mars 2024

DSC, Exchange, PowerShell

DSC myAdExchPrepareSchema.psm1

How to Exchange Prepare Schema with PowerShell DSC During some automatized deployments, as often, we have to deploy Microsoft Exchange 2016 automatically. The well-known module https://www.powershellgallery.com/packages/xExchange/ does many things, but no Exchange preparation on a fresh AD. Here is a simple DSC Code which checks if AD schema is at the right version if not, launch Exchange setup with the correct parameters Code Import-Module $PSScriptRoot..myAdHelper.psm1 -Verbose:$false function Get-TargetResource {     param  (   [System.String]$ExchSchemaVersion,   [parameter(Mandatory = $true)]   [System.String]$Path,    [parameter(Mandatory = $true)]  [System.String]$Path,    Import-Module $PSScriptRoot..myAdHelper.psm1 -Verbose:$false function Get-TargetResource { param ( [System.String]$ExchSchemaVersion, [parameter(Mandatory = $true)] [System.String]$Path, [parameter(Mandatory = $true)] [System.String]$Arguments, [System.Management.Automation.PSCredential]$Credential ) $Schema = ReplacePartitionTokens -Identity « %%schema%% » -Credential $Credential myGetAdObject -Identity « CN=ms-Exch-Schema-Version-Pt,$Schema » -Credential $Credential -Properties @(‘rangeUpper’) } function Set-TargetResource { [CmdletBinding()] param ( [System.String]$ExchSchemaVersion, [parameter(Mandatory = $true)] [System.String]$Path, [parameter(Mandatory = $true)] [System.String]$Arguments, [System.Management.Automation.PSCredential]$Credential ) StartAndWaitWaitForProcessEnd -Path $Path -Arguments $Arguments -Credential $Credential -Delay 7200 -Verbose -TaskName ‘EXCHANGE – PrepareSchema’ -ProcessToWaitFor ‘ExSetup*’ } function Test-TargetResource { [CmdletBinding()] [OutputType([System.Boolean])] param ( [System.String]$ExchSchemaVersion, [parameter(Mandatory = $true)] [System.String]$Path, [parameter(Mandatory = $true)] [System.String]$Arguments, [System.Management.Automation.PSCredential]$Credential ) $Result = $true $Version = Get-TargetResource @PSBoundParameters if ($Version) { if ([uint32]$Version.rangeUpper -lt [uint32]$ExchSchemaVersion) { $Result = $false } } else { $Result = $false } $result } Export-ModuleMember -Function *-TargetResource Module Call     myAdExchPrepareSchema ExchangePrepareSchema     {      ExchSchemaVersion = ‘15317’   #CU3 15326      Path = « $($ConfigurationData.Binaries.Exchange2016)Setup.exe »      Arguments = ‘/PrepareSchema /IAcceptExchangeServerLicenseTerms’      Credential = $DscCredentials      DependsOn = @(‘[xPendingReboot]BeforeExchangePreparation’)     }

Azure, Office 365, Sécurité

Risques liés à Office 365 et Azure

Contexte La méconnaissance Office 365 et Azure de certains DSI me fait très peur.Cela s’adresse également à certains soit disant auditeurs et experts sécurité. Quand nous incluons systématiquement dans nos contrats MSP une gestion Office 365 et Azure, les clients me demandent pourquoi?Et bien, je vais leur répondre en reprenant la liste des risques identifiés par le CLUSIF. https://clusif.fr/content/uploads/2019/09/Cartographie-o365-CLUSIF-2019.pdf Cette liste publique n’est pas exhaustive, mais donne déjà une bonne base justifiant nos offres de service.J’en rajouterai bien d’autres mais on les réserve pour nos clients. Risque SAAS – Vol et Usurpation d’identité– Non maîtrise de la réversibilité– Mauvaise gestion des identités et des accès– Fuite de données incontrôlée– Modification majeure des fonctionnalités– Saturation réseau à la suite d’une évolution des usages– Altération / perte de données– Indisponibilité du service Gestion du tenant – Mauvaise gestion des arrivées/départs– Mauvaise gouvernance des services– Perte de traçabilité des actions des administrateurs– Non ségrégation de l’administration– Absence de surveillance des comptes à privilèges– Non adéquation de l’équipe d’administration– Administration depuis un appareil compromis– Erreur / méconnaissance de l’administrateur– Fédération identités mal maîtrisée (Azure AD)– Mauvaise gestion des clés du tenant par l’organisation– Non maîtrise des montées de version des services– Mauvaise gestion des droits des invités Risques collaboration – Fuite via des partages trop permissifs– Mauvaise gestion des groupes O365– Mauvaise gestion des permissions sur un partage– Fuite via le partage d’un lien anonyme– Diffusion de fichiers malfaisants– Usage non conforme à la charte Risques Communication – Redirection malveillante de messages– Ingénierie sociale (phishing) ciblée O365– Délégation non maîtrisée par l’utilisateur– Usurpation de domaine messagerie– Fuite de données via un service tiers– Utilisation d’anciens protocoles (imap, pop3)– Mauvaise configuration de la rétention Appareils – Usage depuis un appareil compromis– Usage depuis un appareil perdu/volé– Usage depuis un appareil non maîtrisé Risques Développement – Secrets d’authentification non protégés– Mauvaise gestion des droits– Mauvais paramétrage Oauth– Fuite par détournement de fonctionnalité– Interface mal contrôlée avec une application Risques Bureautique (Word, Excel, …) – Exécution de codes malveillants – Incompatibilité à la suite d’une mise à jour Lois – Risque financier / maîtrise des licences– Non-conformité réglementaire– Difficulté à répondre à une réquisition judiciaire

