❄️ Les synthèses

notes

Nov 19, 20249 min read

  • Installation du DNS → server manager > Manage > Add roles and features

  • Configuration du DNS → Server manager > Tools > DNS > domain

  • Zones

    • Forward lookup zones : nom → adresse IP
    • Reverse lookup zones : adresse IP → nom
    • Trust points : Éléments cryptographiques compatibles avec DNSSEC pour signer les entrées d’une zone
    • Conditional Forwarders : intéroger d’autres serveurs DNS dans certaines conditions pour obtenir la résolution du nom
      • Les redirecteurs sont factultatifs car le DNS possède déjà une liste de serveurs racines à intéroger
        • Les redirecteurs sont donc à utiliser dans des réseaux locaux à plusieurs serveurs DNS
        • Les redirecteurs peuvent être également utilisé pour forcer tous les ordinateurs d’un réseau à n’utiliser qu’un seul serveur DNS (comme ça toutes les requètes y sont redirigées)

  • Configuration générale

    • Clic droit sur domaine → properties
    • interfaces : Adresses IP les lesquelles le service DNS écoute
    • forwarders : ajout de redirecteurs globaux (non conditionnels) lorsque le serveur DNS ne sait pas répondre, il va rediriger vers un redirecteur
    • Advanced: options avancées comme désactiver la récursivité (si le serveur ne sait pas répondre, il ne réponds pas et ne redirige rien)
    • Root hints : serveurs racines DNS
      • Contrairemnet aux redirecteurs ceux ci servent simplement à commencer la recherche DNS, si on demande qui est google.com à un serveur racine, ce denrier va répondre l’adresse du serveur .com, qui lui pourra dire qui est google.com
        • En revanche si on demande à un redirecteur qui est google.com, il retournera simplement l’adresse de google.com
        • Les redirecteurs servent lorsque l’on ne souhaite pas faire la résolution de nom nous même
    • Debug logging, event logging et monitoring : analyse pour trouver des dysfonctionnements dans le dns
    • Security : permet de déterminer qui peut apporter des modifications à la configuration DNS. En particulier les DnsAdmins

  • Zones par défault à ne pas modifier

    • domain.local dans forward lookup zones → enregistrements DNS des machines ajoutées au domaine, des autres serveurs active directory, etc
    • _msdcs → Informations propre à la gestion du domaine

  • Ajout d’une nouvelle Forward lookup zone

    • zone primaire → connait et maintient une liste de nom → addresses IP
      • Add-DnsServerPrimaryZone -Name “bla.bla.bla” -ReplicationScope “Forest” -PassThru
      • Setup d’ajout d’une zone dans DNS → domain → forward lookup zones (.local domains) + no dynamic update
    • zone seconadiare → backup d’un autre serveur DNS avec lequel il se synchronise
    • zone stub → truc chelou qu’on voit pas

  • Types d’entrées

    • A (ipv4) ou AAAA (ipv6) nom → IP
    • CNAME → alias vers une entrée A ou AAAA
    • MX → mentionner le servuer mail chargé de traiter les mails du domaine
    • NS → serveur responsable d’un nom de domaine → délégation de zones (sous domaines)
    • TXT → permet d’ajouter une entrée texte à un domaine (souvent utiliser pour la vérification qu’un domaine nous appartient)
    • Powershell →
      • Add-DnsServerResourceRecordA -Name “data.cg.local.” -ZoneName “cg.local” -IPv4Address “192.168.128.3”
        • Le ”.” à la fin du nom indique que l’addresse est complètement qualifiée et qu’elle ne doit donc pas être complétée

  • Zones de recherche inversées

    • Nom commencant par chaque nombre décimal inversé finissnat par .in-addr.arpa
      • Par exemple pour un zone de recherche inversée sur 192.168.128.x, le nom sera 128.168.192.in-addr.arpa
    • PTR → pointer une adresse vers un nom
      • Add-DnsServerResourceRecordPtr -Name “3” -PtrDomainName “data.cg.local” -ZoneName “128.168.192.in-addr.arpa”
        • 192.168.128.3 → data.cg.local
    • CNAME → créer un aliaskoi

