❄️ Les synthèses

notes

Jan 03, 20257 min read

  • SSHD

    • Start-Service sshd
    • roles add features?
    • Set-Service sshd -StartupType Automatic

  • GPO et politique de sécurité

    • Politique = règles de configuration à appliquer aux utilisateur·ice·s, machines, ou sous ensembles
      • Une configuration donnée pour faire apparaitre un lecteur à tout le monde
      • Une plus grande sécurité (limitation de la durée d’une session, lockout des comptes après nombre de tentatives, ne pas afficher le nom du dernier user connecté, etc)
      • Installation d’un logiciel à déployer sur tous les ordinateurs
      • Audit sur certaines actions réussies ou ratées (par exemple : les tentatives de connexion)
    • Certaines configuration n’existe plus car cela dépends des versions de windows
    • Toutes ces politiques sont regroupée en tant que GPO → Group Policy Object (une seule règle)
      • Ne pas mélanger celles appliquées aux ordinateurs et celles appliquées aux users
    • GPO très lié à l’active directory
      • Par exemple le lié à une structure organisationelle
      • Défini au contrôleur du domaine de l’AD et s’appliquent automatiquement aux users et ordinateurs du domaine au fur et a mesure
    • GPO par défault
      • Server Manager > Tools > Group Policy Management
      • Default domain policy → strategie s’appliquant à tout le domaine → options de sécurité, stratégie de mdp, etc
      • Default Domain controller policy → stratégie s’applique à tous les CONTROLLEURS de domaine, par exemple pour empécher la connexion d’un utilisateur non admin
    • Liens et héritage
      • Il est possible de lier une GPO à plusieurs endroit pour définir une politque commune à plusieurs unité organisationelles
      • Chaque GPO va également hériter des règles des GPO supérieurs
    • Onglets d’un GPO
      • Scope → tous les endroits où le GPO est lié + security filtering pour définir à qui la GPO s’applique (ordinateurs, utilisateurs, groupes, etc)
      • Details → Metadonnées sur la politique (qui l’a créé, quand, si elle est active ou non, etc)
      • Settings → toutes les options liées à la GPO
      • Delegation → les différents groupes qui ont des droits d’accès sur la GPO (lecture, écriture, etc)
    • Onglets d’une OU
      • Linked group policy objects → liste toutes les GPO en dessous de l’unité organisationnelle
      • Group Policy Inheritance → liste toutes les GPO qui sont héritée d’OU suppérieures et qui seront donc appliquées aux enfants et l’ordre dans lequel ce sera le cas
      • Delegation → Indique qui a quel droit d’accès sur les paramètres de l’unité organisationnelle
    • Créer une GPO
      • Soit faire clic droit sur Group Policy Object puis faire New. Ensuite lier la policy dans les différents OU impliqués (Clic droit dessus > link an existing GPO)
      • Soit faire clic droit sur une OU et directement faire “Create a GPO in this domain and link it here”
      • Mentionner le nom de la GPO et le modèle de départ (plus part du temps : None)
    • Modifier les options d’une GPO
      • Clic droit sur la GPO > Edit
      • toujours éviter de modifier les GPO par défault sauf dans de très très rare cas
      • Eviter de mélanger les configurations utilisateur·ice·s et ordinateurs
    • Organisation des options des GPO
      • Ordinateurs vs users (ne pas mélanger)
        • Script ordi → exécuté au démarrage de la machine en tant qu’administrateur
        • Script user → exécuté au démarrage ou arret de la session avec les même permissions que l’utilisateur·ice concerné·e
      • Policies
        • Software settings (installation et déploiement de logiciels), Windows Settings (définition de scripts et paramètres de sécurité, redirection de dossiers, etc) ou Administrative Templates (stratégies de configuraation, limiter l’accès à certaines fonctionalités, etc)
      • Preferences
        • gestion centralisée des variables d’environement, applications, disques réseaux, imprimantes, etc
    • Stratégies configurables
      • Dans le paneau de droite de la modificatio d’un GPO
      • Choix possibles pour chaque stratégie :
        • Not defined/configured (donc pas modifiée et peut être héritée)
        • Désactivée
        • Activée (parfois avec plus de précision comme une valeur par exemple)
      • Attention à l’ordre de la configuration des GPO (peut être redéfini par une OU moins prioritaire)
    • Ordre d’application des GPO et priorité
