Le blog technique

Toutes les astuces #tech des collaborateurs de PI Services.

#openblogPI

Retrouvez les articles à la une

Active Directory : Lister tous les comptes dont le mot ne passe n’expire jamais

Dans toute annuaire Active Directory il existe une mauvaise pratique, celle dont je voudrais vous parler aujourd’hui est la non expiration des mots de passe pour un / des comptes du domaine. 

Pourquoi ?

Il existe plusieurs arguments au fait qu’un mot de passe qui n’expire jamais est une mauvaise pratique, je mettrais en avant ici les deux qui me posent le plus problème:

  • Tout d’abord un mot de passe qui n’expire jamais a plus de chance d’être « découvert » dans des attaques de type brute force; si on se concentre sur ces comptes en particulier, le fait qu’il n’y ai pas de rotation de mot de passe, laisse une plus grande période de temps à l’attaquant pour le découvrir.
  • Si le compte est compromis, l’attaquant a par définition un accès « constant » au SI, puisque tant que la rotation du mot de passe n’aura pas lieu, ce dernier conservera son accès.

Que faire ?

Bien qu’il ne soit pas une bonne pratique d’autoriser la non expiration des mots de passe, je les croise tous le jours dans tout Active Directory, avec toujours « une bonne raison » de l’avoir fait.

En revanche, même s’il n’est pas possible de s’en séparer, il est tout de même bon de mettre en oeuvre quelques bonne pratiques lorsque l’on est dans cette situation :

  • Lister les comptes dont le mot de passe n’expire jamais.
  • Documenter la cause de cette configuration.
  • Documenter leur emploi (raison d’utilisation, application dans lesquelles ils sont utilisés, machines sur lesquelles ils sont utilisés).
  • Documenter la date du dernier changement de mot de passe (même si elle peut être retrouvée dans l’AD).
  • Documenter une procédure de changement de mot de passe (documentation applicative, processus de dépendance…).
  • Indiquer une personne / équipe en mesure de pouvoir réaliser le changement de mot de passe (il se peut qu’il y ai des développeurs, prestataires externes, éditeurs qui se servent de ce mot de passe). 
  • Réaliser une rotation du mot de passe manuellement.

Lister les comptes avec Powershell.

# Variables
$RootFolder = "C:\Temp"
$Workefolder = "$RootFolder\NeverExpires"
$LogFolder = "$RootFolder\Logs"
$LogFile = "$LogFolder\NeverExpires.txt"
$AllFolders = $RootFolder, $Workefolder, $LogFolder

# Check and create if needed
foreach ($Folder in $AllFolders) {
    If (!(Test-Path $Folder)) {
        Try {
            New-Item $Folder -ItemType Directory -ErrorAction Stop
            }
        Catch {
            Write-Warning $($_)
            }
        }
    }

# Import module
Try {
    Import-Module ActiveDirectory -ErrorAction Stop
    }
Catch {
    Write-Output "Failed to import module ActiveDirectory" | Add-Content $LogFile
    Exit
    }

# Get Active Directory users that have a password that never expires
Try {
    $AllEnabledUsers = Get-ADUser -Filter {Enabled -eq $true} -Properties PasswordNeverExpires -ErrorAction Stop
    $PasswordNeverExpires = $AllEnabledUsers.Where({$_.PasswordNeverExpires -ne $false})
    }
Catch {
    Write-Output "Failed to collect users" | Add-Content $LogFile
    }

# Export result
$PasswordNeverExpires | Export-Csv "$Workefolder\PasswordNeverExpires.csv" -Delimiter ";" -Encoding UTF8

 

Powershell : Change the owner of my GPO

Pour faire suite au précédent articles Powershell : Who’s the owner of my AD objects et Powershell : Change the owner of my AD objects voici comment trouver les GPO dont le propriétaire n’est pas « Domain Admins » et les modifier.

# Get Domain
$Domain = Get-ADDomain | select -ExpandProperty NetBIOSName

# Get all GPO
$AllGPO = Get-GPO -All
$AllADGPO = Get-ADObject -Filter {(ObjectClass -eq "groupPolicyContainer")} -Properties displayName

# Filter GPO that are not owned by Domain Admins
$NoGood = $AllGPO.Where({$_.owner -ne "$Domain\Domain Admins"})

# Change owner of all invalid GPO
$NoGood | select -First 1 | foreach {
    $DisplayName = $_.DisplayName
    $Id = $_.ID
    $Guid = $Id.Guid

    $CurrentGpo = $AllADGPO.Where({$_.DisplayName -eq $DisplayName})
    Write-Host $CurrentGpo
    Write-Host $DisplayName -ForegroundColor Magenta
    
    $adsiTarget = [adsi]"LDAP://$($CurrentGpo.DistinguishedName)"
    $idRef = New-Object System.Security.Principal.NTAccount("$Domain", "Domain Admins")
    $adsiTarget.PSBase.ObjectSecurity.SetOwner($idRef)
    $adsiTarget.PSBase.CommitChanges()
    
    
    $DisplayName = $null
    $Id = $null
    }

 

 

[Exchange Active Sync] Les mobiles ActiveSync continuent à se synchroniser après la désactivation/ changement du mot de passe

Symptômes

Les mobiles Exchange Active Sync continuent de se synchroniser après la désactivation du compte utilisateur ou encore le changement de son mot de passe.

Cause

Quand le Direct Push est configuré au niveau des appareils mobiles, ces derniers maintiennent une session ouverte auprès des serveurs. Ainsi, les modifications apportées au compte AD de l’utilisateur ne prennent pas effet immédiatement, elles peuvent nécessiter de 8 à 24 heures pour qu’elles soient appliquées sur les mobiles.

Méthodes de résolution

1 – Redémarrer les services IIS 

  1. Utiliser le composant logiciel enfichable Services.msc pour redémarrer manuellement les services Administration IIS
  2. Sur le ou les serveurs d’accès client auxquels l’appareil se connecte, au niveau d’une invite de commande CMD, taper iisreset et appuyer sur Entrée

2 – Recycler le pool d’applications ActiveSync

  1. Cliquer Démarrer, outils d’administration, gestionnaire IIS (Internet Information Services).
  2. Développer le nom du serveur, sélectionner Pools d’applications puis cliquer droit sur MSExchangeSyncAppPool et sélectionner Recycler

3 : Configurer l’appareil pour utiliser un mode de synchronisation manuel

il est aussi possible, selon l’appareil, de modifier les paramètres de synchronisation en manuelle pour que la connexion soit réinitialisée. Ainsi, une nouvelle connexion sera initiée la prochaine tentative de synchronisation manuelle. 

 4 – Redémarrer l’appareil mobile

Eteindre l’appareil et attendre quelques instants, puis démarrer le.