Alors de quel mécanisme de sécurité vais-je aborder ?

Dans l’ère du temps, nous parlons sans cesse de PAM¹, PIM², ZTNA³, termes qui jusqu’il y a quelques années étaient obscurs et commençaient tous justes à émerger. Si aujourd’hui ces termes sont incontournables, je m’interroge à implémenter ces derniers dans un environnement OnPremise (pour ne pas dire mon environnement) en tenant compte :

• Du modèle de tiering de l’infrastructure
• De la segmentation en place des rôles et permissions
• Du durcissement de sécurité

Toutefois et encore une fois, comme le disait un ancien collègue la sécurité ce n’est pas pratique et je souhaite mettre en place une certaine souplesse à certains comptes utilisateurs bien identifiés.

Pif, PAM, Pouf, Je suis informaticien ; Pif, PAM, Pouf ça c’est vraiment trop bien !

Donc me voilà parti pour l’étude et l’implémentation d’une des fonctionnalités PAM fournit par Windows, l’appartenance temporaire à un groupe ou Temporary Group Membership (TGM⁴).

Avant-Propos

Je pars du principe que nous avons un environnement Windows avec un contrôleur ADDS⁵. Ce dernier est OnPremise est non hybride (pas de jonction avec AAD⁶).

Notre architecture se base sur la segmentation en tiering de notre SI⁷ et notre ADDS est durci selon les préconisations de l’ANSSI⁸.

L’objectif que je me fixe est donc de mettre en place la fonctionnalité d’attribution de droit d’administration temporairement à un utilisateur sans à avoir de :

• Créer un compte d’administration dédié à un usage ponctuel
• D’attribuer les droits d’administration (domaine ou local) permanent

Comme d’accoutumé (car nous ne changeons pas les bonnes vieilles habitudes) l’environnement Windows sera durci selon les bonnes pratiques et j’utiliserai mes deux contrôleurs de domaine 2025 en CORE.

Prérequis

• SE :
  • Windows Server : 2k16 et version ultérieures
• Apps :
  • ADDS
• Autres :
  • Non applicable

Théorie

Il est important de comprendre comment fonctionne et ce qu’apporte l’ajout de la fonctionnalité « Privileged Access Management Feature ».

Il est impératif et primordial que l’ensemble des serveurs AD soit au minima en version WS 2k16 et donc que le schéma de la forêt soit en version 2016.

Au vu des derniers propos énoncés, nous pouvons nous douter que nous allons altérer le schéma de notre AD. Ce qui est implicite (mais enfonçons une porte ouverte), l’installation de cette fonctionnalité sera irréversible (oui c’est une extension du schéma… La base j’en encore envie d’écrire. Oups c’est fait).

Extension du schéma Active Directory

Je juge important de savoir ce qui va être ajouté. C’est pourquoi une sous partie va être nécessaire pour regarder plus en détail la liste des nouveaux objets et attributs.

La liste n’est pas longue. Toutefois il convient de rappeler que « ce n’est pas le nombre d’objet qui fait la force » mais leur usage.

Et avec tous les points, quand est-il des risques ? Oh quasi rien (#MDR)

Risques

Structurels

L’un des premiers risques seraient lors du déploiement de la fonctionnalité. Il est important de bien prendre en compte le côté irréversible de l’opération. Je recommanderai de vérifier en amont l’état de santé des DCs et de la topologie souhaitée. L’objectif étant de ne pas se coltiner une dette technique des familles à la suite d’une mauvaise conception.

Délégations

Attention à la délégation sur notre container (CN=Shadow Principal Configuration). Si ces derniers sont trop larges un type comme Waldo peut se définir Admin du Domain en créant un ShadowPrincipal. Et hop ! Une escalade invisible…

Sécurités

Continuons de parler d’escalade (perso, moi c’est le bloc jusqu’à ce que je ni**e deux ménisques), le risque d’une escalade furtive et temporaire…

Les mécanismes PAM octroyant des droits temporaires, l’usage d’un compte admin temporaire serait peu visibles dans les journaux d’audit et sont souvent peu, voire mal surveillés. Ainsi, un attaquant peut devenir Admin du Domain pour 1 heure réaliser une opération de type DCsync plus la création d’une backdoor et ce je la jouer à la David Copperfield…

Une attaque directe par ShadowPrincipals à travers un compte compromis ayant les droits PAM. De cette manière, notre Charlie ou Waldo peut créer un ShadowPrincipal ajoutant un TTL à un groupe d’administration (Tiers 0) sans à avoir besoin de modifier directement le groupe. Cette méthode permettrait de contourner un grand nombre de mécanisme de sécurité en place.

L’attaque par SID, le classique des classiques. Comme vu précédemment, l’attribut msDS-ShadowPrincipalSid accepte des SID internes et externes (dans le cas de forêt approuvé). Ainsi, une mauvaise gestion des relations d’approbations ou la compromission d’une forêt externe donnerait automatiquement un accès privilégié au SI local.

Opérationnels

La perte d’un accès administrateur qui aurait été délégué sur une mauvaise évaluation de la durée du TTL pourrait être lourd de conséquence. Risque de ne plus être administrateur durant une opération critique nécessitant les droits d’administrations par exemple et donc de se retrouver totalement bloqué.

Une complexité trop élevée peut également relever d’un frein. Cela peut rendre les débogages longs et fastidieux (un peu comme ma b**e… Très très drôle M’sieur…) ainsi que des comportements inattendus. La pire chose possible reste la mauvaise formation des équipes et le risque d’erreurs fréquentes par les équipes de Niveau 0 ou 1.

Gouvernances et Humains

De la mauvaise formation des équipes relèvent souvent de processus non définis ou totalement ignoré. Ainsi il ne serait pas rare d’assigner des TTLs trop longs dans le temps pour avoir la paix (qu’est-ce que la sécurité peut être pénible) ou de définir des TTLs trop courts et d’enchainer les élévations temporaires.

Se pose alors la question de « Mais à quoi sert le PAM finalement ? »

L’excès de confiance et son mauvais usage peut entrainer un faux sentiment de sécurité. Le PAM a été implémenté, nous ne risquons rien. Sauf que les comptes d’administrations ne sont pas protégés correctement et dans le cas de compromission d’un poste admin… Je ne fais pas de dessin hein ?

Audits et Conformités

Comme inscrit précédemment, les journaux d’évènements sont assez difficiles à identifier et à corréler dans le cadre d’attribution temporaire des droits. Ainsi, l’expiration d’un TTL n’est pas un évènement clair pour l’audit. Ce qui peut facilement limiter l’analyse et le diagnostic de la part des équipes.

C’est pourquoi il va être nécessaire de porter une vigilance particulière sur les événements suivants :

Event ID	Description / Rôles / Types
4728	Ajout à un groupe global
4732	Ajout à un groupe local
4756	Ajout à un groupe universel
4729	Expiration ou Suppression à un groupe global
4733	Expiration ou Suppression à un groupe local
4757	Expiration ou Suppression à un groupe universel
5137	Création d’un objet
5136	Modification d’un objet
5141	Suppression d’un objet
4672	Attribution de privilège élevés
4624	Logon d’un compte ayant des droits d’administration
4634	Logoff d’un compte ayant des droits d’administration
4648	Logon explicite d’un compte ayant des droits d’administration
4662	Accès d’objets AD sensibles
4719	Modification audit policy
1102	Effacement des journaux
4768/4769	Kerberos (corrélation des TTLs)

A cela s’ajoute les diverses solutions du marché qui viennent auditer la santé des SIs et notamment celui des AD. Ces derniers ne prennent pas en compte l’attribut member;TTL et ShadowPrincipal. Les SIEMs¹⁴ valant paroles d’évangiles pour les SOCs¹⁵, hop ni une ni deux l’informations passent à la trappe.

Recommandations

Les objectifs sont de pouvoir garantir AUCUN accès administrateur permanent afin d’obtenir une élévation temporaire, traçable et approuvée (je reviendrai sur ces points dans la partie pratique). Tout cela afin de contenir et maitrisé en cas de compromission l’impact ainsi que la surface d’exposition.

Il est également primordial de comprendre que l’usage du PAM au sens windows du terme ne doit servir que pour :

• Admin du Domaine
• Administrateur de l’entreprise
• Administrateur du schéma
• Administrateurs DC¹⁶
• Autres (Comptes ADCS¹⁷, ADFS¹⁸, AAD Connect)

L’usage pour du helpdesk ou pour des serveurs applicatifs doit être proscrit. Ce qui est logique car il revient à Services Informatiques d’arbitrer sur les demandes utilisateurs. Néanmoins, pour octroyer des droits d’administrateur à un stagiaire ou prestataire ça fonctionne très bien mais encore une fois sous réserve DE certains mécanismes.

Cela passe donc par plusieurs axes.

Architecture

Il est important de noter qu’avant toutes choses, les serveurs en Tiers 0 ne doivent pas avoir accès à internet en dehors des URLs approuvés (et c’est non négociable) et ne doivent contenir QUE les logicielles d’architecture et de sécurité (donc vous me virez vos salop***ies de NinjaRMM, LogMeIn, TeamViewer et compagnie).

• URLs des serveurs antivirus (genre TrendMicro etc)
• URLs des serveurs de mises à jour Microsoft

Il va de soi qu’étant en Tiers 0, le réseau est isolé et filtré en entrée et sortie. Il n’y a pas d’administration direct depuis une ressources de Tiers 1 ou 2.

Ci-contre, la topologie comme cette dernière devrait l’être avec MIM et PAM. Le fait d’intercaler un server MIM-PAM entre notre ADDS et nos postes clients permettent d’user comme dit précédemment des mécanismes d’approbations de workflow et d’automatisation. Le serveur PAM doit être vu comme un bastion dans un réseau isolé de niveau T0.

La mise place d’une telle architecture va être relativement complexe pour moi au vu des ressources disponibles niveau homelab. Je vais donc me passer du serveur intermédiaire MIM PAM.

Cette topologie est compatible et valide bien qui moins recommandée quant aux risques accrus relatif à l’audit et d’un contrôle moins efficace. Cela nous demandera donc en contrepartie d’être irréprochable sur les groupes, droits et permissions lié à la délégation. Il sera nécessaire d’avoir un regard et contrôle réguliers des scripts Powershell.

Donc me concernant je resterai sur mon modèle en place de tiering T0-T1-T2 avec segmentation et contrôle des flux.

Comptes & IDs

Cela me semble logique, mais important de le répéter il ne faut en aucun cas user d’authentification interactif et de ne pas utiliser de compte administrateur. Et cherry on the cake, les comptes sont TOUJOURS nominatifs (oui même pour vous les éditeurs).

Ainsi, pas de compte admin permanent. 🙂

Néanmoins, il est important d’avoir des comptes brises-glaces afin de ne pas se couper l’herbe sous le pied. Dans la logique il en faudrait minimum deux et selon l’ANSSI maximum deux (Décidemment la sécurité c’est borderline). Naturellement ces comptes doivent être utilisés en cas d’extrême urgence et lors de leurs usages une alerte doit être notifiée.

Ce qu’il faut comprendre avec PAM, nous ne mettons pas tous nos œufs dans le même panier.

Nomenclatures des groupes

Après ce qui a été dit dans le volet ci-haut, il est nécessaire de définir des GGS¹⁹ propres au PAM et d’ajouter ces derniers en tant que membre des groupes adéquates.

Ainsi pour ma part j’userai de la nomenclature suivante :

GGS_PAM_NOM_Elevation

Simple et efficace.

Durée de vie

Crucial dilemme de la définition de la durée de l’élévation de droit temporaire… Dans la logique une intervention standard est de 30 à 60 minutes en cas de crise nous pourrions définir 120 minutes maximum. Toute durée supérieure à 2 heures et donc interdit.

Oui mais voilà, je dois faire une opération sensible en tant que SysAdmin sur un SI sur la journée comment je fais ?

Excellente question à laquelle je répondrai, nous sommes SysAdmin et donc nous avons l’accréditation pour intervenir sur notre SI. Donc je n’utiliserai pas PAM mais le système classique de mon compte utilisateur avec élévation de droit avec mon compte administrateur délégué ou super administrateur.

Mon presta doit faire une montée de version de la solution applicative sur l’un de nos serveurs pour la journée soit 7 heures de boulot. Comment tu réponds à ça Monsieur jesaistout ?

J’ai pour habitude de ne jamais laissé un prestataire intervenir seul sur mon SI ou un SI sous ma responsabilité. Donc je passe ma journée à surveiller d’un coin de l’œil ces actions. Et dans son cas, je me note de renouveler personnellement toutes les deux heures ça durée de vie. Généralement il n’y a pas trop besoin car le prestataire est administrateur local du serveur mais certaines fois il est nécessaire de lui octroyer les droits d’administrations du domaine (et ça, ça fait froid dans le dos et en dit long sur la topologie de la solution applicative…).

En complément, il en va de soi mais la tacite reconduction des renouvellements des TTLs et à bannir et encore une fois pas de TTL trop long par ne pas être emme**é toutes les deux minutes.

Bien je pense qu’avec tout ça nous en savons assez pour passer à la pratique non ?

Pratique

Installation

Commençons par vérifier le niveau fonctionnel de notre forêt. Nous retrouvons la commande qui devient normalement un automatisme maintenant 🙂

> Get-ADForest

La preuve à l’appui, ci-contre la preuve que pour l’attribut ForestMode la valeur Windows2016Forest est présente. Donc les prérequis sont atteints. Néanmoins, je recommande un petit contrôle de santé de l’AD par précaution et actions avant de poursuivre.

Vérifions maintenant si la fonctionnalité est déjà présente ou non sur notre SI.

> Get-ADOptionalFeature -Filter "name -eq 'Privileged Access Management Feature'"

Si la valeur de l’attribut EnabledScopes est vide, la fonctionnalité n’est pas déployée sur le système. Sinon ba elle l’est déjà. Evident Cap’taine Obvious !

Activons alors cette fonctionnalité.

/!\Attention : C’est à ce moment que l’opération devient irréversible. Et deuxième point de vigilance il faut que nous soyons administrateur du schéma temporairement

> Enable-ADOptionalFeature 'Privileged Access Management Feature' -Scope ForestOrConfigurationSet -Target ronelab.lan

Il suffira de valider le déploiement en activant la touche T pour oui pour tout. Et quelques secondes plus tard, c’est terminé. Oui tous ces mots pour ça… Il faut bien faire durer le plaisir non ? <3

Si nous voulons vraiment valider le bon déploiement de notre fonctionnalité, nous pouvons rappeler la seconde commande ci-haut pour vérifier les paramètres d’activation de notre scope.

Nous constatons donc que cette dernière n’est plus vide ou $null. Nous pourrions également aller nous balader dans la configuration de notre AD pour trouver notre container.

Place à l’assignation temporaire des droits 🙂

Attribution temporaire

Bhin alors comment qui font qu’on fait pour assigner des droits temporaires ?

De la manière la plus simple du monde gazier, même si au passage il faudrait parler un langage au minima courant plutôt que familier.

Pour se faire, un compte admin et un accès à l’un de nos DCs en powershell (où au DC en lui même). Je proscris volontairement les RSATs. Pourquoi ? Parce qu’un DC doit être le plus isolé possible.

# Définir notre TTL en secondes en tant que variable de type Timespan
> $ttl=New-TimeSpan -Hours 1 -Minutes 15
# Ajouter notre utilisateur temporairement au groupe
> Add-ADGroupMember -Identity "GGS_PAM_AdminDomain_Elevation" -Members "john.doe" -MemberTimeToLive $ttl

Et c’est tout. Je vous l’avais dit, rien de bien difficile. Un peu de RTFM et de ligne de commande… Ce qui est intéressant c’est de s’attarder sur les événements de sécurité. Nous retrouvons avec exactitude ce que nous avons énoncé dans la partie théorie concernant le périmètre d’audit.

Ouai mais alors comment vérifier que notre utilisateur à bien des droits qui court dans le temps ?

Vérifications et Analyses

Soyons un peu curieux et penchons nous dans les attributs de notre objets utilisateurs, groupe d’élévation (auquel appartient notre utilisateur) et notre groupe final.

No Surprise ! Il n’y a rien !

Etonnant non ? 🙂 J’ai été surpris et j’ai donc reparcouru la documentation en long, large diagonale… Pourquoi pouvons nous obtenir l’information en powershell (oups j’ai divulgâché la suite) et pas en GUI ?

C’est là que c’est malin. La durée de vie se trouve sur le lien entre l’objet utilisateur et le groupe d’appartenance (rien sur le groupe cible ce qui est logique).

> Get-ADGroup -Filter * -Properties members -ShowMemberTimeToLive | Where-Object {$_.members -match "TTL*"}

Et donc côté Kerberos qu’est ce qui se passe ? La documentation en parle et nous invite à être vigilant sur ces événements (4768 et 4769). Naturellement comme tout ajout à un groupe, il est nécessaire de fermer et d’ouvrir de nouveau la session pour prendre en compte le changement.

#Dans le contexte de l'utilisateur
> klist

Nous pouvons donc constater (modulo mon temps d’ouverture de session) que notre TGT20 à une durée de 1h11 / 1h15. Ce qui correspond à la durée définit dans notre délégation. Une fois le temps imparti passé, le ticket sera renouvelé et donc les droits temporaires d’administrations retirés.

Et alors côté journaux d’événements qu’elles sont les nouvelles ma sœur Anne (#BARBEBLEU) ?

J’ai envie de dire il suffit de parcourir les journaux d’évènement de sécurité.

Bon par contre ne nous cachons pas c’est un peu pénible pour ne pas dire casse-cou***e de taper les requêtes powershell. Il faut définir le TTL, connaitre les SAMs des utilisateurs, connaitre les groupes. Bref, source d’erreur à gogo. Alors à votre avis en tant que fainéant qu’ais je bien pu faire ? 🙂

Applications

Oui, cela peut paraitre étrange, mais j’ai réalisé une application GRAPHIQUE. Un jour à marquer dans les calendriers FOR SURE d’une bière blanche !

J’ai commencé à faire l’outil en PS CLI, mais j’ai vite trouvé que cela n’était pas ergonomique. Alors je me suis demandé pourquoi ne pas réaliser une application en VB.NET ? Flemme monstrueuse. Puis pourquoi pas reprendre une frustration passé du GUI en powershell ?

Hé bien voilà, que je réouvre une vieille blessure et alors quel pied put**n ! Je me suis éclaté.

Bon il reste quelques points à améliorer :

• Multitâche pour retourner les valeurs de l’AD
• Ajouter des petites icones sympas
• Ajouter un petit About (j’ai droit à mes droits d’auteur)
• Publier l’application en certifiant cette dernière
• Quelques contrôles d’erreurs ? :p

Bref pas mal de petite chose mais rien de bien méchant.

Démonstration

Rien de telle qu’une petite démonstration en images successives pour comprendre, aussi appelé vidéo.

Github

Miaou

Conclusion

Je mettais attaqué à ce morceau en ne pensant à la base ne pas y consacrer autant de temps. Je me suis rendu compte une nouvelle fois que ce sont les choses les plus simples qui requiert davantage de recul et de réflexion.

Je lutte encore entre les bonnes pratiques et recommandations contre mon usage et le périmètre d’applicabilité. Dans un certaine mesure PAM, PAM, PAM je me mettrai bien une cartouche pour ne pas avoir connu plus tôt cette fonctionnalité. Bref, il est nécessaire d’étudier avec sérieux son implémentation et son usage.

Je n’ai volontairement pas abordé le système de délégation des droits AD et sur les GPOs. Mais cela reste un impondérable car tout va reposer sur cette base. Ouvrir d’un côté pour mieux fermer de l’autre, dilemme cornélien que la sécurité. Et honnêtement si j’avais traité ce point, l’article serait insoutenable (comme la poitrine de PAMELA dans Alerte à Malibu ; Franchement tu devais la faire celle-là espèce de 90tard, tu ne pouvais pas t’en empêcher ?).

Je suis conscient qu’il reste des axes d’améliorations (notamment sur le code). Toutefois, je pense que si suite il doit y avoir cela plus sur PIM ce qui ouvrira la voie vers l’environnement Azure.

Le mot de la fin :

Si je PAM sur PAMELLA ? J’offre un CADEAU en infogérance ? Malheureusement vous ne pouvez pas Jean-Pat il y a une « couille dehors » en diagonale. Vous retournez en case magouille. Un partout PAM au centre…

Erwan GUILLEMARD

Sources

• Microsoft : Fonctionnalités WS 2k16
• Microsoft : PAM
• Microsoft : Class ShadowPrincipal
• Microsoft : Class Container ShadowPrincipal

1. PAM : Privilege Access Manager ↩︎
2. PIM : Privilege Identity Manager ↩︎
3. ZTNA : Zero Trust Network Access ↩︎
4. TGM : Temporary Group Membership ↩︎
5. ADDS : Active Directory Domain Service ↩︎
6. AAD : Azure Active Directory ↩︎
7. SI : Système d’Information ↩︎
8. ANSSI : Agence Nationale de Sécurité des Systèmes d’Informations ↩︎
9. SID : Security IDentifier ↩︎
10. AD : Active Directory ↩︎
11. TTL : TimeToLive ↩︎
12. MIM : Microsoft Inditity Manager ↩︎
13. PIM : Privileged Identity Manager ↩︎
14. SIEM : Security Information Event Management ↩︎
15. SOC : Security Operation Center ↩︎
16. DC : Domain Controler ↩︎
17. ADCS : Active Directory Certificates Services ↩︎
18. ADFS : Active Directory Federation Services ↩︎
19. GGS : Groupe Global de Sécurité ↩︎
20. TGT : Ticket Granting Ticket ↩︎

Plus sérieusement et sans détour, il se trouve que ce sont les choses les plus simples dans la vie qui sont le plus souvent bâclées ou négligées. C’est pourquoi je me suis dit, et si je m’attardais un peu plus sur les politiques de mots de passe dans un environnement WINDOWS ?

Il relève de nombreux articles déjà sur le net qui traite ce sujet, mais voyez-vous encore une fois je pense aller un peu plus loin que les excellents articles déjà présents. Difficile de parler de ce que j’ai fait sans toutefois présenter les bases 🙂

Mais alors jusqu’où es-tu allé cette fois ci ?

Je suis parti de la politique classique de définition de la politique de mot de passe dans un domaine AD¹ et du traitement des événements de verrouillage de compte. Sujet traité par mon précédent mentor et qui m’a demandé un peu de recherche pour arriver à mes fins (je voulais faire ma propre solution, comprendre et maitriser le sujet).

Bref, cela sera je le pense un petit billet avec du script, des schémas et naturellement du powershell avec une pointe de désinvolture et assurément de sécurité.

Avant-Propos

Comme rédigé légèrement plus tôt, je n’ai pas la volonté de faire un article détaillé qui reprend la majorité des articles déjà présent sur le NET. Il me faut néanmoins une base de départ.

Mon mentor, dans le cadre d’une esquisse de PSSI² il y a un certain nombre d’année c’est dit qu’il serait bien d’informer l’équipe du SI interne (ou externalisé) d’un potentiel blocage, verrouillage de compte sur un AD. La première question que nous pourrions nous poser serait d’abord quel cas pourrait entrainer un verrouillage d’un compte ?

• Un dysfonctionnement de la couche 8 du modèle OSI³ :
  • Je suis méchant avec cette couche, je sais bien. Nous parlons ici (ou plutôt je parle car cela n’engage que ma responsabilité ET ma personne) du dysfonctionnement entre le siège du bureau et le clavier. Soit en un mot et un seul ? L’utilisateur bien sûr !! Mais qu’est ce que ce mec est condescendant… C’est affligeant. Généralement, le verrouillage de compte est généré par une erreur de frape lors de la saisie et dans certains cas (compte non nominatif utilisé par plusieurs collaborateurs) de la saisie d’un mauvais mot de passe.
• Une tentative de Charlie qui veut « poutrer » le compte de Bob pour récupérer le cœur d’Alice
  • On comprend assez aisément le brute force d’un intru pour s’infiltrer dans le SI⁴ est tout casser…
• Un dysfonctionnement de la couche 7 du modèle OSI :
  • Oui celle-là existe officiellement et concerne la couche applicative :). Je ne peux pas non plus raconter des conneries en permanence tout de même. Pour faire simple une application a des informations qui ne sont pas à jour (un client de messagerie qui pete un plomb par exemple).

Donc l’intérêt de notifier l’équipe interne ? S’assurer que notre utilisateur ne veut pas s’octroyer une pause-café supplémentaire ou que nous avons un petit malin dans la place qui veut nous faire passer nos prochains jours à la première place de l’enfer dans le plus beau des pandémoniums <3

Mon côté brun ténébreux qui ressort avec les vilains corbeaux de Sir Alan Edgar Poe… Alors comment faire pour déceler un verrouillage de compte et comment notifier les équipes ? Spoiler ? La suite dans les parties ci-dessous.

Prérequis

• SE : 
  • Windows Server 2k16 et version ultérieures
• Apps : 
  • Rôle ADDS
• Autres :
  • PowerShell version 5 et supérieure
  • SMTP
  • Domaine AD

Théorie

Avant de commencer, posons nous la question de comment fonctionne l’authentification dans poste dans une domaine (pour faire simple, nous restons dans une forêt avec un seul domaine).

Authentification, comment ça marche ?

En tous lieux, je dirai avec des chaussures… Ok, je sors…

Nous pourrions résumer le cycle de vie de l’authentification en 7 étapes (encore la magie du nombre 7…) l’authentification d’un utilisateur.

1. Saisie des identifiants login et mot de passe
   • Rien de bien sorcier, CONTOSO\John.Doe et mon superpassword (si tenter que le mot de passe soit bien celui attendu dans l’AD pour l’utilisateur John DOE…
2. Localisation du DC via DNS
   • Notre poste va alors à travers l’enregistrement DNS⁵ _ldap._tcp.dc._msdcs.contoso.x pour trouver un DC⁶ disponible
3. Négociation, KERBEROS ou NTLM ?
   • Deux mots protocoles qui peuvent faire peur. Je ne rentre pas dans le détail des deux protocoles. Gardons à l’esprit toutefois que KERBEROS est supérieur au protocole NTLM⁷ (d’ailleurs KERBEROS est utilisé comme protocole par défaut).
   • Cas de KERBEROS, le poste demande un TGT⁸ auprès du KDC⁹ du DC à travers une requête. Si le couple d’authentification saisie est correct le KDC retournera en réponse le TGT chiffré ainsi qu’une clé de session. Le poste à travers le TGT va demander un TGS¹⁰ afin d’accéder aux différentes ressources du SI (fichiers, imprimantes etc…).
   • Cas de NTLM, le poste va réaliser un challenge au DC en attendant une réponse.
4. Validation du compte
   • Une fois la négociation réussi (Où est-ce qu’il a appris à négocier ?), le DC va vérifier le mot de passe haché, le compte doit être actif (soit pas verrouillé, expiré ou désactivé), récupérer les groupes de sécurité de l’utilisateur ainsi que les stratégies de connexion et de mot de passe.
   • C’est marrant, c’est cette étape qui nous intéresse 🙂
5. Chargement du profil
   • Si la vérification du compte utilisateur est ok, alors c’est réussi. HIGH FIVE ! Le poste va alors charger le profil local ou selon la configuration un profil itinérant. Dans le pire des cas, un profil temporaire.
6. Application des GPO
   • Dans la logique, ensuite sont téléchargées et appliquées les GPO¹¹ utilisateurs, ordinateurs…
7. Ouverture de session
   • Hé nous voilà normalement sur notre bureau.

Bon j’avoue que la partie négociation, j’avais dit que je ne rentrerai pas dans le détail. J’effleure la technicité et croyez moi, nous pourrions aller beaucoup plus loin. Toutefois, demander à vos Admins Systèmes et Réseaux ou Techniciens Systèmes et Réseaux, je ne suis pas certains qu’ils vous expliquent clairement le cycle de vie d’authentification d’un utilisateur…

Stratégie de mot de passe

Avant de rentrer plus dans le détail de ce qui nous intéresse, il est important de parler de la stratégie de mot de passe. Cela s’est plutôt bien démocratisé car nous retrouvons sur la grande majorité des sites web à ce jour le traditionnel message :

Votre mot de passe doit répondre aux critères minimaux ci-dessous :

• 16 caractères minimum
• 1 Majuscule
• 1 Minuscule
• 1 caractère numérique
• 1 caractère spécifique

Je vous vois déjà hurler, ou vos utilisateurs vous ont gueulé dessus… Quant à la politique mis en place. Mais alors que devons nous appliquer et à qui ? L’objectif est de sécuriser les SIs sans pour autant être un vrai tyran avec ces utilisateurs. Gardons toujours à l’esprit que « Trop de sécurité tue la sécurité ». A quoi bon exiger 26 caractères pour retrouver le mot de passe sur un post-it ou AZERTY123456AZERTY123456azerty123456azerty123456$…

Pour cela, j’aime me référer à l’ANSSI¹² comme ça je peux dire haut et fort, « C’est pas moi, c’est eux qui veulent. » 🙂 Je suis courageux n’est ce pas ? 🙂

Dans le guide de Recommandation relatives à l’authentification multi-facteurs et aux mots de passe, il est recommandé d’appliquer la politique de mot de passe suivante (R20):

• Catégorie des mots de passe
• Longueur des mots de passe (Entre 9 et 11, c’est faible. Entre 12 et 14 c’est moyen. Au-delà de 15 c’est fort)
• Règles de complexité des mots de passe (le nombre de caractère utilisable)
• Délais d’expiration des mots de passe (la fréquence de renouvellement)
• Mécanisme de limitation d’essais d’authentification
• Mécanisme de contrôle de la robustesse des mots de passe
• Méthode de conservation des mots de passe
• Méthode de recouvrement d’accès en cas de perte ou de vol des mots de passe
• Mise à disposition d’un coffre-fort de mot de passe

Dans notre cas, seuls les points en vert nous intéressent. Pour définir techniquement notre GPO ou notre FGPP.

D’où tu dis que je suis un FDP ?! Gros Tarba va ! Je vais….

STOP ! En aucun cas je vous insulte ! FGPP¹³ ou Fine Grained Password Policy permettent de manière plus simple de définir plusieurs politiques de mots de passe dans une organisation selon les services et criticité de ces derniers. Croyez-moi, c’est bien plus simple que la gestion par GPO. Ca nous le verrons rapidement dans la pratique quant au déploiement.

Dans tous les cas, j’aime définir la stratégie de mot de passe « par défaut » dans la GPO (vous pouvez me jeter des petits cailloux au visage et du sable dans les yeux), Default Domain Policy : HERESIE ! BLASPHEME ! AU BUCHET ! (Oui ba c’est bien la seule chose que je modifie dans la Default Domain Policy) :

J’ouvre un aparté, dans le cas d’un poste hors domaine que nous souhaiterions durcir, il suffira de faire de même. Il faut que je pose la question de scripter cela. Aparté fermée.

J’ai donc une politique de mots de passe qui s’appliquent (sans verrouillage de compte) par défaut pour l’ensemble des utilisateurs de mon parc, de mon domaine. Néanmoins, je vais définir par FGPP une politique par groupe utilisateur.