      • Les GPO de priorité les plus élevées (et qui seront donc appliquées d’abord) sont celles directemnet liée à l’Unité Organisationelle, puis ensuite par celles du parent jusqu’a arriver au domaine, puis celle du site puis celle de la stratégie locale
      • Possibilité de modifications de l’ordre:
        • Bloquer l’héritage
          • Clic droit sur une OU > Block Inheritance
          • Point d’exclamation bleu
          • VRAIMENT VRAIMENT PAS RECOMMANDÉE, A ÉVITER COMME LA PESTE
          • Seul les GPO directement liée à l’OU sont appliquée et c’est tout
        • Enforced
          • Clic droit sur une GPO > Enforced
          • La GPO est appliquée en premier, permettant ainsi d’appliquer une politique à l’ensemble du domaine
          • Marqué par un cadenas
    • Limitation aux GPO
      • Possibilité de définir quels sont les groupes concernés par l’application de la GPO (premier onglet)
      • Ou de définir “Deny” sur “Apply group policy” dans l’onglet Delegation afin de refuser l’application de la stratégie à des groupes données
        • Par exemple réduction de droit non appliquée aux administrateur·ice·s
        • Delegations > Advanced > Groupe > Apply … > Deny (toujours en priorité sur allow)
      • Restriction de lapplication d’une GPO en fonction de filtres WMI (pour cibler des verisons précises de Windows) → pas vu dans ce cours
    • Application pratique des GPO
      • Lors du démarrage, lors d ela connexion et toutes les 90 à 120 minutes
      • Ou lorsqu’il est forcé avec GPUpdate.exe
    • Exemples de stratégies GPO courantes
      • Connexion à des dossiers partagés → sans le définir individuellement pour chaque session
        • Définir un script utilisateur pour utilsier “net use” afin d’ajouter un lecteur dans la session
          • Non recommandé car dépendant des scripts plus tot que des GPO eux mêmes
          • User configuration/Policies/Windows Settings/Scripts/Logon
            • Script .bat (batch) ou .ps1 (powershell)
            • Exécution de script retardée → désativer dans Computer configuration/Administrative Templates/system/group policy/configure logon script delay
        • Utiliser les préférences
          • User Configuration/Preferences/Windows settings/Drive Maps et spécifier le chemin réseau
      • Autoriser l’ouverture d’une session sur le contrôleur de domaine
        • Sur default domain controllers policy
          • Computer COnfiguraion/Policies/Windows Policy/Security Settings/Local policices/User rights assignemnt/allow log on locally
            • Ajouter des utilisateurs ou groupes sans modifier les valeurs définies
      • Ne pas afficher le dernier utilisateur connecté dans la lsite des comptes au démarrage
        • Sur Workstation ou autre unité organistaionelle d’ordinateurs
          • Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not display last user name
      • Rediriger des dossiers
        • Permet de définir des redirections de dossiers lourds (Bureau, Documents) vers un espace réseau pour diminuer le temps de connexion initial à la session
        • User Configuration\Policies\Windows Settings\Folder Redirection
          • Attention à bien utiliser un chemin réseau
          • Clic droit sur le dossier > propriétés > Basic puis entrer le chemin réseau
          • Pour mettre un placeholder pour avoir un dossier différent par user, utiliser %USERNAME%
        • Puis sur les ordinateurs :
          • Computer Configuration\Policies\Administrative Templates\System\ Group Policy\Configure folder redirection policy processing

  • Adminisration et GPO avancées

  • boucle de rappel, adapter la config user en fonction de la machine et du serveur

  • boucle de rappel

  • définir une configuration user différente pour certianes machines uniquement

  • mode merge (user par défaut + user pour la machine) ou remplace (user pour la machine seulement)

  • comupter configuration policies, admnistrative templates system group policy configure user group policy loopback processing mode, choisir merge ou remplace

  • ajouter les stratégies users à inclure en ajoutant des choses de user configuration bien que ce soit un ordinateur

  • possibilité d’ajouter un groupe dans un groupe

  • utiliser le filtres des GPO lorsque l’on sait des mots clés exacts de paramètres de l’administrative template

  • cela va alors seulement garder l’arborescence des dossiers contenant des paramètres respectant le filtre

  • Diclaimer à la connexion : Computre configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options > Interactive Logon : Message title/content thingy

Graph View

Backlinks

  • No backlinks found