’à désinstaller avec la commande “MSIEXEC.EXE /X”.

A noter qu’il y a deux packages Windows Installer à désinstaller.

Chalenge relevé

Benoits – Simple and Secure by Design but Business compliant.

Failover clustering pour le rôle ADCS

Benoît SAUTIERE — Tue, 15 Feb 2011 06:34:00 GMT

De plus en plus d’applications se reposent sur les certificats pour assurer les fonctions d’authentification voire d’autorisation.Il était donc temps que nous disposions enfin d’un guide de déploiement du service ADCS intégrant la haute disponibilité.

C’est un White paper récemment publié par Microsoft. Celui-ci décrit pas à pas la mise en œuvre d’une autorité de certification sur un cluster.

Subtilité de support à prendre en considération:

Il n’est supporté d’avoir qu’une seule instance du rôle ADCS par cluster.
les ADCS Enrollment Web Services ne sont pas supportés en cluster

Sinon, toujours la même rengaine, pensez à sauvegarder et mettre sous séquestre la clé privée de votre autorité de certification.

Benoits – Simple and Secure by Design but Business compliant.

Sauvegarde de la clé privée d’une AC sous Windows 2008 / Windows 2008 R2

Benoît SAUTIERE — Fri, 15 Oct 2010 01:14:00 GMT

La clé privée d’une autorité de certification est critique. Si on ne dispose pas de cette information, il n’est même pas envisageable de restaurer une infrastructure de clé publique. Jusqu’à maintenant, dès lors qu’on réalisait une sauvegarde du système (System State), on sauvegardait la clé privée. Ceci était vrai jusqu’à Windows 2003 R2.

L’équipe PKI vient de publier un billet documentant un changement important concernant la sauvegarde de la clé privée. Celle-ci est désormais stockée dans un répertoire caché, qui n’est pas pris en charge par la sauvegarde “SystemState”.

La conséquence est qu’il sera nécessaire de revoir les procédures d’exploitation pour les autorités de certifications hébergées sous Windows 2008 et Windows 2008 R2 et inclure des tâches de sauvegarde de la clé privée. L’opération devant être réalisée périodiquement ainsi que dès lors qu’’il y a eu renouvèlement de la clé privée.

Benoits – Simple and Secure by Design but Business compliant!

Windows Server RDS Compatibility, une initiative à suivre

Benoît SAUTIERE — Fri, 10 Sep 2010 01:50:00 GMT

Il est clair que Windows 7 est bien mieux apprécié par les entreprises et les utilisateurs finaux que son prédécesseur. Cela tiens plus en la qualité du produit qu’en l’apport de nouvelles fonctionnalité révolutionnaires.

Une autre clé de cette réussite, c’est l’effort fait par Microsoft pour permettre à ses clients d’assurer la transition vers Windows 7. Pour cela, Microsoft met à disposition un certain nombre d’outil

Pourtant, avec toutes ces approches, il en manque une, à savoir la virtualisation de présentation. Cela fonctionne depuis longtemps, c’est une solution pour traiter la problématique des applications incompatibles (qui n’a pas d’application reposant sur Internet Explorer 6.0 uniquement, levez la main!). Microsoft vient de mettre en ligne, le Windows Server RDS Compatibility, un site web sur lequel la communauté vient référencer la compatibilité des différents outils dans le cadre de la virtualisation de présentation. C’est une excellente initiative.

Simple and Secure by Design (J’insiste sur le Secure)

Le Network Location Awareness démystifié

Benoît SAUTIERE — Wed, 08 Sep 2010 15:17:00 GMT

le Network Location Awareness est un service intégré au système d’exploitation qui lui permet d’identifier le profil à associer au pare-feu. D’un certain point de vue, cela peut paraître simple mais après avoir pas mal travaillé sur DirectAccess, le sujet est plus complexe qu’il n’y parait.

Comment un poste de travail qui est connecté à Internet (Prouvé par la détection du NCSI) arrive à déterminer qu’il est connecté au réseau LAN de l’entreprise, c’est un paradoxe?

L’équipe Enterprise Networking Team vient de publier un billet détaillant le fonctionnement du NLA. Le billet détaille le fonctionnement depuis Windows XP, en passant par Windows Vista pour enfin arriver à Windows 7. La partie la plus intéressante reste encore la capacité du NLA à déterminer la connectivité à un domaine.