Dans ma logique, je choisie de faire trois politiques par défaut en respectant le tiering d’administration des comptes utilisateurs.

Administrateur du domaine > Utilisateurs avec pouvoir > Utilisateur du domaine

La puissance des FGPPs résident dans la possibilité de définir une pondération sur chaque politique. Ainsi, un utilisateur peut se retrouver avec une ou plusieurs politiques liées. Les politiques ne pouvant se cumuler, la politique avec la pondération la plus forte sera minoritaire par rapport à une politique avec une pondération plus faible.

« Unbelievable » diraient nos voisins outre-manche ! Nous retrouvons les mêmes paramètres que dans notre GPO… A noter et point important, la FGPP vaut sur la GPO si cette dernière est lié à un utilisateur ou un groupe d’utilisateur.

Authentification & events

Pour bien comprendre le fonctionnement de l’authentification, nous avons vu ci-haut que tout se passe sur nos DCs. Comme le système n’est pas trop mal foutu (et qu’accessoirement l’authentification à un système relève de la plus grande criticité) tout est consigné dans les journaux d’événements de sécurité.

Elle est pas belle la vie ?

Alors la question est la suivante, qu’elle est ou plutôt qu’elles sont les événements qui nous sont important ? Microsoft est vraiment sympa car ils ont pour nous référencier les événements à surveiller…

Mon cœur cogne un truc esthétique ! Vous voyez tout ce qu’il est possible de faire en termes de sécurité et de suivi, gestion du SI ? Limite ça me fait ba**er. Je vais soumettre l’ID d’un nouveau projet au comité qui vie dans ma cafetière.

Dans notre cas, précis il y a deux événements qui nous intéressent :

• 4624 : Hérité des événements 528 et 540, je cite « L’ouverture de session d’un compte s’est correctement déroulée. »
• 4740 : Hérité de l’événements 644, je cite « Un compte d’utilisateur a été verrouillé. »

Il est important de comprendre dans l’annexe que la notion de criticité est celle qui remonte dans les journaux d’événements. Personnellement certains événements pourraient être revu à la hausse. Enfin, c’est mon opinion personnelle qui n’a de crédit que pour le type qui écrit ces mots…

C’est donc dans le déclenchement de l’évent 4740 que nous trouverons notre bonheur.

Approche

La question est comment récupérer l’information que le compte d’un utilisateur ou compte de service est verrouillé ?

Consultation des objets

Dans un premier temps, j’ai pensé à scruter l’état de chaque objet utilisateur ou ordinateur de l’AD sur un intervalle définis dans le temps.

Le professeur rend les copies, et c’est un 4/20 qui tombe… L’idée peut paraitre bien, mais c’est mauvais. Oui je vais avoir l’information des comptes verrouillés, mais cela n’est pas du tout optimisé, cela va charger pour rien le serveur et générer des lenteurs et niveau proactivité c’est un zéro pointé. Imaginons si nous étions sur un SI avec genre 2k d’objets dans l’AD ?

Consultation des évènements déclenchés

La seconde approche consiste à définir une tache planifiée qui se déclenche sur un événement déclenché. Je l’ai fait il y a peu pour contourner un dysfonctionnement non patché de MS, donc c’est faisable. Mais je n’aime pas cette méthode car elle ouvre une vieille blessure intellectuelle… Ce traumatisme tout bête me dite vous ? Comment retourner et transmettre un paramètre de l’événement déclenché dans un script powershell…

Je peux vous dire qu’en 2015 je me suis torturé l’esprit à un point ou écouter du Evanescence en slip le soir de la Saint Valentin avec un kebab douteux et de l’alcool frelaté relève du plaisir (passe encore pour le kebab et l’alcool m’enfin).

Dix ans après, je rempile sur cette problématique et spoiler je trouve la solution. Comme quoi, un informaticien c’est comme un bon vin. Plus on le garde plus c’est bon. Enfin tout dépend de l’organisation. Oups pardon, je voulais dire la cave 🙂

Vous l’aurez compris ça sera la seconde méthode qui sera utilisé. Nous retournerons alors les attributs suivants :

• Le nom du compte qui lock
• Le nom de l’ordinateur, équipement source qui a cherché à s’authentifier
• Le nom de domaine

Là où j’ai merdé, ce que j’ai choisi de prendre en temps le temps de déclenchement du script et non le temps de lock de l’event. Ce qui du coup dans une configuration spécifique fausse complétement les informations. Donc il doit y avoir une adaptation de ma part sur la première version du code…

Sécurité

Nous sommes dans le domaine ? Nous allons réaliser une tâche planifiée ? Alors la réponse elle est vite répondu mon copaing ! Nous passerons par un compte de service managé, oui un gMSA¹⁴ comme d’habitude (et dire que je ne jugeais que par les comptes de services restreint avant…).

Les droits seront mis sur le script ainsi que l’ensemble des dépendances des utilisateurs externes. Sur le répertoire en somme ? Oui c’est ça…

Structure

S’agissant d’un petit projet, je me suis demandé si je devais ou non découper ce billet en différent sous article. Au final, je ne pense pas. Il y a eu plus indigeste que ça par le passé 🙂

Topographie – Applicative

Nous retrouvons donc l’architecture classique de mes projets précédents (Etonnant non ?) 🙂

A la racine du répertoire, nous retrouvons cette fois ci UN fichier exécutable (au lieu de DEUX) :

• SS_044_WIN_AD_LOCKACCOUNT_1.0.0_Services.ps1 : Fichier pensé pour fonctionner uniquement en mode service. Il ne peut être exécuté si et seulement si un event 4740 est levé. A voir si je fais un mode debug ou pas.

La suite se déroule en 3 répertoires distincts.

• Modules : Répertoire contenant les modules powershell développé pour l’application. Aujourd’hui au nombre de deux dissociant la partie Windows Système et HTML.
• Log : Répertoire qui va contenir la ou les traces d’exécution du code si l’option est activée. Cela à son importance car il permet au petit gars qui à dev l’application dans sa cave de corriger les bugs. Le fichier ne prend pas de place et est réinitialisé à chaque lancement.
• Config : Répertoire contenant le fichier de configuration powershell. Je reviendrai plus en détail sur le contenu de ce fichier dans la partie Pratique. Contrairement aux projets DreamNebula et GreenRay, je n’ai pas développé la fonction de reconstruction, régénération du fichier de configuration. Inutile car il n’y a pas de mode manuel et il n’y a pas grand-chose dans le fichier de conf…

Topographie – Logiciel

Je me passe par fénéantise la topographie du logiciel. Il n’est pas complexe du tout… Pour faire simple, cela se résume au cycle de vie suivant :

• 0 : Entrez dans le journal d’événement de sécurité d’un événement 4740.
• 1 : Déclenchement de la tâche planifiée sur l’événement. Récupération des informations liées au verrouillage du compte utilisateur, le poste source et le domaine d’application. Ces valeurs de type strings sont passés en argument du script powershell qui est exécuté SS_044_WIN_AD_LOCKACCOUNT_1.0.0_Services.ps1.
• 2 : Le script lit la configuration, puis charge les modules. Une fois les modules chargés, le corps du mail est construit et ce dernier est envoyé par mail. Naturellement et selon les options activées, le mode debug redirigeras l’ensemble des transactions powershell dans le fichier de log dans le répertoire du même nom.

Et le code ? Il est sur GitHub. Je ne souhaite pas le présenter. Toutefois, je partagerai volontiers ces derniers avec celui qui viendra m’en exprimer le souhait. Ca sera l’occasion de papoter un peu 🙂

Pratique

Configuration

Avant de lancer le script, il est nécessaire de faire un tour vers le fichier de configuration contenu dans le répertoire config à la racine du projet. Je vais prendre le temps de décrire chacune des parties de ce fichier.

Le fichier se découpe en 1 partie et 1 sous-partie.

* Une sous-partie globale qui définit les paramètres du script et de son fonctionnement * Une sous-partie concernant l’envoie de notification SMTP15, futur feature/bug (rayer la mention inutile) à venir

Avec la compréhension du fichier de configuration, je pense que nous pouvons passer à la suite, soit déployer l’application sur le serveur.

Installation

Je passe alégrement la partie gMSA il y a un certain nombre d’article sur le net (comme déjà dit dans des billets précédents) qui traite déjà du sujet. Pour le reste, j’ai comme d’habitude renforcé la sécurité et implémenté mes propres mécanismes (la preuve en est, j’ai passé deux put**n d’heures à trouver pourquoi ma tâche ne se lançait pas…).

Là où ça se corse, c’est au niveau de la tache planifiée. Si vous êtes sur un environnement possédant l’expérience utilisateur, vous êtes sauvés. En revanche, dans mon cas sur mes serveurs CORE, je l’ai mais alors bien profond dans la cucurbitacée… Voyez vous comme quoi une chose tout insignifiante soit il peut devenir un vrai casse-tête.

Mais alors qu’elle est cette petite chose insignifiante ?

The ScheduledTask

A première vue, vous vous demandez pourquoi je parle de la tache planifiée… Il s’avère que dans la version WINDOWS Core, nous ne pouvons pas créer de tache planifiée sur un déclenchement d’événement.

En réalité, nous pouvons constater également le dysfonctionnement sur un environnement WINDOWS avec expérience utilisateur. Il suffit d’utiliser la console powershell (il suffit de revenir aux bases du RTFM¹⁶).

Donc comment faire une tache planifiée, si :

• Nous n’avons pas d’interface graphique
• Les commandes powershell ne fonctionne pas
• Les moyens de contournement comme WAC¹⁷ ne fonctionne pas (normale co**ard c’est du powershell derrière)
• La console mmc.exe en remote pas plus de chance

J’ai essayé l’exécutable schtasks mais je ne suis pas arrivé à mes fins. Vous vous voulez la vérité ? J’ai lu qu’il fallait faire une fichier XML et ajouté les champs blablablabla… Je me suis dit « No Way » je vais encore me foirer dans une balise ou je vais avoir un problème d’encodage sur des caractères à la mord moi le noeud…

J’ai donc pensé à un autre moyen (tu as surtout épluché le net et les divers forum technet oui…). Pourquoi ne pas créer la tache sur mon poste avec des paramètres que je modifierai une fois importé ? Et bien ça voyez vous, ça fonctionne.

La création de la tâche ne pose pas de problème. Je joins toutefois la petite capture pour la configuration des critères de déclenchement de l’évent.

Une fois la tache créée, exportons là et ouvrons cette dernière dans un éditeur de texte.

Oh mais dit donc, ça ne serait pas ? Hé si le voilà notre fichier XML que l’on devait construire via la commande svctasks. Et dire qu’une tache planifiée ça ressemble à ça. Vous noterez que j’ai occulté deux parties. La première partie permet de récupérer les valeurs de l’événement. Il sera nécessaire de modifier manuellement le fichier XML. Mais je reviendrai plus en détails sur ce point dans la sous partie à venir (c’est ça ma frustration décennale !). La seconde partie permet de passer les variables que contiennent les valeurs récupérées ci haut en paramètre de notre script.

Bien. Maintenant importons la tâche 🙂

> $myTask = Get-Content "PATH_WHERE_XML_FILE\myTask.xml" | Out-String
> Register-ScheduledTask -XML $myTask -TaskName "PROD_EVENT_4740" -TaskPath "\_ronelab"

Récupérer les valeurs

Comme écrit plus haut, ce point va mettre fin à une frustration longue de 10 ans. Comment retourner les valeurs levées dans un event depuis l’exécution d’une tâche planifiée…

Là j’ai lu un nombre important de documentation pour comprendre comment cela fonctionne et comment mettre en œuvre la chose surtout. Toujours dans la démarche des 3S¹⁸.

Dans les approches :

• Quel est la structure, schéma du fichier XML d’une tache planifié : Lien
• Quel est la structure la plus adapté pour un eventTrigger de type complexe : Lien
• Un exemple d’implémentation : Lien

Avec la plus grande sincérité du monde, je n’avais pas il y a 10 ans de cela la maturité intellectuelle pour assimiler cette notion. Aujourd’hui je rougis de l’imbécile que je suis et de la simplicité et évidence de son mécanisme.

Maintenant que j’ai compris (mais que je n’ai pas expliqué 🙂 Il faut bien que vous vous investissiez aussi non ? Passons à la compréhension d’un événement. Il faudra sélectionner un évent 4740 et se rendre dans la vue Detail en Friendly, mais nous pouvons aussi se la jouer XML.

Nous notons deux catégories que nous pouvons déployer :

• System : Va contenir l’ensemble des balises et valeurs propres au déclenchement de la tâche avec les propriétés de l’évent. Comme dit plus tôt, l’un des attributs qui pourrait nous intéresser est le temps où l’évent a été inscrit dans le journal. Je prenais le temps de lancement du script, mais ce dernier n’est pas la bonne source de temps. Bref, il convient alors de noter le chemin de l’attribut qui nous intéresse :
  • Event/System/TimeCreated/@SystemTime

Il est important de noter que tout part de notre événement d’où le Event en début de path. Puis le chemin /System/TimeCreated/ jusqu’à la variable qui contient notre valeur spécifiée par le @ devant SystemTime

• EventData : Va contenir l’ensemble des balises et valeurs propres à l’évènement de sécurité déclenché. Ce qui nous intéresse ce sont les attributs TargetUserName qui contient le login utilisé et verrouillé, TargetDomainName qui contient le nom de poste cible où la connexion a tenté d’être initier et le SubjectDomainName qui contient le nom de domaine cible du compte verrouillé. Soit alors les les chemins suivants :
  • Event/EventData/Data/@[Name= »TargetDomainName »]
  • Event/EventData/Data/@[Name= »SubjectDomainName »]
  • Event/EventData/Data/@[Name= »TargetUserName »]

Alors comment intégrer proprement dans notre fichier XML correspondant à notre tache planifier nos 4 paths pour récupérer les valeurs ?

Normalement, nous avons eu toutes les informations ci-haut pour réaliser l’opération 🙂

Nous avons défini nos variables qui contiennent nos données. Il suffit alors de passer nos variables en arguments de notre script. Je passe une nouvelle fois mon tour. Le passage de variable en arguments d’un script powershell c’est un basique. La modification peut être réalisé en graphique dans le TaskScheduler ou directement dans le fichier XML.

Maintenant, il ne reste plus qu’à réimporter la tache de nouveau puis de réaliser un test.

Reporting

Pour le test, rien de plus facile… J’ai choisie d’initier une connexion à l’une des ressources des domaines à partir d’un compte pour lequel la FGPP est active : * RONEALB\erwan.guillemard Depuis une instance de bureau à distance, je décide de mettre en application ma plus belle couche 8 en saisissant 5 fois mon mot de passe de manière erroné. Windows m’informe que mon compte a été verrouillé à la suite de plusieurs tentatives d’authentifications infructueuses. Quelques minutes après, je reçois le mail ci-contre.

En regardant en détail, j’ai bien les informations qui m’informe que le compte erwan.guillemard a été verrouillé à la suite d’une plusieurs tentatives de connexions depuis la machine EGWKS-RDB01 le 26/09/2025 à 20:31:40 sur le domaine RONELAB.

Toutefois et si je regarde avec précision le déclenchement de la tâche, j’ai 7 minutes de retard dans le temps affiché dans mon mail et la date d’entrée dans le journal de sécurité. Ce retard s’explique par une mauvaise prise en compte de la valeur DateTime. Je pensais que la valeur Datetime du script serait définis lors du lancement du script à la détection de l’événement. Cependant, mon SI étant très ancien, la tache met une bonne dizaine de minutes (en grossissant le trait) à se lancer. Ainsi je génère un delta ce qui n’est pas super en termes de sécurité. Il faudrait donc que je récupère la valeur DateTime présente dans l’événement.

Conclusion

Je suis content d’avoir réinventé mon propre système de notification sur le verrouillage d’un compte utilisateur dans un domaine à partir de la problématique qu’avait il y a maintenant plusieurs années un ancien collègue. Ainsi, j’ai pu combler une problématique vieille de 10 ans en relation avec les événements et les taches planifiées (dans mon projet de mémoire sur la supervision Shinken).

J’ai également constaté que les modules développés dans les projets précédents m’ont fait gagner un temps monstrueux. Cela me permet donc de me dire et de m’auto-confirmer que premièrement je ne fais pas que de la merde, secondement qu’à partir de maintenant je vais prendre un chemin différent quant à l’ensemble des problématiques qui nécessite un dev en powershell.

Le plus difficile restera je le pense de toujours garder une vision claire et qui réponde au 3S.

Si je devais être efficient, je reprendrais mes bouts de code existant concernant la création de ticket dans la solution ITSM de COMBODO (ITOP) pour générer un ticket en criticité haute pour le verrouillage d’un compte. De cette manière, le centre de service ou les équipes locales (internalisées ou externalisées) pourraient être proactives quant à tous comportements succès en relation avec l’authentification et l’accès à des ressources. Ce qui pourrait alors se résumer selon notre bon vieux William Shakespear par « Le plaisir d’un travail en guérit la peine ».

J’ai encore une fois repris une idée. Je pense qu’il serait temps que je reprenne un peu de temps pour innover. Certes, comprendre et mettre en pratique les idées de mes paires et une bonne chose mais je pense qu’il est souhaitable de vivre pleinement une nouvelle fois cette satisfaction personnelle. Mon ultime rature se limitera à « Est ce que cela valait ce billet ?« .

Je vous laisse jugez de tout ça et prendre contact si vous voulez le bout de code 🙂

Le mot de la fin :

Vous êtes surqualifié pour le poste ? Que neni, j’aime les salsifis et je sens vaguement le chou. Je vous embauche et Toper Harley reste dans la boucle. Merci, j’ai les films de programmateurs.

Erwan GUILLEMARD

Sources

• ANSSI : Guide d’authentification multi facteur et mots de passe
• WINDOWS : Authentification & Identification
• WINDOWS : Evénements à surveiller
• WINDOWS : Type Complexe EventType
• WINDOWS : KERBEROS
• WINDOWS : Svctasks
• WINDOWS : New-ScheduledTask
• WINDOWS : Register-ScheduledTask
• WINDOWS : Event & Queries

1. AD : Active Directory ↩︎
2. PSSI : Politique de Sécurité des Systèmes d’Informations ↩︎
3. OSI : Open Systems Interconnection ↩︎
4. SI : Système d’Informations ↩︎
5. DNS : Domain Name Service ↩︎
6. DC : Domain Controller ↩︎
7. NTLM : NT Lan Manager ↩︎
8. TGT : Ticket Granting Ticket ↩︎
9. KDC : Key Distribution Center ↩︎
10. TGS : Ticket Granting Server ↩︎
11. GPO : Group Policy Object ↩︎
12. ANSSI : Agence Nationale de Sécurité des Systèmes Informatiques ↩︎
13. FGPP : Fine Grained Password Policy ↩︎
14. gMSA : Group Managed Service Account ↩︎
15. SMTP : Simple Mail Transfert Protocol ↩︎
16. RTFM : Read The F*cking Manual ↩︎
17. WAC : Windows Admin Center ↩︎
18. 3S : Simple, Standard, Sécurisé ↩︎

Mais en dehors de l’aspect technique et du maintien opérationnel nous pouvons ajouter l’aspect financier « déclaratif mensuel des licences » en supplément. Bonjour la boite d’anxiolytique.

Cela passe encore quand c’est une petite structure, mais quand en plus nous devenons fournisseur de la solution (provider chez nos amis d’outre-manche) cela peut vite devenir un calvaire de facturer mensuellement les bonnes quantités et d’éviter une sur ou sous facturation. Egalement et je l’ai déjà vu, se faire régulariser de manière pro-active pour une « mauvaise déclaration » n’a rien d’une partie de plaisir.

Ayant dans mon quotidien professionnel la lourde tâche de garantir la disponibilité de l’infrastructure et produit lié à la sauvegarde à travers les produits VEEAMs en tant qu’usager et fournisseurs de service, je suis contraint de réaliser chaque fin du mois un rapport lié à la consommation de TOUS les produits de chacune de nos organisations.

Afin de ne pas voir une vague de suicide collectif, VEEAM a su entendre les cris du SysAdmin en détresse et a su proposer un outil pour lui faciliter la tâche ! Mais qu’est ce que nous sommes gâtés dit donc !

Plus sérieusement, VEEAM avec son nouveau système de licence universelle (VUL¹) a su rendre les choses simples et s’adapter à l’évolution des SIs² et s’adapter par sa flexibilité d’évolution des ressources présentes sur ces derniers aussi bien sur les infrastructures Cloud (Privées, Publics) ou les infrastructures OnPremise (je reviendrais plus en détail sur ce point plus bas).

Au delà de la flexibilité technique automatiquement cela ouvre la porte à une flexibilité et efficience budgétaire.

On tient quelque chose là ? Tu as mis chers amis le doigt sur un sujet sensible. Tu as mis le doigt sur la VUL… (En raison de la blague d’un trop haut niveau de qualité sur l’échelle du beauf, 10 minutes de suspension…)

Ainsi, en simplifiant le système de licensing et l’application de ce dernier, VEEAM offre avec l’un de ces produits la possibilité de :

• Unifier l’ensemble des solutions sous une seule application (une grande partie)
• Permettre la gestion par les clients d’un fournisseur « l’administration » de leur environnement VEEAM
• Avoir une vue orienté business et maitriser les éléments financiers
• Garantir l’état de santé de leurs environnements

Et voilà que la solution VSPC³ fait son entrée. Un tonnerre d’applaudissement pour la VEEAM Service Provider Console ! (Les 10 minutes de suspension sont toutes relatives…)

VEEAM le leader de la sauvegarde développa une solution centrale pour suivre et d’administrer chaque solution. Dans cette solution ils déversèrent leurs simplicités et leurs volontés de faciliter la vie des SysAdmins. Une application, la VSPC pour les administrer tous… #CRAQUAGE?

Prérequis

• SE : Windows Server 2k19 et versions ultérieures
• Apps : VEEAM B&R 12.x, VEEAMOne 12.x, VSPC 8.0
• Autres :
  • VEEAM B&R 12.x
  • VEEAM One 12.x
  • License VEEAM Entreprise

Avant-Propos

Il est important dans la continuité des bonnes résolutions de cette année 2025 d’essayer de réaliser des billets moins conséquents.

C’est pourquoi, je partirai du principe où les environnements VEEAM B&R et VEEAM One sont déjà déployés. Je pars également du principe dans le bon respect du silotage réseau et de la mise en place du tiering que nos 3 environnements ne sont pas sur le même réseau.

Nous verrons donc dans les parties ci-dessous comment déployer l’application VSPC sur une architecture 2 tiers. L’objectif étant (Attention spoiler) d’implémenter dans un second billet l’architecture (light) VCC⁴ [sous réserve d’obtenir une licence NFR⁵, mais je pense que cela ne sera pas possible. Sauf peut-être en demandant poliment et gentiment].

Je n’aborderai donc pas ce point ni celui de MS O365⁶ (pour des raisons de ressources). C’est pourquoi les schémas seront épurés au possible. Croyez moi, cela va nous simplifier la vie.

Comme pour les autres articles et encore une fois quitte à me répéter. Il s’agit là de mon implémentation, établie sur le guide officiel. Comme d’accoutumé, rien ne vous oblige à suivre MON mode opératoire.

Guide

Vous êtes plusieurs à m’avoir fait la douce remarque que mes articles vous amenaient à des états de crapulences du fait de leur longueur passablement excessive. J’ai pris la bonne résolution de faire plus court et de jouer les citrates de bétaïne pour nos cellules grises. Malheureusement, je n’y arrive pas…

Alors m’est venu l’idée de changer de format et de vous présenter des « sous-parties ». A voir si ce format est plus adapté. 🙂

• Partie 1 : Théorie
  • Aborder les bonnes pratiques, l’architecture et topologie la plus adéquate pour la VSPC. Les performances systèmes requis, le mode de licensing ainsi que les permissions
• Partie 2 : Pratique
  • Installation de l’infrastructure 2/3, configuration de l’application en tant que VSPC uniquement et Intégration de deux produits VEEAM.
• Partie 3 : Visite Guidée
  • Présentation des différents menus, onglets et fonctionnalités proposé par la console VSPC

Conclusion

Le produit VEEAM Service Provider Console est un produit puissant qui permet de centraliser en un seul point l’ensemble des produits VEEAM d’une ou plusieurs organisations. Pensé pour les fournisseurs de services managés, cette solution sait transformer des données techniques en données analytiques et financières tout en garantissant une flexibilité des services clients, allant même si nous le souhaitons s’inscrire non plus dans une offre B2B⁷ mais dans une logique commerciale B2B2B⁸ (et non 2Be3…).

Son objectif ? Je dirai plutôt ces objectifs au pluriel.

Faciliter l’administration et le MCO⁹ des environnements VEEAM des différentes organisations liées à la VSPC. Démontrer l’efficience de la solution sur la flexibilité d’ajustement des licences à la hausse comme à la baisse sur les différents produits en temps réel. Les outils internes présent permettent de définir une stratégie commerciale simple et efficace sur les différents produits VEEAM, que nous MSP¹⁰ avons dans notre catalogue de service.

<3 La VSPC, le rêve de tous SysAdmin gestionnaire d’hébergement <3

Toutefois, l’outil n’est pas parfait…

Quoi, t’es choqué déçu ?! T’es qu’un sa**p ! Je m’explique, ne dressez pas mon procès sans savoir ce que je vais écrire 🙂

Oui l’outil n’est pas parfait à mon gout. Il est difficile de dissocier la partie VSPC des services VCC bien que logique car ce dernier est prévu pour une usage fournisseur. Admettons que cela ne soit pas un problème, cela nécessite je pense une équipe dédiée à la sauvegarde et autres modes de protection.

Une équipe pour gérer VEEAM ? Oui une équipe pour traiter TOUS les produits VEEAM depuis l’hébergement Providers et Managed. L’offre doit être construit dans ce sens afin de fournir un service clé en main à vos clients (du moins si je monte ma boite demain, je tournerai une offre dans ce sens et je ne vous dis pas tout ! ) :

• Gestion des sauvegardes, réplications avec rapports hebdomadaire, mensuels, annuels
• MCO des produits VEEAMs
• Ajustements des licences
• TCO, plan d’investissement et d’amortissement
• Revendeur en tant que marque blanche

De mon expérience personnelle (si maigre soit elle), l’exploitation VEEAM n’est pas bien réalisée par les équipes externes ou internes. La mise à jour d’un certains nombres de VEEAM prend un temps important. Imaginons maintenant la mise à jour des infrastructure :

• VSPC
• VEEAMOne
• VEEAM Backup et Réplication
• VB Microsoft O365
• VCC
• etc

Et attention, à l’ordre d’application…

Maintenir l’architecture VEEAM peut vite devenir complexe. De plus, la validation des prérequis et l’élaboration de la matrice d’interopérabilité entre les solutions tierces demande également une bonne analyse.

Bref, une équipe dédiée à VEEAM est impératif #MYPOINTOFVIEW.

La grosse faiblesse de la VSPC à mon sens reste le détail de l’analytique et du nombre de data exploitable. Difficile de faire une analyse sur 13 mois glissante ou sur une période donnée par organisation ou par job… Donc l’établissement de rapports hebdomadaire, mensuels ou annuels sont compromis ? Non car comme je l’ai dit, l’API¹¹ fournit par la VSPC, noyaux convergeant des solutions VEEAM qui y sont liées va nous offrir par sa flexibilité et puissance la bouffée d’oxygène dont nous avons besoin pour arriver à nos fins 🙂

[Non je n’ai toujours pas d’action VEEAM, mais peut-être un petit peu amoureux… :-°]

Bref, si cet article est présent et si j’ai voulu présenter cette solution il faut se douter que j’ai une idée derrière la tête. Prochainement, je vous lâche un teaser comme dise la GEN Z (pas certain qu’ils disent ce genre de chose. Un banger peut-être ?).

Le mot de la fin

Si Voltaire considère le travail comme la plus grande consolation pour les malheurs inséparables de la condition humaine, c’est qu’il ne connaissait pas la VSPC et qu’il aurait dû faire craquer le compte CPF de Candide pour la VMCE !

Erwan GUILLEMARD

Sources

• VSPC : Guide
• VSPC : Guide Ports
• VSPC : Guide Permissions
• VSPC : VEEAMOne
• VSPC : VEEAM B&R
• VSPC : Guide API

1. VUL : VEEAM Universal License ↩︎
2. SIs : Système d’Information ↩︎
3. VSPC : VEEAM Service Provider Console ↩︎
4. VCC : VEEAM Cloud Connect ↩︎
5. NFR : Not For Resale ↩︎
6. MS O365 : Microsoft Office 365 ↩︎
7. B2B : Business To Business ↩︎
8. B2B2B : Business To Business To Business ↩︎
9. MCO : Maintient en Condition Opérationnel ↩︎
10. MSP : Managed Service Provider (Fournisseur de Services Administrés) ↩︎
11. API : Application Programming Interface ↩︎

Logique dans un sens puisque le certificat auto-généré par ce même équipement ne peut-être juge est parti. Le certificat doit être demandé par l’équipement à une autorité certifiant que c’est bien lui.

M’enfin comme le dirai notre bon vieux LAGAFFE, j’ai défait fait un billet dans ce sens et je ne vais donc pas user de la combinaison Ctrl+C, Ctrl+V. Et gardons à l’esprit jeune damoiseau (plus encore pour longtemps) les bonnes résolutions de rédaction de cette année 2025.

Nous voilà en route pour aborder le sujet des certificats d’infrastructure à clé publique (PKI¹) dans un environnement windows avec domaine pour renforcer la sécurité de nos SIs², ménager nos WebBrowser quant à l’affichage de ce type d’avertissement.

Et surtout, préparons nous à nous arracher les cheveux par moment.

Mais alors pourquoi faire de nouveau un article sur ce sujet si tu as déjà couvert ce même sujet ? Difficile de tester et de traiter de certain sujet sans avoir de serveur PKI. Implémenter des fonctionnalités c’est bien. Les sécuriser c’est mieux.

Cet article permettra par la suite de pouvoir traiter de sujet comme (et ce n’est qu’un exemple) :

• WinRM Over HTTPS
• SMB OverQuick
• Applications en HTTPS
• etc

Une autre raison, reste d’avoir de maintenir un niveau technique cohérent avec mon cercle professionnel et non pas rester sur le banc de touche. Si la théorie est acquise, la pratique ne l’est pas, du moins ne l’était pas avant la rédaction de ce papier.

Prérequis

• SE : Windows Server 2k19 et version ultérieures
• Apps : N/A
• Autres :
  • Domaine AD
  • Applications supportant TLS/SSL

Avant Propos

Avant de rentrer dans le vif du sujet et d’aborder ce qui est propre Windows, je pense utile de faire un rappel des bases de la cryptographie moderne aussi loin qu’il m’est possible de me remémorer mes cours de cryptographie.

Sinon à quoi bon aborder le sujet de certificat sans en piper le moindre mot ? Et croyez moi, je fume bien la pipe….

