Archives de catégorie : GPO

Les restricted groups sous stéroïdes

Pour une fois, pas de torture. Ce sera tout ce qu’il y a de plus simple pour traiter un problème complexe.

 

Les restricted groups (ou groupes restreints) sont une fonctionnalité natives des stratégies de groupe depuis Windows 2000. Le principal intérêt de cette fonctionnalité est de pouvoir contrôler les membres des groupes locaux de nos serveurs et stations de travail.

D’un point de vue sécurité, la fonctionnalité est intéressante pour les stations de travail. Par contre coté serveurs, cela devient très vite lourd à gérer car on a besoin d’une GPO pour chaque configuration à propager. C’est encore plus problématique. Multiplier le nombre de stratégie de groupes n’est pas la solution.

Dans le contexte d’un projet VDI, j’ai eu à élaborer la gestion des droits administrateurs accordés sur les machines virtuelles, c’est juste une usine à gaz à gérer, c’est pas si simple que de positionner un compte dans le groupe local administrateur, surtout à l’échelle de plusieurs milliers de postes. Je recherchais donc une nouvelle approche. Techniquement l’approche que j’avais était bien tout-terrain mais trop complexe à mettre en œuvre.

 

En discutant avec l’auteur d’ADMPWD, j’ai découvert sa nouvelle création : Dynamic Local Admin. Comme pour ADMPWD, cela fonctionne sous la forme d’une Client-Side Extension des GPO qui vient compléter les "Restricted groups" en utilisant comme source le contenu de l’attribut ManagedBy du compte ordinateur dans l’Active Directory. La solution est simple et élégante car :

  • Contrairement à ADMPWD, pas besoin d’extension de schéma
  • On peut individualiser la configuration pour chaque ordinateur (positionner un compte utilisateur ou un groupe)
  • On peut déléguer la gestion de l’attribut ManagedBy
  • Pour auditer, plus besoin d’interroger chaque système

 

Coté mise en œuvre, il n’y a rien de plus simple :

  1. Installer le package MSI sur les stations / serveurs membre du domaine
  2. Importer les fichier ADMX / ADML
  3. Configurer une stratégie de groupe pour activer l’unique paramètre

clip_image001

Plus simple, c’est pas possible. Après, il n’y a plus qu’à peupler le contenu des attributs ManagedBy dans l’annuaire Active Directory et laisser les stratégies de groupe opérer.

Dans le contexte d’un projet Poste de travail, cette simple solution simplifie pas mal de choses. Plus besoin de gérer l’appartenance aux groupes locaux à distance et de devoir gérer les différentes problématiques (firewall, latence, VM offline, …). Tout est centralisé dans l’annuaire Active Directory. Le seul problème que pose cette approche, c’est la gestion de la compliance. Nous sommes nombreux à utiliser Desired Configuration Management (DCM) pour vérifier que les membres du groupe local administrateurs de nos stations de travail est bien conforme à ce qu’impose la sécurité et y remédier si nécessaire. La, cela va se compliquer un peu.

Bref, un must to have dans un projet poste de travail. En plus, pour une fois, c’est simple.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

MS14-025: Vulnerability in Group Policy Preferences could allow elevation of privilege

Les GPO de préférences sont une évolution intéressante des GPO introduite avec Windows 2008. Cependant, il y a une petite faiblesse que Microsoft a enfin corrigé. Les GPO de préférences peuvent être utilisées pour créer/ mettre à jour des comptes de services sur les systèmes gérés. Problème, il faut bien stocker le mot de passe dans la GPO. Avec un peu de recherche dans le répertoire SYSVOL d’une GPO utilisant la fonctionnalité incriminée, on trouve le fichier GROUPS.XML :

INITIALDISCLOSE

Déjà en 2009, l’équipe Group Policy reconnaissait que les mots de passe manipulés par les GPO de préférence étaient plus “masqués” que “chiffrés” et qu’il fallait bien évaluer le risque. A la vue de l’illustration ci-dessus, on pourrait penser que le mot de passe est bien chiffré. Vrai, il est chiffré en AES 256 et faux car la clé est disponible sur le MSDN. Pour vous en convaincre, exécutez le script Get-SettingsWithCPassword.ps1 mis à disposition avec la KB2962486 (il faut toujours lire un KB jusqu’au bout).