La réponse est toute simple, le NLA s’attend à pouvoir énumérer la liste des domaines à l’aide de la fonction DsGetDcName. S’il obtient une réponse sur le port UDP 389, alors oui, le le poste dispose d’une connectivité avec le réseau LAN de l’entreprise. Bref, un article à conserver dans un coin.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Les petites galères du Robocopy Windows 2008 / Windows 2008 R2

Benoît SAUTIERE — Sat, 31 Jul 2010 19:53:00 GMT

Robocopy, c’est vieux comme le monde. C’est fiable, jusqu’à un certain point, à savoir les derniers systèmes d’exploitation. En ayant fait l’amère expérience sur une bascule DFS (NTFRS vers DFS-R), il convient de clarifier un peu les choses :

Avec cela, c’est fou ce que c’est plus facile de recopier les permissions NTFS. Au passage :

Robocopy.exe <source> <destination> /CopyAll /b /e /r:6

J’ai pas trouvé mieux pour la bascule DFS.

Benoîts – Simple and Secure by Design (j’insiste sur le Secure)

Single labels domains et applications Microsoft

Benoît SAUTIERE — Fri, 30 Jul 2010 20:28:00 GMT

Lors de la conception d’une infrastructure Active Directory, une erreur à éviter, c’est de créer une forêt dite “single label”, ce qui signifie sans Top Level Domain. Cette approche était plus ou moins autorisée, avec des conséquences plus ou moins identifiées selon les produits. La KB2269838 résume parfaitement les problèmes de compatibilité pour les différents cas face aux produits Microsoft :

Single labels domaine
Disjointed Namespaces
Discontiguous Namespaces

L’approche “Simple by Design” est donc plus que recommandée. Cela évitera les déconvenues. Donc “.Local” ou “.Lan” comme TLD, cela évitera bon nombre de problèmes.

Au passage, c’est mon 200ème billet sur ce blog, donc champagne et retour aux zerg!

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

La bible du NETSH enfin disponible

Benoît SAUTIERE — Thu, 27 May 2010 10:09:00 GMT

NETSH est une boîte à outil, à tout faire. Tout ce qui concerne les parties basses du systèmes en relation avec la sécurité a été intégré dans un seul et même outil. Le problème, c’était que son aide en ligne était plutôt légère. Maintenant, c’est plus que complet :

C’est donc à télécharger d’urgence à cette adresse.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Subtilité de la Health Registration Authority

Benoît SAUTIERE — Thu, 22 Apr 2010 06:25:00 GMT

Pour ceux qui ont suivi la série “Network Access Protection”, il existe une subtilité que je n’avais pas encore traité.

Lors de la mise en œuvre du gabarit de certificats “System Health Authentication”, celui-ci étant basé sur le gabarit “Workstation”, il a donc repris ses caractéristiques principales dont entre autre :

La durée de vie
Son renouvellement

Dans une configuration par défaut du rôle ADCS tel que je l’avais présentée, il n’était pas possible pour le Health Registration Authority de demander un certificat pour une durée de vie autre que celle inscrite dans le gabarit (un an).

Pour adresser cette problématique, il faut autoriser à ce que les demande de certificats précisent une date de fin autre que celle inscrite dans le certificat. Ci-dessous la ligne de commande à exécuter sur l’autorité de certification :

Le service doit bien évidemment être redémarré.

Lorsque notre client obtient un nouveau certificat prouvant son état de santé, on constate immédiatement que sa durée de vie correspond bien à ce que demande le HRA, à savoir quatre heures :

Sans cela, le client peut outrepasser les contrôles d’état de santé car son certificat était toujours valable, jusqu’au prochain redémarrage.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Superviser DFS-R efficacement

Benoît SAUTIERE — Thu, 15 Apr 2010 06:29:00 GMT

DFS-R est un sujet complexe. Pour s'en rendre compte, je recommande la lecture du blog de l'équipe en charge de son développement : The File cabinet. J’ai déjà eu l’occasion de présenter la mise en œuvre de DFS-R sous Windows 2008 (un challenge tout en ligne de commande).