Déjà, le pourquoi de chiffrer une information ? Pour cela nous devons faire appel à CAIN.

Rien à voir avec Abdel se faisant tuer par Cain premier meurtrier, mais il me faisait plaisir de partager l’œuvre de Sebastiano RICCI que je trouve magnifique (la confiture c’est comme la culture, moins on en a plus on l’étale). Plus sérieusement : C : Confidentialité des informations stockées ou manipulées A : Authentification des protagonistes lors des des communications I : Intégrité des informations stockées ou manipulées N : Non-Répudiation des informations

En complément du premier principe fondamental, j’enchainerai avec un second qui est précieux pour mon petit cœur, le principe de Kerckhoffs.

• La sécurité repose sur la clé de chiffrement et non sur le secret de l’algorithme
• Le déchiffrement d’un contenu chiffré doit être impossible dans un temps raisonnable
• Déterminer la clé à partir du contenu en clair et du contenu chiffré doit être impossible dans un temps raisonnable

Soit, toute attaque doit être envisagée en supposant que l’attaquant connait tous les détails du cryptosystème.

Je pense qu’avec ces deux principes, nous pouvons faire un grand pas en avant et plonger dans le monde de la cryptographie moderne. [Je ne suis pas un spécialiste de la question, je laisse à mes pères le droit de me sabrer sur le sujet.]

La cryptographie moderne tourne autour du chiffrement asymétrique et de plusieurs algorithmes. Tout est régis dans notre bas monde par ces algorithmes et la capacité et puissance des nombres premiers. Toutefois l’émergence de la technologie quantique et de l’age d’or de l’IA³ va remettre assez rapidement en cause ce paradigme.

L’un des derniers en date. Cela fait froid dans le dos hein ?

Bref, parlons peu mais parlons bien. Qu’est que le chiffrement asymétrique ?

Le chiffrement asymétrique consiste à la génération d’une clé dite privée et d’une clé publique. A travers de fonction unique, il n’est pas possible de déchiffrer un message chiffré par la même clé.

Ainsi, la clé privée est l’élément sensible et doit rester connu que de la source et non de la cible. Seule la clé publique et communiqué. Ainsi, prenons le cas d’un échange entre Alice et Bob (sacré Robert et Alice, toujours là depuis des décennies à s’envoyer des messages sans jamais arriver à conclure ou pécho pour les millénials… Tout ça car Charlie veut pécho Alice ou Bob. C’est un peu l’Antigone 3.0 de notre temps… Je laisse à Jean Anouilh la version 2.0).

Ainsi, si nous regardons un échange entre Alice et Bob sans inclure Charlie :

Alice étant folle amoureuse de Bob, elle a communiqué sa clé publique (mais pas à Charlie) mais garde sa clé publique. Si Alice veut écrire un message à Bob (1), elle va chiffrer son message avec sa clé publique et déposer son fichier dans le grand tuyau qu’est l’internet. Charlie qui est caché derrière son écran et qui veut de la thune (et pas que) ne voit passé qu’un message incompréhensible car il n’a pas la clé publique d’Alice. Bob, lui reçoit le message chiffré, qu’il pourra déchiffrer grâce à la clé publique qu’Alice lui a transmis. Mais voilà (2), Bob est un peu beauf et ne comprend pas l’amour que lui porte Alice et lui répond qu’il aime les moules frites et les soirées tunnings. Il chiffre sa réponse avec la clé publique et la retourne à Alice. Charlie, lui aime le tunning mais il ne pourra jamais déchiffrer à temps le message… Alice reçoit la réponse de Bob, est malgré la clé privée ne devrait pas déchiffrer le message de Bob.

Mais à l’inverse, si nous admettons qu’Alice échange également avec Charlie (donc que Charlie possède la clé publique d’Alice), Charlie peut pas échanger des menaces de morts à Bob de manière sécurisé MAIS Bob ne sera pas dans la capacité de déchiffrer le message de Charlie. Bob, petit conseil d’ami, compose le numéro de police secours, j’dis ça, j’dis rien.

Bref, Alice finira dans sa baignoire à écouter « Avril Lavigne » (a prononcer avec l’accent) avant d’être de nouveau figurante dans un schéma d’explication d’un échange cryptographique.

Nous avons donc l’idée du fonctionnement. Et bien les certificats c’est presque pareil dans le fonctionnement, mais en complément nous allons retrouver des informations permettant d’identifier le fournisseur, la source. Afin de garantir la sécurité, une durée de vie est définie dans le temps. Ce dernier devra être regénéré. Les certificats sont uniques et intrinsèques à une entreprise, une personne.

J’espère donc avec cette courte introduction ne pas avoir dit d’ânerie. C’est que 2013 ce n’est plus si proche que ça. Sinon, je corrigerai ou supprimerai l’article. J’assumerai l’entière responsabilité de cet échec en me retirant définitivement de la cryptographie… Non, je retournerai en khôls sur les bancs de la fac (#IUTdeLens #StadeBollaert #RinceCochon #Frites).

Théorie

Je pense que nous sommes assez armés pour aborder la suite. Comment construire et définir correctement son architecture PKI dans son SI.

La première vraie question est qu’est ce que je souhaite implémenter et comment je souhaite gérer les inscriptions et demande de certificat ?

C’est à cette question que nous allons tâcher de répondre.

Architecture & Best Pratices

La documentation Microsoft est pour le coup pas mal gaulé. Et deux architectures sont proposées. Bien que l’une convienne plus à une autre en termes de sécurité, il est important de définir le temps et la complexité à passer par l’équipe en place pour administrer la solution.

Sortir une architecture autonome pour 4 serveurs, utilisé par 30 personnes et administré par 1 seul SysAdmin c’est un peu surdimensionné. Oui c’est une bonne pratique mais quand même. Alors qu’une architecture d’entreprise serait plus appropriée.

Oh Pt’ain le con il a lâché les deux types d’infrastructures comme ça ! T’es un précoce de la vie non ?

T’inquiète, j’ai encore une balle dans la chambre lapin.

Peu importe le type d’architecture, nous devons considérer qu’un serveur ADCS⁴ (ou avec les rôles PKIs) est critique pour l’organisation du SI. Donc il passe directement en case T0 du modèle de tiering.

Ainsi, il est primordial que ce serveur ADCS ne soient pas accessible de n’importe qui et de n’importe où. Si ce dernier se fait compromettre, c’est l’ensemble de notre SI qui sera hors service. Vous pouvez toujours dire ce n’est pas moi et aller pointer au France Travail. Blague à part, notre serveur va nous servir à délivrer les certificats de notre SI. Le serveur certifiera ces derniers comme valider par lui, autorité de confiance. Or, ce même serveur s’appuie sur ADDS5. Donc, nous n’avons pas à exposer ce dernier (mais je reviendrai sur ce point car il y a des exceptions).

Le modèle ci-dessus représente clairement l’architecture d’autorité d’entreprise. Cette architecture convient au petit système d’information et donc au PME⁶. Il convient donc de joindre le serveur ADCS à notre domaine. Notre serveur d’autorité de certification sera donc disponible et validera les demandes d’inscriptions ains que les différents modèles. Le problème réside dans la sécurité de ce dernier. Si nous voulons nous assurer que notre autorité de certification racine ne soit pas compromis, il serait bien de la rendre inaccessible. Microsoft, recommande clairement d’éteindre ce dernier. Toutefois, ce n’est pas possible car ce dernier est unique et en plus joint au domaine…

C’est ainsi que rentre en jeu l’architecture d’autorité autonome. Comme son nom l’indique, cette architecture est indépendante de notre domaine, mais nécessite un serveur dit d’autorité secondaire ou d’autorité intermédiaire. Ce qui concrètement nous donne le modèle suivant de tiering.

Nous déployons hors domaine dans une bulle à part notre serveur d’autorité de certification racine. Nous définissons notre certificat racine. Dans notre bulle T0, nous allons créer un nouveau serveur dit d’autorité intermédiaire ou secondaire. Ce dernier va avoir un certificat que va être certifié par l’autorité racine. Ainsi, ce dernier aura dérogation pour délivrer les certificats et les inscriptions sur notre SI. Dérogation et délégation oui, mais pas les pleins pouvoirs. C’est là que ça devient fun. Niveau sécurité, il ne reste plus qu’à éteindre notre serveur d’autorité racine. Il n’est pas au domaine donc qu’est qu’on en a à fo***re ? Si nous en avons besoin, nous le remettrons sous tension et pas de risque de tombstone.

Nous pouvons descendre d’un niveau hiérarchique supplémentaire en parlant d’une autorité de certification émettrice. Mais je n’irai pas jusqu’à ce niveau là d’architecture. Dans le cas commun des entreprises, un niveau de hiérarchie voir deux sont suffisantes.

• Niveau 1 : Autorité de Certification Racine
  • Niveau 2 : Autorité de Certification Secondaire/Intermédiare (ou de Stratégie)
    • Niveau 3 : Autorité de Certification émettrice

Dans les architectures les plus complexes il est également possible de réaliser des approbation inter-certificat, comme nous pourrions le faire avec une relation d’approbation inter-domaine. Mais je n’ai jamais vu, ni même penser cela possible jusqu’à ce que je mette ma truffe dans la documentation. Je vais déposer les armes devant cette architecture car je ne pense pas que cela soit monnaie courante (quoi que…). Joker, je fais appel à mon droit de véto pour cette fois.

Bien, mais alors vu que le serveur qui porte les rôles d’autorité de certification racine n’est pas au domaine, les fonctionnalités et services proposés ne peuvent être les mêmes qu’une autorité de certification d’entreprise ? Tout juste.

Clairement, je ne vais pas me faire ch**r et vais donc reprendre le tableau de Microsoft. J’ai une flemme de montrer ma maitrise en paraphrase.

Concernant la méthode d’inscription, ou plutôt les méthodes d’inscriptions il est nécessaire de considérer le besoin. Personnellement, je réalise l’ensemble des demandes si ce n’est la totalité manuellement. L’inscription via les services WEB (à travers IIS⁷) est compromise depuis la découverte de PetitPotam et bien qu’un KB⁸ soit disponible pour renforcer la sécurité cela représente un risque trop certains (et surtout, j’ai jamais été foutu de le faire fonctionner avec mon serveur core. L’arroseur arrosé en somme 🙂 ).

Bien, je pense que niveau théorie, la boucle est bouclée. Si besoin je reviendrai dessus mais entre deux poses déjeuner et le travail nocturne (si je peux nommer ça travail) j’ai la fâcheuse tendance à perdre le fil. 🙂 Enfin bon, place à la pratique.

Pratique

Pour répondre à la partie théorique, je resterai sur une inscription manuelle ainsi que dans de rare cas un inscription des postes. Naturellement et comme souligné plusieurs fois, je déploierait une architecture type autorité de certification d’entreprise à un niveau de hiérarchie.

Okay, let’s go…

Installation

Pour cette partie je veux réaliser deux approches, l’approche sur un serveur classique soit avec l’expérience utilisation et sur un serveur core (bye bye la GUI⁹). A la liberté de chacun de choisir son type d’installation.

Or je me permets de citer (après je dis ça je dis rien hein ?).

Un autre point à prendre en compte est le type d’installation du système d’exploitation. L’Expérience utilisateur et les scénarios d’installation Server Core prennent en charge AD CS. Server Core minimise la surface potentielle du pirate et la surcharge de maintenance du système d’exploitation, ce qui en fait le choix optimal pour AD CS dans un environnement d’entreprise.

Un rédacteur chez MS

Comme indiqué précédemment, mon serveur de certification racine sera joint au domaine par manque de ressource, naturellement si les ressources étaient présentes, j’aurais déployé une architecture Intermédiaire avec le serveur CA¹⁰ hors domaine.

Je considère donc que l’environnement est à jour et préalablement durci.

GUI

1 – Add me if you can

Les actions se passent comme d’accoutumé via le gestionnaire de serveur en ajoutant un rôle. Nous devons choisir le rôle Services de certificats Active Directory.

2 – Fonctionnalités

Facultatif, mais utile de mon point de vue, l’installation des outils d’administrations distant pour administrer le service de certificat AD¹¹.

3 – Wizard

Une petite explication de ce que nous allons installer. Naturellement et comme 99% de la population nous cliquerons sur Suivant comme pour les conditions générales d’utilisations et autres droits d’usage. (Sauf qu’ici nous ne vendrons pas nos données et notre c*l ne sera pas considéré comme une base de loisir).

4 – Sélection du rôle

Enfin, cela devient intéressant. Dans le déploiement de notre rôle nous avons la possibilité d’ajouter des services supplémentaires. Dans mon cas, je n’utiliserai que la partie Autorité de certification mais il est possible d’ajouter d’autres services plus particulièrement des services d’inscription pour faciliter les demandes de création et d’inscriptions.

Toutefois et attention, certains services ouvrent des angles de vulnérabilités de par la criticité de notre serveur et surtout de ces rôles. De plus les services web ont été challengé il y a peu par PetitPotam (2022 c’était bien hier non ? Azy t’abuse gros…). Donc la prudence est de mise, pour plus d’information sur le sujet, je vous renvoie vers le KB MS traitant de la CVE¹².

(Pour le coup, je me suis bien fait fi*t* la gueule en CORE car je n’ai aucune souplesse en IIS avec mon powershell. Tiens Monsieur JDO, vous marquez un point pour le coup 🙂 ).

5 – Confirmation du déploiement

Comme chez le notaire, nous acceptons le redémarrage automatique, et nous validons les émoluments compensatoires (Merci Didier !).

6 – Installation en cours, Coffee break

L’installation se débute, se poursuit et normalement se termine par un succès. Voilà, notre rôle ajouté. Elle est pas belle la vie ?

CORE

Comme toujours (pour ne pas dire enGORE et enGORE, je vous la sorts bonne hein ! Vous l’avez SORBONNE #TESLOURD), l’installation du rôle sur un serveur core et de loin plus facile et efficace que via l’interface graphique…

Jugeons plutôt.

Et puis voilà… L’inconvénient encore une fois, c’est qu’en cas de dysfonctionnement il faudra être agile du powershell et de la ligne de commande pour se sortir de la merde. Pas question de compter sur ce bon Samsagace GAMEGIE face à SHELOB…

Configuration

Si l’installation du rôle est plutôt simple, la configuration nécessite un tantinet plus de réflexion. Naturellement, j’aborde les deux méthodes de déploiement de notre rôles ADCS pour un environnement GUI et CORE.

Important, pour la base de données et les journaux d’événement, nous stockerons ces derniers sur un volume dédié indépendamment du volume système (C:\). La raison me semble évidente et je ne m’attarderai pas sur ce point.

GUI

1 – On montre patte blanche

Les opérations pour configurer le rôle nécessite un compte Administrateur local et Administrateur d’entreprise.

Deux approches possibles :

• Rien à fo***e du principe de tiering et de moindre privilège : J’utilise le compte administrateur du domaine. Ce dernier ayant tous les droits nécessaires. Perso, c’est pas ma philosophie, mais chacun voit midi à sa porte.
• Je suis consciencieux de la sécurité : Je crée un compte dans mon domaine membre du groupe Administrateur d’Entreprise et membre du Groupe Local d’administration de notre serveur. Je désactiverai par la suite ce compte.

Tout le monde sait que je défendrai bec et ongles le premier point 🙂

2 – Choix du service à configurer

Quel rôle souhaitons nous configurer ? Sans grande surprise, vu que nous n’avons installer que le service d’Autorité de certification… La question est vite répondue.

3 – Type d’installation, croisé des chemins

Je parle de croisé des chemins car selon moi il y a ici un choix crucial. Le choix entre plus de sécurité mais plus de contrainte et un choix plus standard.

J’ai écrit un peu plus tôt que pour des raisons de ressources mon serveur serait joint au domaine. Cela rentre donc dans le choix Autorité de certification d’entreprise.

Dans le cas contraire où, nous aurions pris le parti de ne pas joindre notre serveur d’autorité de certification ce dernier aurait été autonome et nous devrions déployer un serveur de certification intermédiaire.

J’essaierai de maquetter cette architecture. Reste néanmoins à trouver quel serveur je dois sacrifier sur l’autel de la connaissance. (Le type qui se la joue clerc au XVI).

4 – Génération de la clé privée

La génération de la clé privée est une étape importante de la configuration. Aux prémices de cette dernière, nous avons le choix de générer un nouvelle clé ou d’importer une clé existante.

Le second choix étant généralement dans le cadre d’une réinstallation ou d’une migration.

5 – Chiffrement

Le chiffrement ce n’est pas compliqué (bien que si en réalité). Nous gardons Windows comme générateur et fournisseur de notre chiffrement.

Plus c’est long, plus c’est bon… Je parle de la longueur de la clé de chiffrement naturellement. Je vous vois venir avec votre œil lubrique. Concernant l’algorithme de hachage, le plus complexe proposé donc SHA512¹³.

Je dis donc complexe car il est nécessaire de prendre en compte des applications ou OS¹⁴ obsolètes (ou ayant des dépendances obsolètes), qui ne prennent malheureusement pas en charge certaines longueurs de clé ou d’algorithme. Un petit renseignement est nécessaire en amont. Dans le doute et cela passe quasiment tout le temps SHA256/2048 en paramètre de chiffrement.

6 – Nom de l’Autorité de Certification

Le nom va permettre non seulement d’identifier rapidement notre certificat mais également de garantir sa singularité.

Ici mon certificat d’autorité portera le nom ronelab-CA-Root et couvrira le suffixe de mon domaine soit ronelab.lan, d’où DC=ronelab,DC=lan.

7 – Durée de vie

La durée de vie de mon autorité racine… Plus c’est grand dans le temps moins c’est bien. A l’inverse de la durée de vie d’un être vivant. Cherchez l’erreur… Toutefois et comme spécifié, la durée de vie de notre AC doit être supérieur à la durée de vie des certificats qui seront délivrés (logique).

Ici, je ne vais pas mentir en disant que je ne veux pas trop m’emmerder avec une échéance trop courte. Je n’ai jamais en toute franchise été confronté aux cas où le CA d’entreprise a expiré. Faudra tester…

8 – BDD et Journaux

Depuis les prémices de mes études dans l’IT, il m’a toujours été dit que ce qui doit être sur la partition système va sur le système, ce qui peut être déplacé vers un disque dédié ou partition doit être réalisé. C’est le cas ici.

9 – Récap

Comme d’habitude avec le wizard de configuration nous avons un récapitulatif de la configuration qui va être mis en place.

Le rôle est maintenant configuré. Reste plus qu’à faire un petit check up avant de se lancer dans la génération de certificat et de modèle.

CORE

En core, c’est plus simple. Pour mieux comprendre l’unicité de l’étape de configuration, il faudrait repartir de la partie 9-Récap précédente.

Le plus compliqué reste selon moi, de trouver quel argument appelé et quelle valeur lui définir.

Je glisse le lien dans les sources.

Nous retrouvons également les mêmes informations que ce qui a été présenté précédemment dans la partie GUI. Je ne passerai donc pas plus de temps sur ce sujet.

Le rôle est maintenant configuré. Reste plus qu’à faire un petit check up avant de se lancer dans la génération de certificat et de modèle.

Contrôles

L’une des premières questions que nous pouvons nous poser, est ce que notre certificat d’autorité est bien présent ?

Mon serveur étant en CORE, je vais donc à travers mon rebond d’administration user des RSAT¹⁵s lié au certificat ou à travers une console MMC¹⁶ :

• Autorité de certification
• Modèle de certificats

Ce qui est bon signe, nous constatons que notre serveur apparait en ligne et fonctionnel. Mais vérifions plus loin que ce dernier est bien présent sur notre domaine. Logique car nous avons déployé une autorité de certification d’entreprise.

Pour ce contrôle là, il est nécessaire de passer par la console ADSI¹⁷. Personnellement je ne suis jamais à l’aise dans cette console de gestion et je pense ne jamais l’être. La gymnastique d’esprit est différente de ce que nous pouvons entreprendre opérationnellement au quotidien dans la console de gestion des utilisateurs et ordinateurs AD. Bref, la navigation dans le gestionnaire ADSI se résume dans la navigation par « Qu’est ce que je recherche dans la configuration ? »

Donc nous pouvons conclure que de ce côté, je ne me suis pas iech dessus niveau configuration. Ce qui me semble une bonne chose.

Nous sommes en droit de nous poser la question, « Comment je vais pouvoir accéder à des ressources sécurisées si je n’ai pas le certificat d’autorité racine sur mon poste ? » Si le poste est au domaine (et sauf cas spécifique il l’est), ce dernier étant dans l’AD, le certificat est automatiquement ajouté comme Certificat de certification racines de confiance.

Nous pouvons double tap pour afficher les propriétés et caractéristiques de notre certificat.

Là nous sommes certains qu’il n’y a pas de loup dans le déploiement de notre service et de sa configuration. Nous pouvons donc nous pencher sur la partie Modèle de certificat.

Modèles

Lorsque nous avons déployé notre rôle, un certain nombre de modèle ont été déployé dans l’AD pour couvrir le cas échéant le domaine d’application nécessaire à la sécurisation des différents services (Ordinateur, Exchange, Serveur WEB, Utilisateurs, etc).

Ces différents modèles peuvent être utilisés pour générer nos certificats. Toutefois, il est d’usage et recommandé de dupliquer ces modèles pour les services que nous souhaitons protéger. Cela nous permet de faciliter la gestion et de garantir un niveau de sécurité en ne se basant pas sur les propriétés et paramètres par défaut des modèles.

Moi pas comprendre…

En gros, si je duplique mes modèles (qui ont les mêmes propriétés du SI de M. TUCHMUCHE) et que je custom les attributs par rôle ou service que je veux procéder, en cas de vulnérabilité, je limite mon exposition. De même que si mon SI est vulnérable par l’un de ces services, il sera plus facile de limiter le périmètre d’exposition et donc en conséquence le risque qu’il en découle.

Dupliquons un modèle pour comprendre les tenants et aboutissants des paramètres.

1 – Compatibility Tab

Lors de la duplication du modèle, le premier onglet portera sur la compatibilité de notre certificat. Personnellement et bien sûr c’est intrinsèque. Qui peut le plus ne peut pas forcément le moins.

Mon cas, avec mon lab en WS 2k22 et WS 2k25 (je crois avoir un WS 2k19 mais surement perdu quelque part) je partirai sur le niveau de compatibilité le plus haut. Mais encore une fois tout s’étudie.

J’aime à afficher les modifications résultantes pour prendre pleinement connaissance des modifications qui vont être apportés sur mon nouveau modèle. Cela peut permettre d’identifier clairement une dépendance que nous aurions omis de prendre en compte dans notre analyse. Bord*l de Dieu, il faut être curieux ! <3

2 – General Tab, Name & EOL

L’onglet Général permettra d’attribuer un nom à notre modèle ainsi que la période de validité de notre modèle. Attention il en va de soi la durée de validité doit être inférieur strict à la durée de notre certificat d’autorité racine.

Logique mon père ne peux pas être plus âgé que mon grand père. Quoi que dans certaines régions…. Alalala, les préjugés ont la vie dure…

La notion de publication dans l’Active Directory dépendra clairement du type de modèle que nous souhaitons implémenter. Pour une application WEB non Windows et non jointe au domaine, pas besoin par exemple.

3 – Subject Name

Le nom du sujet, comprendre le client. Il convient de définir les informations lorsqu’une demande est réalisée. Je n’ai pas eu à ce moment eu le besoin de modifier la valeur par défaut. En d’autres termes, Joker ?

4 – Extension

Les extensions c’est plutôt un onglet intéressant. C’est dans cette partie que nous allons pouvoir définir les stratégies d’applications, les contraintes liées à notre modèle, les stratégies d’émissions et d’utilisation de la clé. Pour plus d’informations et bien choisir l’action ou non de telles ou telles options je renvoie à la page de caractéristiques des extensions standards x509.

Soit dans le cas de la stratégie de définir dans quel contexte le certificat va être utilisé. L’authentification Serveur ? Client ? Pour du RDP¹⁸ ? Une liste est déjà présente et nous pouvons ajouter au besoin de nouvelle stratégies d’application avec des codes définit par Microsoft (ce qui sera le cas plus bas avec la sécurisation de RDP).

Les contraintes sont là pour définir les usages qui doivent être fait des clés. Pour se faire, comme dit précédemment il faut se rapprocher de la documentation sur les certificats x509. Dans le cas des contraintes, nous pouvons refuser que la clé publique valide les empreintes par exemple.

5 – Security

L’onglet que l’on retrouve sans grande surprise dans beaucoup de menu de configuration. Il est important de définir les droits et les permissions avec réflexion. Les options les plus critiques restent naturellement l’écriture et le control total. Attention également aux permissions d’inscription et d’inscription automatique.

6 – Publish a template

Une fois le modèle de certificat dupliquer, il sera nécessaire d’activer ce dernier afin de l’utiliser.

Par sécurité, il est recommandé une fois le ou les certificats générés de désactiver, désinscrire les modèles de certificats du gestionnaire de certificat. Ainsi, il sera difficile pour un assaillant de générer un certificat depuis un modèle.

Exemple d’implémentation

Il existe une multitude d’implémentation. Je ne traiterai ici que deux exemples, l’un hors domaine et sur un SE non Windows et l’autre dans un environnement windows.

Toutefois, je pense pour ne pas faire un article à rallonge aborder l’implémentation des certificats dans les articles dédiés.

De plus, il y a plusieurs moyens d’effectuer une demande d’inscription de certificat.

• Fournit par l’appliance ou application
• Via IIS
• Via le gestionnaire de certificat

Dans l’ensemble des cas, nous partirons toujours d’un fichier CSR¹⁹ (ou REQ²⁰ je ne suis pas obtus) afin de générer notre CRT²¹.

VMWare : VCSA

1 – Génération du fichier CSR

Sur notre appliance VCSA²², à partir du menu il faut se rendre dans le menu d’administration partie Certificat. Pour le reste, il suffira de suivre les captures ci-dessous pour générer notre CSR.

Renseigner les informations d’authentification, puis valider.

2 – Inscription et génération du fichier CRT

Sur notre serveur ADCS, il est nécessaire d’exécuter la commande suivante :

> certreq.exe -submit -attrib "CertificateTemplate:WebServer" "‪C:\monFichier.csr"

L’inscription en GUI à travers les RSATs ne semble pas fonctionner chez moi sans retourner au préalable une erreur relatif au modèle. Un collègue m’a donné cette astuce. Je trouve d’ailleurs logique au vu de ma radinerie d’utiliser une commande powershell sur mon serveur CORE !

Commande Powershell tu es certain de toi ? Tu paries combien ?

Effectivement il s’agit bien là d’une commande cmd. Et ayant poussé le vice plus loin, cette commande ne fonctionnera pas si vous êtes :

• Authentifié sur le serveur avec un compte local
• Via une session PowerShell distante à travers WAC²³
• Via une session PowerShell distante

Une petite interface graphique est appelé vous demandant de sélectionner une autorité de certification… Seule solution, réaliser l’opération directement en powershell à travers la console VMWare.

3 – Autorité de certification racine de confiance CER

Depuis un poste du domaine, nous exportons notre certificat d’autorité racine CER au format base 64.

Naturellement, on laisse pas trainer ça n’importe où hein et nous supprimerons ce dernier une fois l’opération terminée.

Pourquoi ? Avez vous déjà essayé de laisser un billet de 50 balles sur un banc public ? Voilà vous avez votre réponse 🙂

4 – Import du certificat et reboot des services

De retour dans notre VCSA, Administration > Certificates > Certificate Management. Choisir pour le Certificat Machine SSL²⁴ l’import et le remplacement du certificat.

Ayant préalablement réalisé une demande CSR, la clé privé est donc connu de notre appliance.

Nous importons notre fichier CRT généré par notre serveur de certificat dans le champ Machine SSL Certificate et dans le champ Chain of Trusted root certificates notre certificat d’autorité racine.

Plus qu’à cliquer sur Replace.

Si toutes les actions se passe bien, vous êtes expulsés mani millitari de l’interface VCSA. Normal puisque le processus de mise à jour des services vient de s’enclencher pour appliquer le nouveau certificat. Vous pouvez aller prendre un café, voire deux.

Pour les curieux, vous ne pourriez plus non plus accéder à la plateforme de VMCA²⁵. Pas de panique c’est normal. Il gambade dans le couloir, il va revenir rapidement. Patiente est mère de vertu.

En conclusion, nous arriverons au résultat suivant.

L’absence de l’encarts rouge sur le protocole HTTPS n’est plus présent. Après contrôle du certificat ce dernier est bien valide. Ce qui nous amène donc à nous dire que si nous accédons à cette ressource un jour et que l’encarts rouge reviens nous sommes dans le scénario :

• Mon certificat a expiré je suis un boulet
• Charlie tente de nous piéger avec un site qui ressemble mais n’est pas notre site. Qui s’appelrio phising

Dans le cas de la VCSA, bien penser aux dépendances tierces. Changement de certificat implique de facto de renouveler les empreintes et poignée de main.

Donc qu’est ce qu’on fait ?

Par exemple, on se connecte sur notre serveur VEEAM (et oui encore et toujours… Vous aurez compris mon amour inconditionnel pour cet éditeur et solution <3 ) et on réalise de nouveau un paramétrage pour prendre en compte le nouveau certificat ? Très bien. Tu gagnes une tagada #PASCALDUB.

Windows : RDP

L’un des usages les plus fréquents sur un SI pour les SysAdmins, l’usage du protocole RDP pour se connecter d’un server, ordinateur à un autre. Mais alors, il est fréquent de se retrouver en permanence avec le même avertissement nous informant que la connexion n’est pas sécurisé du fait de l’utilisation du certificat auto-signé.

Il est donc temps de remédier à ça. 🙂

1 – Modèle

Direction, la création d’un nouveau modèle en dupliquant le modèle Ordinateur. Je n’invente rien, je ne fais que suivre le guide MS. Je ne fais pas le choix de publier le certificat dans l’AD. La raison est qu’en activant cette case, cela va avoir pour conséquence de stocker les certificats dans l’AD afin de faciliter la gestion, l’inscription et la consultation des certificats. Ce qui me semble un peu risqué… Mon POV comme disent les jeunes de nos jours.

Pour la durée (je ne parle pas des macarons, et pourtant je vous confirme qu’ils sont bons), 2 ans me semblent pas mal. D’ici là, j’ai le temps de perdre mon LAB à la maison (si ma conjointe qui n’est pas encore mon épouse ne l’a pas accidentellement accompagnée vers le paradis des machines. C’est qu’il prend dans la buanderie le bougre).

Dans l’onglet Extensions, nous devons ajouter une nouvelle stratégie d’application. Pour une raison étrange l’application RDP n’est pas présente dans la liste des applications par défaut. Nous supprimerons l’authentification du client et du serveur.

Ce qui nous donne une fois configurée, le résultat ci-dessous. Les permissions sont importantes. J’ai choisi de limiter les droits d’inscriptions uniquement aux ordinateurs nécessaires. D’où la présence du groupe local de sécurité GLS_CERT_RDP.