DISCLOSE1

Dans l’illustration ci-dessus le script a identifié une GPO avec un mot de passe masqué. Il a juste été nécessaire d’accéder à mon répertoire SYSVOL ou a une sauvegarde des GPO. Pour rappel toute GPO est librement accessible en lecture par défaut. 

Installer la KB2962486 ne fait que bloquer l’usage de la fonctionnalité, cela ne fait pas le ménage à votre place (d’ou l’intérêt de lire une KB jusqu’au bout). Le problème, c’est qu’il y a des développeurs Powershell talentueux qui ont développé des scripts plus complet, voire même trop  :

FINALDISCLOSE

Dans l’exemple ci-dessus, le script va jusqu’à révéler le mot de passe associé au compte “SECOURS_ADM”. Pour rappel, cette information est en libre accès (sauf si on retire le droit “read” sur la GPO pour les utilisateurs).

Que fait la KB alors? Ben elle corrige l’interface d’édition des stratégies de groupe de préférence pour nous empêcher d’utiliser la fonctionnalité.

NEW

C’est bien mais pour cela, il faut s’assurer de patcher tous les systèmes sur lesquels un administrateur utilisera l’éditeur de stratégies de groupes pour manipuler son contenu. Cela implique donc de patcher :

  • Les contrôleurs de domaine (GPMC est nativement installé)
  • Les serveurs membres (GPMC est potentiellement installé)
  • Les stations de travail (GPMC peut être installé si les RSAT sont installés)

 

En conclusion :

  • Abandonnez immédiatement l’utilisation des GPO de préférence pour manipuler les comptes & mots de passe
  • Faites la chasse aux stratégies de groupe utilisant cette fonctionnalité
  • Installez le correctifs sur tous les systèmes ou GPMC est potentiellement installé (pour éviter qu’un Administrateur ne recréé une GPO de préférence avec un mot de passe)
  • Formez vos Admins pour ne plus utiliser cette fonctionnalité!

 

Enfin, si c’est pour gérer le mot de passe Administrateur local de vos stations de travail, la solution ADMPWD est faite pour cela.

 

BenoitS – Simple and Secure by Design but Business compliant

GPO pour Windows 8 et Windows Server 2012

Microsoft tiens à jour un fichier Excel référençant tous les paramètres de stratégies de groupe disponibles en fonction des systèmes d’exploitation. La dernière version de ce tableau inclus donc Windows 8 et Windows Server 2012. Celui-ci est disponible à l’emplacement suivant :

 

Cette nouvelle version précise maintenant :

  • Le niveau de schéma / domaine nécessaire
  • S’il est nécessaire de redémarrer/ fermer la session pour que le paramétrage prenne effet

 

Une mine d’information à conserver précieusement.

 

BenoîtS – Simple and Secure by Design but Business compliant

Group Policy search updated version

The Group Policy Search service is a web application hosted on azure that provide a good way to search for group Policy Parameters. The 1.1.4 version now support Windows 8 and Windows Server 2012 and is available at the following URL : http://gps.cloudapp.net/.

 

Note that this great source of information is also available as a Windows Phone application, and it’s free : http://www.windowsphone.com/en-US/apps/d1615909-62e2-df11-a844-00237de2db9e.

 

Now you have no excuse

 

BenoîtS – Simple and Secure but Business compliant by design

Group Policy Search

Voila une application Azure intéressante : Group Policy Search. Elle permet d’avoir une vue d’ensemble de ce qu’il est possible de faire avec les stratégies de groupe. l’application permet de filtrer selon :

  • le système d’exploitation
  • le type de paramètre
  • La version d’Internet Explorer

 

Le plus intéressant, c’est que l’application autorise aussi la recherche inversée, à savoir partir d’une clé de registre pour retrouver le paramètre de stratégie de groupe. C’est donc bien plus efficace que le fichier Excel dont on disposait jusqu’à maintenant.

 

Benoîts – Simple and Secure by Design (J’insiste sur le Secure)