  • Configuration de DHCP

    • Installation → server manager > manage > add roles and features
      • Complete DHCP configuration > next > commit
    • Configuration
      • Server manager > tools > dhcp
      • Clic droit sur ipv4 → new scope → donner un nom et mentioner les adresses IP de départ avec son masque
      • Explucsion facultative d’une plage IP pour protéger certaines adresses IP
      • Durée de bail (lease duration) → temps de validité d’une adresse IP (quand il y a beaucoup d’appareils mobile ilfaut mieux opter pour une durée courte comme 4 heures)
    • Options
      • Router (default gateway), adresse IP du routeur utilisé pour sortir du réseau et atteindre internet
      • Domain name and DNS server → informations DNS distribuées aux machines clientes (addresse réelle du serveur, pas localhost)
      • WINS servers → osef
      • Activate scope → activer le serveur DNS
    • ATTENTION → pas plus d’un serveur DHCP sur un sous-réseau
      • Vérifier la configuration de pfSense → Services > DHCP Server → stop service
    • Réservations DHCP
      • Pour associer de manière permanante un appareil à une IP on peut faire une réservation
      • Il faut aussi exclure l’addresse ou la plage d’adresse pour empécher qu’un autre appareil y soit associé
        • DHCP → IPv4 → address pool → right click → new exclusion range
    • Powershell
      • Get-DhcpServerv4Scope
      • Add-DhcpServerv4Reservation -ScopeId “192.168.128.0” -IPAddress “192.168.128.3” -ClientId “00-0C-29-4D-35-12”

  • Planification de tâches

    • TODO

  • SSHD

    • Start-Service sshd
    • roles add features?
    • Set-Service sshd -StartupType Automatic