Si le groupe n’est pas présent, pas de panique. Un petit switch dans la console AD users & computers et le tour est joué. La nomenclature m’est propre à vous de faire parler votre créativité.

Validez la création du modèle et activer ce dernier.

2 – GPO

Bien maintenant il faut bien déployer notre certificat. Du moins plutôt dire quel certificat doit être utilisé par notre service de bureau à distance.

Soit le gestionnaire de stratégie de groupe 🙂

Toutefois, il subsiste un petite subtilitée lors de l’ajout du nom du modèle de certificat. Comme l’indique le guide, nous pouvons préciser :

• Le nom du modèle
• Le nom de l’objet identificateur (ce que nous avons ajouté précédemment dans la stratégie d’application)

Selon Microsoft, l’usage du nom du modèle inscrira avec succès le service de configuration de bureau à distance (SessionEnv) mais en contrepartie, à chaque application de la stratégie une nouvelle inscription aura lieu. De facto cela peut engendrer une sursollicitions de l’autorité de certification.

Je cours le risque car mon SI est petit et même si mon ADCS ou mes ADDS ont des ressources plus que limités (c’est voulu, c’est du core) cela reste un banc de test. Mais attention toutefois. Je pense que c’est bon à savoir.

Je vous résume la stratégie ordinateur.

J’ai été choqué. Pas vous ? Regardez bien…

Pour une raison que m’échappe en parcourant les paramètres, nous pouvons spécifier une couche de sécurité spécifique pour les connexions par distante. En lisant la description nous avons le choix entre deux méthodes :

• SSL
• RDP

Le chiffrement RDP étant déconseillé, il est recommandé de forcer le type de chiffrement sur SSL. Sauf que cela ne prend en compte que TLS²⁶ 1.0… Voilà voilà… Un petit TLS 1.2 aurait été bien mais non. Espérons que cela va évoluer.

En bonus, j’aime a activer la saisie du mot de passe à chaque session en plus du mot de passe saisie dans le client RDP.

Une fois la GPO terminée, je lis cette dernière à un bon niveau de mon OU et ne l’applique que sur mon GLS_CERT_RDP. L’objectif étant à l’avenir de pouvoir jouer sur la flexibilité et ajouter des membres si besoin à mon groupe. Pour appliquer la GPO, cette dernière étant ordinateur elle s’appliquera au bout de 15 minutes. Sinon un petit gpupdate /force des familles et le tour est joué.

3 – Tests et Vérification

Vérifions que cela fonctionne bien. J’ouvre depuis mon réseau domestique une session RDP sur ma bulle d’administration/management (Ne vous inquiétez pas, il y a bien une règle de parfeu en Inbound).

Une petite consultation dans notre console d’autorité de certification dans les certificats délivrées et…. Oh surprise, nous retrouvons nos objets ordinateurs #COEURAVECLESMAINS.

Force et de constater que cela fonctionne. <3 Que d’amour dans cette partie 🙂 Je dirai que c’est le plaisir du devoir accomplie.

En inspectant le certificat présenté depuis mon poste domestique, nous retrouvons bien les informations d’inscriptions ainsi que le tampon de notre autorité de certification racine.

Mais alors pourquoi cet avertissement ?

Simplement que mon poste, lui ne connait en aucun cas l’autorité de certification de confiance ronelab.lan. Normal car il n’est pas dans le domaine. Donc mon poste considéré ce dernier comme non légitime puisqu’il ne peut vérifier l’authenticité de ce dernier.

Bien… Cela aurait peut-être mérité un article dédié. M’enfin ça me plait comme ça.

Conclusion

Et voilà le terminus, tel Jesus je claque ma portière en descendant de ma croix. Encore un pari non tenu quant à la longueur excessif de ce billet…

Il reste difficile de parler de sécurité sans savoir comment cela fonctionne (et encore je ne suis pas rentré dans les détails des algorithmes de chiffrement). Je pense qu’il est important et nécessaire déployer le rôle d’infrastructure ADCS sur les systèmes d’informations pour jouir et bénéficier des avantages des services qu’il propose.

Naturellement, cela permet de sécuriser les services et de garantir l’authenticité de l’accès de l’information sur des ressources le plus souvent visibles comme des sites web internes ou applications, mais également indirect (comprendre non visible) comme des protocoles et services LDAPS, WinRM over SSL, SMB over Quick, RDP etc.

Malheureusement, ce rôle est sous-estimé par les AdminSys qui voit en ce dernier plus une source de problème à venir et des difficultés de gestion que de la première pierre qui sert de socle à la sécurité du système d’information.

Voyons plutôt les avantages et inconvénients.

Le jour où ça déconne, le SysAdmin peut vite se sentir seul et démuni avec comme arme uniquement sa b**e et son couteau…

Pas de serveur ADCS, pas de serveur Radius. Pas de serveur Radius, pas de sécurité. Pas de sécurité, Pas de serveur ADCS. Pas de serveur ADCS…

J’ai donc été confronté à cette problématique qui m’a pour le coup empêché de publier plusieurs articles considérés comme inachevé. Il est certain que plus nous avançons dans le temps plus ce qui était considéré comme « optionnel » en termes de sécurité devienne un standard.

J’ai également en toute honnêteté rencontré un point de blocage qui a nécessité une aide extérieure quant à l’implémentation. La théorie c’est bien, mettre en pratique cette dernière est parfois plus délicat. Je remercie donc ce collègue amateur d’andouillette 5A pour le quart d’heure de pratique concernant VMWare. D’ailleurs est il incompatible de parler IT autour d’une table de brasserie ou semi-gastro ? L’idée est à débattre, je pense qu’il y a quelque chose à faire.

Vous l’aurez compris, il ne faut pas avoir peur de ADCS et de PKI. Il est impératif de sécuriser un maximum les services et ce rôle. Sans eux, et je crois en avoir dit assez long tout au long de ce papier je vais pouvoir étudier et présenter d’autres technologies.

Le mot de la fin ?

Je chiffre les paroles d’une chanson et paume ma clé privée, qui suis je ? George Alain bien sûr. Mais c’est pas un SHAOne ? Non un SHA d’IRAN. Okay cool, merci R-One.

Erwan GUILLEMARD

Sources

• RFC
• X509 : Extension
• Windows : ADCS Guide
• Windows : CVE PetitPotam
• Windows : ADCS Configuration CA
• Windows : RDP Certificat Settings

1. PKI : Public Key Infrastructure ↩︎
2. SI : Système d’Information ↩︎
3. IA : Intelligence Artificielle ↩︎
4. ADCS : Active Directory Certificate Services ↩︎
5. ADDS : Active Directory Domain Services ↩︎
6. PME : Petites et Moyennes Entreprises ↩︎
7. IIS : Internet Information Services ↩︎
8. KB : Knownledge Base ↩︎
9. GUI : Graphic User Interface ↩︎
10. CA : Certification Authority ↩︎
11. AD : Active Directory ↩︎
12. CVE : Common Vulnerabilities and Exposures ↩︎
13. SHA512 : Secure Hash Algorithms ↩︎
14. OS : Operating System ↩︎
15. RSAT : Remote Server Administration Tools ↩︎
16. MMC : Microsoft Management Console ↩︎
17. ADSI : Active Directory Service Interfaces ↩︎
18. RDP : Remote Desktop Protocol ↩︎
19. CSR : Certificate Signing Request ↩︎
20. REQ : Request ↩︎
21. CRT : Certificate ↩︎
22. VCSA : vCenter Server Appliance ↩︎
23. WAC : Windows Administration Center ↩︎
24. SSL : Secure Sockets Layer ↩︎
25. VMCA : vCenter Management Appliance ↩︎
26. TLS : Transport Layer Security ↩︎

#vieuxcrouton #hasbeen #looser #cartevermeille

Ouai ba voyez M’sieurs, Dames, il suffit de pas grand chose pour toucher mon orgueil et surtout « titiller » (vous ne trouvez pas que ce mot transpire de sensualité ?) mon intellect. Il est vrai que depuis un certain temps pour ne pas dire année, je souhaitais aborder le sujet. Mais le manque de temps voyez vous… M’enfin il n’est jamais trop tard, jamais et les collègues vous le rendent bien !

Bon si vous connaissez Microsoft Windows en interface graphique, sachez qu’ici nous allez faire du hard core planc gorge, j’mords, c’est jusqu’à la mort ! Hé oui mes loulous, on va parler de Windows CORE. Accrochez vous à votre PowerShell, car va falloir jouer du framework .NET et se faire une bonne cartographie mentale !

Pour une première, je me suis dit pourquoi ne pas découvrir CORE avec la nouvelle version de WS 2025 DTC¹ ? 🙂 Viendez viendez, on n’y craint pas ! (Merci de bénéficier des avantages d’êtres un Alumni Supinfo).

(L’auteur aurait il consommé quelques substances avant de commencer ce billet ? Nous mettons le commissaire MAIGRET sur le coup, mais discrètement hein. Jean GABIN or Bruno CEMER will be summon on ? This is an excellent question…).

Prérequis

• SE : Windows Server 2k19 et version ultérieures
• Apps : VMWare/Hyperv
• Autres :
  • Powershell

Avant-Propos

Cet article va être plutôt petit et va dénoter avec les articles précédents qui étaient des pavés à la limite de l’indigestion. Toutefois, ne voyez pas dans ce billet un moyen d’utiliser mon appétence cérébrale à des fins mercantiles.

Je reconnais toutefois avoir été pris au piège de l’influence et des statistiques de la performance des réseaux. Néanmoins, une petite période de sevrage permet de remettre l’église au centre du village. Je dis-verge, mais ce point est important.

La vraie question est qu’est ce que t’apporte tes articles ? Un plaisir de créer et de partager ou de générer des réactions qui viennent flatter ton égo ?

Ah ha ! Tu es démasqué FANTOMAS ! La réponse est simple. Partager et accessoirement savoir que cela a été bénéfique à d’autre. Je dois garder à l’esprit que je ne suis ni expert, ni un surhomme. Juste un SysAdmin qui refuse d’être un NEVER BEEN et dans l’apprentissage permanente.

« Je suis le commissaire MAIGRET de la police judiciaire de Paris… Mmmmhhhh. Pensez vous que le rédacteur aurait pu boire quelques verres ? Vous lui avez donné quelques choses ? »

Merde, le commissaire commence à se rapprocher de moi ! Pour brouiller les pistes, nous allons partir sur le déploiement d’un serveur CORE pour remplacer notre serveur AD² avec la surcouche d’expérience utilisateur. (Mais nous resterons uniquement sur la partie configuration du SE³ et de sa mise au domaine, je garde la suite pour d’autres billets 🙂 A que c’est beau de voir la fièvre créative d’un jeune vieux !).

Théorie

Bien bien bien, un petit peu d’histoire. Pourquoi, quand et comment Windows Core est né ?

Nous pourrions demander au commissaire MAIGRET, mais nous allons le ménager.

La première version grand public de Windows Serveur Core apparait en 2008 avec la version WS2k8.

L’un des enjeux de l’époque et la sécurité. Effectivement, si nous reprenons l’une des bonnes pratiques de l’ANSSI⁴, nous ne devrions installer sur nos serveurs le strict minimum en termes de rôles, fonctionnalités et applications. Or notre Windows Server en GUI⁵ possède plein de chose utile/inutile.

Bref, c’est pourquoi un gars (Andrew Mason pour ne pas donner de nom) c’est posé la question de restreindre le périmètre d’attaque des serveurs en épurant les SEs. Adieu l’interface graphique, bonjour la ligne de commande !

Mais la ligne de commande, ça ne fait pas b****r tout le monde. Perso, je dis aime <3

« Vous avez des nouvelles d’R-One ? C’est curieux vous ne trouvez pas ? Qu’avait-il bu ? J’ai bon espoir de croire que c’était un Beaujolais Moulin à Vent 2011… »

Il est fort ce Jules (vous ne saviez pas que c’était Jules son prénom ? Hé bien voilà, vous mourriez moins c*n ce soir) ! Mais pour ma défense c’était sur la griotte à l’eau de vie et ça pinottait pas mal, jusqu’à me remémorer un vague souvenir d’un Griotte Chambertin il y a quelques années.

Nous nous égarons commissaire ! Pourquoi utiliser Windows Core ? Si c’est en ligne de commande c’est pénible et pour les SysAdmins averties ?

Dans un sens oui c’est pour les SysAdmins un peu plus confirmés, mais quitte à me répéter, les compétences ça s’acquiert 😊Nous utiliserons les serveurs CORE pour des rôles qui sont « critiques » et qui ne nécessite en rien une interface graphique.

Un petit exemple :

• ADDS⁶ ?
• Fichiers ?
• Printers ?
• RDS⁷ (Broker, Licence, Passerelle) ?
• ADCS ?
• VEEAM Proxy ?

Et nous pourrions continuer l’énumération des rôles !

Windows CORE n’est pas non plus une brute. Nous retrouvons quelques IHM⁸ en GUI si besoin (Notepad, ADExplorer, Regedit,Diskpart… La liste des composant, par ici).

Ok pour vous ? OOOOKKKKAAAAAYYYYY !

Mouai, mais tu peux nous dire comment on administre les serveurs ? La sécurité ok, mais ce n’est pas pratique ton truc.

Pour le coup, nous avons plusieurs possibilités d’administrer un serveur CORE à distance depuis un autre serveur.

• Microsoft Manangement Console (MMC.EXE)
• Gestionnaire de Server (ServerManager.exe)
• Windows Admin Center
• Powershell :p

La connexion s’effectue soit via le protocole DCOM⁹ (obsolète depuis) ou WinRM¹⁰. Mais qu’est-ce que ce WinRM ? Je pense que la définition de Microsoft s’applique sans user de paraphrase.

Windows Remote Management (WinRM) est l’implémentation Microsoft du protocole WS-Management, qui est un protocole soap (Simple Object Access Protocol) standard et compatible avec le pare-feu qui permet l’interopérabilité entre le matériel et les systèmes d’exploitation de différents fournisseurs.

https://learn.microsoft.com/fr-fr/windows/win32/winrm/portal

Pratique

Installation

L’installation entre nous c’est exactement la même chose que pour les versions précédentes avec un petit coup de poliche car c’est WS 2025. Waouh, l’IHM a été modifiée !

#grossebossedanslefutal #balancetonstream

Je passe donc cette partie. De toute façon, il n’y a rien de bien intéressant. Choisir un disque et la partition pour déployer le système d’exploitation ? Saisir une clé d’activation. Patientez devant la barre de progression ?

Perso, j’ai déjà fait l’installation est un modèle. J’ai donc déployé ce dernier et réalisé un sysprep en amont. L’objectif et d’être efficace quant au déploiement d’un serveur.

Allez, donne moi ton CORE baby, ton CORPS baby…

Premier Démarrage

Lors du premier démarrage, nous constatons dans notre console, un fond noir avec une fenêtre console qui tourne. Ça change de ce bon vieux écran bleu avec la progresse barre circulaire hein ?

Je vous vois 🙂 Vous êtes perdu comme Vincent VEGA en pleine montée 🙂 Pas de panique, nous n’aurons pas besoin d’adrénaline. Un petit Ctrl+Alt+Del et magie, le terminal change.

Comme pour l’interface graphique, nous sommes invités à définit le mot de passe du compte Administrateur local.

Ce qui nous amène avant d’afficher notre menu principal de choisir ou non si nous souhaitons envoyer des données de diagnostic dans un but « d’amélioration ». Même sans interface graphique, nous ne pouvons nous soustraire à la dure loi de collecte des données. Dura lex, sed lex (et non pas DUREX, SEX SEX qui est tout à fait hors de son propos bien que résultat des courses ils nous prennent pour des canards sauvages).

Perso, je valide que le strict minimum. Une fois validé, nous avons enfin le Saint-Graal qui se dévoile devant nous <3

Nous pourrions faire une rapide analogie avec le menu classique d’administration graphique Server Manager. Normal car c’est grosso merdo la même chose un petit « SConfig.exe » dans le terminal et youpi yope nous réafficherons ce menu.

K’est K’on Fé ? Y a pô d’Mulot pour y fair une config ?

Promis, nous allons réaliser la configuration du serveur étape par étape et améliorer ton niveau grammaticale et orthographique mon lapin 🙂

Comme énoncé précédemment, il faudra nous plonger dans les manuels et documentations des commandes powershell et autres afin de configurer notre système, la couche réseau, la couche de sécurité, les mises à jour. Il existe une autre méthode d’administration mais nous laissons cela pour plus tard.

Configuration

Une grande partie de la configuration peut être réaliser depuis l’utilitaire SConfig.exe. Néanmoins cela n’est pas amusant et nécessite de saisir les informations. Pas super dans le cadre d’un déploiement en série de serveur.

C’est pourquoi, je propose un bout de script juste step by step. Je ne compte pas réinventer la roue ou un SConfig, je vous rassure. Mon objectif reste d’avoir un Bécanne qui soit au domaine, le réseau configuré, le mode de performance défini et que ce dernier passe dans la sauvegarde VEEAM en guest-processing. En bonus, l’ajout d’une partition.

Réseaux

Pour commencer, il nous faut récupérer l’index de notre interface. (Dans le cas où nous avons plusieurs cartes, procédons interfaces par interfaces et fiez vous à votre MAC).

1 – Récupérer les informations de l’interface

Get-NetAdapter

L’index retourné par notre commande va nous servir de base pour configurer notre interface avec un IP, CIDR et GW.

2 – Définir les paramètres réseaux IP de notre interface

New-NetIPAddress -InterfaceIndex 6 -IPAddress 10.36.16.10 -PrefixLength 24 -DefaultGateway 10.36.16.254

3 – Définir les paramètres DNS et DHCP

Néanmoins, nous n’avons configuré nos DNS primaire et secondaire. C’est toujours par le biais de notre interface retournée ci-haut mais avec une autre commande. Attention car l’attribut ServerAddresses attend un tableau de String et ce même pour ne configurer que le DNS primaire.

Set-DnsClientServerAddress -InterfaceIndex 6 -ServerAddresses "10.36.16.1","10.36.16.2"

Dernière étape concernant le DNS, il faut désactiver le DHCP sur notre interface 6. Logique puisque nous avons configuré notre interface avec des paramètres statiques.

Set-NetIPInterface -InterfaceIndex 6 -Dhcp Disabled

4 – Désactiver les paramètres IPv6

En bonus, j’aime à désactiver l’IPv6. A l’opposé des autres commandes, il faudra dans ce cas précis fournir le nom de l’interface et non son id.

Disable-NetAdapterBinding -Name "Ethernet0" -ComponentID ms_tcpip6

Bien, t’es sympa, mais ça irait plus vite avec le SConfig non ? Pas certains si nous visons un déploiement de plusieurs serveurs rapidement. Exemple une fois les bouts de codes mis bout à bout et en ayant préalablement renseigné les variables :

$_const_network_ipv4_address="192.168.171.10"
$_const_network_ipv4_CIDR="24"
$_const_network_ipv4_GW="192.168.171.2"
$_const_network_ipv4_DNS=@("8.8.8.8","1.1.1.1")
$_const_network_ipv6_enable=$false
$_const_network_ifIndex=3

function NetworkSettings {
    param()
    #https://learn.microsoft.com/en-us/powershell/module/nettcpip/new-netipaddress?view=windowsserver2025-ps
    New-NetIPAddress -InterfaceIndex $_const_network_ifIndex `
                     -IPAddress $_const_network_ipv4_address `
                     -PrefixLength $_const_network_ipv4_CIDR `
                     -DefaultGateway $_const_network_ipv4_GW
    #https://learn.microsoft.com/en-us/powershell/module/dnsclient/set-dnsclientserveraddress?view=windowsserver2025-ps
    Set-DnsClientServerAddress -InterfaceIndex $_const_network_ifIndex `
                               -ServerAddresses $_const_network_ipv4_DNS
    #https://learn.microsoft.com/en-us/powershell/module/nettcpip/set-netipinterface?view=windowsserver2025-ps
    Set-NetIPInterface -InterfaceIndex $_const_network_ifIndex `
                       -Dhcp Disabled `
    
    $interfaceName = Get-NetAdapter | Where-Object {$_.ifIndex -eq $_const_network_ifIndex}
    if($_const_network_ipv6_enable){
        Enable-NetAdapterBinding -Name $interfaceName.Name -ComponentID ms_tcpip6
    }
    else{
        #Disable IPV6 : https://learn.microsoft.com/en-us/powershell/module/netadapter/disable-netadapterbinding?view=windowsserver2025-ps
        Disable-NetAdapterBinding -Name $interfaceName.Name -ComponentID ms_tcpip6
    } 
}

Systèmes

Lors du déploiement d’un server depuis un modèle ayant subi un sysprep ou de zéro, le profil d’énergie n’est pas défini en mode de performance et ce dernier autorise le mode de mise en veille. Ce qui peut avoir des conséquences désastreuses dans un environnement de production.

1 – Mode de performance

Il faut donc dans un premier temps récupérer le profil qui est utilisé par notre serveur Utilisation normale ou Performance élevées ?

powercfg.exe /getactivescheme

Naturellement si le mode est déjà défini, nous passons notre route. Dans le cas contraire, il serait bien de changer le mode. Dans ce cas il faudra activer le mode via son GUID.

powercfg.exe -SETACTIVE 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c

Cela sera suffisant.

2 – Mode toujours actif

Normalement, l’activation du profil Performances élevées désactive le mode veille ainsi que le passage en veille sur inactivité. Toutefois, si nous voulions nous assurer que tous les paramètres soient définis pour ne pas atteindre cette condition d’état d’hibernation, il faudra se porter sur les commandes ci-dessous.

powercfg.exe /hibernate off
powercfg /Change monitor-timeout-ac 45
powercfg /Change monitor-timeout-dc 45
powercfg /Change standby-timeout-ac 0
powercfg /Change standby-timeout-dc 0

Là nous sommes sûr et certains que le profil de performance est fonctionnel.

Soit en synthèse, un bout de code du type

function Performance{
    param()
    #SetToPerformanceMode : https://learn.microsoft.com/fr-fr/windows-hardware/design/device-experiences/powercfg-command-line-options
    $currentPowerProfile=powercfg.exe /getactivescheme
    if($currentPowerProfile.Contains("*High performance*")){
        $true
    }
    else{
        $false
        powercfg.exe -SETACTIVE 8c5e7fda-e8bf-4a96-9a85-a6e23a8c635c
    }
    #Disable SleepingMode
    powercfg.exe /hibernate off
    powercfg /Change monitor-timeout-ac 45
    powercfg /Change monitor-timeout-dc 45
    powercfg /Change standby-timeout-ac 0
    powercfg /Change standby-timeout-dc 0
}

La mise au domaine de notre serveur est un pré requis pour la suite des opérations, notamment de sécurité. Bien que certains des paramètres pourrons être administrés par GPP¹¹ ou GPO¹² je tiens à gérer, « jouer » avec les paramètres du profil de domaine authentifié.

Add-Computer -DomainName contoso.lan -ComputerName myPC -Restart

Naturellement, la commande ci-dessus permet de renommer en même temps notre serveur. Nous pourrions forcer la partie d’authentification en précisant le couple authentification et mot de passe. Toutefois, ce n’est pas parce que nous sommes en CORE que les interfaces graphiques n’existent pas. Nativement, certains outils sont pris en charge. C’est le cas de la fenêtre d’authentification.

Ce qui avec succès nous donnera le retour suivant dans notre console (si et seulement si nous n’avons pas spécifié le reboot dans la commande).

Je passe bien volontiers mon tour pour vous montrer dans l’AD l’inscription de notre serveur en tant qu’objet ordinateur. Oui nous pouvons faire la même chose avec SConfig, mais encore une fois optimisons le déploiement.

Sécurités

Cette partie pourrait plus être renommé Réseaux que Sécurités. Toutefois difficile de parler de réseaux sans aborder de notion de sécurité. Alors qu’à l’inverse il est possible de parler de sécurités sans parler pour autant de réseaux.

Je ne traiterai ici que de la partie pare-feu. C’est à dire s’assurer que ce dernier est bien actif pour l’ensemble des trois profils ainsi que de l’activation de la fonctionnalité de partage de fichiers et d’impressions pour le profil de domaine authentifié (mais si, vous savez cette petite fonctionnalité qui permet de réaliser la sauvegarde à chaud de nos serveurs Windows via VEEAM).

1 – Activer le Firewall pour tous les profils

Dans un premier temps, assurons nous de vérifier l’état du pare feu pour nos 3 profils.

Get-NetFirewallProfile | Select-Object Name,Enabled

Puis si nous souhaitons activer le pare feu pour un profil spécifique

Set-NetFirewawllProfile -Name Private -Enable True

Par défaut, le pare feu est actif pour l’ensemble des profils. Néanmoins, il peut être intéressant dans certains cas de désactiver le pare feu pour configurer ou diagnostiquer une application et donc le cas échéant de créer, ajouter la règle adéquates en entrant ou sortant.

2 – Activer le partage de fichiers et d’impression

Cette partie est facultatif et dépend du contexte et de l’usage. Je préfère réaliser l’approche par l’activation d’une règle de pare feu existante plutôt que de créer une nouvelle politique UTM¹³.

Je vous encourage fortement à déployer vos serveurs en anglais et non dans votre langue natale. Pourquoi ?

• Premièrement l’anglais et la langue universelle. Celui qui a épousé le métier de l’IT sans lire et comprendre la langue de Shakespeare et ne compte pas s’investir plus que ça part avec un sérieux handicap. Sauf si c’est le genre de personne à la LetMeSoloHer dans les SoulsLike. Dans ce cas-là, je dis RESTECP
• Deuxièmement, les caractères spécifiques et les claviers dans à travers une console. L’anglais à la chance de ne pas avoir des caractères à la c*n… Vous devez taper un caractère qui n’apparait pas sur votre clavier. C’est un petit peu pénible… Admirable petite apostrophe Pain in my a**

• Troisièmement, pour la recherche d’erreur cela évite de réaliser des traductions/versions approximatives
• Quatrièmement, cela vous évitera également d’avoir des dysfonctionnements de compatibilité sur certaines terminologies liées au package de langue « File and Printer Sharing » vs « Partage de fichiers et d’imprimantes »

Bref tout ça pour activer l’application dans le pare feu.

Set-NetFirewallRule -DisplayGroup "File and Printer Sharing" -Profile "Domain" -Enabled "True"

Si nous partons du postulat que nous avons plusieurs applications à activer pour plusieurs profils, il conviendrait alors de compléter les variables de type tableau de chaine de caractère concernant les applications ($_const_firewall_apps_toenaled) ainsi que les profils pour lesquels ils doivent être actif ($_const_firewall_apps_fileandprinterSharing_profils).

$_const_firewall_profil_enable=$true
$_const_firewall_apps_toenaled=@("File and Printer Sharing")
$_const_firewall_apps_fileandprinterSharing_profils=@("Domain","Private")

function FirewallSettings {
    #check Profile + add files and shared
    param()
    $profilsFirewall=Get-NetFirewallProfile | Select-Object Name,Enabled
    foreach($profil in $profilsFirewall){
        Set-NetFirewallProfile -Name $profil.Name `
                               -Enabled $_const_firewall_profil_enable
    }
    foreach($app in $_const_firewall_apps_toenaled){
        Get-NetFirewallRule -DisplayGroup "$app"
            foreach($profil in $_const_firewall_apps_fileandprinterSharing_profils){
                Set-NetFirewallRule -DisplayGroup $app `
                                    -Profile $profil `
                                    -Enabled "True"
        }
    }
}

Stockage

Je me pose la question de qu’est ce que peut bien fo***e cette partie ici. Dans la logique d’un billet déjà existant pour les systèmes GNU/UNIX. Popopopop garçon, ça a bien sa place. Nous avons tous débuter non ?

Je dirai que pour les SEs WINDOWS, la question ne se pose pas trop car nous savons initialiser un disque en interface graphique et définir nos volumes. En ligne de commande, c’est un peu moins facile (logique, nous n’avons pas les infobulles et autres wizards que nous orientons avec notre souris). Quoi que, je dirais que c’est tout aussi facile il suffit juste de suivre la même logique que pour l’ajout d’un volume sous UNIX.

Mais pour cela comment choisir notre disque ? Nous avons ajouté notre disque à travers VMWare ou HyperV. Nous connaissons donc ça volumétrie, right ? La commande Get-Disk va retourner l’intégralité des disques présentés à notre machine en lui attribuant un nombre. Il suffit donc de récupérer le nombre associé à notre disque.

Commençons par initialiser notre disque en type de partition GPT¹⁴.

Initialize-Disk -Number 1 -PartitionStyle GPT

Nous nous devons de récupérer l’ensemble des lettres assignées à nos différents lecteurs afin de ne pas allouer une lettre déjà utilisée. A savoir car je l’ai déjà vu sur certaines machines de production clients, nous bannissons les lettres A et B pour nos lecteurs… Par nostalgie, les lettres A et B étaient réservé au floppy drive ou disquette.

(Get-PSDrive -PSProvider FileSystem).Root

Donc à priori, les lettres C et D sont prises. Nous prendrons E sans hésiter. Oui, je vais suivre cette logique arbitraire du n+1.

Nous avons notre lettre, notre numéro de disque et la taille. Nous pouvons donc créer notre partition. Sur ce point, il y a cependant deux voies possibles jeune padadmin (comme un padawan mais sans l’ordre 66).

Nous pouvons utiliser l’intégralité de l’espace disque disponible ou seulement une quantité préalablement définie.

New-Partition -DiskNumber 1 -DriveLetter E -UseMaximumSize
ou
New-Partition -DiskNumber 1 -Size 5000MB -DriveLetter E

Cette syntaxe me parait importante pour être souligné. Par défaut, le système si rien n’est précisé prendra la totalité de l’espace disponible.

Une fois notre partition créée (car nous venons de créer une partition). Il nous faut formater cette dernière. Sur WINDOWS, le choix est plutôt simple. Mais lequel choisir NTFS¹⁵ ou ReFS¹⁶ ?

Nous pourrions continuer l’analyse longtemps et dédier tout un billet sur NTFS et ReFS. Effectuer un benchmark. Je vous invite à lire les deux pages du technet. Pour faire simple et c’est ce que je fais pour l’ensemble de mes serveurs. Il est naturellement primordial de bien prendre en compte les documentations des éditeurs ainsi que des fonctionnalités portés par ces deux formats, cela peut avoir une incidence désastreuse sur le long terme en cas de mauvais choix.

• NTFS : Pour les disques systèmes ainsi que les petits serveurs de fichiers ou orienté archive. Ainsi que pour les applications simples (pas de gestion de résilience)
• ReFS : Pour ce qui nécessite beaucoup d’opération et de la grosse volumétrie ainsi que des performances accrues (Disque de profils utilisateurs, profils redirigés, applications compatibles, repo de sauvegardes)

Bref, revenons à notre partition à formater, nous lui attribuons une lettre, son type et un nom friendly 🙂

Format-Volume -DriveLetter E -FileSystem NTFS -NewFileSystemLabel "AD"

Notre partition est bien présente. Ou plutôt devrais je dire NOS partitions car vous avez une partition S:\ pour le backup de notre AD ainsi qu’une partition E:\ pour stocker notre AD (la base NTDS²¹ et le SYSVOL).

