Archives mensuelles : novembre 2011

Maximum respect pour Lionel!

Ben ca vaut au moins ça. Par ce qu’être publié sur le blog The Microsoft MVP Award Program Blog, c’est la classe. Son article “How DPM 2010 Could Protect Forefront TMG 2010 with a Minimum Opening of Feeds | Proteger Son Serveur Forefront TMG 2010 Avec DPM 2010” porte sur les flux réseaux nécessaires pour sauvegarder un serveur TMG avec DPM 2010. Ouvrir les flux RPC, c’est bien mais c’est large. Depuis ISA 2004 (Je sais c’est vieux), on peut filtrer les RPC en fonction des UUID.

 

BenoîtS – Simple and Secure by Design but Business Compliant

Avis de sécurité 2641690

Microsoft a publié l’avis de sécurité 2641690 concernant l’émission frauduleuse de certificats numériques. Le problème, c’est que ces certificats sont reconnus par nos systèmes d’exploitation et qu’en plus, la longueur de la clé de chiffrement est relativement faible : 512 bits. Conclusion, il ne faut pas faire confiance à ces certificats. Même si le bulletin ne fait référence à aucune menace particulière, Microsoft a publié la mise à jour KB2641690 qui invalide les certificats émis par les autorités de certifications suivantes :

  • Digisign Server ID – (Enrich) issued by Entrust.net Certification Authority (2048)
  • Digisign Server ID (Enrich) issued by GTE CyberTrust Global Root

 

Une fois la mise à jour installée, les certificats numérique de ces autorités de certifications seront déclarés dans le magasin “Untrusted Certificates”.

 

Benoits – Simple and Secure by Design but Business compliant

Une KB pour les contrôleurs de domaine sous Windows 2008 R2

Depuis Windows 2000, le fait de pouvoir créer un objet dans un annuaire Active Directory impose de disposer d’un identifiant unique. Dans chaque domaine, un contrôleur de domaine est responsable d’assigner des pools de RID aux autres contrôleurs de domaine. En temps normal, chaque contrôleur de domaine dispose d’un certain nombre de pools de RID d’avance (en fait deux par défaut), cela permet de palier à une indisponibilité temporaire du maitre d’attribution des RID.

 

Microsoft vient de mettre à disposition la KB2618669 :  An update is available to detect and prevent against too much consumption of the global RID pool on a domain controller that is running Windows Server 2008 R2 qui s’adresse uniquement aux contrôleurs de domaine Windows 2008 R2. L’objectif est de détecter les situations de surconsommation de pools de RID.

 

 

Benoits – Simple and Secure by Design but business compliant

SID History bis repetita

Voila presque deux ans j’avais publié un article sur les problèmes de SID-HISTORY. Alors que je suis de nouveau sur un projet de migration Active Directory avec ADMT, j’ai voulu savoir si Microsoft avait corrigé la problématique de l’époque avec Windows 2008. On pourrait penser qu’avec Windows 2008 R2 et même un Service Pack 1, Microsoft aurait corrigé le problème. Et bien il n’en est rien.

 

Microsoft a juste actualisé la KB969030 pour indiquer que la problématique concerne aussi Windows 2008 R2 dans son édition française. Au passage, j’ai trouvé un workaround au problème : Réaliser la désactivation du filtrage de SID depuis le domaine source fonctionnant sous Windows 2003. La au moins la commande fonctionne.

 

Règle à noter pour les futurs projets de migration : Les bugs de migration restent constants!

 

Benoits – Simple and Secure by Design but business compliant