  • GPO et politique de sécurité

    • Politique = règles de configuration à appliquer aux utilisateur·ice·s, machines, ou sous ensembles
      • Une configuration donnée pour faire apparaitre un lecteur à tout le monde
      • Une plus grande sécurité (limitation de la durée d’une session, lockout des comptes après nombre de tentatives, ne pas afficher le nom du dernier user connecté, etc)
      • Installation d’un logiciel à déployer sur tous les ordinateurs
      • Audit sur certaines actions réussies ou ratées (par exemple : les tentatives de connexion)
    • Certaines configuration n’existe plus car cela dépends des versions de windows
    • Toutes ces politiques sont regroupée en tant que GPO → Group Policy Object (une seule règle)
      • Ne pas mélanger celles appliquées aux ordinateurs et celles appliquées aux users
    • GPO très lié à l’active directory
      • Par exemple le lié à une structure organisationelle
      • Défini au contrôleur du domaine de l’AD et s’appliquent automatiquement aux users et ordinateurs du domaine au fur et a mesure
    • GPO par défault
      • Server Manager > Tools > Group Policy Management
      • Default domain policy → strategie s’appliquant à tout le domaine → options de sécurité, stratégie de mdp, etc
      • Default Domain controller policy → stratégie s’applique à tous les CONTROLLEURS de domaine, par exemple pour empécher la connexion d’un utilisateur non admin
    • Liens et héritage
      • Il est possible de lier une GPO à plusieurs endroit pour définir une politque commune à plusieurs unité organisationelles
      • Chaque GPO va également hériter des règles des GPO supérieurs
    • Onglets d’un GPO
      • Scope → tous les endroits où le GPO est lié + security filtering pour définir à qui la GPO s’applique (ordinateurs, utilisateurs, groupes, etc)
      • Details → Metadonnées sur la politique (qui l’a créé, quand, si elle est active ou non, etc)
      • Settings → toutes les options liées à la GPO
      • Delegation → les différents groupes qui ont des droits d’accès sur la GPO (lecture, écriture, etc)
    • Onglets d’une OU
      • Linked group policy objects → liste toutes les GPO en dessous de l’unité organisationnelle
      • Group Policy Inheritance → liste toutes les GPO qui sont héritée d’OU suppérieures et qui seront donc appliquées aux enfants et l’ordre dans lequel ce sera le cas
      • Delegation → Indique qui a quel droit d’accès sur les paramètres de l’unité organisationnelle
    • Créer une GPO
      • Soit faire clic droit sur Group Policy Object puis faire New. Ensuite lier la policy dans les différents OU impliqués (Clic droit dessus > link an existing GPO)
      • Soit faire clic droit sur une OU et directement faire “Create a GPO in this domain and link it here”
      • Mentionner le nom de la GPO et le modèle de départ (plus part du temps : None)
    • Modifier les options d’une GPO
      • Clic droit sur la GPO > Edit
      • toujours éviter de modifier les GPO par défault sauf dans de très très rare cas
      • Eviter de mélanger les configurations utilisateur·ice·s et ordinateurs
    • Organisation des options des GPO
      • Ordinateurs vs users (ne pas mélanger)
        • Script ordi → exécuté au démarrage de la machine en tant qu’administrateur
        • Script user → exécuté au démarrage ou arret de la session avec les même permissions que l’utilisateur·ice concerné·e
      • Policies
        • Software settings (installation et déploiement de logiciels), Windows Settings (définition de scripts et paramètres de sécurité, redirection de dossiers, etc) ou Administrative Templates (stratégies de configuraation, limiter l’accès à certaines fonctionalités, etc)
      • Preferences
        • gestion centralisée des variables d’environement, applications, disques réseaux, imprimantes, etc
    • Stratégies configurables
      • Dans le paneau de droite de la modificatio d’un GPO
      • Choix possibles pour chaque stratégie :
        • Not defined/configured (donc pas modifiée et peut être héritée)
        • Désactivée
        • Activée (parfois avec plus de précision comme une valeur par exemple)
      • Attention à l’ordre de la configuration des GPO (peut être redéfini par une OU moins prioritaire)
    • Ordre d’application des GPO et priorité
      • Les GPO de priorité les plus élevées (et qui seront donc appliquées d’abord) sont celles directemnet liée à l’Unité Organisationelle, puis ensuite par celles du parent jusqu’a arriver au domaine, puis celle du site puis celle de la stratégie locale
      • Possibilité de modifications de l’ordre:
        • Bloquer l’héritage
          • Clic droit sur une OU > Block Inheritance
          • Point d’exclamation bleu
          • VRAIMENT VRAIMENT PAS RECOMMANDÉE, A ÉVITER COMME LA PESTE
          • Seul les GPO directement liée à l’OU sont appliquée et c’est tout
        • Enforced
          • Clic droit sur une GPO > Enforced
          • La GPO est appliquée en premier, permettant ainsi d’appliquer une politique à l’ensemble du domaine
          • Marqué par un cadenas
    • Limitation aux GPO
      • Possibilité de définir quels sont les groupes concernés par l’application de la GPO (premier onglet)
      • Ou de définir “Deny” sur “Apply group policy” dans l’onglet Delegation afin de refuser l’application de la stratégie à des groupes données
        • Par exemple réduction de droit non appliquée aux administrateur·ice·s
      • Restriction de lapplication d’une GPO en fonction de filtres WMI (pour cibler des verisons précises de Windows) → pas vu dans ce cours
    • Application pratique des GPO
      • Lors du démarrage, lors d ela connexion et toutes les 90 à 120 minutes
      • Ou lorsqu’il est forcé avec GPUpdate.exe
    • Exemples de stratégies GPO courantes
      • Connexion à des dossiers partagés → sans le définir individuellement pour chaque session
        • Définir un script utilisateur pour utilsier “net use” afin d’ajouter un lecteur dans la session
          • Non recommandé car dépendant des scripts plus tot que des GPO eux mêmes
          • User configuration/Policies/Windows Settings/Scripts/Logon
            • Script .bat (batch) ou .ps1 (powershell)
            • Exécution de script retardée → désativer dans Computer configuration/Administrative Templates/system/group policy/configure logon script delay
        • Utiliser les préférences
          • User Configuration/Preferences/Windows settings/Drive Maps et spécifier le chemin réseau
      • Autoriser l’ouverture d’une session sur le contrôleur de domaine
        • Sur default domain controllers policy
          • Computer COnfiguraion/Policies/Windows Policy/Security Settings/Local policices/User rights assignemnt/allow log on locally
            • Ajouter des utilisateurs ou groupes sans modifier les valeurs définies
      • Ne pas afficher le dernier utilisateur connecté dans la lsite des comptes au démarrage
        • Sur Workstation ou autre unité organistaionelle d’ordinateurs
          • Computer Configuration\Policies\Windows Settings\Security Settings\Local Policies\Security Options\Interactive logon: Do not display last user name
      • Rediriger des dossiers
        • Permet de définir des redirections de dossiers lourds (Bureau, Documents) vers un espace réseau pour diminuer le temps de connexion initial à la session
        • User Configuration\Policies\Windows Settings\Folder Redirection
          • Attention à bien utiliser un chemin réseau
        • Puis sur les ordinateurs :
          • Computer Configuration\Policies\Administrative Templates\System\ Group Policy\Configure folder redirection policy processing

Graph View

Backlinks

  • No backlinks found