Événements, Non classé, Windows 11

Comment bloquer la mise à jour vers Windows 11

La mise à jour vers Windows 11 sera diffusée gratuitement à tous les PC compatibles, toutefois il est possible que certaines applications ne fonctionnent pas sur Windows 11. Par exemple, il n’y a pas d’ Internet Explorer dans Windows 11 ! Pour toutes ces raisons mais également pour maitriser la mise à jour de votre parc, vous pouvez décider de bloquer la mise à jour vers Windows 11. Méthode WSUS Si vous utilisez WSUS pour gérer vos mises à jour Windows, il n’y a rien à faire :Windows 11 étant un nouveau produit, tant que vous ne le sélectionnez pas dans votre console, vous n’aurez pas les mises à jour proposées pour Windows 11.Faites toutefois attention, à la possibilité des postes d’aller chercher des mises à jour directement sur internet. Dans ce cas là, la méthode suivante peut vous être utile. Méthode Windows Update for Business Tout d’abord commencez par télécharger les paramètres de stratégie de groupe de la dernière version de Windows 11 21h2 qui possèdent de nouvelles options (Lien de téléchargement ici). Une fois installé sur votre contrôleur de domaine, vous obtiendrez les paramètres suivants :Configuration Ordinateur > Stratégie > Modèle d’Administration > Composant Windows > Windows Update > Gérer les mises à jour proposées de Windows UpdateUtiliser le paramètre Sélectionner la version de la mise à jour des fonctionnalités cible Entrez les informations de la version ciblé, ici la dernière version de Windows 10 21H2 : L’ensemble des versions possible sont disponibles ici : aka.ms/WindowsTargetVersioninfo Si vous voulez le faire sur votre PC, vous pouvez lancer la console GPEdit.msc à partir de la boite Exécuter ( Touche Windows + R) et vous obtiendrez les mêmes paramètres. Voila vous savez maintenant comment empêcher vos postes de se mettre à jour vers Windows 11 !N’hésitez pas à laisser un commentaire et à partager si cela vous a été utile.

Événements, Exchange Server, Non classé

Comment répliquer des connecteurs Exchange

Context Audit Let’s get backup Exchange Reference Receive-ConnectorsGet-ReceiveConnector -Server $env:COMPUTERNAME | Export-Clixml -Path C:\EXPLOIT\$($env:COMPUTERNAME).ReceiveConnectors.xml Merge Connectors On the destination computers, let’s get only our usefull smtp relays. In the case above, we get back ‘Linux Relay’ and ‘SMTPRELAY’.We will ignore all other connectors. New Connector Here, we create a new relay connector on destination servers named ‘SMTP Relay’, and activate extended right ‘ms-Exch-SMTP-Accept-Any-Recipient’ in order to allow SMTP relaying. For the moment, only 127.0.0.1 will be allowedNew-ReceiveConnector -server $env:COMPUTERNAME -Name ‘SMTP Relay’ -Bindings ‘0.0.0.0:25’ -RemoteIPRanges 127.0.0.1 -usage Custom -TransportRole FrontendTransport$Rcv = Get-ReceiveConnector « $($env:COMPUTERNAME)\SMTP Relay »$Rcv | Set-ReceiveConnector -fqdn ‘smtprelay.mydomain.local’ -permissiongroups AnonymousUsers -AuthMechanism None -Banner ‘220 SMTP OK’ -ProtocolLoggingLevel Verbose$Rcv | Add-ADPermission -User ‘ANONYMOUS LOGON’ -ExtendedRights « ms-Exch-SMTP-Accept-Any-Recipient » Add allow IP addresses to relay And now, we only allow $IPs to relay, so easy …