Administration

L’administration va poser problème. Généralement nous utilisons dans la grande majorité des cas des serveurs Windows avec l’expérience utilisateur d’activé. Ce qui se traduit par, j’ai besoin de faire quelques choses sur mon serveur, je me connecte en bureau à distance via RDP²² et je fais ma tambouille, terminé. Le scénario est à exclure car il n’y a pas d’interface graphique (bon peut être un regedit, notepad, taskmanager et j’en passe).

Alors comment se simplifier la vie ? En réalité il y a une multitude de méthode autres que la connexion directe en console ou via l’interface graphique.

• MMC²³
• ServerManagement
• PSRemoteSession
• RSAT
• Windows Admin Center

Oui, je vois un doigt levé dans l’assistance ? Vous pouvez baisser votre annulaire (ou pas vous pouvez ajouter l’auriculaire), j’anticipe votre question. Je vais prendre le soin de montrer et présenter un exemple pour chacune solution énumérée toutefois je me garde le droit d’invoquer un joker le temps voulu.

MMC

MMC ou Microsoft Management Console est une console qui permet de gérer aussi bien un poste localement qu’à distance en chargeant des composants affichables.

Toutefois, il sera nécessaire d’autoriser le trafic des protocoles suivants :

• RPC : 135/tcp
• SMB : 445/tcp, 139/tcp
• Dynamique : 49152-65535/tcp

Dans mon cas, je souhaite administrer mon rôle DNS sur mon serveur CORE. Pour se faire, je choisi DNS et dans la fenêtre qui va suivre, je vais renseigner le nom FQDN de mon serveur. Et voilà.

Cette méthode est présente depuis Windows Server 2003 et Windows XP. Bien que peu utiliser de nos jours, elle m’a permis de réaliser pas mal de contournement. L’une de ces grandes forces et de fournir une console personnalisable. Et donc cela rentre parfaitement dans le cadre de la délégation sur des périmètres sensibles auprès des équipes opérationnelles.

ServerManagement

Nous connaissons tous cette interface qui pop depuis Windows Server 2012. Elle était pourtant présente sous 2008 mais en moins glamour. Depuis cette interface il est largement envisageable d’administrer nos rôles A condition d’avoir préalablement déployé les RSATs (quoi que…).

Comme pour MMC il sera nécessaire d’autoriser les protocoles ci-dessous et d’ajouter un serveur dans la console de gestion.

• RPC : 135/tcp
• SMB : 445/tcp, 139/tcp
• Dynamique : 49152-65535/tcp

Je passe volontiers la liste des étapes car il suffit d’user de clic clic souris. Je laisse le choix de vivre dangereusement (pour une fois). Une fois ajouter le serveur apparaitra dans le menu de gauche Tous les serveurs.

L’administration d’un des rôles et fonctionnalités se fera assez facilement car la console de management va détecter les rôles présents et les suggérer dans ce même panel de gauche.

Néanmoins, rien ne nous empêche de réaliser un clic droit sur notre serveur et de rentrer dans certaines fonctionnalités, ou tâche d’administration basique.

Ce n’est pas la méthode que j’affectionne et que j’utilise le plus. Bien qu’il faille le reconnaitre, tout est pensé pour simplifier l’accès aux informations et interagir avec nos serveurs. Le gros plus à mon sens de Server Manager consiste à la gestion des partages, gestions des volumes ainsi que de la gestion des rôles de bureau à distance.

PSRemoteSession

Un peu moins connu et utilisé des SysAdmins (sauf peut-être des SysAdmins avancés ou DevOps), c’est la possibilité de se connecter à partir d’une invite de commande powershell à un système distant (avec ou sans interface graphique).

Pour ce faire, nous devrons autoriser le protocole WinRM sur le réseau et activer la fonctionnalité sur les serveurs concernés. Le second protocole WinRMS est simplement le protocole WinRM over SSL. Plus sécurisé, mais plus lourd à mettre en place. Spoiler, je reviendrai sur ce point plus bas.

• WinRM : 5985/tcp
• WinRMS: 5986/tcp

L’ouverture d’une session powershell à distance s’effectue avec la commande

Enter-PSSession monserver.contoso.lan

Ci-dessous un magnifique exemple de fonctionnalité non autorisé ou de port WinRM bloqué.

En d’autres circonstances, nous obtenons le retour suivant.

J’ai toujours pour habitude de me tirer les cheveux pour savoir dans quel état j’erre, pardon dans quel environnement je travail. Powershell est sympa, il vous rappelle le contexte dans lequel vous êtes en début de chaque prompt [monserver.contoso.lan]: PS. Bref, vous admirerez que j’ai affiché ici l’intégralité de mon serveur DNS.

J’affectionne quand nous pourrions nous en douter cette méthode car elle permet d’exécuter certains petit bout de script, commande, à droite à gauche. Mais en tout et pour tout, cela n’arrange pas et n’aide pas à l’administration pour celui qui cherche à administrer ces rôles ou son serveur.

RSAT

Les RSATs²⁴, mon pauvre amour (même si je ne les ai pas encore abandonnés). Les RSATs ont l’avantages et la souplesse de pouvoir se déployé un peu où l’on veut. Ce qui est génial si nous voulons faire des postes d’administration et de rebond. Ainsi nous limitons les périmètres d’exposition de nos infrastructures. Et encore, il faut faire attention.

Pour se faire, il nous faudra autoriser les flux « classiques » ci-dessous :

• RPC : 135/tcp
• SMB : 445/tcp, 139/tcp
• Dynamique : 49152-65535/tcp

Auparavant sur les environnements antérieurs à Windows 10 1809 me semble-t-il, il était nécessaire de se rendre sur le site de MS et de télécharger les RSATs pour administrer les rôles de nos serveurs. Au delà de cette version, Windows incorpore et offre la possibilité d’installer les RSATs depuis les applications. Franchement c’est sympa ? Le seul problème c’est qu’il faut se rappeler où il faut passer pour ajouter les fonctionnalités facultatives. C’est un truc qui me gonfle, mais à un point… A faire pâlir le dernier officier de la maréchaussée qui m’a arraisonné. Sérieusement. Rien que pour les captures d’écrans, j’ai perdu 30 minutes…

Bon, je réclame des applaudissements et une ovation… Pour ne pas s’emmerder (aux chiottes la censure et bienséance), dans la barre de recherche Cortana ou autre, rechercher « Facultatives ». Vous gagnerez du temps.

Ajouter une fonctionnalité dans le vaste choix qui s’offre à vos yeux, puis installer les RSATs souhaités. De mémoire, le reboot n’est pas obligatoire. Une fois déployée nous pouvons administrer nos rôles et fonctionnalités.

J’adore ces outils car cela permet de gagner un temps fou. Toutefois, nous ne parlons pas du tout de la configuration système de nos SEs CORE. Donc pas forcément ce que nous recherchons. Comme je l’ai dit plus haut, l’usage des RSATs nécessite d’être strict et rigoureux sur la sécurité, les accès et le périmètre que nous ouvrons. Un crypto et une connerie d’un stagiaire (ou non) sont vite arrivés…

Windows Admin Center

Ah ! Le fils prodige, tu es un sorcier WAC ! Fortement inspiré de l’interface Identiy/Entra Id/Azure AD de Microsoft 365. Nous avons une console d’administration web pour gérer nos serveurs.

Je vais faire un billet dédié car il y a matière à s’amuser avec cette petite fonctionnalité gratuite. 🙂

Comme pour la partie PSRemoteSession, il faudra autoriser les flux propres à Windows Remote Management.

• WinRM : 5985/tcp
• WinRMS: 5986/tcp

C’est une solution à cheval entre SCCM²⁵ et toutes les autres solutions vues précédemment. Cette console est accessible depuis un navigateur WEB et est d’une facilité déconcertante quant à son utilisation et sa sécurité.

Compliqué de ne pas rentrer dans le détail, je vais me restreindre au strict minimum. L’image ci-haut uniquement pour la partie Overview nous donne un état des performances de notre serveur CORE (comme nous l’aurions également pour un serveur avec l’expérience utilisateur d’activé).

Puis si nous attardons rapidement notre regard sur le ruban de gauche, nous remarquons les fonctionnalités suivantes :

Tu ne pouvais pas t’en empêcher hein ? Il fallait que tu montres un peu plus !

Ba, je dirai que c’est comme chez mon boucher, quand je lui demande 500gr de poulet, il m’en met toujours un peu plus 🙂

Bref, là nous avons une solution qui nous permet d’administrer quasiment 80% de notre machine, nous pouvons prendre la main à distance dessus et nous pouvons configurer les rôles. Que demander de plus ? Je laisse un exemple, toujours le même pour la gestion du DNS.

Je reviendrai sur ce sujet dans deux billets, je pense sur 2025 car j’ai encore un point à traiter. Mais il faut savoir que c’est déconcertant dans le bon sens du terme de voir toutes l’évolutions technologiques mis à la disposition des SysAdmins pour faire en sorte de gérer convenablement nos infrastructures, limite à faire de nous des Maîtres du Monde <3

Conclusion

Cet article, je le crois ou du moins j’en suis certain est là d’être terminé. Pourquoi ? Parce qu’il reste encore plusieurs points à apporter quant à la sécurité, le « tunning » du système. Ce qui est vrai pour un serveur membre d’un domaine qui peut être administré par GPO, ce n’est malheureusement pas le cas d’un serveur local. Pour ça il y a Ansible me dit on… Je passe mon tour pour cette fois.

Encore un fois nous pouvons observer les différents états de personnalité de l’auteur. Les vapeurs éthyliques qui se sont échappé de ma cafetière qui me sert de cerveau sont venu s’échouer encore une fois sur ce billet. Encore une fois les nuits blanches ont fait leurs offices…

Je vous avais promis un article plus court que les précédents. Je m’en excuse je crois que je ne sais pas faire… Mais les vins étaient bons.

Enfin, ce que je veux dire par là, c’est que je vais ajouter ponctuellement des bouts de scripts et des sous parties 🙂

Et si nous revenions à notre sujet principal, Windows CORE. C’est une solution des plus cool pour laquelle j’aurais dû plonger dans ces rouages bien plus tôt. Je l’ai fait pour UNIX mais paradoxalement je n’ai pas osé pour CORE. Au début je ne comprenais pas l’usage de celui-ci en entreprise et pourtant maintenant je pense comprendre ce que cela apporte :

• Une sécurité accrue : Automatiquement, le manque d’interface graphique est perturbant aux premiers abords. Difficile de faire un copier/coller d’un fichier sur le bureau :). Un moyen de silloter des rôles d’infrastructures critiques sans installer des dépendances ou surcouche système non nécessaire.
• Gain de performance : Certains rôles critiques nécessaire au bon fonctionnement du système d’information d’une organisation peuvent être optimisé quant aux ressources allouées et consommées. Par exemple un serveur d’authentification AD qui en règle générale consomme 2 vCPU et 4 Go de RAM avec l’expérience utilisateurs peuvent être ramené à 1 vCPU et 512 Mo de RAM. Donc dans la logique d’économie de ressources sort la possibilité d’allouer ces ressources à d’autres besoins (applications métiers par exemple). Votre DAF va vous remercier car il n’aura pas à vous donner une rallonge pour le budget informatique à votre grand damn 🙂
• Geste pour l’environnement : Un peu de green bashing, ça fait du bien de temps en temps non ? Pourtant il faut voir le nombre d’hypocrite sur le marché de l’IT… Je n’ouvre pas le sujet car je vois venir des débats stériles. Juste pour développer le point précédent si nous optimisons la consommation de ressources, nous consommons moins et économisons des ressources ce qui est bon pour notre petite planète bleu. Mais soyons lucide, il faudra à un moment se heurter à l’obsolescence et vétusté de nos équipements matériels, peu importe les économies qui nous réaliserons.
• La panoplie d’outils : L’argument de c’est compliqué la ligne de commande. Oui mais en graphique c’est plus rapide… Ce n’est pas vrai et je l’ai démontré. Il existe les outils et solutions historiques. Certes elles ne vont pas aussi loin et de manière aussi complète que si nous avions l’expérience utilisateurs d’activé. Mais tout laisse à penser que la dernière solution Windows Admin Center tient à mettre en avant les environnements CORES et faciliter son utilisation.
• L’évolution des équipes IT : Les équipes avec CORE vont devoir apprendre à penser autrement et stimuler les petites cellules grises qui se balade dans leurs cafetières. Ainsi la lassitude routinière prendra une dimension différente. Néanmoins, ce qui permet de monter en conséquence et de challenger les équipes peut lors d’un incident d’infrastructure nous mettre en difficulté. Tiens tu t’inclus dedans ? Oui car je suis loin d’être le SysAdmin grand cador des architectures x86. Je ne suis qu’un trou du cru du même âge que le Christ.

Je sais que certains SysAdmin sont à l’opposé de mon point de vue et ne porterons pas d’intéret à cette branche opérationnelle. Toutefois, je vous invite à jouer avec. Je vous rassure par avance, nous ne pouvons pas TOUT faire en CORE. VEEAM Serveur (Ordo) n’est pas supporté par CORE donc l’interface graphique a encore des beaux jours devant lui.

Pour terminer et clore ce billet, si je fais le constat de ces 30 minutes de lecture et du temps passé à rédiger, rechercher, tester, casser mon CORE #120JournéesdeSodome. C’est bien grâce à mon jeune collègue si j’en suis là (et non las 🙂 ). Si j’ose une citation sérieuse :

Pour récolter plus de roses, il suffit de planter plus de rosiers

George Eliot

Il n’y a rien de plus vrai puisque de ce sujet, la porte a été ouverte vers 3 autres sujets que je me dois de mettre en œuvre et de partager ou non. Comme WAC par exemple 🙂

Le mot de la fin…

Je demote mon AD et j’oublie mon DNS ? Pas mal, mais M. Macron à demote l’Assemblée Nationale et il avait pas d’environnement de LAB. C’est pas grave, je lance un DCDIAG et je retourne un E. VALLS, le légendaire outsider catalan !

Erwan GUILLEMARD

Sources

• Windows : Net-IPAddress
• Windows : DNS
• Windows : NetIPInterface
• Windows : BindingNetAdapter
• Windows : Performance Mode
• Windows : Stockage NTFS
• Windows : Stockage ReFS

1. DTC : Dans ton C*L – Datacenter ↩︎
2. AD : Active Directory ↩︎
3. SE : Système d’Exploitation ↩︎
4. ANSSI : Agence Nationale Sécurité des Systèmes d’Information ↩︎
5. GUI : Graphical User Interface ↩︎
6. ADDS : Active Directory Domain Services ↩︎
7. RDS : Remote Desktop Sesssion ↩︎
8. IHM : Interface Homme Machine ↩︎
9. DCOM : Distributed Component Object Model ↩︎
10. WinRM : Windows Remote Management ↩︎
11. GPP : Group Policy Preference ↩︎
12. GPO : Group Policy ↩︎
13. UTM : Unified Threat Management ↩︎
14. GPT : GUID Partition Table ↩︎
15. NTFS : New Technology File System ↩︎
16. ReFS : Resilient File System ↩︎
17. ACL : Access Control List ↩︎
18. CRC : Cycle Redundancy Check ↩︎
19. VHDX : Virtual Hard Drive v2 ↩︎
20. VDL : Valid Data Length ↩︎
21. NTDS : NT Directory Services ↩︎
22. RDP : Remote Desktop Protocol ↩︎
23. MMC : Microsoft Management Console ↩︎
24. RSAT : Remote Server Administration Tools ↩︎
25. SCCM : System Center Configuration Manager ↩︎

Sur les SEs² LINUX il existe le bon vieux RSYNC³ des familles (et bien d’autres solutions mais je souhaite regarder uniquement les solutions natives). Sous Windows il y a la fonctionnalités Windows Backup.

Encore une fois, le titre étant d’une explicité déconcertante, je voulais aborder de la sauvegarde WINDOWS à travers Windows Backup.

Prérequis

• SE : Windows Server 2k19 et version ultérieures
• Apps : VMWare/Hyperv
• Autres :
  • Powershell
  • Windows Admin Center
  • RSAT⁴

Avant Propos

Naturellement, il existe une multitude d’article sur la toile sur l’implémentation de cette fonctionnalité. Vous lecteurs, vous pourriez penser de m part que j’essaie de combler un manque de sujet à couvrir en réalisant cette publication.

Que nenni vous dis-je !

Je souhaite réaliser ce billet surtout pour moi. Ayant débuté il y a peu de sculpter mon CORE de SysAdmin Windows, je veux faire de ce billet mon MODUS OPERANDI et ne pas m’amuser à jongler entre la doc officiel technet et mes journaux de logs.

Si vous souhaitez passer votre route, je n’y vois pas d’inconvénients. Il existe bien des tutoriels et autres guides (mais ce n’est pas le miens).

L’article sera moins volumineux que les précédents et je souhaite aborder les aspects de configuration GUI⁵ et CLI⁶.

Théorie

Histoire

Il a toujours été question de réaliser des sauvegardes des systèmes d’informations et ceux depuis leurs créations. Un jour, un gars a dû faire un truc. Super ça marche (avec des chaussures) ! Puis une modification et « Pouf ça ne marche plus (les chaussures ont été enlevé) ». Conséquence ? Il faut tout refaire… Alors que s’il y avait un moyen de restaurer depuis un checkpoint ou une sauvegarde il gagnerait du temps !

Cela va même plus loin que l’IT car cette notion de sauvegarde est intimement liée aux médias. Si les acteurs de la sauvegarde sont des logiciels de nos jours, à une époque reculée c’étaient des Hommes (scribes, moines copistes, druides, chamanes…). La véracité de l’information à protéger de l’oublie pose toutefois un problème car nous n’admettons pas de droit à l’erreur.

Imaginez une faute de copie et vous changer le sens de la donnée ?

Mangeons, ma poule <-> VERSUS <-> Mangeons ma poule

Admettons que je surnomme affectivement ma compagne « ma poule » (Gros misogyne, de patriarcat, sexiste de tes morts ! Tout doux, c’est pour l’exemple), le sens de la phrase n’est pas le même et donc si la première suggère de déjeuner avec ma compagne, la seconde phrase indique que je suis anthropophage…

C’est pourquoi Windows dans ces premières versions a inclut cette fonctionnalité, NTBackup. Son objectif, réaliser une copie de données sur des médias de type bande (tape) ou disquette (floppy). Il faut le voir comme un gros copié/collé. Puis progressivement au fil des version, l’utilitaire NTBackup a évolué avec des fonctionnalités complémentaires. Cela s’explique naturellement par l’évolution de la technologie et de tout ce qui gravite autour en comprenant également l’accessibilité des PCs⁷ à un public professionnel et personnel.

Il faudra attendre Windows Serveur 2008 pour que NTBackup tire sa révérence après (il me semble 11 ans de bon et loyaux services). L’évolution du SE et encore une fois son usage a voulu à Microsoft de développer un nouvel outil, Windows Server Backup. La différence entre les deux est justifiés par la prose en compte de plusieurs types de média de stockage ainsi que la possibilité de sauvegarder les partitions systèmes (séparément) etc. Cet utilitaire a évolué dans le temps et reste encore présent jusqu’à la dernière version de Windows à ce jour, Windows Serveur 2025.

Ce qui pourrait se résumer par la frise suivante.

Pourquoi Windows Backup ?

L’un des éléments les plus sensible des serveurs restent d’assurer en cas d’avarie la possibilité de restaurer un élément ou une version précédente rapidement.

C’est pourquoi, Windows inclus la fonctionnalité NTBackup ou Windows Backup Server de sauvegarder les éléments, les volumes constituant le SE sans avoir à investir dans une solution supplémentaire. Toutefois cette fonctionnalité n’est pas aussi puissante que des solutions spécialisées dans ce domaine.

Question, quel est le point le plus critique d’un SI ? L’AD peut-être ?

Vous gagné une tringle à rideau !

Hé oui l’AD… Il est dans les bonnes pratiques d’Active Directory de sauvegarder ce dernier ainsi que tous les contrôleurs de domaine afin de pouvoir répondre à toute corruption possible de ce rôle névralgique du SI. Voilà pourquoi Windows Server Backup.

Toutefois, je vous donne mon opinion, cela n’a aucun intérêt.

Ah bon ? Alors pourquoi cet article vieux machin si c’est inutile ?

Pas si inutile mais pas loin en réalité. Nous avons tous d’autres solutions de sauvegarde bien plus efficace et que Windows Server Backup pour protéger nos serveurs. Alors à quoi bon cumuler les sauvegardes ?

Partons du principe que nous avons implémenter la règle des 3-2-1-1-0 de la bonne pratique des sauvegardes. Dans quel cas notre sauvegarde Windows serait utile vis à vis de notre solution de sauvegarde complémentaire ?

Nous partirons de la problématique, notre DC est corrompu nous devons restaurer l’AD.

• Scénario 1 : Nous sommes très malchanceux et tous nos médias de sauvegarde (SVG⁸, EXT⁹ et IMM¹⁰) sont hors services. Personnellement, je licencie pour faute grave mon Responsable Informatique cela relève de négligence, mais passons cet aspect RH. Je n’ai plus de sauvegarde. Ma sauvegarde Windows est viable. Je peux restaurer depuis ma sauvegarde locale sur mon environnement de production.
  • Sauvegarde Windows WIN !
• Scénario 2 : Notre sauvegarde Windows est corrompue (incomplète). Nous n’avons pas connaissance de cet échec (normal car pas de notification, cela reste à notre bon vouloir. Peut-être que je ferai un bout de script pour ça). Notre sauvegarde complémentaire elle est fonctionnelle. Comment pouvons nous traduire cela ? J’ai une sauvegarde locale Windows inexploitable sur l’intégralité de ma chaine (pas de chance hein ?), tous mes points de rétention de sauvegarde tierce sont valides mais avec des données corrompues… Nous avons de la chance. Ah bon tu trouves ? Lorsqu’un DC dysfonctionne et que l’AD est corrompu plus rien ne fonctionne assez vite. Donc oui notre AD est corrompu mais rien ne m’empêche de restaurer le serveur depuis l’application tierce à j-1, j-2 ?
  • Sauvegarde Windows LOSE !

La probabilité que nous perdions 3 copies de notre sauvegarde en même temps et selon moi nul et quasi inexistant. Donc le risque que cela se produise est relativement faible. A l’exacte opposé, le risque d’un dysfonctionnement de sauvegarde windows ou de corruption de cette dernière est bien plus grande.

Néanmoins, si nous courrons après le score parfait de sécurité et appliquons les bonnes pratiques nous devons implémenter cette fonctionnalité.

Performances

Qui dit sauvegarde, dit optimisations et performances. Il y a-t-il de la compression et/ou de la déduplication ?

Nativement et depuis WIN 2k19, la déduplication est prise en charge sur les espaces de stockage direct si et seulement si les volumes sont formatés en ReFS¹¹ ou NTFS¹².

Dans le cas de la sauvegarde Windows, cela ne pose pas de problème pour protéger un volume sur lequel la déduplication s’applique. Donc tout est bien sauvegardé.

Toutefois ce qui est vrai pour ReFS depuis WS2019 n’ai pas automatique pour NTFS. Qui de mémoire nécessite (pour la dédup naturellement) d’être installé et configuré manuellement.

Pratique

Installation

Rien de bien sorcier. Si ce n’est que nous n’avons pas autant de question existentielle quand nous déployons le rôle en commande powershell.

Toutefois, il est possible sur une serveur GUI d’utiliser les commandes CORE. J’ai vérifié dans les textes de loi, y’a pas d’interdiction ni d’objection.

1 – GUI

Depuis notre bonne vieille console Server Manager, nous ajoutons un nouveau rôle et fonctionnalité.

Pour le coup ça sera une fonctionnalité et non un rôle 🙂 Nous usons de notre roulette de mulot pour nous arrêter sur Sauvegarde Windows Server (ou Backup Window Server like say English people).

Ensuite, rien de bien passionnant. Next Next Next, et Installer.

Pis voilà ma bonne dame, mon bon m’sieur. Super intéressant n’est il pas ?

2 – CORE

Alors si la méthode précédente était super captivante, vous m’avez agréablement déçu par la magnificence des opérations qui vont suivre.

L’installation se résume en toute simplicité à la commande ci-dessous.

> Install-WindowsFeature -Name Windows-Server-Backup

L’installation débute…

Terminé.

Sans nous mentir, la méthode CLI est moins chronophage que la méthode GUI. MAIS bon, fallait il en arriver jusque là ?

Si l’installation n’apporte à mon sens aucune réelle valeur ajoutée, il faut se souvenir que ce qui parait évident pour les uns ne l’est pas pour d’autres et cela là l’objectif de mon projet, mon entreprise. (Ouai et surtout du bon vouloir du rédacteur et de son caractère aussi lunatique soit il).

Promis la configuration est bien plus intéressante. 🙂

Configuration

C’est marrant, car j’ai échangé il y a peu avec un ancien collaborateur. Et ce dernier me félicitait quant au contenu de mon bloc. Ce qui fait la différence avec d’autres sites ? Mes billets ne sont pas rédigés par l’IA¹³. C’est vrai que je n’avais pas pensé à ce phénomène qui dois exister au vu du compliment. C’est pourquoi, là au milieu de ce petit billet, je me dis qu’enfoncer le clou (une nouvelle fois ?) serait une bonne chose.

Je n’utilise pas d’IA pour la rédaction, correction de mes articles et encore moins pour la génération de mes scripts. Si au grand jamais je devais me soumettre à l’utilisation d’un quelconque OpenIA, Copilot ou ChatGPT je l’indiquerai. Je ne souhaite pas tomber dans cette pauvreté intellectuelle où l’extrême oisiveté est facilement atteignable 🙂 Comme ça, il n’y a pas tromperie sur la marchandise. Allez, je referme cette porte, regardons un peu comment se configure nos backups.

1 – GUI

A parti des outils, nous démarrerons l’utilitaire de sauvegarde.

La console nous donne une vu simple et global concernant la gestion de notre sauvegarde. Comme nous le constatons (et nous nous en doutions) il n’a pas de job de sauvegarde. Nous allons donc user de l’assistant dans la colonne de droite.

Nous avons la solution (comme souvent) recommandé la plus simple pour réaliser la sauvegarde complète de notre système. Mais nous allons réaliser dans notre cas une configuration personnalisé.

Dans mon cas, je souhaite sauvegarder mon serveur AD, uniquement la partition système (C:\) ainsi que la partition AD (E:\) sur notre partition de backup (S:\). Je choisis donc les disques C et E.

Une fois les éléments définis, dans les paramètres avancés nous allons activer la fonctionnalité de sauvegarde complète VSS¹⁴. Cela nous permettra ainsi d’assurer la consistance des données sans impacter le bon fonctionnement de notre serveur durant la sauvegarde.

Nous définissions la périodicité de sauvegarde de notre job de backup windows ainsi que la cible où stocker notre sauvegarde.

Nous avons trois choix concernant le stockage de notre sauvegarde :

• Un disque dur dédié : Comme indiqué, cela permettra de stocker les données sauvegardées
• Un volume : Si nous ne pouvons dédier un disque et si d’autres données seraient présentes sur le disque. Dans notre cas, je préfère cette option. Même si cela revient à tomber dans la proposition précédente. C’est un disque dédié au final. Attention toutefois à la volumétrie et aux performances.
• Un dossier réseau partagé : Dans le cas où nous ne souhaiterions pas sauvegarder les données sur la machine en elle même. Dans notre cas, inutile car nous avons VEEAM qui assure déjà cette tâche.

Nous sélectionnons le média de destination (dans notre situation notre partition Backup S:\).

Je dû je crois aborder le sujet, mais il en va de soi que notre partition de sauvegarde doit suivre la formule suivante :

Size Backup (Gio) >= Size System (Gio) + Size Partition AD (Gio) + 2 Gio

Un petit récap et notre job de sauvegarde est opérationnel. 🙂 Et sinon en « core » c’est plus simple ? Plus hardCORE ?

C’est que le début d’ac-CORE, d’ac-CORE (#moustache) <3 Regardons plus près le fonctionnement. Ne fait pas vos timides.

2 – CORE

Je propose un bout de script car j’en ai un peu plein le SIF de faire mes jobs de backup windows sur mes ADs. Attention toutefois car ce bout de script convient à mes bonnes pratiques (ou mes déviances masturbatoires intellectuels). A vous de l’adapter si besoin.

Oui, oui M’sieur A. Je sais que tu vas encore essayer de me vendre ton ANSIBLE. Chaque chose en son temps.

Je pense toutefois proposer ce dernier dans son intégralité à la fin. Delà à faire un Miaou, à voir mais j’ai des doutes (t’ain le doute m’habite maintenant, c’est malin).

Nous commençons par définir une nouvelle politique de sauvegarde Window Backup en initialisant notre variable $ad_policy. Puis nous récupérons dans un tableau d’objet tous les disques vus par notre fonctionnalité installé plutôt.

Nous allons travailler le tableau d’objet sur la valeur de l’attribut MountPath (de l’attribut Volumes) pour définir les partitions à sauvegarder ainsi que notre cible de stockage. De jouer avec l’attribut MountPath va nous permettre de ne traiter que les partitions pour lequel un point de montage est définit. Intéressant car je veux être certains de bien isoler ma target. Toutefois, je prends ci-dessous tous les autres disques (y compris les volumes de restauration systèmes etc), il faudrait définir les lettres des volumes dans une condition intermédiaire. Le plus simple serait un switch case pour garder du dynamisme, mais nous allons rester simple.

Bien, si c’est la partition S:\, nous définissons notre destination en initialisant une nouvelle variable $diskBackupLocation en précisant l’objet disk correspondant à S:\.

Dans l’autre cas, nous allons ajouter les volumes à protéger en appelant la méthode Add-Volume en précisant les volumes des disques. Ces derniers seront ajoutés dans notre politique créé plus tôt $ad_policy. Nous avons un aperçu de nos disques dans la capture ci-dessus.

Nous ajoutons la fonctionnalité de BareMetalRecovery afin de gagner en performance si nous avons besoin de restaurer des éléments. Il faut le voir comme des clichés instantanés en quelques sortes. Nous ajoutons à travers la méthode Add-WBareMetalRecovery la fonctionnalité dans notre politique $ad_policy.

Dans le même dynamisme et ne pas interrompre notre moment, nous allons définir et ajouter à notre politique $ad_policy le paramètre pour le full vss à travers la méthode Set-WBVssBackupOption et l’argument -VssFullBackup.

Ajoutons notre cible de stockage à notre politique (méthode Add-WBackupTarget) en renseignant la variable définit plus haut $diskBackupLocation.

Nous définissons et planifions l’heure d’exécution de notre politique de sauvegarde avec la méthode Set-WBSchedule. Puis nous ajoutons notre politique à notre système avec tous nos paramètres Set-WBPolicy -Policy $ad_policy.