Jusqu’à maintenant, la supervision, c’était SCOM ou maîtriser le DFSRDIAG.EXE. Maintenant, c’est plus simple et c’est français en plus. Didier GAUTHIER, PFE chez Microsoft vient de mettre à disposition DFSMON.EXE. Plutôt qu’un long discours, voila à quoi cela ressemble :

Et surtout où le récupérer : http://blogs.technet.com/domaineetsecurite/archive/2010/04/14/surveillez-en-temps-r-el-la-r-plication-dfsr-gr-ce-dfsrmon.aspx

Pour faire court : C’est une excellente initiative, c’est à la fois simple et très complet.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Cluster et Teaming réseau : Etat des lieux

Benoît SAUTIERE — Sat, 03 Apr 2010 09:21:00 GMT

Qui dit cluster applicatif Microsoft, dit haute disponibilité. Lors de la conception d’une infrastructure en cluster, on passe pas mal de temps sur les SPOF (Single point of failure) pour en minimiser l’importance. Les interfaces réseaux représentent un SPOF de première importance.

Pour adresser cette problématique, le teaming de cartes réseau semble être la réponse la plus appropriée. Cependant, chaque constructeur implémente le Teaming à sa manière. Pour cette raison, Microsoft ne supporte pas le Teaming en tant que tel, c’est donc à la charge du constructeur. Pourtant, Microsoft tolère et même autorise son usage. Si on se réfère à la KB254101 :

Le teaming de cartes réseau privée n’est pas supporté sous Windows 2003 SP2
Le teaming de cartes réseau publique est toléré mais pas recommandé sous Windows 2003 SP2
Le teaming de cartes réseau est pleinement supporté pour Windows 2008 et Windows 2008 R2 quelque soit le type d’interface.

Avec les clusters Hyper-V et le stockage iSCSI, le nombre d’interfaces réseaux sur nos serveurs va vite grimper à au moins six si on considère un seul réseau publique.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)

Série Smart Card : Etape n°6 : Génération de la carte à puce "SimpleByDesign"

Benoît SAUTIERE — Mon, 22 Mar 2010 15:11:00 GMT

On arrive à la fin, à savoir délivrer un certificat d'authentification par carte à puce pour notre utilisateur “SimpleByDesign”. Notre utilisateur “ITManager” disposant d'un certificat de signature, c'est donc lui qui va générer le certificat de notre utilisateur.

ITManager va donc prendre sa carte à puce et s'authentifier avec sur une station de travail et utiliser la console Certificats pour une demande au nom d’un autre utilisateur.

la demande étant réalisée pour le compte d’un autre utilisateur, l’interface nous demande d’accéder au certificat de signature situé sur notre carte à puce.

Par extension, il faut déverrouiller la carte à puce.

Je fait encore l'impasse sur les rappels et les stratégies d'inscriptions de certificats pour me focaliser sur la demande d'inscription de certificat pour la carte à puce. L'interface nous indique que des informations supplémentaires sont nécessaires, facile c'est la signature qui manque à ce niveau. A noter que si on vient d'accéder à sa carte à puce (donc avec saisie du code PIN, on dispose déjà de l'accès à la clé privée du certificat de signature).

Gagné. Etant donné que c'est l'utilisateur ITManager qui est connecté, c'est son certificat de signature sur la carte à puce qui nous intéresse.

On dispose de toutes les informations. L'interface nous à demandé d'insérer une carte à puce contenant le fameux certificat de signature.

Maintenant qu'on dispose bien du certificat de signature de l'utilisateur “ITManager”, plus rien ne nous empêche de réaliser la demande de certificats.

La demande devra être réalisée pour l'utilisateur “SimpleByDesign”.

La suite n’est qu’un échange de carte à puce et saisie de code PIN tel que déjà abordé dans le billet précédent, je ne vais donc pas m’attarder dessus. Ce qu’il faut retenir, c’est que pour générer un certificat pour “SimpleByDesign”, il faut :

Générer une clé privée qui devra être stockée sur la carte à puce de notre utilisateur “SimpleByDesign”
Qu’il faudra signer la demande avec le certificat de signature “ITManager”
Qu’il faudra stocker la demande sur la carte à puce de l’utilisateur “SimpleByDesign”
Qu’i faudra stocker le certificat obtenu de la PKI sur la carte à puce de l’utilisateur “SimpleByDesign”

On comprend donc vite l’intérêt de disposer de deux lecteurs de carte à puces sur son poste. A la fin, notre utilisateur “SimpleByDesign” dispose maintenant d’une carte à puce opérationnelle.

A ce stade, on ne va pas dire qu’on a fait le tour de la carte à puce. Il y aurait encore beaucoup à dire mais tout dépend du scénario que l’on désire mettre en œuvre. Un futur billet reviendra sur tous les points à ne pas oublier et quelques subtilités.

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)