Protection, Sécurité, Veeam

L’externalisation des sauvegardes des machines virtuelles avec Veeam Cloud Connect

Une de nos missions concerne la protection des données numériques de nos clients. Afin de toujours mieux les sécuriser, nous proposons désormais une offre de sauvegarde des données externalisée grâce à la solution Veeam Cloud Connect. Comment ça fonctionne ? Besoin d’externaliser les sauvegardes de vos machines virtuelles ou serveurs physiques chez un hébergeur ? Anvole vous met à disposition un espace de sauvegarde hébergé dans nos Datacenters ISO 27001 basés en France (en métropole lilloise). Notre partenariat « Veeam Cloud Provider » et notre infrastructure sécurisée, nous permettent de fournir des volumes de stockage et de les connecter à votre serveur Veeam Backup & Replication, afin de réaliser des sauvegardes distantes.Dès lors, vos données sont envoyées vers notre plateforme Veeam cloud provider et de manière totalement sécurisée. Pourquoi externaliser la sauvegarde des données ? L’avantage à l’externalisation des sauvegardes, c’est surtout en cas de crash des serveurs ou des machines hébergées en interne (on le sait, ça peut arriver… erreur humaine ou matérielle), et bien il y a une sauvegarde sur un espace de secours. En fait, il s’agit d’une duplication de sauvegarde pour une meilleure protection des données. L’administration des sauvegardes se fait aussi de manière totalement autonome puisque le client ayant souscrit à une offre Veeam Cloud Connect (VCC), accède à son espace de sauvegarde directement via son serveur Veeam B&R OnPremise ou dans un autre Datacenter. La rétention des données est également personnalisable, il peut définir de faire un backup tous les jours, semaines, mois, etc. Et en cas de restauration des données complète ou granulaire, il pourra le faire en toute autonomie. Anvole peut aussi se charger de toutes les étapes du processus, aussi bien la création de l’espace de sauvegarde, des backups, de la rétention et de la supervision. Enfin, et ce n’est pas anodin, cela permet de réduire les coûts d’hébergement (matériel, consommation électrique, entretien, etc.) puisqu’il n’y a pas besoin d’investir dans une seconde infrastructure de stockage/archivage. Par conséquent, cela réduit également l’impact sur l’environnement et n’est pas négligeable non plus pour une transformation numérique responsable.

Événements, News, Non classé, Sécurité

Protégez vos identités avec des authentifications multifactorielles.

Protégez vos identités avec des authentifications multifactorielles, ainsi, un simple login/mot de passe ne suffit plus pour se faire passer pour le vrai expéditeur. Que ce soit Microsoft Authenticator (oubliez les SMS dont les puces GSM sont trop facilement falsifiables), des clés de type Yubicon ou autres cartes à puce, imposez le MFA partout pour ne pas vous faire usurper votre identité. Ce matin, je reçois un email « légitime » d’un fournisseur « légitime ».J’ai bien failli cliquer sur le lien, mais comme le lien n’est pas affiché, je le survole pour voir ce qu’il en est de l’URL véritable. Un lien vers OneDrive 1drv.ms … Ma curiosité est piquéeUne petite requête PowerShell Invoke-WebRequest pour voir ce que l’on essaie de me faire ouvrir – Ca ressemble à OneNote ??? OK, j’y vais franco avec une VM isolée car le décodage des scripts n’est pas aisé La ficelle est vraiment grosse, mais sur un téléphone où l’on ne voit pas les URL, ça pourrait le faire. Bref:– ne laisser pas mémoriser vos mots de passes dans vos navigateurs– exigez une authentification supplémentaire pour ne pas vous faire usurper votre identité– ces règles de base sont d’autant plus vraies pour protéger les VIP et autres administrateurs à droits privilégiés Pour information:

Retour en haut