Nous avons si nous souhaitons un petit récapitulatif de notre job de protection avec la commande Get-WBPolicy.

Ce qui nous donne le petit bout de code ci-dessous :

#NewBackuprules
$ad_policy = New-WBPolicy
#Get All Disk
$allDisks=Get-WBDisk
#Define Target Backup partition and partitions to backups
foreach($disk in $allDisks){
    if($disk.Volumes.MountPath.Contains("S:")){
        Write-Host "Found Backup partition"
        #TargetLocation
        $diskBackupLocation=New-WBBackupTarget -Disk $disk
    }
    else{
        #Sources to backup
        Add-WBVolume -Policy $ad_policy -Volume $disk.Volumes
    }
}
#Add BareMetal
Add-WBBareMetalRecovery -Policy $ad_policy
#Enable full vss option
Set-WBVssBackupOption -Policy $ad_policy -VssFullBackup
#Add Target location
Add-WBBackupTarget -Policy $ad_policy -Target $diskBackupLocation
#Plan backup everyday at 12:30 PM
Set-WBSchedule -Policy $ad_policy 12:30
#CreatePolicy
Set-WBPolicy -Policy $ad_policy

Mais attend voir, ce n’est pas toi qui dit ne pas vouloir donner tes scripts ? Dans certains articles tu nous les brises sévère et là pas de problème ? Pas de licence pour protéger tes travaux ? MAISILESTFOU !

Honnêtement, il suffit de RTFM¹⁵ il n’y a rien de bien compliqué et rien de bien secret à la création d’une politique de sauvegarde. Toutefois, si je commence à me dire je vais ajouter une tache de contrôle pour vérifier l’état de la sauvegarde est envoyé un mail journalier pour savoir ou non son bon déroulement, là c’est différent. Et encore, je protégerai pour la forme pour que mon nom soit un jour gravé au compas sur une table de labo d’un BTS Informatique ou dans la porte/mur des toilettes d’un établissement scolaire. Honnêtement, il n’y a aucun intérêt 🙂 #EGO #DEMEUSURE

Je me demande si les traces de mon passage au lycée sont toujours présentes sur un banc et sur l’un des murs des souterrains #NOSTALGIES, d’accord je vous met un échantillon. Nous n’avions pas inventé les règles à l’époque…

Tests

Sauvegarde

Pour la sauvegarde, je vous dirai deux possibilités. La première nous sommes patients et nous attendons le prochain temps d’exécution de la sauvegarde pour vérifier que cette dernière se soit bien appliquée ou alors deuxième possibilité, vous n’êtes pas patient et vous démarrer cette dernière manuellement.

Dans le second cas, il faudra alors user de la méthodologie ci-dessous.

1 – GUI

Dans notre console de gestion Windows Server Backup, nous avons dans la colonne de droite la possibilité de choisir Sauvegarde unique… Il nous sera alors demandé gentiment par le système si nous souhaitons réaliser cette sauvegarde unique en définissant de nouveau paramètre ou en reprenant, chargeant les paramètres de notre sauvegarde planifiée.

Puis nous confirmons la requête de réalisation de sauvegarde. Le job se lance… Simple, efficace mais pas du tout explicite. Alors qu’un petit start sur notre job simplifiera de loin ces étapes… (Serais tu grognon aujourd’hui ? Oui un peu, j’ai passé une semaine de m***e)

Dans le comportement, comme nous avons repris les paramètres de notre sauvegarde planifiée, cela va ajouter dans notre chaine déjà existante un nouveau point de restauration. Dans le cas contraire où nous aurions définit une nouvelle configuration, une nouvelle chaine aurait été réalisé à l’emplacement définit en protégeant les éléments à protéger.

2 – CLI

En CLI c’est différent du GUI (un peu logique). L’approche est plus simple et rapide, mais moins évidente pour des administrateurs et techniciens non familiers des commandes powershell (bien que les plus téméraires pourraient par nostalgie faire les mêmes opérations en batch).

Première étape, récupérer les paramètres de notre politique que nous avons défini. Pour se faire, nous contactons Gérard MAJAX ou pas car la commande Get-WBPolicy le fait très bien.

Ensuite, il suffira de lancer la sauvegarde avec la fonction Start-WBBackup en définissant en paramètre -Policy notre politique récupéré ci-haut. Et pour le fun, un petit check en dernier lieu pour confirmer le succès ou non de la sauvegarde de notre point.

Le problème c’est que nous n’avons pas l’état d’avancement ni le statut. Je propose un bout de code (sans barre de progression) juste pour assurer un suivi. En gros ça donnera le bout de code du type :

#Load the current policy set
$policyScheduled=Get-WBPolicy
#Start the WBBackup
Start-WBBackup -Policy $policyScheduled -Async
#Display job status and progression
$runningJobs=Get-WBJob
while($runningJob.JobState -notlike "Unknown"){
    Write-Host "$($runningJob.JobState) - $($runningJob.CurrentOperation)"
    Start-Sleep -Seconds 2
    $runningJob=Get-WBJob
}

Soit un résultat du type (ci-contre)

Néanmoins et je pense qu’il s’agit là d’un énorme point noir, il n’y a aucun moyen de suivre l’état de la sauvegarde ou l’historique des actions relatifs à la sauvegarde Windows.

Nous avons vu dans l’article LAPS¹⁶ l’envoi d’un rapport mail pour assurer le suivi. Il suffirait de faire la même chose. La seule variante entre LAPS et WBS¹⁷ (je commence à avoir la flemme de taper le mot en entier. Et pourtant je me suis fait ch*é à écrire ce commentaire. Paradoxal ce garçon) est le corps du mail au format HTML (qu’est ce qu’il est blême mon HTML…).

Super, un nouveau script !

Oui, je pourrais faire un nouveau script, mais je n’ai pas envie et cela est justifié du fait que c’est complétement inutile… Comme vu plus haut, la sauvegarde est assurée par des solutions tierces bien plus performantes. Toutefois si votre avis diverge (hé reste poli s’il te plait !) du mien il suffira de générer un rapport html à partir des informations retournés par la commande Get-WBBackup. Si des demandes vont dans ce sens, je réaliserai le bout de code. 🙂

Restauration

La restauration comporte plusieurs types, quatre pour être précis. Je ne traiterai que de la restauration de fichier. Cette décision totalement arbitraire de ma part se justifie par le fait que « Je m’en lustre l’asperge, j’utilise VEEAM ».

VEEAM pour la restauration des volumes ou pour la granularité est bien plus efficace est sécurisé (c’est mon point de vue). Mais néanmoins, cela existe.

Une autre justification est que je n’ai surtout pas envie d’enc***r mon serveur AD¹⁸ et mon domaine :3 . (Toujours un langage fleuri, de quoi faire pâlir un académicien).

1 – GUI

Depuis notre gestionnaire de sauvegarde, dans la vue principale sur l’encart de droite cliquons sur récupérer. Un wizard se lance. Il suffira de le suivre bêtement (mais tout de même avec un peu de jujotte….)

Séléctionnez la source où se situe la sauvegarde (notre serveur pour le coup, volume S:\). On sélectionne le jour et l’heure dans le calendrier.

Qu’est ce que nous souhaitons récupérer ? Un fichier, dossier ? HyperV ? Un volume ? Une application ? Un système ? Comme écrit précédemment nous ne traiterons que de la partie fichiers, dossiers 🙂

Reste à choisir la source soit fichier ou dossier.

Après la source, la ressource ! Ah non ça c’est une brasserie locale… L’emplacement de restauration voulais écrire. Soit au même emplacement soit à un emplacement différent.

Nous retrouvons les 3 options de restauration des éléments. Le détail de chacune des options est présenté dans la partie ci-dessous. Il est possible de restaurer ou non les ACLs. Un petit résumé, et plus qu’à lancer. 🙂

Après un clic, clic, clic, clic, et clic. Les éléments ou l’élément sont restaurés. Long mais pas de difficulté.

2 – CLI

De nouveau est sans surprise, la restauration est BIEN plus simple en CLI qu’en GUI. Néanmoins car si pour la sauvegarde c’était chose « facile » il faut spécifier des paramètres et aller chercher des paramètres en amont.

En résumé, faisable, mais casse-burette… Tout se fait avec la commande Start-WBFileRecovery en spécifiant les arguments nécessaires. Attention dans le cas d’une restauration de fichiers, sans quoi la commande va varier (logique). Le plus pénible restera de définir le point de restauration que nous souhaitons afin de le fournir en argument du paramètre BackupSet. Encore une fois, le monde est cruel mais il est attendu un object de type BackupSet.

Pour obtenir cet objet, nous allons récupérer l’intégralité des points de restauration grâce à la fonction Get-WBackupSet. La valeur retournée sera un tableau d’objet. A nous de donner le point de restauration en spécifiant l’index dans notre tableau.

Pour le reste, il suffira de dérouler les classiques -SourcePath -TargetPath et -Recursive qui pour ce dernier ne prends pas d’argument. Attention toutefois, j’invite à utiliser l’argument -Option pour spécifier le type d’opération de restauration à effectuer.

CreateCopyIfExists : Créera une copie si l’élément restauré existe déjà. En gros restaure mais garde l’original Default : Cf précédement OverWriteIfExists : Ecrase et remplace si existe SkipIfExists : Ne fait rien si l’élément est déjà présent

Une fois la commande lancée, une demande de confirmation vous sera demandé pour valider la restauration (cf l’image ci-haut). Si l’opération réussi, vous aurez le résultat ci-dessous 🙂

Oui mais bon c’est compliqué… Tu n’as pas une alternative ?

Alors il est possible de passer par la console mmc et de chargé le composant Windows Backup Server en spécifiant le serveur qui contient la sauvegarde. Cela revient à le faire en GUI et à avoir un répertoire partagé pour récupérer les sources sinon la restauration sera au même endroit que la source. Les options feront le reste selon le type qui aura été renseigné.

Sinon, vous je propose à l’arrache le bout de script ci-dessous. Il récupère le nombre de point de rétention, vous les affiche. A vous de sélectionner l’index correspondant au point de restauration. Sans oublier de modifier les variables $_restoredSourcesPath et $_restoredTargetPath.

$_restoredSourcesPath="E:\SYSVOL\domain\Policies"
$_restoredTargetPath="C:\Users\Administrateur\Desktop\"

#Get All Retentions Points
$restoredPoints=Get-WBBackupSet
#Display Restore Points
$i=0
foreach($point in $restoredPoints){
    Write-Host "[" -NoNewline
    Write-Host "$($i)" -NoNewline -ForegroundColor Cyan
    Write-Host "] - Restored Point : $($point.VersionId)"
    $i++
}
#Select Specific Restore Point
$selectedPoint=Read-Host "Select Point"
Write-Host "Select Point is " -NoNewline 
Write-Host "$($restoredPoints[$selectedPoint])" -ForegroundColor Green
#Restore File on different target path, Recursiv and Create Copy if exist, not Skip or Erase
Start-WBFileRecovery -BackupSet $restoredPoints[$selectedPoint] `
                     -SourcePath $_restoredSourcesPath `
                     -TargetPath $_restoredTargetPath `
                     -Recursive `
                     -Option CreateCopyIfExists

Ce qui nous donne en retour :

Après un tchak, tchak, tchak, tchak, et tchak. Les éléments ou l’élément sont restaurés. Court mais loin d’être accessible de tous.

Conclusion

La sauvegarde dernier rempart. Certes. Mais ce jour il est difficilement concevable qu’une organisation ne possède pas de sauvegarde de son SI (et pourtant vous serez étonnée mais je garde cela pour quelques paragraphes ci-bas). Dans le cas où aucune solution tierce n’est présente, il est vrai que Windows propose une fonctionnalité basique et sans cout supplémentaire inclus de base dans le SE (moyennement son installation tout de même).

Cela n’apporte AUCUNE valeur ajoutée dans le cas d’un DC… Tout ça pour en arriver là ?

La sauvegarde native n’offre pas malheureusement la même puissance que des solutions tierces. La possibilité de pouvoir restaurer un objet AD, un attribut, une GPO sans avoir à restaurer tout l’AD est sans équivoque et bien plus efficient. Rappelons également qu’une corruption AD est possible mais il est plus probable que le SE soit corrompu (mauvaise manipulation, Tuesday updates foireuses).

Nous pouvons également parler de la sauvegarde Windows en local ? Nan mais moi, je sauvegarde sur un partage… Ouai, ba j’ai envie de dire c’est nul. Oui c’est nul… Mais une sauvegarde existe et elle a le mérite d’exister (avez vous constaté que j’ai découvert comment mettre en évidence du texte dans un bloc xD).

En toute franchise, je n’ai jamais en 14 ans d’informatique eu le besoin de réaliser une restauration via la sauvegarde Windows. En revanche je ne compte plus le nombre de fois où je suis passé par VEEAM ou par la corbeille AD…

Malheureusement et si nous cherchons le sans faute, le grand Chelem ou les succès du PlayStore/Steam cela compte dans les bonnes pratiques de la santé AD… Un exemple de PingCastle (puis bon c’est 15 points faut pas déconner).

Bref, ça ne mange pas de pain. Toutefois et maintenant nous ne jurons que par le CLOUD et Microsoft O365 Mais savez vous que votre AzureAD n’était pas sauvegardé ?

Si mais avec Microsoft il y a 30 jours de protection.

Non ce n’est pas une sauvegarde et pourtant personne ne s’en préoccupe des tenants.

Contactez votre DSI interne ou votre prestataire informatique pour vous assurer d’être à l’abris de toutes imprévus. Sincèrement.

Dans notre cas, la sauvegarde Windows a été activé sur TOUS mes DCs (j’en ai 4 mais promis je vais en décommissionner c’est en cours) et j’ai une sauvegarde VEEAM. J’ai donc ceinture, bretelle il ne manque que parachute et une vie en plus. Et dernier coup pour enfoncer le clou. La gestion en CORE ce n’est pas si compliqué que ça 🙂

Le mot de la fin

J’écris sur les murs, les noms de ce qu’on nems ! Petit canaillou va, 10 points pour les TSIs ! Vous ne pouvez pas, il y a la médiocrité scolaire de l’auteur en diagonale avec des crevettes tempuras. Pensez à archiver

Erwan GUILLEMARD

Sources

• Erwan GUILLEMARD – LAPS
• Windows – NTBackup
• Windows – Windows Server Backup
• Windows – Backup
• Windows – Déduplication
• Windows – Restore
• Windows – VSS

1. SI : Système d’Information ↩︎
2. SEs : Système d’Exploitation ↩︎
3. RSYNC : Remote Synchronization ↩︎
4. RSAT : Remote Administration Tools ↩︎
5. GUI : Graphic User Interface ↩︎
6. CLI : Command Line Interface ↩︎
7. PCs : Personal Computer ↩︎
8. SVG : Sauvegarde ↩︎
9. EXT : Externalisation ↩︎
10. IMM : Immuabilité ↩︎
11. ReFS : Resilient File System ↩︎
12. NTFS : New Technology File System ↩︎
13. IA : Intelligence Artificielle ↩︎
14. VSS : Volume Snapshot Service ↩︎
15. RTFM : Read The Fucking Manual ↩︎
16. LAPS : Local Administrator Password Solution ↩︎
17. WBS : Windows Backup Server ↩︎
18. AD : Active Directory ↩︎

Pourquoi commencer ce billet en étant si désagréable ? Parce que le sujet de la supervision, surveillance ou « monitoring » représente un enjeu capital pour l’activité des entreprises et il existe un large panel de solution payante ou gratuite sur le marché. Toutes ces solutions ne couvrent pas les mêmes périmètres de surveillance. Il est donc facile de multiplier les applications et de ne plus savoir où donner de la tête.

Personnellement, j’aime dissocier la surveillance d’un SI avec 3 types de solutions :

• Firewall et Liens
• Réseau Local
• Equipements Infrastructures Physiques et Virtuels

Dans certains cas, une 4 et dernière brique peut être amenée à être utilisée pour superviser des services applicatifs. Néanmoins, je ne suis pas un grand fan de ce niveau de surveillance (mais c’est mon opinion personnel) et il faut bien justifier le poste d’un Responsable Informatique dans sa société non ? (Je suis réducteur, mais un RSI ça sert à bien d’autre chose et ça ne fait pas que de boire des cafés toute la sainte journée avec Martine de l’accueil. Coucou Martine 🙂 ).

Je souhaite donc aborder le point de surveillance « Equipements Infrastructures Physiques et Virtuels » à travers une solution payante.

Soyons claire sur un point car je vois venir les détracteurs de la communauté GNU/UNIX et autres DAFs (bien trop proche de leurs budgets).

« Ouai mais il y a des solutions gratuites sous licence GNU qui font très bien l’affaire. En plus tu n’arrêtes pas de nous em*****r avec tes RHELs. VENDU ! »

Mon avocat à la barre, commis d’office me représente et assure ma défense.

« Mon client, tiens à préciser qu’il présentera une solution de supervision libre dans un autre billet car il est important de couvrir un périmètre similaire et plus flexible. Mon client s’engage dans cette démarche pour réduire sa peine si toutefois il est jugé coupable. Dans un second temps, il est important de se rapporter à la maxime « Le pas cher coute trop cher ». Une solution libre et gratuite c’est bien. Mais le jour où le MCO ne se passe pas comme prévu il est facile de passer un nombre d’heure conséquent. Les solutions payantes offrent un service de support et de correctif en cas de vulnérabilité critique. » CHEH ! Et en plus je vais tenter de vous convaincre que nous pouvons gagner ou économiser du MONEY MONEY.

J’ai donc décidé, d’après le titre de ce billet de continuer avec les solutions VEEAM, VEEAMOne.

Pourquoi le choix de VEEAMOne ? La solution est cross plateforme et permet d’avoir une bonne visibilité sur le socle de virtualisation, les ressources virtualisées ainsi que l’ensemble des éléments et environnement propres à la sauvegarde (VBO365, VDP). La cerise sur le gâteau reste la partie Business View, Reporting et Capacity Planning. Mais promis, je reviendrai plus en détail sur ces points bonus.

Je me garde également pour plus tard un autre article pour lequel j’ai besoin de VEEAMOne 🙂

Prérequis

• SE : Windows Server 2k19 et version ultérieures
• Apps : VEEAM B&R 12.x, VEEAMOne 12.x, VMWare/Hyperv
• Autres :
  • VEEAM B&R 12.x
  • License VEEAM Entreprise

Avant-Propos

Dans une logique de garantir un niveau de sécurité optimal, j’ai dans un premier temps longtemps pensé que l’ensemble des environnements de surveillance (supervision/monitoring) devaient être dans le même subnet que les éléments d’administrations ou de management. Maintenant, mon approche est différente. Je préfère dédier un subnet pour l’ensemble des solutions.

Mais pourquoi ? Je juge ces éléments sensibles. Ils donnent une bonne, trop bonne visibilité sur l’ensemble du SI. Admettons que la bulle de monitoring soit compromise, il nous suffira de restreindre totalement les flux réseaux ou à en limiter les flux depuis des ressources isolés. De plus, et cela se vérifie avec le temps certaines solutions de monitoring apportent des fonctionnalités d’actions sur les ressources sous surveillance ou de remédiations automatiques. (Mon dernier HP Tour Customer & Partner nous indique bien la tendance de l’IA et sa capacitée [monstrueuse ?] de traitement). Bref, ce n’est pas un outil à mettre dans toutes les mains, c’est un coup à être satellisé…

Théorie

Architecture & Best Pratices

Encore une fois, chacun voit midi à sa porte. Il est donc compliqué de définir une MO¹ empirique. Cela dépendra des technologies et solutions utilisées que ce soit en socle de virtualisation (VMWare, HyperV etc) et produits VEEAM (VBO MS365, VBR², VCC³ etc).

Mais commençons par le début. Qu’est-ce que contient VEEAM One et qu’a-t-il dans le ventre ?

VEEAM One se décompose de deux grandes parties. Une partie client et une partie serveur.

Clients

Comme on s’en doute, cela permet d’accéder aux données des environnements virtualisés ainsi que les données relatives à la sauvegarde, réplication et autres. Toutefois, nous distinguerons deux types de client.

Client Lourd : Son objectif est de permettre à travers la console d’accéder à l’ensemble des données de manière efficiente et d’avoir une vue globale sur notre infrastructure et d’interagir avec ce dernier selon les alertes remontées par les différentes sondes. Il sera nécessaire de déployer/installer le client sur le poste concerné et d’ouvrir les ports.

Client Web : A l’inverse, la console web est moins orientée « opérationnelle » au sens technique, mais plus au sens qualitatif avec l’élaboration de rapport, de tableau de bord et de définir l’évolution du SI (capacity planning, optimisation des ressources, optimisation des couts etc). Si les flux sont ouverts, il suffira d’accéder à ce dernier à travers un navigateur web à travers l’url https://monserver.contoso.lab:1239

Ce qui nous donne le schéma des flux suivants.

Donc si nous résumons, les choses. Le client lourd sera satisfaire les équipes opérationnelles et la partie client web les responsables / directeurs de services. Les jambes et la tête en sommes. 🙂

Dans son fonctionnement et c’est là l’une des forces de la solution. Le client lourd fonctionne sur la base d’une API. Ce qui implique que nous pouvons réaliser TOUTES les actions qui sont présents dans la console 😀 (Vous me voyez venir avec mes grosses charentaises ? )

Serveur

La partie serveur est bien plus complexe. De facto, les deux clients présentés précédemment sont présents sur le serveur

• VEEAM One Client
• VEEAM One Web Client

Ce qui est logique puisqu’il faut bien administrer la solution…

Toutefois, nous rencontrons également les rôles suivants :

• VEEAM One Server
• VEEAM One Database
• VEEAM One Agent
• VEEAM One WebServices

Dans le détail de chaque rôle, la partie Server va servir à la collecte des informations, des données et stocker ces dernières dans la Database afin de pouvoir par la suite les restituer sur l’action de l’utilisateur à travers les clients (web ou lourd). Il est possible de mutualiser la base de données VEEAMOne (MSSQL) avec d’autres produits. Toutefois je préfère ne pas mettre tous mes œufs dans le même panier et tenter de mutualiser mes BDDs, cela reviendrait à essayer d’additionner un veau avec des cigarettes…

La partie WebServices permettra comme nous pouvons nous en douter de garantir l’accès depuis un navigateur web au WebClient ainsi qu’à l’API.

C’est quoi la partie Agent ? Ne me dit pas qu’il faut se palucher le déploiement d’un agent sur les ressources que nous souhaitons surveiller ? Si c’est le cas, j’arrête ma lecture après ta réponse !

La partie Agent n’est pas à déployer sur toutes les ressources et heureusement. VEEAM One a été pensé pour être flexible ! La communication avec les applications de virtualisation se font soit par le biais de protocoles « classiques » ou par les APIs constructeurs.

L’Agent est nécessaire uniquement lors du monitoring, de remonter d’informations (logs) et d’effectuer des commandes de remédiations si nécessaire entre les serveurs VBRs et le serveur VEEAM One. Le guide, recommande son installation, toutefois il n’est obligatoire de déployer l’agent (personnellement, pourquoi ne pas le faire ?).

La partie Agent comporte deux modes. Un mode client (paramètre par défaut) ainsi qu’un mode serveur. La différence entre les deux se trouve dans l’exécution des commandes de remédiation qui ne sont présentes que dans le mode client. La partie serveur quant à elle va gérer les mises à jour des signatures et analyser les journaux VBR.

Et si nous réalisions une petite Map des différents flux ? 🙂 Naturellement, je ne compte pas réinventer la roue, mais juste mettre en avant ce que je vais implémenter plus tard. Pour le reste, il suffira de consulter le lien constructeur.

Comme pour le serveur VEEAM dans un billet précédent, une restriction des flux sortant vers l’extérieur est appliquée sur le serveur VEEAMOne. Ainsi, seul les URLs et NDDs habilités à communiquer avec VEEAM et MS sont autorisés.

Soit pour VEEAM One :

• Serveurs de mise à jour :
  • dev.veeam.com
• Serveurs de licences :
  • one.butler.veeam.com
  • download2.veeam.com

Okay, maintenant que nous voyons un peu plus clair dans nos différents flux, posons-nous la traditionnelle question du « le principe de moindre privilège ».

Access & Less Privileged

Cette partie (peu importe la solution à mettre en place) est un véritable casse-tête. La simplicité voudrait que nous attribuions les permissions root ou system pour avoir la paix.

« Regarde, ça fonctionne ! » J’aime à répondre à ça soit par le traditionnel « Peinture sur merde égal propreté » ou « Je travaillais comme ça quand mon patron m’a viré« .

Soyons sérieux deux secondes… VEEAM nous mache encore une fois le travail et nous allons voir en détail comment configurer les différents comptes avec les moindres privilèges. Cependant, je pense utile de nous remémorer que dans certains cas, il est obligatoire d’attribuer des permissions d’administrateur du domaine ou à privilège (sudo) et malheureusement nous ne pouvons pas faire autrement.

Dans ce cas de figure, il est difficile de faire autrement. Néanmoins, nous pouvons et je dirai même c’est notre devoir de mettre tous les artifices en place pour restreindre le périmètre d’exposition de ce type de compte.

Nous distinguons dans notre cas 3 accès à configurer. L’accès à l’application, l’accès à notre socle de virtualisation et notre infrastructure de sauvegarde.

1 – VEEAM BR : Infrastructure de sauvegarde

Dans le respect des bonnes pratiques, notre serveur VEEAM n’est pas joint au domaine. Nous avons besoin pour interconnecter VEEAMOne à notre serveur VEEAM d’un compte administrateur local.

Pourquoi ? Parce que VEEAMOne doit avoir les droits nécessaires pour déployer son agent. Comme présenté précédemment, il nous faut contraindre ce compte.

Typiquement, nous pouvons considérer ce compte comme une compte de service. Il nous faudra alors interdire les connections locales et distantes à ce compte directement sur le serveur VEEAM.

Attention, étant un compte local il sera nécessaire d’effectuer au minima une rotation du mot de passe une fois par an.

2 – VMWare : Infrastructure de virtualisation

Là, c’est plutôt simple, il suffit d’utiliser directement le compte root de notre VCSA⁴.

NO WWWWAAAAYYYYY !

RTFM⁵ mon gars ! VEEAM explique ce qu’il faut faire (ici). Je ne vais donc pas m’attarder là-dessus.

Là, il y a deux écoles. Je n’ai pas encore fait un article sur le sujet VCSA et personnellement je ne sais pas si j’ai envie d’en faire un car les interfaces changes tout le temps au gré des montées de version VMWare. Bref, il reste à définir si nous souhaitons utiliser des comptes locaux ou un compte du domaine pour interconnecter VEEAMOne à notre environnement VMWare.

Les raisons sont toujours les mêmes. Sécurité, Sécurité et Sécurité.

3 – VEEAMOne : Application

L’application se base également sur le principe de moindre privilège ainsi que sur le principe de RBAC⁶ (un truc vraiment cool pour les SysAdmins).

Nous retrouvons donc les schémas 3-Tiers classiques, utilisateurs lecture seul, utilisateur avec pouvoir et les utilisateurs administrators.

Sur notre serveur VEEAMOne, nous retrouverons ainsi les groupes locaux qu’il siéra à notre guise de peupler en respectant les bonnes pratiques et recommandation avec les ressources de notre domaine.

Pour enfoncer le clou, les rôles énumérés précédemment permettent les actions ci-dessous. A nous de mettre les bonnes ressources techniques en face du bon profil.

Rôles	Permissions
VO Read-Only	Accès à la surveillance des données en lecture seule Accès à la génération de rapport
VO Powered	Accès à la surveillance des données Accès à la génération de rapport
VO Administrator	Accès à l’ensemble de la plateforme Accès à l’administration des données Accès à la génération de rapports Modification de la configuration VEEAMOne

Licensing

Pratiques

Nous considérons que le serveur Windows a été durci au préalable et que nous possédons un serveur à jour.

Nous avons également téléchargé en amont les sources (iso) de Veeam One.

Nous ne traiterons ici que de l’installation d’un server VEEAMOne « AllinOne » (car j’ai un petit lab). Mais il est possible d’envisager un déploiement 3-Tiers (VEEAMOne Server, MSSQL Server et VEEAMOne UI). Je propose quelques choses de standard (car il faut sur un petit LAB se satisfaire du nécessaire et être heureux) sur la base de VEEAM BR, ESXi⁷ et VCSA.

Installation

Nous partons donc du principe que notre serveur Windows est déjà configuré et joint à un domaine (oui oui, j’ai bien écrit joint à un domaine). Que nous avons une appliance vCenter (joint ou non au domaine) ainsi qu’un serveur VEEAM BR (non joint au domaine et préalablement durci et conforme aux recommandations VEEAM.

Les prérequis en termes de ressources doivent être les suivantes (pour une Single Server):

• OS : WIN10, WIN11, WS 2012 à WS 2022
• CPU : 4 cores (minimum)
• RAM : 8 Go (Minimum) / 16 Go (Recommandé)
• Disk : 50 Go pour la SGBD MSSQL et VEEAMOne DB
• Network : 1 Gbps minimum

Top à la vachette, démarrons l’installation !

1 – You are a wizard Veeam ONE !

2 – Server or client ?

3 – Licenses & EULA

4 – License bite ! (Ou restez en Community Edition)

5 – VEEAM One Service Account (si si ombre !)

6 – System Check… Hold on 2 minutes

7 – Install or not 😀 (Customize)

8.0 – Customize, Choose VEEAM Components

8.1 – Customize, Database

8.2 – Customize, DataLocations

8.3 – Customize, Mode

8.4 – Customize, Ports

8.5 – Customize, Resume & Install (sure ?)

9 – Install ongoing, please offer me a coffee <3

10 – CONGRATULATION

A prononcer façon Smash Brosh 🙂

Configuration

Lors du premier lancement du client VEEAMOne, nous allons être invité à configurer l’application. Il faut comprendre par configuration le paramétrage général du serveur. Pour ce qui relève de la configuration des autres vues ou fonctionnalités, cela relèvera d’une partie dédiée dans cet article ou d’un article à part entière (je n’ai pas encore décidé).

De la sorte et je pense qu’il est utile de le souligner une nouvelle fois, un système de supervision et de monitoring sans être notifier reviens à commander un steack frites alors que l’on aime pas les frites et que l’on est végétarien. Hé ben c’est con ! Configurons alors les notifications.

1 – SMTP un incontournable !

Nous commençons à avoir l’habitude avec les solutions VEEAM de configurer les notifications. C’est exactement la même chose que pour VEEAM BR, à l’exception que l’IHM⁸ est d’une couleur différente.

M’autorisez vous à passer cette partie ? Naturellement car je fais ce que je veux 🙂 Le seul point, bien penser à ouvrir les flux outbounds concernant le protocole utilisé. Sinon ba ça marche pas et ça ne court pas non plus… (Il est comique le garçon…)

2 – A qui le postier doit il délivrer le courrier ?

Dans ce cas, nous pouvons ajouter plusieurs adresses mails en destinataire des notifications selon l’état des notifications (Toutes, les erreurs et avertissements, les resolved etc).

Toutefois, cela pose un problème car si nous souhaitons notifier qu’une équipe particulière sur certaines ressources, cela va être difficile de se coltiner toutes les notifications de l’infrastructure et donc d’être pollué…

Il faut voir ce paramétrage ci à destination de l’équipe Cloud, Services Hébergés et autres fiches de poste. Concernant les notifications plus ciblées à destination d’équipe spécialisée, je reviendrai dessus dans la partie Business View.

3 – Politiques de notification

Pour cette étape, je suis un peu un SysAdmin sans personnalité car je vais laisser les paramétrages par défaut.

Il est possible de définir et de modifier un template. Dans mon cas d’usage, je trouve (et encore une fois il va nous dire que c’est son avis personnel…) que ça fait le taf.

4 – SNMP

Encore un classique de la supervision. Qui dit supervision dit log et donc SNMP⁹. Cela permet d’avoir une bonne visibilité de son réseau, des équipements et de l’état de santé de ces derniers.

Je ne l’utilise pas.

HAAAANNNN, NANI !!!!

J’ai une excuse. Dans un contexte professionnel, je préfère utiliser les solutions propriétaires. L’inconvénient, c’est que cela à un coup. Néanmoins, je pense qu’il serait temps de regarder d’un peu plus prêt cette fonctionnalité de collecte.

5 – ITSM : ServiceNow

Et si nous cherchions un peu d’efficience pour notre infrastructure, les équipes opérationnelles ? L’un des rêves d’un SysAdmin (surtout le mien) reste d’intégrer les alertes dans la solution ITSM¹⁰ afin de pouvoir traiter de manière pro-active les alertes systèmes.

VEEAMOne propose de s’interconnecter à la solution ITSM ServiceNow. M***e pas de bol je n’utilise pas cette solution. Donc je passe mon tour…

« Tristesse, ton petit cœur doit saigner et tu dois roter du sang en boule sur ton paillasson ? »

Hé non ! Si VEEAMOne ne propose pas de passerelle avec la solution ITSM que j’utilise (ITOP pour ne pas la nommer), les deux solutions possèdent une API¹¹. Vous voyez où je veux en venir. 🙂

Je prépare cette introduction depuis longtemps et j’espère vous présenter mon connecteur dans le prochain article. Je ne suis pas vache, je vous lâche un petit teasing <3

6 – Le puit de Log

Le puit de log… Fonctionnalité que je n’utilise pas non plus. Mais sur laquelle je devrais me pencher.

Garantir un historique des alarmes déclenchées et centraliser ces dernières seraient vraiment sympa. Toutefois, je rencontre une problématique. Je n’ai pas ce jour mis là main sur une solution libre qui soit facile d’administrer et de maintenir. Libre ne veut pas dire gratuit que nous nous entendons bien.

Par exemple, j’ai utilisé la solution GrayLog. Nous sommes vite limités par la licence communautaire sur le notre de flux journalier échangé. Il suffirait de prendre la CB est hop le tour est joué.

1-0 pour la solution

J’ai voulu mettre à jour la plateforme et j’ai tout cassé. Il suffirait de passer en SaaS chez l’éditeur comme ça plus de problème de MCO.

2-0 pour la solution

Pour le coup, je demande la VAR. Je ne suis pas fan de l’hébergement en SaaS dans ce cas précis. L’arbitre accorde donc 1-1, balle au centre…

Conclusion, il faut que je torture encore quelques cellules grises dans mes travaux nocturnes pour étudier ce point.

7 – Récap

Le petit récapitulatif, comme nous avons l’habitude de l’avoir chez VEEAM. Je trouve cela d’une simplicité et d’une efficacité remarquable. Chose que nous n’avons pas toujours sur d’autres solutions.

Tu vas vraiment nous faire croire que t’as pas d’action chez VEEAM ?

La configuration terminée, nous pouvons admirer notre console vierge et vide de toutes données. Il faut l’avouer, il y a là un côté tristoune. Je rassure, pas pour bien longtemps.

Virtual Infrastructure

La vue Virtual Infrastructure va nous permettre de suivre l’intégralité de l’état de santé ainsi que les évènements de notre SIs depuis le socle de virtualisation jusqu’aux SEs des machines virtuelles.

Comme souligné précédemment, l’objectif est d’être proactif face à un dysfonctionnement d’infrastructure ou d’anomalie sur un serveur virtuelle en production.

VEEAMOne prend en charge les produits suivants, VMWare, VMWare Cloud Director, Microsoft Hyper-V.

Un exemple ci-dessous d’ajout d’une appliance VCSA.

VMWare

1 – Add Server

Sous Virtual Infrastructure, faire un clic droit et ajouter un nouveau serveur.

2 – VMWare Connection

VEEAMOne nous demande si nous souhaitons ajouter une appliance ou un hote directement. Renseignons le nom DNS de notre appliance.

3 – Credentials

J’ai fait le choix (pour l’instant) de ne pas binder mon appliance VCSA à mon AD. C’est pourquoi j’ai créé un compte local svc.veeamon@vsphere.local sur mon appliance avec les permissions nécessaires.

Naturellement, il ne faut pas oublier d’ouvrir les ports interlan dans le cas de segmentation des réseaux.

4 – Summary

Le traditionnel rappel et voilà notre appliance VEEAMOne connecté à notre VSCA.

Veeam Backup & Replication

La vue Veeam Backup & Replication comme son nom l’indique va traiter de la sauvegarde et de l’ensemble des jobs de protection. Si la vue d’infrastructure vient à donner une bonne visibilité de notre infrastructure virtuelle, nous aurons avec cette vue ci une visibilité sur l’ensemble de notre infrastructure VEEAM.

Depuis l’état du serveur de sauvegarde, des jobs en passant par la charge des proxies VEEAM ainsi que l’utilisation des repos de sauvegarde ainsi que le détail des chaines (full et incréments).

Lors de la présentation de la solution dans la partie « Théorique » le déploiement d’un agent de supervision permettra de réaliser en plus de la remontée d’informations la possibilité de réaliser des actions de remédiations.

1 – Add Server

M’sieur, un petit clic droit sur Add Server 🙂

2 – VEEAM BR Connection

Nous renseignons comme précédemment pour l’ajout d’une ressource d’infrastructure le nom DNS de notre serveur VBR. Il est également possible d’intégrer un serveur VB Entreprise Manager.

Je n’utilise pas ce dernier et pourtant c’est le manque de temps en ce moment qui vient ralentir ma boulimie intellectuelle et m’empêche d’avancer.

Je coche volontairement l’installation de l’agent VEEAMOne pour avoir les actions de remédiation et d’avoir le relevé de journaux d’événements ainsi que son analyse.

La seconde coche permet de joindre notre serveur VBR à notre serveur VEEAMOne et donc avoir directement dans la console VBR les informations et performance de notre infrastructure de sauvegarde. (Franchement, il ne faut pas hésiter C’est du read only pas de risque 🙂 )

3 – Credentials

Renseignons le compte local de notre serveur VBR qui va permettre le relevé d’installation. J’ai déjà expliqué les actions préconisées pour garantir un niveau de sécurité acceptable.

Toutefois, rappelons-nous qu’il est nécessaire d’avoir les droits d’administrations pour que VEEAMOne puisse installer l’agent VEEAMOne. Sans quoi vous aurez le joli message ci-dessous <3

4 – Summary

Le récap, le récap, le récap !

Une fois ajoutée, nous obtenons une interface vide. Pas de panique, c’est normal. Ce n’est pas un bug.

En regardant l’image précédente, nous remarquons en bas à droite que l’infrastructure est en cours d’import. Ah ouf ! Il en sera de même avec l’installation de l’agent et la remontée de log. Il faut faire preuve de patience et non pas cliquer 50 fois sur le bouton d’impression au risque de griller notre imprimante. Les données remonteront d’elles-mêmes comme présenté dans le début de cette partie.

Dans la même logique, si nous avons coché l’accès aux tableaux de bords dans la console VBR, il sera nécessaire d’attendre l’intégration des datas.

Dans notre console VBR, dans l’onglet Analytics nous retrouverons les informations sur la planification, durée des jobs. La sollicitation de telle ou telles ressources, l’espace de stockage de nos repos ainsi qu’une vue globale MENSUELLE de nos jobs de sauvegarde (et dire qu’avant cette fonctionnalité je me suis fait iéch à faire des extracts et tableau xlsx…. Je les utilise toujours pour mes indicateurs hein 😉 ).

Sinon, il est tout à fait possible d’avoir les mêmes informations dans la WebConsole VEEAMOne. Si vous savez, le truc qui commence par https et se termine par 1239 du type https://monseveur_VEEAMOne.contoso.com:1239.

Business View

Cette partie est intéressante pour celui qui sait la manier. Personnellement j’ai mis un certain temps à comprendre son mécanisme et l’intérêt que cet onglet peut apporter.

Dans cette « Vue Affaire », il va nous être possible de faire presque quasiment tout ce que nous souhaitons en termes de filtre et d’identification sur les ressources VMs, Hosts, Datastores et Clusters.

Cette vue va donc nous permettre de répondre à des problématiques financières et techniques.

• Financière : Afin d’avoir un rapport précis des ressources consommées par un service (SaaS) ou d’infrastructure (IaaS). D’assurer l’efficacité et l’efficience de notre infrastructure afin de définir si nous sommes en over-capaciting ou under-capaciting. Investir, pas investir ? Prospecter, pas prospecter ? (Mon PDG répondrait sans hésiter OUI ! et il a bien raison)
• Technique : Pour garantir un état de santé par service, la présence de snasphot, la possibilité de notifier que certaines ressources aux bonnes équipes… J’en passe car la liste pourrait être longue.

Sincèrement, je vois la partie Business View comme le pivot et point le plus important pour maitriser son budget ainsi que son SI.

Bon hormis le fait que je laisse l’impression que mon exploitation n’est pas faite à la maison. Objection lecteur ! Mon MCO est fait. Il se trouve que l’erreur disque sur mon second AD est lié à la sauvegarde Windows et que je n’ai pas acquittée cette dernière (Oui j’ai bien écrit Acquitté et non Résoudre).

Mais bon entre nous, un système de monitoring sans erreurs et avertissements ça serait d’un ennui non ?

Par défaut nous avons la vue ci-contre. Il sera alors possible pour nous de définir des nouvelles catégories pour chacune des familles présentée plus tôt. Nous allons réaliser les catégorisations selon 3 critères. *** Single Parameter *** Muliple Conditions *** Grouping expression

Je pense que pour bien comprendre la puissance de ces trois méthodes de catégorisation, il faut que nous nous attardions dessus.

1 – Single Parameter

Comme présenter rapidement plus haut, nous allons catégoriser une ressource sur un groupe d’objet qui se base sur une propriété du type concerné (VMs, Hosts, Datastores ou Clusters).

L’étape qui suit vous demandera si vous souhaitez créer un tag sur l’environnement vSphere ou non. Personnellement je n’utilise pas les tags sur ce genre de catégorisation.

Je reviendrai plus bas sur la notion de tag au sens VMWare du terme car il y a des subtilités à assimiler.

Le cas d’usage pour cette catégorisation (à mon sens) et de filtrer, identifier rapidement des ressources sur des actions, états simples. Je dirais donc parfait pour l’administration et le MCO.

2 – Multiple Parameter

La catégorisation mutli-paramètres va nous offrir plus de possibilité quant à la possibilité de trier et de sélectionner les ressources que nous souhaitons obtenir.

Comme nous pouvons le constater ci-dessous, la liste des critères de ciblage est plutôt conséquente. Passant des paramètres systèmes aux éléments d’infrastructures en réalisant une halte par la sauvegarde. Nous retrouvons également les classiques opérateurs de comparaisons (Equals, Not Equals, Contains, Starts/Ends with…) par rapports à une valeurs.

Comme vu ci-dessus, j’ai choisi ici d’identifier l’ensemble des VMs contenu dans les VM Folder qui contiennent les noms IaaS et SaaS. Il faudra comprendre VM Folder au sens VMWare du terme lors de la création d’un dossier dans la vue VMs & Templates de notre VCSA naturellement.

Contrairement au cas de catégorisation précédent, je vais choisir de créer les tags vSphere. Ainsi, les ressources (VMs) qui se trouvent sous le répertoire parents IaaS se verront identifiés comme un type IaaS. Il en sera de même pour le type SaaS.

C’est là que le sujet commence à devenir intéressant. Car comme évoqué plus tôt, nous commençons à travailler la donnée de notre infrastructure en donnée financière.

Quels est la part de notre infrastructure consommée et allouée à nos services BaaS, SaaS, IaaS, ect… Quels est la part de notre SI allouée à son fonctionnement et la production ?

Je vois dans déjà dans le fond de la salle les yeux pétillants des DAFs, DCs et autres dirigeant d’entreprises. Oui, nous SysAdmins nous savons vous faire faire des économies et apporter un vrai valeur ajoutée <3. (Je développerai ce point dans la conclusion).

3 – Grouping Expression

Je crois que c’est la méthode de catégorisation que je préfère car elle permet de faire presque tout ce que l’on souhaite. Cette vue est orientée « développeur » (le style old school VisualBasic).

Ci-dessous, un exemple avec la catégorie VMs with Snapshots qui va selon la date des snapshots nous offrir une vue et métriques sur les snasphots présent si c’est la durée de vie de ces derniers est inférieurs à 1 jour, 7 jours, 30 jours. Dans cet usage, cela permet au SysAdmin d’avoir une granularité sur une tâche bien distincte et dans certaines situations maintenir le curseur sur ce qui est acceptable ou non.

Au-delà de cette possibilité, il est également possible de gérer (créer, pas supprimer hein) les tags vSphere de manière dynamique selon l’évolution de l’infrastructure de notre arborescence VMs & Templates. Ainsi, admettons que nous créons une nouvelle bulle SaaS ou IaaS sous cette même infrastructure, l’ensemble des ressources qui se trouvent sous ce dernier sera identifié comme IaaS ou SaaS et du nom du répertoire. Pratique donc par la suite de sortir des indicateurs de ressources et de faire une facturation à la carte (refacturation interne ou facturation à un client final).

Pour bien comprendre l’intérêt des tags vSphere générés par VEEAMOne, pourquoi ne pas se lancer un petit RVTools des familles ? 🙂

C’est un coup des Indiens Lucky Luke, il y a des flèches partout !

Au delà de mon humour douteux (ainsi que mon admiration pour Terence Hill quand j’étais jeune garçon), nous avons là un outil puissant. La création des tags par catégorisation au délà du client et de la solution VEEAMOne est exploitable dans VMWare. Donc, il va nous être possible avec de l’huile de coude et un peu de rigueur d’établir des métriques et rapports sur l’évolution d’une bulle, d’un service. Et pourquoi pas établir un outil de capacity planning ? Tout devient possible.

J’avais pour projet de créer une petite application sur un moteur SQLite ou MariaDB un outil de suivi des ressources sur 13 mois glissants. Malheureusement, pour moi il faut faire du web…

Oui, on sait, c’est une étape traumatisante de ta vie. Tu ne voudrais pas débuter une thérapie et arrêter de nous briser les noix avec ça ?

Oui, promis je vais y penser. Mais au délà du traumatisme, il faut du temps et difficile de me cloner (et je ne suis pas certain que cela soit une bonne chose). Toutefois et dans le cadre professionnel, j’ai développé un fichier excel qui fait le taf mais comme tous fichiers excel, ce dernier ne connait que son maitre. C’est pour ça qu’une petite application web serait sympa. Et je crois qu’il est important de souligner que les fichiers excel pour faire tout et rien. C’est has been maintenant car il faut faire du PowerBI… Je pense que je ferai un article là-dessus quand j’aurai redéveloppé une solution plus simple (en gros sans code en VB et des formules de 5 km de long).

J’ai déjà bien abordé le sujet des tags. Il y a néanmoins une chose importante à savoir sur l’utilisation de ces derniers. L’application des tags vSphere (création) peut prendre un temps certain c’est pourquoi il faut être patient (selon la documentation cela peut prendre jusqu’à 3 heures et plus selon la taille de l’infrastructure). De plus il sera nécessaire de se rendre dans la console WEB pour réaliser une collection des données.

Par défaut cette dernière est définit quotidiennement à 03:00 AM.

J’ai personnellement modifié cette dernière pour qu’elle se lance toutes les 3heures. Attention à vos performances. Il est également possible de lancer une collecte de données manuellement.

VEEAM Report

La partie Report se passe sur le client Web (https://monVEEAMOne.contoso.lan:1239). Une fois connecté, c’est dans la partie Dashboard et Reports que nous allons avoir les outils les plus pertinents.

Dashboard

Dans le tableau principal, nous allons retrouver les catégories par défaut. Il sera toutefois possible d’ajouter des « tuiles » avec des vues personnalisées. Je trouve que les tuiles présentes suffisent largement à mon activité. Je pense qu’il est important de présenter chacune d’entre elles. Pourquoi ? Parce qu’il est facile de ne pas comprendre les informations présentées et de passer à côté de métriques et d’éléments qui faciliterons la prise de décision technique et financière. 🙂

1 – Veeam Backup & Réplication

Sans grande surprise, nous retrouvons ce que nous avions déjà vu précédemment dans VEEAM BR dans la rubrique Analytics. Normal puisque VEEAMBR vient chercher les métriques dans VEEAMOne qui vient lui aussi les chercher dans VEEAMBR.

La boucle est bouclée.

Blague à part et j’adore le phénomène démo. J’ai la majorité de mes jobs qui ne passent pas. Cela se retranscrit dans mes charts. A moi de résoudre le problème.

Merci qui ? Merci Jacquie et … Non un peu de sérieux ! Merci VEEAM One <3

2 – HeatMap

Comme pour la partie précédente, nous retrouvons également cette partie dans la console VEEAM BR.

Si la première partie de l’accordéon concernait les jobs et l’état des jobs, là nous sommes plus sur les performances et usages des différentes ressources de l’infrastructures VEEAM. La notion de dégradée sera utilisée de vert à rouge selon l’usage et la sollicitation des différents composant VEEAM.

3 – vSphere Trends

J’avoue que cette vue n’est pas bien parlante dans mon cas car je ne possède pas de Cluster VMware.

Toutefois, cette vue va permettre d’afficher les tendances de notre cluster concernant l’utilisation des différentes ressources. Parfait pour identifier les pics et évolution du SI sur une période.

4 – vSphere Alarms

L’une de mes vues favorites. Pourquoi ? Car elle indique et offre une visibilité totale de l’état de vie de notre SI. L’évolution du nombre d’avertissements ou d’erreurs critiques.

Au déla des métriques quantitatives, ces métriques sont identifiées par catégories. Ce qui facilite grandement et facilement les actions prédictives vis à vis d’une panne d’infrastructure logique ou physique.

5 – vSphere Hosts & Clusters

Nous retrouvons comme dans la tuile numéro 3 – vSphere Trends le même constat aussi triste soit-il dans mon cas. Pas de cluster, pas de métrique…

Ce qui n’est que partiellement vrai. Puisque nous constatons dans cette vue la tendance de consommation à la hausse ou à la baisse des ressources d’un hôte VMWare ou d’un cluster. Cela peut donc se traduire par, à la hausse ou en sous-évaluation de l’infrastructure et un besoin de renforcer cette dernière. A la baisse, une infrastructure surévaluation de l’infrastructure vis à vis de son usage quotidien.

Dans la logique, je dirai que nous devons tendre vers une constante en acceptant un léger taux de variation et non à une fonction croissante, décroissante.

6 – vSphere Datastores

Un incontournable ! Pour les nostalgiques des ayatollahs de l’exploitation à travers les RVTools. Nous retrouvons l’évolution des datastores à la hausse comme à la baisse sur l’espace disponible. La visibilité des vmdks quant à l’espace consommé et l’espace disponible. La latence des différents datastores (impeccable pour la prédiction d’un disque qui va lâcher), les IOPS pour chaque datastore.

Que dire de plus. C’est merveilleux, c’est extra !

7- vSphere VMs

J’ai l’impression de me répéter… Après les datastores et la partie hosts & clusters, maintenant c’est au tour des virtuals machines.

Cette fenêtre permet d’identifier assez rapidement si une VMs nécessite l’ajout de ressources supplémentaires ou une surallocation. Elle permet également dans un certain contexte d’orienter un potentiel dysfonctionnement de type hardware, ou software (mauvaise configuration d’une application métier par exemple comme ça au hasard).

8 – vSphere Infrastructure

De nouveau un petit coup de pouce sur les ressources disponibles et sur les ressources consommées.

Parfait pour éviter l’overprovisionning, le balloning 🙂

9 – vSphere Capacity Planning

La vue crainte par les SysAdmins, DSI et DAF.

Cela correspond à partir des tendances d’usage en une projection de la durée de vie de l’infrastructure et donc de son renouvellement ou de sa consolidation en ajoutant des ressources supplémentaires.

En gros :

Exprimer le besoin, Présenter le devis, Faire valider l’investissement, Obtenir le chèque signé, Mettre en production les ressources. Simple non ? :p

Pour le reste, il suffit d’un peu d’imagination et d’établir les métriques que l’on souhaite obtenir et pourquoi pas générer les rapports et se les faire envoyer dans notre boite mail ?

Le conseil que je donnerai, c’est de se perdre dans le choix des possibles qu’offre VEEAMOne et de garder en tête « Est ce que cela m’apporte une valeur ajoutée business et technique ?« . Si c’est le cas alors vous êtes, nous sommes sur la bonne voie 🙂

Report

La fonctionnalité du Report et de générer des rapports. Merci Capt’aine Obvious…

Oooooh ba si on ne peut plus rigoler… Pour faire simple nous allons être dans la capacité de générer des rapports précis sur des thématiques précises :

• Charge de l’infrastructure
• Facturation VEEAM Backup
• Supervision VEEAM Backup
• Optimisation vSphere
• Capacity Planning
• …

Il suffit de regarde l’interface.

Prenons deux exemples. L’un orienté pour le business et l’autre pour la technique.

1 – Business – Facturation VEEAM Backup

Admettons que nous souhaitons vérifier ce que nous devrions facturer à un client des bulles T0 et T1 mensuellement. Et que le cout de la sauvegarde est de 24,79€ du TB.

Nous configurons les paramètres en sélectionnant nos différents tags T0 et T1 ainsi que les jobs concernés. Nous précisons la période sur le mois en cours. Puis nous cliquons sur Preview en haut à gauche.

Et tadam ! Voilà notre rapport (sur deux pages).

Page 1	Page 2

Franchement, que demander de plus ? Nous avons même inclus le cout de notre repository (multipliant le cout par 4). Et nous voilà avec le cout pour le mois en cours. A oui nous sommes le 01 Octobre…. J’ai peut-être eu la main lourde sur le prix unitaire au TB 🙂

Bref, pas mal pour mettre en évidence le ROI¹² <3

2 – Technique – Surdimensionnement des VMs

Nous allons vérifier par le biais d’un rapport que nos ressources allouées sur notre infrastructure ne sont pas sous/surprovisonnées. Dans le cas contraire, il faudra engager ou non des actions.

On valide une nouvelle fois sur Preview, puis on tourne trois fois sur sa chaise de bureau.

Page 1	Page 2	Page 3

Alors c’est super nous pouvons faire des économies en réduisant considérablement les ressources !

Tout doux bijoux !

Ce ne sont que des recommandations, il ne faut pas prendre tout pour argent comptant. L’évaluation est une moyenne et viens prendre en compte les piques de suractivités. Mais ce n’est pas pour autant qu’il ne faut pas réfléchir. Dans le cas de mon lab, les ressources se (je ne sais pas si je peux me permettre cette expression… Allez… Vous ferez mon procès ultérieurement) touchent ! Mais si nous ciblons une heure bien précise (genre sauvegarde par exemple) les recommandations ne seront pas les mêmes. Il est également important de bien faire attention au paramètre de génération du rapport.

Le rapport sera différent si nous considérons le compteur de vRAM en « Active » et « Consumed ».

Pourquoi avoir pris ces deux exemples ? Tout simplement pour montrer la dimension économique et technique de la supervision. Dans un monde de brut où nous licencions au vCPU, il est important de maitriser l’allocation des ressources. Il est également important de ne pas mettre en péril son organisation quant à la sauvegarde vis à vis de son activité tout comme mettre celle-ci en péril parce que cette dernière représente un cout certain.

Dans un contexte particulier de Service Provider (Fournisseur de Service), il est également important d’avoir un curseur le plus juste possible entre la facturation client et le service délivré sans offrir des ressources sans le vouloir et vendre à perte.

Les rapports, c’est la vie.

Conclusion

La supervision et l’ensemble des outils qui sont mis à disposition par VEEAMOne permettent d’unifier et de rendre la Technique au service de l’administration et de la stratégie financière. Une telle synergie ne doit pas être négligée et doit être mis en place.

De par mon expérience de responsable informatique auprès des clients que j’ai accompagnés, l’informatique et la gestion du SI sont toujours trop onéreux. Menant souvent à l’accumulation à terme d’une dette technique conséquente qui devra être acquitter plus tard. L’erreur qui est faite à ce moment par le responsable informatique est de ne pas avoir présenté les choses sous le bon angle.

Mais alors qu’est ce que le bon angle pour éviter la traditionnelle tragédie racinienne ou choix cornélien ?

Je pense que pour répondre à cette question, il faut que le Responsable Informatique prenne de la hauteur pour présenter le SI sans aborder de terme technique pour commencer et présenter des métriques ainsi que des projections sur l’évolution du SI.

Je fais un aparté, sans déco**é une fois, j’ai un DG qui a explosé en réunion à la suite de la prononciation du mot switch xD. La personne qui avait énuméré le mot a dû donner une définition. Chose qu’il a fait en parlant de commutateur… Le DG a explosé de nouveau. Mon collègue à côté fini par intervenir (avant un nouvelle intervention de la personne en interne) en expliquant « c’est une multiprise réseaux ». Le DG a compris sans problème. 🙂 Aparté terminé.

De rapprocher ce dernier sur l’activité de l’organisation et de définir les axes d’évolutions possibles. Un plus serait de soutenir un budget prévisionnel ainsi qu’un plan d’amortissement. Présenter de cette façon en tenant compte du besoin et de l’activité de l’organisation va faciliter les décisions et permettre à la direction d’avoir une vision claire de son informatique. Mais pour en arriver là, il est nécessaire de savoir ce que nous souhaitons surveiller et interpréter. N’oublions pas que si les diseuses de bonnes aventures lisent dans les boules de cristal, les membres de la direction lisent dans les fichiers excels et les SysAdmins dans les logs. <3

Je pense qu’il est donc primordiale d’utiliser VEEAMOne (non je n’ai toujours pas d’action chez VEEAM) pour répondre aux besoins du quotidien d’un SysAdmin ainsi que pour la stratégie d’une organisation. Il faut cependant de la rigueur et ne pas se disperser dans les catégorisations et l’élaboration des rapports. L’objectif étant de maitriser son SI, se prémunir des pannes et de garantir une stratégie d’investissement financier.

VEEAM ? One ! Raviolis ? Je relance avec une requête CIM. Je contre avec un arbre ! Dommage, il y avait un DAF en diagonal. Aïe Aïe Aïe, votre SI va chercher son solde de tout compte. Mais vous gagnez un pins de Marlène SCHIAPPA. Alors heureux ?

Erwan GUILLEMARD

Sources

• VEEAM One : Guide
• VEEAM One : Guide – Ports
• VEEAM One : Supported Virtualization Platforms
• VEEAM One : Supported VEEAM BR
• VEEAM One : Supported System
• VEEAM One : Sizing
• ITOP
• RVTOOLS

1. MO : Mode Opératoire ↩︎
2. VBR : VEEAM Backup et Réplication ↩︎
3. VCC : VEEAM CloudConnect ↩︎
4. VCSA : VCenter Server Appliance ↩︎
5. RTFM : Read The Fucking Manual (please 🙂 ) ↩︎
6. RBAC : Role Based Access Control ↩︎
7. ESXi : Elastic Sky X Integrated ↩︎
8. IHM : Interface Homme Machine ↩︎
9. SNMP : Simple Network Management Protocol ↩︎
10. ITSM : Information Technology Service Management  ↩︎
11. API : Application Programming Interface ↩︎
12. ROI : Return On Investisment ↩︎

À L.LU , mon étoile, le plus parfait des sciences.

Changer les mots de passe des comptes c’est un fait, mais ensuite où les stocker ? Dans un gestionnaire de coffre fort, un excel ? Comment s’assurer que le mot de passe saisie et celui copier dans le fichier/gestionnaire est identique ?

Ca nous fait tous de même un ch*ée de question… Et je termine avec une petite dernière, en cas de compromission du support de stockage des mots de passe, quel temps nous accordons pour tout changer ?

C’est bon Père Fouras, tu as terminé ? Oui je crois. 🙂

J’ai une mélodie qui me vient en tête…

C’est petit joli c’est doux c’est fort, C’est plein de sécu… Pour l’amour l’ennui ou pour la mort. Pour éviter les pleurs. Les Passwords…
LAPS pour Windows

Un IT fan de StarMania – Lien

Nous aborderons donc comment éviter le casse tête de la gestion et le stockage des mots de passe du compte administrateur local des environnements WINDOWS (joint à un domaine) avec Windows LAPS¹.

Je n’aborderai pas la partie LAPS Legacy père de Windows LAPS.

Prérequis

• SE : Windows 2019 minimum (niveau fonctionnel/domain 2016 et plus)
• Apps : Powershell
• Autres :
  • SMTP

Avant-Propos

Dans un temps Far Far Away où WS2016 n’était pas encore présent, la gestion des mots de passe administrateurs locaux serveur et ordinateur pouvait se faire par GPO². Malheureusement, cela impliquait d’être moins regardant sur l’aspect sécuritaire du SI :

• Mot de passe en clair dans la GPO
• Pas de rotation de mot de passe
• Mot de passe identique pour tous les CIs³ lié à la GPO

Ainsi pour chaque changement de mot de passe, il fallait se connecter sur chaque serveur pour modifier ce dernier ou modifier la GPO ordinateur, appliquer la GPO etc. C’était toujours mieux que rien, toutefois cette époque est révolu et aujourd’hui il n’est pas envisageable ni concevable d’aborder la gestion des accès dans ce sens.

L’arrivée de LAPS à permis de répondre à ce point bien plus tard courant 2016. C’est en 2021 que LAPS devient LAPS Legacy. Ce dernier étant déprécié pour les SE W11 23h2. LAPS Legacy est remplacé par Windows LAPS.

De plus, si LAPS Legacy est un composant tiers à déployer sur chaque poste pour gérer le mot de passe administrateur local, Windows LAPS est dorénavant inclu directement à partir de la Tuesday Update d’Avril 2023 à partir des SEs Serveur 2019 et SEs Computer W10.

Néanmoins, pour bénéficier pleinement de toutes les fonctionnalités de LAPS, il est nécessaire d’avoir un DFL⁴ 2016 ou plus (ce qui à cette heure n’existe pas encore. Peut être avec WS 2025 ???) .

Microsoft résume tout cela dans un joli tableau.

Dans mon cas et le périmètre que je souhaite traiter, l’ensemble de mon SI est constitué de SE pris en charge par Windows LAPS (comme par hasard) et mon DFL est en 2016 (encore une coïncidence). Je ne toucherai donc pas à la parti émulation de LAPS Legacy à travers Windows LAPS (et en plus il est fainéant le gazier…).

Théories

Cette partie (sans vouloir la paraphraser et m’attribuer ce qui appartient à Caesar) relève d’un synthèse et de ma compréhension du sujet. Il est possible naturellement de sauter cette partie où de lire l’intégralité de l’article technet.

Il est également important que je vous précise (une nouvelle fois ?) que je ne traiterai pas non plus de la partie Azure AD/Entra ID. Je ne possède pas de tenant de test Microsoft O365. C’est pourquoi tous schéma d’origine abordant les composants Azures seront modifiés pour faciliter la lecture et se limiter au périmètre que je souhaite traiter.

Architecture

Une image vaut bien milles mots parait il…

Scénario Windows Serveur AD

La gestion des mots de passe administrateur locaux à travers un Serveur AD va se dérouler par GPO.

Dans mon approche, je souhaite protéger l’ensemble des ordinateurs du domaine ainsi que les contrôleurs de domaine.

Afin de garder un certain niveau de sécurité, je vais créer 3 GPOs ayant chacun un périmètre défini d’application et d’exploitation.

• LAPS_Computers : Pour la gestion des ordinateurs du domaine (comprendre poste utilisateurs) avec les droits de lecture et de déchiffrement du mot de passe aux équipes opérationnelles (Centre de service, technicien et administrateurs délégués)
• LAPS_Serveurs : Pour la gestion des ordinateurs du domaine (comprendre les serveurs du domaine hors Contrôleurs de domaine) avec les droits de lecture et de déchiffrement uniquement des administrateurs du domaines.
• LAPS_ServeursDCs : Pour la gestion des Contrôleurs de domaine avec les droits de lecture et de déchiffrement uniquement des administrateurs du domaines.

Il reste néanmoins important de garder en tête le principe fondamental de moindre privilège et d’usage lié à LAPS. Résumé trop joliment comme ci-dessous :

Une fois la stratégie configurée et appliquée, lorsque le mot de passe va expirer, un nouveau mot de passe va être générer selon les critères de complexité défini puis être stocké et chiffré dans l’AD avant d’être appliqué sur l’équipement concernée.

Question ? Comment le mot de passe est il chiffré en base ?

Il faut pour rappel avoir un DFL en 2016. Pour la suite, l’ensemble d’outil cryptographique DPAPI CNG⁵ via l’algorithme AES-256⁶ assurera de chiffrer notre mot de passe.

Il est également possible de définir un historique des mots de passe et de forcer le renouvellement du mots de passe avant la date d’expiration.

Dans la même philosophie, Windows LAPS inclus également une protection contre la falsification de compte. C’est à dire que si un outil ou un individu vient à modifier le mot de passe Administrateur local sans passer par l’AD, Windows LAPS va rejeter la tentative de modification :

• STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B)
• ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654)

Illustré par l’évènement suivant côté poste ordinateur.

Cycle de vie

Le cycle de vie est plutôt simple. Le logigramme ci contre résume parfaitement le fonctionnement. Si le mot de passe a atteint ça date d’expiration. Le DC va générer un nouveau mot de passe selon les critères établis. Stocker ce dernier dans l’AD le chiffrer (si les prérequis sont présents) avant d’appliquer ce dernier sur l’équipement concernée. Dans le cas contraire où la date d’expiration n’est pas atteinte, aucun changement n’est réalisé.

Maintenant, je pense que nous pouvons passer à la pratique.

Pratiques

Vérifications

Vérification de la présence de LAPS sur nos DC⁷ :

> Import-Module LAPS
> Get-Command -Module LAPS

Les commandes sont bien présentes sur notre DC concernant le module LAPS. Pour autant, ce dernier n’est pas présent dans le Schéma de notre AD⁸. Il sera donc nécessaire d’ajouter celui-ci en mettant jour le Schéma.

Mise à jour du Schéma

La mise à jour nécessite d’avoir les privilèges Administrateur du Schéma. Dans le cas du respect des bonnes pratiques de sécurité, vérifier au préalable que l’utilisateur qui va être utilisé pour réaliser l’opération de mise à jour soit bien membre de ce groupe. A la fin de la mise à jour il sera nécessaire de retirer celui-ci pour des raisons de sécurité.

> Update-lapsADschema

La mise à jour du Schéma réalisée, actualisons notre console de gestion AD. Regardons les propiétés d’un objet computer.

Un onglet supplémentaire est apparu (non par magie mais grâce à la mise à jour du Schéma). L’ajout d’attribut ayant été apporté aux objets de type computer.

LAPS TAB	LAPS Attributs

Si nous rentrons dans le détails des attributs et de l’onglet ?

• Expiration actuelle du mot de passe LAPS : Date d’expiration actuelle du mot de passe. Une fois la date atteinte, le mot de passe sera changé automatiquement.
• Définit l’expiration du nouveau mot de passe LAPS : Date de la prochaine expiration du mot de passe. Il est possible de réaliser le changement du mot de passe immédiatement en réalisant une action sur le bouton Expirer maintenant.
• Nom du compte d’administrateur local LAPS : Nom du compte concerné
• Mot de passe du compte d’administrateur local LAPS : Le mot de passe du compte est defacto chiffré et ne peut être déchiffré que par les utilisateurs autorisés.

Configuration

Computers Objects

Mon avis sur le sujet est de faire la différence entre les postes utilisateurs, les serveurs divers et les serveurs AD. Soit, de réaliser une politique pour chaque rôle tiers. Il est nécessaire d’inscrire ces politiques dans la PSSI (oui c’est chiant, mais au moins comme ça c’est carré.).

Commençons par donner les autorisations aux ordinateurs membres de l’OU Rebond de venir écrire les attributs LAPS.

> Set-LapsADComputerSelfPermission -Identity "OU=Rebond,OU=Computers,OU=_root,DC=ronelab,DC=lan"

Maintenant que les permissions sont défini il est nous faut faire une petite GPO 🙂 [Ne pas oublier de copier le fichier C:\Windows\PolicyDefinitions\laps.{admx,adml} dans le magasin central]

1 – Emplacement de Sauvegarde

Il est possible de définir l’emplacement de sauvegarde du mot de passe local du compte adminitrateur dans l’AD (OnPremise) ou dans AAD (Cloud) voir le laisser désactivé.

2 – Politiques et Complexité du MDP

Nous définissons selon ce qui est décrit dans la PSSI la politique de mot de passe local ainsi que sa complexité.

Devons nous faire une distinction entre les postes utilisateurs et les serveurs par exemple ?

Il s’agit d’un compte Administrateur local donc la politique doit être la plus forte possible. Aucun besoin pour qu’un utilisateur utilise le compte d’administration local.

Pour cela j’aime bien me référer à cette image fournit par Hive SYSTEMS et repris par l’ANSSI.

Donc pour ma part, c’est 26 caractères, Majuscule, Minuscule, Chiffre et Spéciaux. J’ai choisi de faire expirer, renouveller le mot de passe tous les 30 jours.

3 – Chiffrement du mot de passe

Par défaut le mot de passe est chiffré avant d’être stocké. Toutefois, je pense (et c’est mon point de vu) que forcer l’activation est une bonne chose. Nous ne sommes jamais assez prudent.

/!\ Attention : Car le chiffrement est pris en compte pour un niveau fonctionnel Windows Server 2016. En dessous, cela ne sera pas pris en compte.

4 – Historique

Il est possible de garder un historique des mots de passe générer. Je pense par sécurité que garder 12 entrées est une bonne chose.

En lien avec la complexité du mot de passe est la fréquence de renouvellement défini, cela permet de vérifier que le changement a bien eu lieu et de remonter en cas d’avarie sur le mot de passe Administrateur local actuel à ceux défini précédemment.

365 Jours = Fq Renouvellement x Nb Retention Historique

5 – Compte Administration Local

Il nous faut spécifier le compte local dont nous souhaitons manager la rotation des mots passe.

Si le compte reste Administrateur, nous pouvons passer notre route. Toutefois cela ne représente pas selon moi une bonne pratique. Le compte Administrateur local doit être désactivé est un compte doit être créé, membre du groupe Administrateur.

6 – Habilitation, gestion des MDP

Questions, qui peut lire et déchiffrer les mots de passe ?

Par défaut c’est uniquement le groupe Administrateur du Domaine qui a ce privilège. Mais voilà, nous nous retrouvons à un carrefour sécuritaire.

Admettons (et c’est une bonne raison) que je souhaite donner les droits à mes équipes d’accéder au mot de passe chiffré des comptes administrateurs locaux des postes utilisateurs uniquement.

• Soit je fais de la délégation sur les attributs en plus de la délégation en place sur l’AD
• Soit je les passe membre du groupe Administrateur du domaine
• Soit je ne leur donne pas les droits et je surcharge l’équipe d’administration avec ce genre de requête.

Ou alors, je leurs créé uniquement les droits que pour les objets computers concernés par cette politique.

Au préalable, nous avons créé un GLS⁹ propre au déchiffrement des mots de passe ayant pour membre les utilisateurs. Récupérons l’objectSID et collons la valeur dans le champs du paramètre de la GPO Déchiffreurs de mdp autorisés.

Sauf que voilà, avec l’utilisateur qui à la délégation, cela ne fonctionne pas… Pourtant le groupe est bien le bon ?

Alors là, il suffit de RTFM. Nous pouvons faire deux constats.

• Le compte Administreur du domaine (celui que j’utilise actuellement) n’est PLUS de facto autorisé à lire les mots de passe. Donc il va être nécessaire d’ajouter le groupe Admin du Domaine comme membre de notre GLS.
• Il nous manque les autorisations de lecture sur l’OU, comme nous l’avons fait initialement. Sans quoi, le groupe n’a pas le droit de venir lire les attributs

> Set-LapsADReadPasswordPermission -Identity "OU=Rebond,OU=Computers,OU=_root,DC=ronelab,DC=lan" -AllowedPrincipals "RONELAB\GLS_SECU_LAPS_REBOND_DECRYPT"

Domain Controllers Objects

Tout comme ce que nous avons pu voir précédemment l’une des grandes puissances de Windows LAPS est la capacité de pouvoir sauvegarder et de réaliser une rotation du mot de passe DSRM pour les DCs.

Ce mot de passe n’est que trop peu modifié et même j’ose le dire quasiment jamais modifié. Cela entrainant une vulnérabilité de sécurité importante pour l’ensemble de notre SI.

Si nous regardons de nouveau les propriétés de l’un de nos ADs, nous remarquerons que l’onglet LAPS est également présent, bien que différent dans son affichage.

Définition donc notre stratégie DSRM 🙂

Attribuons les droits pour autoriser nos AD à écrire le mot de passe DSRM.

> Set-LapsADComputerSelfPermission -Identity "OU=Domain Controllers,DC=ronelab,DC=lan"

Configurons notre GPO.

1 – Emplacement de Sauvegarde

Il est possible de définir l’emplacement de sauvegarde du mot de passe local du compte adminitrateur dans l’AD (OnPremise) ou dans AAD (Cloud) voir le laisser désactivé.

2 – Politiques et Complexité du MDP

Nous définissons selon ce qui est décrit dans la PSSI la politique de mot de passe local ainsi que sa complexité.

Devons nous faire une distinction entre les postes utilisateurs et les serveurs par exemple ?

Il s’agit d’un compte Administrateur local donc la politique doit être la plus forte possible. Aucun besoin pour qu’un utilisateur utilise le compte d’administration local.

Pour cela j’aime bien me référer à cette image fournit par Hive SYSTEMS et repris par l’ANSSI.

Donc pour ma part, c’est 26 caractères, Majuscule, Minuscule, Chiffre et Spéciaux. J’ai choisi de faire expirer, renouveller le mot de passe tous les 30 jours.

3 – Chiffrement du mot de passe

Par défaut le mot de passe est chiffré avant d’être stocké. Toutefois, je pense (et c’est mon point de vu) que forcer l’activation est une bonne chose. Nous ne sommes jamais assez prudent.

/!\ Attention : Car le chiffrement est pris en compte pour un niveau fonctionnel Windows Server 2016. En dessous, cela ne sera pas pris en compte.

4 – Historique

Il est possible de garder un historique des mots de passe générer. Je pense par sécurité que garder 12 entrées est une bonne chose.

En lien avec la complexité du mot de passe est la fréquence de renouvellement défini, cela permet de vérifier que le changement a bien eu lieu et de remonter en cas d’avarie sur le mot de passe Administrateur local actuel à ceux défini précédemment.

365 Jours = Fq Renouvellement x Nb Retention Historique

5 – Compte DSRM

Le prérequis pour réaliser la sauvegarde du mot de passe DSRM dans l’AD réside dans la réalisation du point N°3 Chiffrement du mot de passe.

Alors il suffit d’activer le paramètre.

6 – Habilitation, gestion des MDP

Contrairement à la partie précédente concernant les Computers Objects, il est impensable d’ouvrir et de déléguer l’accès au mot de passe DSRM à toutes autres personnes que les membres du groupe Admin du domaine. Et quand bien même l’information doit être accessible par le mois de personne possible.

Dans mon cas, ayant mis un semblant de RBAC Tiers 3 sur l’AD, je laisserai le groupe Admin du Domain.

Une fois la GPO appliqué sur notre OU Domain Controllers, jetons un œil sur les valeurs de nos attributs LAPS (en powershell ce coup ci).

> Get-LapsADPassword -Identity "EGSRV-AD01" -IncludeHistory

With -AsPlainText	Without -AsPlainText

J’ai volontairement demandé un rotation du mot de passe manuellement. Force est de constater que tout fonctionne. Egalement, étant avec un compte Administrateur du domaine, je peux déchiffrer le mot de passe. Néanmoins, si nous ne précisons pas le classique -AsPlainText, ce dernier n’affichera que le type SecureString.

Mise en garde

Il est important de noter qu’il y a un risque à automatiser la rotation des mots de passe locaux. Surtout dans le cas des comptes DSRM. Prenons l’exemple ci-dessous.

Admettons que nous ne pouvons plus nous connecter à notre contrôleur de domaine hébergeant les rôles FSMO. Nous envisageons la procédure classique de passer par une restauration à partir du mot de passe DSRM. Nous saisissons le mot de passe et normalement nous devrions commencer à suer du CIF (et je parle pas de SQL…). Hé oui, le mot de passe a changé dans le cadre de la rotation que nous avons paramétrés. Alors que faire ?

Je me suis posé la question de vérifier s’il était possible de récupérer ce dernier depuis VEEAM dans les attributs.

Standard Objects Computers	DC Objects Computers

Pour les objets ordinateurs « standards » ou « communs », le mot de passe local est bien présent mais chiffré Toutefois, il est surprenant de se rendre compte qu’il n’existe aucun objet ordinateur dans l’OU Domain Controllers (normal au vu de la criticité du rôle et logiquement, cela reviendrait à faire une restauration du serveur lui-même en non autoritaire/autoritaire selon le scénario envisagé).

Bref, pour réinitialiser un mot de passe local pour un serveur ou un poste, nous avons toujours la bonne vieille méthode du média d’installation. Pour l’AD, c’est compromis… Restera alors à passer par un autre DC et de reset si possible le mot de passe DSRM de notre DC impacté (avec ce bon vieux ntdsutils).

Je recommande donc dans la logique de ne pas instancier la rotation des mots de passe DSRM s’il n’y a pas de procédure en place. Dans le cas contraire, il est nécessaire d’être d’une rigueur extrême dans le MCO des mots de passe.

Journalisation

Ce qui m’a tapé dans l’œil avec LAPS c’est quelques choses de très simple mais souvent négligé dans certains outils. Les actions sont loggées dans l’Observateur d’évènements ! Comme quoi il suffit certaines fois de pas grand chose… 🙂

Journaux d’applications > Microsoft > Windows > LAPS

MCO

Comme toutes solutions, c’est bien beau d’avoir une application qui sécurise et administre les comptes d’administrations locaux, mais comment s’assurer que les politiques sont bien appliquées sur les postes et qu’il n’y a pas de trou dans la raquette pouvant amené à rendre vulnérable notre SI ?

Si j’ai fait les louanges dans la partie précédente concernant la journalisation. Là c’est je pense un gros manque pour assurer un niveau de sécurité du système d’information.

Je pense qu’il existe des outils sur le net développé par d’autres SysAdmins consciencieux de leurs jobs et de leurs postes. Toutefois, et si aucune solution existe, il serait pas mal de se faire un petit outil non ? Et si cet outil nous envoyait un rapport par mail ? Ca serait merveilleux et nous pourrions hurler sans bruit !

Implémentation LAPS Audit

Dans un premier temps, il convient de définit notre infrastructure. Notre outil (script) sera exécuté directement sur le serveur AD hébergeant les rôles FSMO pour plus de sécurité.

Dans le respect des bonnes pratiques, nous bénéficions d’une infrastructure 3 tiers. Du fait de cette infrastructure nous n’autorisons pas notre tiers 0 (nos DCs) à communiquer vers l’extérieur. Pour envoyer le rapport par mail, nous utiliserons un serveur SMTP dans notre tiers 1 qui jouera le rôle de relai SMTP vers notre serveur SMTP externe.

Je considère que nous avons déjà un serveur relai SMTP configuré et fonctionnel sur notre infrastructure (Mutt ou Windows). Il sera nécessaire également de réaliser sur l’UTM les policies interlans et outbounds.

Analyse du script

Le script (SS_040_WIN_LAPS-Audit) dans sa version 1.0 est plutôt simple et comporte quatre fonctions :

getADComputersObject : Fonction qui permettra de retourner l’ensemble des objets ordinateurs joint à notre domaine. Je prends soins de faire une distinction entre les Contrôleurs de Domaines, les Serveurs et les Ordinateurs. getLAPSAudit : Fonction qui permettra de retourner les attributs Microsoft LAPS des objets ordinateurs du domaine indiquant si LAPS est appliqué sur les objets et l’échéance de rotation des mots de passe du compte Administrateur local. getLAPSHTML_Report: Fonction qui va générer le rapport HTML pour chaque objet ordinateur et l’état LAPS associé. sendSMTPMail : Fonction qui va envoyé le mail, notre rapport à notre serveur SMTP.

Il convient d’éditer le script est d’adapter les constantes suivantes :

$From : De type string, l’adresse mail de l’émetteur. Généralement le nom de votre serveur AD. $To : De type string, l’adresse mail du récepteur. $SMTPServer : De type string, le FQDN ou l’IP du serveur SMTP interne. $Port : De type int, à voir si le serveur interne accepte le protocole SMTP, SMTPS ou TLS.

Et c’est tout. Il n’y a rien d’autre à faire. Si ce n’est implémenter ce dernier. Sur notre serveur AD.

Implémentation

Avant toutes choses, la méthode reste libre quant à l’exécution de la tâche. Certains dirons j’aime faire de la MSA¹⁰, d’autre de la gMSA¹¹ et d’autres les puristes qui n’ont pas été mise à jour depuis longtemps des comptes utilisateurs restreints. (Il existe aussi une autre catégorie de SysAdmin du Dimanche qui utilisent des comptes non restreints. Mais il faut le dire doucement pour ne pas réveiller leurs impérities).

Il est important de préciser avant de prendre ma dernière aparté pour une réflexion condescendante de ma part et remplie d’orgueil que je ne suis pas dans le jugement. Le manque de compétence se corrige en se remettant en cause chaque jour. Ce qui a pour conséquence de venir palier et combler les impérities. Pour le reste, c’est toujours la question classique du « Quelle est la différence entre le bon et le mauvais SysAdmin« . Restons dans la dynamique du Plan-Do-Check-Act. 🙂

Bref, chacun voit midi à sa porte et nous sommes responsable de nos décisions et de nos choix. Je passe donc la partie compte dédié.

Sous C:\ créer un répertoire scripts avec pour sous répertoire SS_040_WIN_LAPS-Audit contenant notre script. Modifions les ACLs comme ci dessous en prenant soin de désactiver l’héritage.

Ouvrons le TaskManager et créons notre tâches.

1 – Général

Comme d’accoutumé, je reprends En nom de tâche le nom du répertoire racine du projet. Je renseigne le compte utilisateur qui va exécuter la tâche (ici un compte restreint avec une sécurité qui m’est propre). Naturellement nous n’enregistrons pas le mot de passe et nous configurons la tâche pour les Windows Server 2022 (nous sommes sur notre DC et ce dernier Dieu m’en est témoin, ce n’est pas un 2008 !).

2 – Triggers

Point un peu plus sensible et singulier, quand recevoir le rapport d’audit ? Ayant définit la rotation des mots de passe à 30 jours au plus bas, il me semble logique de réaliser un déclencheurs tous les mois.

C’est pourquoi, je configure la tâche à s’exécuter tous les Premiers Lundis de chaque mois sans échéance de fin.

3 – Actions

Call me, call me any, anytime ! Nous allons préciser que l’action a réaliser et d’exécuter notre script avec l’argument -File Path utilisant le programme powershell.exe.

4 – Conditions

Décochez ou cochez selon vos envies les conditions. Pour ma part, pas de conditions particulières.

5 – Settings

J’autorise la possibilité d’exécuter cette tâche manuellement et d’arrêter la tâche si cette dernière au bout de 3 jours. Surtout, et je crois que c’est important (du moins pour moi) de ne pas démarrer une nouvelle instance si la tâche est déjà en cours d’exécution.

En résumé, si nous attendons patiemment la prochaine exécution de la tâche planifiée ou que nous exécution manuellement cette dernière, nous devrions recevoir dans notre BAL le rapport ci-dessous.

Nous n’allons pas nous mentir et vous pouvez rameuter vos collègues FrontEnd, mon CSS et HTML sont plus que nauséeux. Mais mon avocat tiens à vous rappeler que je déteste faire du HTML et CSS, et qu’au vu de l’effort fournit vous devriez plutôt m’encourager (et initier une troisième mi-temps. Car n’oublions pas, On voit quand j’ai bu, on voit pas quand j’ai soif. <3).

Oui, il y a de quoi penser à une version 1.0.1 en ajoutant des fonctionnalités telles qu’un peu de forme, des statistiques sur le périmètre protégé par LAPS, un suivi d’Azure AD etc. Toutefois, je vais laisser un peu de temps avant de pousser ces bugs, ou features [rayer la mention utile].

GitHub

La première version stable de mon petit outils. Toutefois il sera nécessaire de suivre la partie précédente pour implémenter ce dernier.

Miaou

Conclusion

Je vais être honnête et vous dire que je me suis éclaté sur cette technologie. C’est un outil puissant, simple et complet. Le seul bémol que je pointe (et que j’ai pointé) reste la partie audit et reporting.

Il est également important de prendre avec précaution la rotation des mots de passe DSRM. Il est nécessaire d’aborder ce point dans la PSSI et de définir le rythme ainsi que tous les caractéristiques de son renouvellement et de l’emplacement de stockage de ces derniers.

N’oublions pas néanmoins que nous ne traitons que des comptes d’administration local des postes qui sont joint au domaine et non des postes, serveurs qui n’y sont pas. Il faudra en cas d’avarie définir la procédure de rotation des mots de passe et des ressources non concernés par cette automatisation d’être traitées en priorité selon leurs criticités.

L’un des points qui me frustre et que je n’ai pas détaillé car je me suis cassé les dents (pour l’instant) reste de ne pas avoir pu déchiffrer un mot de passe LAPS depuis la restauration de l’attribut VEEAM. Mais je ne désespère pas et vais y passer d’avantage de temps. Je reviendrai plus tard sur ce billet 🙂

Le mot de la fin

Le mot de passe ? Comment est votre blanquette. Caput Draconis? Nous avons un gagnant. Vous repartez avec votre point en gratin dauphinois sur un air latinos ! OH-oh-OH

Erwan GUILLEMARD

Sources

• Windows LAPS : Guide
• Windows LAPS : Concept Guide
• Windows LAPS : DPAPI CNG
• ANSSI : Politique et complexité des MDPs

1. LAPS : Local Administrator Password Solution ↩︎
2. GPO : Group Policy Object ↩︎
3. CIs : Configurations Items ↩︎
4. DFL : Domain Forest Level ↩︎
5. DPAPI CNG : DataProtection API New Generation ↩︎
6. AES-256 : Advanced Encryption Standard 256 bits ↩︎
7. DC : Domain Controler ↩︎
8. AD : Active Directory ↩︎
9. GLS : Group domain Local Security ↩︎
10. MSA : Managed Service Accounts ↩︎
11. gMSA : Group Managed Service Accounts ↩︎

Vous l’avez compris, je vais parler de sauvegarde et mon autorité à moi, c’est VEEAM. (Je vous rassure je n’ai pas de part, ni d’action dans cette société).

Déjà pourquoi VEEAM et pas un autre ? Je n’ai absolument rien contre les autres solutions. J’ai juste commencé avec cette solution et j’ai continué avec cette dernière ainsi que toutes la suite de produits qui gravite autour 🙂 Alors pourquoi changer une équipe qui gagne ?

Avant de rentrer dans le vif du sujet, la question que nous devons nous poser, c’est pourquoi la sauvegarder un système informatique d’un simple poste utilisateur à la totalité d’un système d’information.

Jusqu’à présent, les données étaient stockées sur des supports physiques (papier, photo, etc). Aujourd’hui la majorité de nos données sont stockées sur des supports logiques numériques dans des supports physiques (téléphone, disque dur, USB, Serveurs etc) à un endroit, voir plusieurs. Or, comment s’assurer que ces données non physiques à base de 0 et de 1 soient protégées de toutes suppressions accidentelles ? Nous allons faire une copie de ces données et les stockées autre part. Ainsi en cas de suppression ou d’avarie nous serons en capacité de les « retrouver ».

La solution VEEAM Backup et Réplication répond à ce besoin pour les systèmes d’informations. C’est pourquoi je vous propose dans ce billet de déployer un serveur de sauvegarde. (Attention et comme d’habitude, je vais suivre le guide officiel fournit par le fournisseur. Je ne compte pas réinventer la roue, mais m’attarder sur des points importants qui sont bien malheureusement négligés par certains SysAdmin).

Prérequis

• SE : Windows 2016 à 2022
• Apps : VEEAM B&R 12.1, 12.2
• Autres :
  • Média externe
  • Stockage Object
  • Stockage Hardened

Guide

L’article historiquement était trop long (+ 9500 mots pour 51 minutes de lecture) et après plusieurs remarques constructives, j’ai pris la décision de scinder en deux parties ce billet. De plus cela permettra de faciliter dans un seul article de gérer les diverses versions de VEEAM Backup et Replication à l’avenir (oui je fais parti de ces groupies qui trépignent d’impatience devant la Version 13 en devenir 🙂 ).

• Partie 1 : Théorie
  • Aborder les bonnes pratiques, l’architecture et topologies la plus adéquate pour une infrastructure VEEAM B&R. Les performances systèmes requis, ainsi que les permissions
• Partie 2 : Pratique
  • Installation et configuration de la solution. Présentation point à point de la sécurisation et durcissement de la solution VBR

Github

/!\ Attention /!\ : Le script dans sa version 1.0.2 contient deux dysfonctionnements et restent en statu béta, alpha. Il manque les blocks de descriptions des fonctions, et l’optimisation des points 7 et 10. D’autres fonctionnalités viendrons s’ajouter. Comme indiqué, le travail de R&D reste sur mon temps perso et donc ne me permet pas de « livrer »/ »mettre à disposition » une solution propre clé en main. Avant d’appliquer le script, je vous recommande un snapshot à froid de votre serveur VEEAM.

Miaou

Conclusion

C’est encore un gros billet que tu nous sors là Père GUILLEMARD ! Hé, oui mon gars ! Félicitation si t’as pas décroché entre temps. Je penserai à te donner un succès Gold ou Platinium sur le PlayStation Store 🙂

Plus sérieusement, je n’avais JAMAIS poussé aussi loin la configuration et la sécurisation d’une infrastructure VEEAM B&R. Et encore, par manque de ressource sur ma petite machine, je n’ai pas poussé le vice à déployer un WAN Accelerator et un Proxy VEEAM (m’enfin dans la logique c’est pas super compliqué il faut juste de la rigueur et du bon sens). Comme nous sommes dans la confidence, je dirai même que j’ai le sentiments d’être un imposteur quant aux infrastructures VEEAM que j’ai pu déployer. C’est un peu le fameux « Nan, mais je sais » alors qu’en réalité je ne savais pas.

VEEAM nous offre dans ces versions de nouvelles fonctionnalités toujours plus poussées et orientées sécurité. Il est difficile (par manque de temps peut-être ?) de suivre toutes ces nouvelles fonctionnalités d’une version à une autre et donc de se remettre en question et de modifier en bien nos infrastructures. Pour autant, cela fait il de moi un charlot ? Egalement ce qui doit être souligné, c’est que VEEAM en plus de prodiguer les bonnes pratiques met à disposition des outils pour suivre l’état de santé des services dans ces solutions pour rester le plus performant possible.

La sauvegarde et l’ensemble de son écosystème représente le dernier bastion des systèmes d’informations. La bonne gestion de cet écosystème permet de se prémunir de sinistre matériel, infrastructure ou d’attaques informatiques et de pouvoir repartir dans des délais acceptable selon le RTO établi. Dans le cas contraire, des mots durs et difficiles à entendre peuvent apparaitre « dépôt de bilan », « licenciement », « perte financière », « cessation d’activité »… Welcome to Amish Paradise

Il ne faut pas négliger la sauvegarde.

Et j’inviterai chaque dirigeant ou directeur des systèmes d’informations à demander un rapport d’audit de leur infrastructure de sauvegarde de manière ponctuelle. De plus les KPIs¹ de l’ensemble des jobs de sauvegardes devraient être présenté dans des rapports et revues hebdomadaires, mensuelles et annuelles.

Dans les perspectives d’évolutions et le pourquoi de cette article, VEEAM DR (ou Backup & Réplication) va me permettre de poursuivre avec d’autres articles, notamment la VCC, VSPC, Repo Hardened, Repo Stockage S3 ainsi qu’une passerelle entre VEEAM et ITOP concernant le MCO des sauvegardes journalières.

Le mot de la fin :

C’est un coup des russes ? Alerte Générale !!! Ah pardon, mais vous étiez en case mandoline. Vous reculez de 3 GFS et vous restaurez chez LAMELOISE. Pensez à la NDF.

Erwan GUILLEMARD

Sources

• Définition Sauvegarde
• FIPS
• VEEAM B&R 12.1 – ISO
• VEEAM B&R 12.1 – Guide
• VEEAM B&R 12.1 – Ports
• VEEAM B&R 12.1 – Securities Compliants guide
• VEEAM B&R 12.X – VMWare Permissions
• WINDOWS – LSASS
• WINDOWS – WPAD
• WINDOWS – WinUpdate Server

1. KPIs : Keys Performances Indicators ↩︎